O esquema para conectar dispositivos KES ao Servidor de Administração envolvendo a delegação restringida Kerberos (KCD) fornece o seguinte:
Ao usar este esquema de conexão, observe o seguinte:
Você pode assegurar-se de que o certificado do usuário esteja em conformidade com requisito acima descrito, usando um dos seguintes métodos:
Abaixo encontra-se um exemplo da Kerberos Constrained Delegation (KCD) com as seguintes suposições:
Conta de domínio para o Servidor de Administração
Você deve criar uma conta de domínio (por exemplo, KSCMobileSrvcUsr) sob a qual o serviço Servidor de Administração será executado. Você pode especificar uma conta do serviço Servidor de Administração ao instalar o Servidor de Administração ou através do utilitário klsrvswch. O utilitário klsrvswch está localizado na pasta de instalação do Servidor de Administração. O caminho de instalação padrão: <Disco>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.
Uma conta de domínio deve ser especificada pelos seguintes motivos:
Nome do serviço principal para http/kes4mob.mydom.local
No domínio, sob a conta KSCMobileSrvcUsr, adicione um SPN para publicar o serviço de protocolo móvel na porta 13292 do dispositivo com o Servidor de Administração. Para o dispositivo kes4mob.mydom.local com o Servidor de Administração, isto aparecerá como segue:
setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr
Configuração das propriedades de domínio do dispositivo com o proxy reverso (firewall.mydom.local)
Para delegar o tráfego, é necessário confiar o dispositivo com o proxy reverso (firewall.mydom.local) ao serviço definido pelo SPN (http/kes4mob.mydom.local:13292).
Para confiar o dispositivo com proxy reverso ao serviço definido pelo SPN (http/kes4mob.mydom.local:13292), o administrador deve executar as seguintes ações:
Certificado especial (personalizado) para a publicação (kes4mob.mydom.global)
Para publicar o protocolo móvel do Servidor de Administração, você deve emitir um certificado especial (personalizado) para o FQDN kes4mob.mydom.global e especificá-lo em vez do certificado de servidor padrão nas configurações do protocolo móvel do Servidor de Administração no Console de Administração. Para fazer isso, na janela de propriedades do Servidor de Administração, na seção Configurações, selecione a caixa de seleção Abrir a porta para dispositivos móveis e, a seguir, selecione Adicionar certificado na lista suspensa.
Observe que o contêiner de certificado do servidor (arquivo com a extensão p12 ou pfx) também deve conter uma cadeia de certificados raiz (chaves públicas).
Configuração da publicação no proxy reverso
No proxy reverso, para o tráfego que vai de um dispositivo móvel até a porta 13292 do kes4mob.mydom.global, é necessário configurar a KCD no SPN (http/kes4mob.mydom.global:13292) usando o certificado emitido para o FQND (kes4mob.mydom.global). Observe que publicar e ponto de acesso publicado (porta 13292 do Servidor de Administração) deve compartilhar o mesmo certificado de servidor.