يعمل نظام توصيل أجهزة KES بخادم الإدارة الذي يتضمن تفويض Kerberos المقيّد (KCD) على ما يلي:
عند استخدام نظام الاتصال هذا، الرجاء ملاحظة ما يلي:
يمكنك التأكد أن شهادة المستخدم متوافقة مع المتطلب الموضح أعلاه عن طريق استخدام طريقة من الطرق التالية:
يوجد أدناه مثال لإعداد تفويض Kerberos المقيّد (KCD) مع الافتراضيات التالية:
حساب المجال لخادم الإدارة
يجب عليك إنشاء حساب مجال (على سبيل المثال KSCMobileSrvcUsr) الذي ستعمل خدمة خادم الإدارة بموجبه. يمكنك تحديد حساب لخادم الإدارة عند تثبيت خادم الإدارة أو عبر الأداة المساعدة klsrvswch. توجد الأداة المساعدة klsrvswch في مجلد التثبيت الخاص بخادم الإدارة. مسار التثبيت الافتراضي: <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
يجب تحديد حساب مجال للأسباب التالية:
الاسم الأساسي للخدمة لـ http/kes4mob.mydom.local
في المجال، أسفل حساب KSCMobileSrvcUsr، قم بإضافة SPN لنشر خدمة بروتوكول الجهاز المحمول على المنفذ 13292 الخاص بالجهاز المثبّت عليه خادم الإدارة. بالنسبة لجهاز kes4mob.mydom.local المثبّت عليه خادم الإدارة، سيظهر الاسم كمل يلي:
setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr
تكوين خصائص المجال للجهاز باستخدام الخادم الوكيل العكسي (firewall.mydom.local)
لتفويض حركة المرور، يجب عليك اعتماد الجهاز الذي يحتوي على الخادم الوكيل العكسي (firewall.mydom.local) إلى الخدمة المحددة بواسطة SPN (http/kes4mob.mydom.local:13292).
لاعتماد الخدمة التي تحتوي على الخادم الوكيل العكسي إلى الخدمة المحددة بواسطة SPN (http/kes4mob.mydom.local:13292)، يجب أن ينفذ المسؤول الإجراءات التالية:
شهادة خاصة (مخصصة) لعملية النشر (kes4mob.mydom.global)
لنشر بروتوكول الجهاز المحمول الخاص بخدام الإدارة، يجب عليك إصدار شهادة خاصة (مخصصة) لـ FQDN kes4mob.mydom.global وحدد شهادة الخادم الافتراضية في إعدادات بروتوكول الجهاز المحمول الخاص بخادم الإدارة في وحدة تحكم الإدارة. للقيام بذلك، في نافذة الخصائص الخاصة بخادم الإدارة، في قسم الإعدادات، حدد خانة الاختيار فتح منفذ للأجهزة المحمولة ثم حدد إضافة شهادة من القائمة المنسدلة.
الرجاء ملاحظة أن حاوية شهادة الخادم (ملف امتداده p12 أو pfx) يجب أن يحتوي أيضًا على سلسلة الشهادات الجذر (المفاتيح العامة).
تكوين النشر على الخادم الوكيل العكسي
على الخادم الوكيل العكسي، بالنسبة لحركة المرور التي تنتقل من جهة الجهاز المحمول إلى المنفذ 13292 الخاص بـ kes4mob.mydom.global، يجب عليك تكوين KCD على SPN (http/kes4mob.mydom.local:13292)، باستخدام شهادة الخادم التي تم إصدارها لـ FQND kes4mob.mydom.global. الرجاء ملاحظة أن النشر ونقطة الوصول المنشورة (المنفذ 13292 الخاص بخادم الإدارة) يجب أن تتشارك شهادة الخادم نفسها.