Kerberos 제한 위임(KCD)을 사용하는 서버에 KES 기기를 연결하기 위한 구성

Kerberos 제한 위임(KCD)을 사용하는 중앙 관리 서버에 KES 기기를 연결하기 위한 구성에서는 다음 기능이 제공됩니다:

이 연결 구성을 사용할 때는 다음 사항을 참고하십시오:

아래에는 다음 사항을 가정하고 Kerberos 제한 위임(KCD)을 설정하는 과정의 예가 나와 있습니다:

중앙 관리 서버용 도메인 계정

중앙 관리 서버를 실행할 도메인 계정(예: KSCMobileSrvcUsr)을 만들어야 합니다. 중앙 관리 서버 서비스용 계정은 중앙 관리 서버를 실행할 때 지정하거나 klsrvswch 유틸리티를 통해 지정할 수 있습니다. klsrvswch 유틸리티는 중앙 관리 서버의 설치 폴더에 있습니다. 기본 설치 경로: <디스크>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

도메인 계정을 지정해야 하는 이유는 다음과 같습니다:

http/kes4mob.mydom.local의 서비스 사용자 이름

도메인의 KSCMobileSrvcUsr 계정에 중앙 관리 서버가 설치된 기기의 포트 13292에서 모바일 프로토콜 서비스를 게시하기 위한 SPN을 추가합니다. 중앙 관리 서버가 설치된 kes4mob.mydom.local 기기의 경우 이는 다음과 같이 표시됩니다:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

역방향 프록시(firewall.mydom.local)를 사용하여 기기의 도메인 속성 구성

트래픽을 위임하려면 SPN으로 정의된 서비스(http/kes4mob.mydom.local:13292)가 역방향 프록시가 설치된 기기(firewall.mydom.local)를 신뢰하도록 설정합니다.

SPN으로 정의된 서비스(http/kes4mob.mydom.local:13292)가 역방향 프록시가 설치된 기기를 신뢰하도록 설정하려면 관리자가 다음 작업을 수행해야 합니다:

  1. Microsoft Management Console 스냅인 "Active Directory 사용자 및 컴퓨터"에서 역방향 프록시가 설치된 기기(firewall.mydom.local)를 선택합니다.
  2. 기기 속성의 위임 탭에서 지정한 서비스로만 위임하도록 이 컴퓨터 신뢰 토글을 모든 인증 프로토콜 사용으로 설정합니다.
  3. 이 계정이 위임된 자격증명을 제공할 수 있는 서비스 목록에서 SPN http/kes4mob.mydom.local:13292를 추가합니다.

게시(kes4mob.mydom.global)용 특수(사용자 지정) 인증서

중앙 관리 서버의 모바일 프로토콜을 게시하려면 FQDN kes4mob.mydom.global용으로 특수(사용자 지정) 인증서를 발급하여 관리 콘솔 내 중앙 관리 서버의 모바일 프로토콜 설정에서 기본 서버 인증서 대신 해당 인증서를 지정해야 합니다. 이렇게 하려면 중앙 관리 서버의 속성 창 설정 섹션에서 모바일 기기용 포트 열기 확인란을 선택하고 드롭다운 목록에서 인증서 추가를 선택합니다.

서버 인증서 컨테이너(확장자가 p12 또는 pfx인 파일)에는 루트 키 체인(공개키)도 포함되어야 합니다.

역방향 프록시에서 게시 구성

역방향 프록시에서 모바일 기기 쪽으로부터 kes4mob.mydom.global의 포트 13292로 전송되는 트래픽에 대해 FQDN(kes4mob.mydom.global)용으로 발급된 서버 인증서를 사용하여 SPN(http/kes4mob.mydom.local:13292)에서 KCD를 구성해야 합니다. 게시 작업과 게시된 액세스 포인트(중앙 관리 서버의 포트 13292)는 같은 서버 인증서를 공유해야 합니다.

참고 항목:

공개 키 인프라와의 통합

중앙 관리 서버에 대한 인터넷 접속 제공

LAN 내에 중앙 관리 서버 설치, 인터넷 망에 관리 중인 기기 운영, 역방향 프록시 사용 중

맨 위로