Esquema para conectar dispositivos KES al servidor con la delegación limitada de Kerberos (KCD)

El esquema para conectar dispositivos KES al Servidor de administración que involucra la delegación limitada de Kerberos (KCD) brinda lo siguiente:

• Integración con Microsoft Forefront TMG.
• Uso de la delegación limitada de Kerberos (en adelante, denominada KCD) para la autenticación de dispositivos móviles.
• Integración con la infraestructura de clave pública (en adelante, denominada PKI) para aplicar certificados de usuario.

Al usar este esquema de conexión, tenga en cuenta lo siguiente:

• El tipo de conexión de dispositivos KES a TMG debe ser la "Autenticación SSL bidireccional", es decir, un dispositivo debe conectarse a TMG a través de su certificado de usuario patentado. Para esto, debe integrar el certificado de usuario en el paquete de instalación de Kaspersky Endpoint Security for Android, que se ha instalado en el dispositivo. Este paquete KES debe ser creado por el Servidor de administración específicamente para este dispositivo (usuario).
• Debe especificar el certificado especial (personalizado) en vez del certificado del servidor predeterminado para el protocolo móvil:
  1. En la ventana de propiedades del Servidor de administración, en la sección Configuración, seleccione la casilla Abrir puerto para dispositivos móviles y, luego, seleccione Agregar certificado en la lista desplegable.
  2. En la ventana que se abre, especifique el mismo certificado que se configuró en TMG cuando se publicó el punto de acceso al protocolo móvil en el Servidor de administración.
• Los certificados de usuario para los dispositivos KES deben ser emitidos por la entidad de certificación (CA) del dominio. Tenga en cuenta que si el dominio incluye varios CA raíz, los certificados de usuario deben ser emitidos por la CA que se haya configurado en la publicación de TMG.

  Puede asegurarse de que el certificado de usuario cumpla con los requisitos especificados anteriormente con uno de los siguientes métodos:

  • Especifique el certificado de usuario especial en el Asistente para nuevo paquete de Instalación y en el Asistente de instalación de certificados.
  • Integre el Servidor de administración con la PKI del dominio y defina la configuración correspondiente en las reglas para la emisión de certificados:
    1. En el árbol de consola, expanda la carpeta Administración de dispositivos móviles y seleccione la subcarpeta Certificados.
    2. En el espacio de trabajo de la carpeta Certificados, haga clic en el botón Configurar reglas de emisión de certificados para abrir la ventana Reglas de emisión de certificados.
    3. En la sección Integración con la PKI, configure la integración con la infraestructura de clave pública.
    4. En la sección Emisión de certificados móviles, especifique el origen de los certificados.

A continuación, se especifica un ejemplo de la configuración de la delegación limitada de Kerberos (KCD) con las siguientes suposiciones:

• El punto del acceso al protocolo móvil en el lado del Servidor de administración está configurado en el puerto 13292.
• El nombre del dispositivo con TMG es tmg.mydom.local.
• El nombre del dispositivo con el Servidor de administración es ksc.mydom.local.
• El nombre de la publicación externa del punto de acceso al protocolo móvil es kes4mob.mydom.global.

Cuenta de dominio para el Servidor de administración

Debe crear una cuenta de dominio (por ejemplo, KSCMobileSrvcUsr) en la que se ejecutará el servicio del Servidor de administración. Puede especificar una cuenta para el servicio del Servidor de administración al instalar el Servidor de administración o a través de la utilidad klsrvswch. La utilidad klsrvswch se ubica en la carpeta de instalación del Servidor de administración.

Debe especificarse una cuenta de dominio por las siguientes razones:

• La función para la administración de dispositivos KES es una parte integral del Servidor de administración.
• Para asegurar el correcto funcionamiento de la delegación limitada de Kerberos (KCD), el lado de recepción (es decir, el Servidor de administración) se debe ejecutar bajo una cuenta de dominio.

Nombre principal del servicio para http/kes4mob.mydom.local

En el dominio, en la cuenta de KSCMobileSrvcUsr, añada un SPN para publicar el servicio del protocolo móvil en el puerto 13292 del dispositivo con el Servidor de administración. Para el dispositivo kes4mob.mydom.local con el Servidor de administración, esto aparecerá de la siguiente forma:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Configuración de las propiedades de dominio del dispositivo con TMG (tmg.mydom.local)

Para delegar el tráfico, confíe al dispositivo con TMG (tmg.mydom.local) el servicio definido por el SPN (http/kes4mob.mydom.local:13292).

Para confiar al dispositivo con TMG el servicio definido por el SPN (http/kes4mob.mydom.local:13292), el administrador debe realizar las siguientes acciones:

1. En el complemento de MMC denominado "Equipos y usuarios de Active Directory", seleccione el dispositivo con TMG instalado (tmg.mydom.local).
2. En las propiedades del dispositivo, en la ficha Delegación, configure la opción de Confiar en este equipo para la delegación al servicio especificado únicamente en Usar cualquier protocolo de autenticación.
3. En la lista Servicios a los que esta cuenta puede presentar credenciales delegadas, añada el SPN http/kes4mob.mydom.local:13292.

Certificado especial (personalizado) para la publicación (kes4mob.mydom.global)

Para publicar el protocolo móvil del Servidor de administración, debe emitir un certificado especial (personalizado) para FQDN kes4mob.mydom.global y especificarlo en vez del certificado del servidor predeterminado en la configuración del protocolo móvil del Servidor de administración en la Consola de administración. Para hacerlo, en la ventana de propiedades del Servidor de administración, en la sección Configuración, seleccione la casilla Abrir puerto para dispositivos móviles y, luego, seleccione Agregar certificado en la lista desplegable.

Tenga en cuenta que el contenedor del certificado del servidor (el archivo con la extensión p12 o pfx) también debe contener una cadena de certificados raíz (claves públicas).

Configuración de la publicación en TMG

En TMG, para el tráfico que va desde el lado del dispositivo móvil al puerto 13292 de kes4mob.mydom.global, debe configurar KCD en el SPN (http/kes4mob.mydom.local:13292) usando el certificado del servidor emitido para FQND kes4mob.mydom.global. Tenga en cuenta que el punto del acceso de publicación y publicado (puerto 13292 del Servidor de administración) deben compartir el mismo certificado del servidor.

Consulte también: Integración con la infraestructura de clave pública Suministro de acceso a Internet al Servidor de administración Servidor de administración en LAN, dispositivos administrados en internet; TMG está en uso

Subir