Esquema de implementação envolvendo a delegação de restrição Kerberos (KCD)

O esquema de implementação com a delegação restringida Kerberos (KCD), necessita que o Servidor de Administração e o Servidor de MDM do iOS estejam localizados na rede interna da organização.

Este esquema de implementação fornece para o seguinte:

• Integração com Microsoft Forefront TMG
• Uso do KCD para a autenticação de dispositivos móveis
• Integração com o PKI para aplicar certificados de usuário

Ao usar este esquema de implementação, você deve fazer o seguinte:

• No Console de Administração, nas configurações do serviço da Web MDM do iOS, selecione a caixa de seleção Assegurar compatibilidade com a delegação restrita de Kerberos.
• Como o certificado do serviço da Web MDM do iOS, especifique o certificado personalizado que foi definido quando o serviço da Web MDM do iOS foi publicado no TMG.
• Os certificados de usuário para dispositivos iOS devem ser emitidos por Certificate Authority (CA) do domínio. Se o domínio contiver CAs com múltiplas raízes, os certificados de usuário devem ser emitidos pela CA que foi especificada quando o serviço da Web MDM do iOS foi publicado no TMG.

  Você pode assegurar-se de que o certificado do usuário está em conformidade como o requisito de emissão CA usando um dos seguintes métodos:

  • Especifique o certificado do usuário no Assistente de Novo Perfil de MDM do iOS e no Assistente de Instalação de Certificados.
  • Integre o Servidor de Administração com o PKI do domínio e defina a configuração correspondente nas regras de emissão de certificados:
    1. Na árvore do console, expanda a pasta Gerenciamento de Dispositivos Móveis e selecione a subpasta Certificados.
    2. No espaço de trabalho da pasta Certificados, clique no botão Configurar as regras de emissão do certificado para abrir a janela Regras de emissão do certificado.
    3. Na seção Integração com PKI, configure a integração com a infraestrutura de chaves públicas.
    4. Na seção Emissão de certificados móveis, especifique a origem dos certificados.

Abaixo encontra-se um exemplo da Kerberos Constrained Delegation (KCD) com as seguintes suposições:

• O serviço da Web MDM do iOS está em execução na porta 443.
• O nome do dispositivo com TMG é tmg.mydom.local.
• O nome do dispositivo com o serviço da Web MDM do iOS é iosmdm.mydom.local.
• O nome da publicação externa do serviço da Web MDM do iOS é iosmdm.mydom.global.

Nome do serviço principal para http/iosmdm.mydom.local

No domínio, você deve registrar o nome do serviço principal (SPN) para o dispositivo com o serviço da Web MDM do iOS (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Configurar as propriedades de domínio do dispositivo com TMG (tmg.mydom.local)

Para delegar o tráfego, confie ao dispositivo TMG (tmg.mydom.local) ao serviço que é definido pelo SPN (http/iosmdm.mydom.local).

Para confiar o dispositivo com TMG ao serviço definido pelo SPN (http/iosmdm.mydom.local), o administrador deve executar as seguintes ações:

1. No snap-in Microsoft Management Console nomeado "Active Directory Users and Computers", selecione o dispositivo com o TMG instalado (tmg.mydom.local).
2. Nas propriedades do dispositivo, na guia Delegação, defina Confiar neste computador somente para a delegação ao serviço especificado alterne para Usar qualquer protocolo de autenticação.
3. Adicione o SPN (http/iosmdm.mydom.local) à lista Serviços aos quais esta conta possa apresentar credenciais delegadas.

Certificado especial (personalizado) do serviço da Web publicado (iosmdm.mydom.global)

Você tem de emitir um certificado especial (personalizado) para serviço da Web MDM do iOS no FQDN iosmdm.mydom.global e especificar que ele substitui o certificado padrão nas configurações do serviço da Web MDM do iOS no Console de Administração.

Observe que o contêiner de certificado (arquivo com a extensão p12 ou pfx) também deve conter uma cadeia de certificados raiz (chaves públicas).

Publicar o serviço da Web MDM do iOS no TMG

No TMG, para o tráfego que vai de um dispositivo móvel à porta 443 do iosmdm.mydom.global, você tem de configurar KCD no SPN (http/iosmdm.mydom.local), usando o certificado emitido para o FQDN (iosmdm.mydom.global). Observe que publicar e o serviço da Web publicado devem compartilhar o mesmo certificado do servidor.

Consulte também: Configuração padrão: Kaspersky Device Management for iOS no DMZ Integração com a infraestrutura de chaves públicas

Topo da página