Esquema de implementação envolvendo a delegação de restrição Kerberos (KCD)

O esquema de implementação com a delegação restringida Kerberos (KCD), necessita que o Servidor de Administração e o Servidor de MDM do iOS estejam localizados na rede interna da organização.

Este esquema de implementação fornece para o seguinte:

• Integração com um proxy reverso
• Uso do KCD para a autenticação de dispositivos móveis
• Integração com o PKI para aplicar certificados de usuário

Ao usar este esquema de implementação, você deve fazer o seguinte:

• No Console de Administração, nas configurações do serviço da Web MDM do iOS, selecione a caixa de seleção Assegurar compatibilidade com a delegação restrita de Kerberos.
• Como certificado do serviço da Web MDM do iOS, especifique o certificado personalizado definido quando o serviço da Web MDM do iOS foi publicado no proxy reverso.
• Os certificados de usuário para dispositivos iOS devem ser emitidos por Certificate Authority (CA) do domínio. Caso o domínio contenha CAs com múltiplas raízes, os certificados de usuário devem ser emitidos pela CA especificada quando o serviço da Web MDM do iOS foi publicado no proxy reverso.

  Você pode assegurar-se de que o certificado do usuário está em conformidade como o requisito de emissão CA usando um dos seguintes métodos:

  • Especifique o certificado do usuário no Assistente de Novo Perfil de MDM do iOS e no Assistente de Instalação de Certificados.
  • Integre o Servidor de Administração com o PKI do domínio e defina a configuração correspondente nas regras de emissão de certificados:
    1. Na árvore do console, expanda a pasta Gerenciamento de Dispositivos Móveis e selecione a subpasta Certificados.
    2. No espaço de trabalho da pasta Certificados, clique no botão Configurar as regras de emissão do certificado para abrir a janela Regras de emissão do certificado.
    3. Na seção Integração com PKI, configure a integração com a infraestrutura de chaves públicas.
    4. Na seção Emissão de certificados móveis, especifique a origem dos certificados.

Abaixo encontra-se um exemplo da Kerberos Constrained Delegation (KCD) com as seguintes suposições:

• O serviço da Web MDM do iOS está em execução na porta 443.
• O nome do dispositivo com o proxy reverso é firewall.mydom.local.
• O nome do dispositivo com o serviço da Web MDM do iOS é iosmdm.mydom.local.
• O nome da publicação externa do serviço da Web MDM do iOS é iosmdm.mydom.global.

Nome do serviço principal para http/iosmdm.mydom.local

No domínio, você deve registrar o nome do serviço principal (SPN) para o dispositivo com o serviço da Web MDM do iOS (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Configuração das propriedades de domínio do dispositivo com o proxy reverso (firewall.mydom.local)

Para delegar o tráfego, confie o dispositivo com o proxy reverso (firewall.mydom.local) ao serviço definido pelo SPN (http/iosmdm.mydom.local).

Para confiar o dispositivo com o proxy reverso ao serviço definido pelo SPN (http/iosmdm.mydom.local), o administrador deve executar as seguintes ações:

1. No snap-in do Microsoft Management Console nomeado “Usuários e computadores do Active Directory”, selecione o dispositivo com o proxy reverso instalado (firewall.mydom.local).
2. Nas propriedades do dispositivo, na guia Delegação, defina Confiar neste computador somente para a delegação ao serviço especificado alterne para Usar qualquer protocolo de autenticação.
3. Adicione o SPN (http/iosmdm.mydom.local) à lista Serviços aos quais esta conta possa apresentar credenciais delegadas.

Certificado especial (personalizado) do serviço da Web publicado (iosmdm.mydom.global)

Você tem de emitir um certificado especial (personalizado) para serviço da Web MDM do iOS no FQDN iosmdm.mydom.global e especificar que ele substitui o certificado padrão nas configurações do serviço da Web MDM do iOS no Console de Administração.

Observe que o contêiner de certificado (arquivo com a extensão p12 ou pfx) também deve conter uma cadeia de certificados raiz (chaves públicas).

Publicação do serviço da Web de MDM do iOS no proxy reverso

No proxy reverso, para o tráfego que vai de um dispositivo móvel para a porta 443 do iosmdm.mydom.global, é necessário configurar a KCD no SPN (http/iosmdm.mydom.local) usando o certificado emitido para o FQDN (iosmdm.mydom.global). Observe que publicar e o serviço da Web publicado devem compartilhar o mesmo certificado do servidor.

Consulte também: Configuração padrão: Kaspersky Device Management for iOS no DMZ Integração com a infraestrutura de chaves públicas

Topo da página