Anschlussschema für KES-Geräte mit dem Server unter Verwendung der erzwungenen Delegierung Kerberos (KCD)

Das Verbindungsschema für KES-Geräte zum Administrationsserver unter Verwendung von Kerberos Constrained Delegation (KCD) setzt voraus:

• Bestehende Integration mit einem Reverse-Proxy.
• Nutzung von Kerberos Constrained Delegation (im Weiteren "KCD") zur Authentifizierung mobiler Geräte.
• Integration mit der Infrastruktur der offenen Schlüssel (Public Key Infrastructure, im Weiteren PKI) zur Verwendung von Benutzerzertifikaten.

Bei Verwendung dieses Verbindungsschemas muss Folgendes berücksichtigt werden:

• Der Verbindungstyp der KES-Geräte zum Reverse-Proxy muss "two-way SSL authentication" sein. Das heißt, das Gerät muss gemäß seines proprietären Benutzerzertifikats mit dem Reverse-Proxy verbunden werden. Dazu muss im Installationspaket von Kaspersky Endpoint Security für Android, das auf dem Gerät installiert ist, das Benutzerzertifikat integriert sein. Dieses KES-Paket muss vom Administrationsserver speziell für das betreffende Gerät (den Benutzer) erstellt worden sein.
• Anstelle des Standardserverzertifikats muss für das mobile Protokoll ein besonderes (benutzerspezifisches) Zertifikat angegeben werden:
  1. Aktivieren Sie Im Eigenschaftenfenster des Administrationsservers im Abschnitt Einstellungen das Kontrollkästchen Port für mobile Geräte öffnen, wählen Sie in der Dropdown-Liste die Option Zertifikat hinzufügen aus.
  2. Geben Sie im folgenden Fenster dasselbe Zertifikat an, das auf dem Reverse-Proxy bei der Veröffentlichung des Zugriffspunkts für das mobile Protokoll auf dem Administrationsserver festgelegt wurde.
• Die Benutzerzertifikate für die KES-Geräte müssen von der Domänen-Certificate Authority (CA) ausgestellt werden. Beachten Sie dabei: Sollte die Domain mehrere Stamm-CAs beinhalten, müssen die Benutzerzertifikate mit jener CA ausgestellt werden, die bei der Veröffentlichung auf dem Reverse-proxy festgelegt wurde.

  Die Übereinstimmung mit den Anforderungen des oben erwähnten Benutzerzertifikates kann auf verschiedene Weisen gewährleistet werden:

  • Ein besonderes Benutzerzertifikat im Assistenten für das Erstellen von Installationspaketen und im Assistenten für die Installation eines Zertifikats angeben.
  • Den Administrationsserver mit Domänen-PKI integrieren und die entsprechende Einstellung in den Regeln für die Ausstellung von Zertifikaten anpassen:
    1. Erweitern Sie die Konsolenstruktur im Ordner Mobile Geräte verwalten und wählen Sie den Unterordner Zertifikate aus.
    2. Öffnen Sie durch Klicken auf die Schaltfläche Regeln für das Ausstellen von Zertifikaten anpassen im Arbeitsbereich des Ordners Zertifikate das Fenster Regeln für das Ausstellen von Zertifikaten.
    3. Passen Sie im Abschnitt PKI-Integration die Integration mit der Public-Key-Infrastruktur an.
    4. Geben Sie im Abschnitt Mobile Zertifikate ausstellen die Quelle der Zertifikate an.

Als Beispiel dienen die Einstellungen für die eingeschränkte Delegierung von KCD mit den folgenden Annahmen:

• Der Zugriffspunkt auf das mobile Protokoll auf dem Administrationsserver liegt auf Port 13292.
• Der Name des Geräts mit dem Reverse-Proxy lautet "firewall.mydom.local".
• Der Gerätename mit dem Administrationsserver lautet ksc.mydom.local.
• Der Name der externen Veröffentlichung des Zugriffspunkts auf das mobile Protokoll lautet kes4mob.mydom.global.

