Kerberos (KCD) мәжбүрлеп табыстау арқылы KES құрылғыларын Серверге қосу схемасы

KES құрылғыларын Kerberos Constrained Delegation (KCD) көмегімен Басқару серверіне қосу схемасы мыналарды қамтиды:

• KCD қолдайтын кері прокси-сервермен интеграция;
• ұялы құрылғылардың түпнұсқалық растамасы үшін Kerberos Constrained Delegation (бұдан әрі KCD) мәжбүрлеп табыстауын пайдалану;
• пайдаланушы сертификаттарын пайдалану үшін жалпыға ортақ кілттер инфрақұрылымымен (Public Key Infrastructure, бұдан әрі PKI) біріктіру.

Осы қосылым схемасын пайдалану кезінде мыналарды ескеру қажет:

• KES құрылғыларын кері прокси-серверге қосылым түрі "two-way SSL authentication" болуы тиіс, яғни құрылғы кері прокси-серверге өзінің пайдаланушы сертификаты арқылы қосылуы керек. Бұл үшін құрылғыда орнатылған Kaspersky Endpoint Security for Android орнату пакетіне пайдаланушы сертификатын кіріктіру қажет. Бұл KES пакетін осы құрылғы (пайдаланушы) үшін арнайы Басқару сервері жасауы керек.
• Мобильді протокол үшін әдепкі бойынша серверлік сертификаттың орнына арнайы (кастомизацияланған) сертификат көрсетілуі керек:
  1. Басқару сервері сипаттары терезесінде, Параметрлер бөлімінде Ұялы құрылғыларға арналған портты ашу жалаушасын қою және ашылмалы тізімнен Сертификат қосу тармағын таңдау.
  2. Ашылған терезеде, Басқару серверінде мобильді протоколға қатынасу нүктесін жариялау кезінде кері прокси-серверде берілген дәл сол сертификатты көрсетіңіз.
• KES құрылғылары үшін пайдаланушы сертификаттарын домендік Certificate Authority (CA) шығаруы керек. Доменде бірнеше түбірлік СА болса, онда пайдаланушы сертификаттары кері прокси-серверге арналған жарияланымда жазылған CA тарапынан шығарылуы тиіс.

  Пайдаланушы сертификатының жоғарыда айтылған талапқа сәйкестігі бірнеше тәсілмен қамтамасыз етілуі мүмкін:

  • Орнату пакеттерін жасау шеберінде және сертификаттарды орнату шеберінде арнайы пайдаланушы сертификатын көрсету.
  • Басқару серверін домендік PKI инфрақұрылымымен біріктіру және сертификаттарды шығару ережелерінде тиісті параметрді конфигурациялау:
    1. Ұялы құрылғыларды басқару қалтасындағы консоль шежіресінен Сертификаттар салынған қалтасын таңдаңыз.
    2. Сертификаттар қалтасының жұмыс аймағында, Сертификат беру ережелерін конфигурациялау түймесі арқылы Сертификаттарды шығару ережелері терезесін ашыңыз.
    3. PKI жүйесімен интеграциялау бөлімінде жалпыға ортақ кілт инфрақұрылымымен біріктіруді конфигурациялаңыз.
    4. Ұялы құрылғы сертификаттарын шығару бөлімінде сертификаттар көзін көрсетіңіз.

Келесі болжамдармен KCD шектеулі табыстау конфигурациясы мысалын қарастырайық:

• Басқару серверінде мобильді протоколға қатынасу нүктесі 13292-портта көтерілген;
• кері прокси-серверден құрылғы атауы – firewall.mydom.local;
• Басқару сервері бар құрылғының атауы – ksc.mydom.local;
• мобильді протоколға қатынасу нүктесін сырты жариялау атауы – kes4mob.mydom.global.

