نظام توصيل أجهزة KES بالخادم الذي يتضمن تفويض Kerberos المقيّد (KCD)

يعمل نظام توصيل أجهزة KES بخادم الإدارة الذي يتضمن تفويض Kerberos المقيّد (KCD) على ما يلي:

عند استخدام نظام الاتصال هذا، الرجاء ملاحظة ما يلي:

يوجد أدناه مثال لإعداد تفويض Kerberos المقيّد (KCD) مع الافتراضيات التالية:

حساب المجال لخادم الإدارة

يجب عليك إنشاء حساب مجال (على سبيل المثال KSCMobileSrvcUsr) الذي ستعمل خدمة خادم الإدارة بموجبه. يمكنك تحديد حساب لخادم الإدارة عند تثبيت خادم الإدارة أو عبر الأداة المساعدة klsrvswch. توجد الأداة المساعدة klsrvswch في مجلد التثبيت الخاص بخادم الإدارة. مسار التثبيت الافتراضي: <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.‏

يجب تحديد حساب مجال للأسباب التالية:

الاسم الأساسي للخدمة لـ http/kes4mob.mydom.local

في المجال، أسفل حساب KSCMobileSrvcUsr، قم بإضافة SPN لنشر خدمة بروتوكول الجهاز المحمول على المنفذ 13292 الخاص بالجهاز المثبّت عليه خادم الإدارة. بالنسبة لجهاز kes4mob.mydom.local المثبّت عليه خادم الإدارة، سيظهر الاسم كمل يلي:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

تكوين خصائص المجال للجهاز باستخدام الخادم الوكيل العكسي (firewall.mydom.local)

لتفويض حركة المرور، يجب عليك اعتماد الجهاز الذي يحتوي على الخادم الوكيل العكسي (firewall.mydom.local)‎ إلى الخدمة المحددة بواسطة SPN (http/kes4mob.mydom.local:13292)‎.

لاعتماد الخدمة التي تحتوي على الخادم الوكيل العكسي إلى الخدمة المحددة بواسطة SPN (http/kes4mob.mydom.local:13292)‎، يجب أن ينفذ المسؤول الإجراءات التالية:

  1. في أداة الإضافة في Microsoft Management Console التي تحمل الاسم "مستخدمو وأجهزة كمبيوتر Active Directory"، حدد الجهاز المثبّت عليه الخادم الوكيل العكسي (firewall.mydom.local)‎.
  2. في خصائص الجهاز، من علامة التبويب التفويض، قم بتعيين مؤشر التبديل اعتماد هذا الكمبيوتر للتفويض إلى الخدمة المحددة فقط إلى استخدام أي بروتوكول مصادقة.
  3. في قائمة الخدمات التي يمكن لهذا الجهاز تقديم بيانات الاعتماد المفوضة لها، قم بإضافة SPN http/kes4mob.mydom.local:13292.‏

شهادة خاصة (مخصصة) لعملية النشر (kes4mob.mydom.global)

لنشر بروتوكول الجهاز المحمول الخاص بخدام الإدارة، يجب عليك إصدار شهادة خاصة (مخصصة) لـ FQDN kes4mob.mydom.global وحدد شهادة الخادم الافتراضية في إعدادات بروتوكول الجهاز المحمول الخاص بخادم الإدارة في وحدة تحكم الإدارة. للقيام بذلك، في نافذة الخصائص الخاصة بخادم الإدارة، في قسم الإعدادات، حدد خانة الاختيار فتح منفذ للأجهزة المحمولة ثم حدد إضافة شهادة من القائمة المنسدلة.

الرجاء ملاحظة أن حاوية شهادة الخادم (ملف امتداده ‎p12 أو ‎pfx) يجب أن يحتوي أيضًا على سلسلة الشهادات الجذر (المفاتيح العامة).

تكوين النشر على الخادم الوكيل العكسي

على الخادم الوكيل العكسي، بالنسبة لحركة المرور التي تنتقل من جهة الجهاز المحمول إلى المنفذ 13292 الخاص بـ kes4mob.mydom.global، يجب عليك تكوين KCD على SPN (http/kes4mob.mydom.local:13292)‎، باستخدام شهادة الخادم التي تم إصدارها لـ FQND kes4mob.mydom.global.‏ الرجاء ملاحظة أن النشر ونقطة الوصول المنشورة (المنفذ 13292 الخاص بخادم الإدارة) يجب أن تتشارك شهادة الخادم نفسها.

انظر أيضًا:

التكامل مع البنية الأساسية للمفاتيح العامة

توفير الوصول عبر الإنترنت إلى خادم الإدارة

خادم الإدارة في شبكة الاتصال المحلية (LAN)، الأجهزة المدارة على الإنترنت، الخادم الوكيل العكسي قيد الاستخدام

أعلى الصفحة