Kerberos Constrained Delegation (KCD) мәжбүрлеп табыстауын қолдана отырып орналастыру схемасы

Kerberos шектелген делегацияны (KCD) енгізу схемасын пайдалану үшін келесі талаптарды орындау қажет:

• Басқару сервері және iOS MDM сервері ұйымның ішкі желісінде орналасқан.
• KCD қолдауы бар кері прокси-сервер пайдаланылады.

Бұл орналастыру схемасы мыналарды қамтиды:

• KCD қолдайтын кері прокси-сервермен интеграция;
• ұялы құрылғылар түпнұсқалық растамасы үшін Kerberos Constrained Delegation мәжбүрлеп табыстауды пайдалану;
• пайдаланушы сертификаттарын пайдалану үшін жалпыға ортақ кілт инфрақұрылымымен (PKI) біріктіру.

Осы орналастыру схемасын пайдалану кезінде мыналарды ескеру қажет:

• Басқару консолінде iOS MDM веб-қызметінің параметрлерінде Kerberos Constrained Delegation әдісімен үйлесімділікті қамтамасыз ету жалаушасын қою керек.
• iOS MDM веб-қызметінің сертификаты ретінде кері прокси-серверде жариялау кезінде TMG-де берілген арнайы (кастомизацияланған) сертификат көрсетілуі керек.
• iOS құрылғыларына арналған пайдаланушы сертификаттарын Домендік сертификаттау орталығы (Certification authority, бұдан әрі CA) шығаруы керек. Егер доменде бірнеше түбірлік CA болса, онда кері прокси-серверде iOS MDM веб-қызметін жариялау кезінде көрсетілген CA пайдаланушы сертификаттары шығарылуы керек.

  Пайдаланушы сертификатының көрсетілген талапқа сәйкестігі бірнеше тәсілмен қамтамасыз етілуі мүмкін:

  • iOS MDM профилін құру шеберінде және сертификаттарды орнату шеберінде пайдаланушы сертификатын көрсету.
  • Басқару серверін домендік PKI инфрақұрылымымен біріктіру және сертификаттарды шығару ережелерінде тиісті параметрді конфигурациялау:
    1. Ұялы құрылғыларды басқару қалтасындағы консоль шежіресінен Сертификаттар салынған қалтасын таңдаңыз.
    2. Сертификаттар қалтасының жұмыс аймағында, Сертификат беру ережелерін конфигурациялау түймесі арқылы Сертификаттарды шығару ережелері терезесін ашыңыз.
    3. PKI жүйесімен интеграциялау бөлімінде жалпыға ортақ кілт инфрақұрылымымен біріктіруді конфигурациялаңыз.
    4. Ұялы құрылғы сертификаттарын шығару бөлімінде сертификаттар көзін көрсетіңіз.

Келесі болжамдармен KCD шектеулі табыстау конфигурациясы мысалын қарастырайық:

• iOS MDM веб-қызметі 443-портта іске қосылған;
• кері прокси-серверден құрылғы атауы – firewall.mydom.local;
• iOS MDM веб-қызметі бар құрылғы атауы – iosmdm.mydom.local;
• iOS MDM веб-қызметінің сыртқы жарияланымының атауы – iosmdm.mydom.global.

http/iosmdm.mydom.local үшін Service Principal Name

Доменде iOS MDM (iosmdm.mydom.local) веб-қызметі бар құрылғы үшін Service Principal Name (SPN) жазу қажет:

setspn -a http/iosmdm.mydom.local iosmdm

Кері прокси-сервері бар құрылғылардың домен сипаттарын конфигурациялау (firewall.mydom.local)

Трафикті табыстау үшін кері прокси-сервері (firewall.mydom.local) бар құрылғыны SPN (http/iosmdm.mydom.local) бойынша анықталған қызметке сеніп тапсыруға болады.

Кері прокси-сервері бар құрылғыны SPN (http/iosmdm.mydom.local) бойынша анықталған қызметке сеніп тапсыру үшін, әкімші келесі әрекеттерді орындауы тиіс:

1. Microsoft Management Console "Active Directory Users and Computers" жабдықтарында кері прокси-сервері (firewall.mydom.local) орнатылған құрылғыны таңдаңыз.
2. Delegation қойыншасындағы құрылғының сипаттарында Trust this computer for delegation to specified service only қосқышы үшін Use any authentication protocol нұсқасын таңдау.
3. Services to which this account can present delegated credentials тізіміне SPN http/iosmdm.mydom.local қосу.

Жарияланатын веб-қызмет (iosmdm.mydom.global) үшін айрықша (кастомизацияланған) сертификат

FQDN iosmdm.mydom.global бойынша орналасқан iOS MDM веб-қызметі үшін айрықша (кастомизацияланған) сертификатты шығару және оны Басқару консоліндегі iOS MDM веб-қызметі параметрлерінде әдепкі бойынша сертификат орнына көрсету керек.

Сертификаты бар контейнерде (p12 немесе pfx кеңейтімі бар файл) түбірлік сертификаттар тізбегі (жария бөліктер) болуы керек екенін де ескеру қажет.

iOS MDM веб-қызметінің кері прокси-сервердегі жарияланымдары

Кері прокси-серверде ұялы құрылғы тарапынан iosmdm.mydom.global атты 443-портқа баратын трафик үшін, FQDN iosmdm.mydom.global атауына арнап шығарылған сертификатты қолдану арқылы SPN http/iosmdm.mydom.local мекенжайына KCD конфигурациялау керек. Жарияланымда да, жарияланатын веб-қызметте де бірдей серверлік сертификат болуы керек екенін ескеру қажет.

Сондай-ақ, қараңыз: Типтік конфигурация: демилитаризацияланған аймақтағы Kaspersky Device Management for iOS Жалпыға ортақ кілттер инфрақұрылымымен біріктіру

Басына оралу