Басқару сервері үшін домендік есептік жазба

Басқару сервері қызметі жұмыс істейтін домендік есептік жазбаны (мысалы, KSCMobileSrvcUsr) жасау қажет. Басқару сервері қызметі үшін есептік жазбаны, Басқару серверін орнату кезінде немесе klsrvswch утилитасын пайдалану арқылы көрсетуге болады. klsrvswch утилитасы Басқару серверінің орнату қалтасында орналасқан. Әдепкі бойынша орнату жолы: <Диск>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

Домендік есептік жазбаны келесі себептерге байланысты көрсету қажет:

• KES құрылғыларын басқару бойынша функционалдылық Басқару серверінің ажырамас бөлігі болып табылады.
• Мәжбүрлеп табыстау (KCD) дұрыс жұмыс істеуі үшін Басқару сервері болып табылатын қабылдаушы тарап домендік есептік жазбада жұмыс істеуі керек.

http/kes4mob.mydom.local үшін Service Principal Name

KSCMobileSrvcUsr есептік жазбасы бар доменде, Басқару сервері бар құрылғының 13292-портында мобильді протокол сервисінің жарияланымы үшін Service Principal Name (SPN) жазу керек. Басқару сервері бар kes4mob.mydom.local құрылғысы үшін бұл келесідей көрінетін болады:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Кері прокси-сервері бар құрылғылардың домен сипаттарын конфигурациялау (firewall.mydom.local)

Трафикті табыстау үшін кері прокси-сервері (firewall.mydom.local) бар құрылғыны SPN (http/kes4mob.mydom.local:13292) бойынша анықталған қызметке сеніп тапсыру қажет.

Кері прокси-сервері бар құрылғыны SPN (http/kes4mob.mydom.local:13292) бойынша анықталған қызметке сеніп тапсыру үшін, әкімші келесі әрекеттерді орындауы тиіс:

1. Microsoft Management Console "Active Directory Users and Computers" жабдықтарында кері прокси-сервері (firewall.mydom.local) орнатылған құрылғыны таңдаңыз.
2. Delegation қойыншасындағы құрылғының сипаттарында Trust this computer for delegation to specified service only қосқышы үшін Use any authentication protocol нұсқасын таңдау.
3. Services to which this account can present delegated credentials тізіміне SPN http/kes4mob.mydom.local:13292.

Жарияланым үшін ерекше (кастомизацияланған) сертификат (kes4mob.mydom.global)

Басқару серверінің мобильді протоколын жариялау үшін FQDN kes4mob.mydom.global мекенжайына арнайы (кастомизацияланған) сертификат шығару және оны әдепкі бойынша серверлік сертификаттың орнына Басқару консоліндегі Басқару сервері мобильді протоколының параметрлерінде көрсету керек. Бұл үшін, Басқару сервері сипаттары терезесінде, Параметрлер бөлімінде Ұялы құрылғыларға арналған портты ашу жалаушасын қою және ашылмалы тізімнен Сертификат қосу тармағын таңдау керек.

Серверлік сертификаты бар контейнерде (p12 немесе pfx кеңейтімі бар файл) түбірлік сертификаттар тізбегі (жария бөліктер) болуы керек екенін де ескеру қажет.

Кері прокси-серверге жариялауды баптау

Кері прокси-серверде ұялы құрылғы тарапынан kes4mob.mydom.global атты 13292-портқа баратын трафик үшін, FQDN kes4mob.mydom.global атауына арнап шығарылған серверлік сертификатты қолдану арқылы SPN http/kes4mob.mydom.local:13292 мекенжайына KCD конфигурациялау керек. Жарияланымда да, жарияланатын қатынасу нүктесінде де (Басқару серверінің 13292-порты) бірдей серверлік сертификат болуы керек екенін ескеру қажет.

Сондай-ақ, қараңыз: Жалпыға ортақ кілттер инфрақұрылымымен біріктіру Басқару серверіне интернеттен қатынасуды ұсыну Жергілікті желі (LAN) ішіндегі басқару сервері, интернеттегі басқарылатын құрылғылар; кері прокси-серверді пайдалану

Басына оралу