Schemat łączenia urządzeń KES z Serwerem wykorzystujący delegowanie protokołu Kerberos (KCD)

Schemat łączenia urządzeń KES z Serwerem wykorzystujący delegowanie protokołu Kerberos (KCD) uwzględnia:

• Integrację z Microsoft Forefront TMG.
• Użycie delegowania protokołu Kerberos (zwane również KCD) do uwierzytelnia urządzeń mobilnych.
• Integrację z infrastrukturą kluczy publicznych (zwana również PKI) w celu zastosowania certyfikatów użytkownika.

Podczas korzystania z tego schematu połączenia należy pamiętać, że:

• Typem połączenia urządzeń KES z TMG ma być "dwukierunkowe uwierzytelnianie SSL", czyli urządzenie musi łączyć się z TMG poprzez swój własny certyfikat użytkownika. W tym celu należy zintegrować certyfikat użytkownika z pakietem instalacyjnym programu Kaspersky Endpoint Security for Android, który został zainstalowany na urządzeniu. Ten pakiet KES musi być utworzony przez Serwer administracyjny specjalnie dla tego urządzenia (użytkownika).
• Dla protokołu mobilnego powinieneś określić specjalny (niestandardowy) certyfikat zamiast domyślnego certyfikatu serwera:
  1. W oknie właściwości Serwera administracyjnego, w sekcji Ustawienia zaznacz pole Otwórz port dla urządzeń mobilnych, a następnie z listy rozwijalnej wybierz Dodaj certyfikat.
  2. W otwartym oknie określ ten sam certyfikat, który został ustawiony na TMG, gdy punkt dostępu do protokołu mobilnego został opublikowany na Serwerze administracyjnym.
• Certyfikaty użytkownika dla urządzeń KES muszą być wystawione przez urząd certyfikacji (CA) domeny. Należy pamiętać, że jeśli domena zawiera kilka głównych urzędów certyfikacji, certyfikaty użytkownika muszą być wystawione przez urząd certyfikacji, który został ustawiony w publikacji na TMG.

  Możesz upewnić się, że certyfikat użytkownika jest zgodny z wyżej opisanymi wymaganiami przy użyciu jednej z następujących metod:

  • Określ specjalny certyfikat użytkownika w Kreatorze nowego pakietu instalacyjnego oraz w Kreatorze instalacji certyfikatu.
  • Zintegruj Serwer administracyjny z infrastrukturą kluczy publicznych domeny oraz zdefiniuj odpowiednie ustawienie w regułach wystawiania certyfikatów:
    1. W drzewie konsoli rozwiń folder Zarządzanie urządzeniami mobilnymi, z którego wybierz podfolder Certyfikaty.
    2. W obszarze roboczym folderu Certyfikaty kliknij przycisk Konfiguruj reguły wydawania certyfikatów, aby otworzyć okno Reguły wydawania certyfikatu.
    3. W sekcji Integracja z PKI skonfiguruj integrację z infrastrukturą kluczy publicznych.
    4. W sekcji Wydawanie certyfikatów dla urządzeń mobilnych określ źródło certyfikatów.

Poniżej znajduje się przykład konfiguracji delegowania protokołu Kerberos (KCD) z następującymi założeniami:

• Punkt dostępu do protokołu mobilnego na Serwerze administracyjnym jest ustawiony na porcie 13292.
• Nazwa urządzenia z TMG to tmg.mydom.local.
• Nazwa urządzenia z Serwerem administracyjnym to ksc.mydom.local.
• Nazwa zewnętrznej publikacji punktu dostępu do protokołu mobilnego to kes4mob.mydom.global.

Konto domeny dla Serwera administracyjnego

Należy utworzyć konto domeny (na przykład: KSCMobileSrvcUsr), z poziomu którego będzie uruchamiana usługa Serwera administracyjnego. Konto dla usługi Serwera administracyjnego można określić podczas instalacji Serwera administracyjnego lub poprzez narzędzie klsrvswch. Narzędzie klsrvswch znajduje się w folderze instalacyjnym Serwera administracyjnego.

Konto domeny musi zostać określone z następujących względów:

• Funkcja zarządzania urządzeniami KES jest integralną częścią Serwera administracyjnego.
• Aby zapewnić poprawne działanie delegowania protokołu Kerberos (KCD), strona odbierająca (czyli Serwer administracyjny) musi być uruchomiona z poziomu konta domeny.

Nazwa główna usługi dla http/kes4mob.mydom.local

W domenie, z poziomu konta KSCMobileSrvcUsr, dodaj SPN dla publikacji usługi protokołu mobilnego na porcie 13292 urządzenia z Serwerem administracyjnym. Dla urządzenia kes4mob.mydom.local z Serwerem administracyjnym będzie to wyglądało w następujący sposób:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Konfigurowanie właściwości domeny urządzenia z TMG (tmg.mydom.local)

Aby przeprowadzić ruch sieciowy, przełącz urządzenie z TMG (tmg.mydom.local) do usługi, która jest definiowana po SPN (http/kes4mob.mydom.local:13292).

W celu przełączenia urządzenia z TMG do usługi definiowanej po SPN (http/kes4mob.mydom.local:13292), administrator musi wykonać następujące działania:

1. W przystawce Microsoft Management Console o nazwie „Użytkownicy i komputery usługi Active Directory” wybierz urządzenie z zainstalowanym TMG (tmg.mydom.local).
2. We właściwościach urządzenia, na zakładce Delegowanie ustaw przełącznik Ufaj temu komputerowi w delegowaniu tylko do określonych usług na Użyj dowolnego protokołu uwierzytelniania.
3. Na liście Usługi, którym to konto może przedstawiać delegowane poświadczenia dodaj SPN http/kes4mob.mydom.local:13292.

Specjalny (niestandardowy) certyfikat dla publikacji (kes4mob.mydom.global)

Aby opublikować protokół mobilny Serwera administracyjnego, należy wystawić specjalny (niestandardowy) certyfikat dla FQDN kes4mob.mydom.global, a także określić go w miejsce domyślnego certyfikatu serwera w ustawieniach protokołu mobilnego Serwera administracyjnego, w Konsoli administracyjnej. W tym celu, w oknie właściwości Serwera administracyjnego, w sekcji Ustawienia zaznacz pole Otwórz port dla urządzeń mobilnych, a następnie z listy rozwijalnej wybierz Dodaj certyfikat.

Należy pamiętać, że kontener certyfikatów serwera (plik z rozszerzeniem .p12 lub .pfx) musi także zawierać łańcuch certyfikatów głównych (klucze publiczne).

Konfigurowanie publikacji na TMG

Na TMG, dla ruchu przechodzącego z urządzenia mobilnego do portu 13292 usługi kes4mob.mydom.global należy skonfigurować KCD na SPN (http/kes4mob.mydom.local:13292), korzystając z certyfikatu serwera opublikowanego dla FQDN kes4mob.mydom.global. Nie można zapominać, że publikacja oraz opublikowany punkt dostępu (port 13292 Serwera administracyjnego) powinny korzystać z tego samego certyfikatu serwera.

Zobacz również: Integracja z infrastrukturą kluczy publicznych Umożliwianie uzyskania dostępu do Serwera administracyjnego przez internet Serwer administracyjny w sieci LAN, zarządzane urządzenia w Internecie, TMG w użyciu

Przejdź do góry