Domänenbenutzerkonto für den Administrationsserver

Das Domänenbenutzerkonto (beispielsweise KSCMobileSrvcUsr), unter dem der Dienst des Administrationsservers ausgeführt werden soll, muss erstellt werden. Das Benutzerkonto für den Dienst des Administrationsservers kann bei der Installation des Administrationsservers oder mithilfe des Tools klsrvswch angegeben werden. Das Tool klsrvswch befindet sich im Installationsordner des Administrationsservers. Der Standardinstallationspfad lautet "<Laufwerksbuchstabe>:\Programme (x86)\ Kaspersky Lab\ Kaspersky Security Center".

Das Domänenbenutzerkonto muss aus folgenden Gründen angegeben werden:

• Die Funktionalität zur Verwaltung von KES-Geräten ist ein untrennbarer Bestandteil des Administrationsservers.
• Für die ordnungsgemäße Ausführung von Kerberos Constrained Delegation (KCD) muss die Empfängerseite (d. h. der Administrationsserver) unter einem Domänenbenutzerkonto ausgeführt werden.

Service Principal Name für http/kes4mob.mydom.local

In der Domäne unter dem Benutzerkonto KSCMobileSrvcUsr ist es erforderlich, den Service Principal Name (SPN) für die Veröffentlichung des Dienstes des mobilen Protokolls auf Port 13292 des Geräts mit dem Administrationsserver zu registrieren. Für das Gerät kes4mob.mydom.local mit dem Administrationsserver sieht dies folgendermaßen aus:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Konfigurieren der Domäneneigenschaften des Geräts mit dem Reverse-Proxy (firewall.mydom.local)

Für die Delegierung des Datenverkehres muss das Gerät mit dem Reverse-Proxy (firewall.mydom.local) jenem Dienst vertraut gemacht werden, der gemäß SPN festgelegt wurde (http/kes4mob.mydom.local:13292).

Um das Gerät mit dem Reverse-Proxy dem gemäß SPN bestimmten Dienst vertraut zu machen (http/kes4mob.mydom.local:13292), muss der Administrator wie folgt vorgehen:

1. Im dem Microsoft Management Console-Snap-in namens "Active Directory Users and Computers" muss das Gerät mit installiertem Reverse-Proxy (firewall.mydom.local) ausgewählt werden.
2. In den Eigenschaften des Geräts auf der Registerkarte Delegation für den Schalter Trust this computer for delegation to specified service only, die Variante Use any authentication protocol auswählen.
3. SPN http/kes4mob.mydom.local:13292 zur Liste Services to which this account can present delegated credentials hinzufügen.

Besonderes (benutzerspezifisches) Zertifikat für die Veröffentlichung (kes4mob.mydom.global)

Für die Veröffentlichung des mobilen Protokolls des Administrationsservers ist es erforderlich, ein besonderes (benutzerspezifisches) Zertifikat auf FQDN kes4mob.mydom.global auszustellen und es in der Verwaltungskonsole anstatt des Standardserverzertifikats in den Einstellungen des mobilen Protokolls des Administrationsservers anzugeben. Dazu muss im Eigenschaftenfenster des Administrationsservers im Abschnitt Einstellungen das Kontrollkästchen Port für mobile Geräte öffnen aktiviert und in der Dropdown-Liste die Option Zertifikat hinzufügen ausgewählt werden.

Es muss berücksichtigt werden, dass im Container mit dem Serverzertifikat (Datei mit der Erweiterung p12 oder pfx) auch die Kette der Stammzertifikate (öffentlichen Schlüssel) vorhanden sein muss.

Veröffentlichung auf dem Reverse-Proxy konfigurieren

Auf dem Reverse-Proxy muss für den Datenverkehr, der ausgehend von einem mobilen Gerät auf dem Port 139292 von kes4mob.mydom.global eingeht, die KCD auf dem SPN (http/kes4mob.mydom.local.13292) unter Verwendung des für den FQDN (kes4mob.mydom.global ausgestellten Zertifikats angepasst werden. Dabei muss berücksichtigt werden, dass sowohl bei der Veröffentlichung, als auch beim veröffentlichten Zugriffspunkt (Port 13292 des Administrationsservers) ein und dasselbe Serverzertifikat verwendet werden muss.

Siehe auch: Integration mit Public Key Infrastructure Internetzugriff für den Administrationsserver bereitstellen Administrationsserver im LAN, verwaltete Geräte im Internet und Verwendung eines Reverse-Proxys

Nach oben