Kerberos Constrained Delegation (KCD) мәжбүрлеп табыстауын қолдана отырып орналастыру схемасы

2024 ж. 7 ақпан

ID 92516

Kerberos мәжбүрлеп табыстау арқылы орналастыру схемасын пайдалану үшін Басқару сервері мен iOS MDM сервері ұйымның ішкі желісінде орналасуы керек.

Бұл орналастыру схемасы мыналарды қамтиды:

  • Microsoft Forefront Threat Management Gateway-мен (бұдан әрі - TMG) біріктіру;
  • ұялы құрылғылар түпнұсқалық растамасы үшін Kerberos Constrained Delegation мәжбүрлеп табыстауды пайдалану;
  • пайдаланушы сертификаттарын пайдалану үшін жалпыға ортақ кілт инфрақұрылымымен (PKI) біріктіру.

Осы орналастыру схемасын пайдалану кезінде мыналарды ескеру қажет:

  • Басқару консолінде iOS MDM веб-қызметінің параметрлерінде Kerberos Constrained Delegation әдісімен үйлесімділікті қамтамасыз ету жалаушасын қою керек.
  • iOS MDM веб-қызметінің сертификаты ретінде iOS MDM веб-қызметін жариялау кезінде TMG-де берілген арнайы (кастомизацияланған) сертификат көрсетілуі керек.
  • iOS құрылғыларына арналған пайдаланушы сертификаттарын Домендік сертификаттау орталығы (Certification authority, бұдан әрі CA) шығаруы керек. Егер доменде бірнеше түбірлік CA болса, онда TMG-де iOS MDM веб-қызметін жариялау кезінде көрсетілген CA пайдаланушы сертификаттары шығарылуы керек.

    Пайдаланушы сертификатының көрсетілген талапқа сәйкестігі бірнеше тәсілмен қамтамасыз етілуі мүмкін:

    • iOS MDM профилін құру шеберінде және сертификаттарды орнату шеберінде пайдаланушы сертификатын көрсету.
    • Басқару серверін домендік PKI инфрақұрылымымен біріктіру және сертификаттарды шығару ережелерінде тиісті параметрді конфигурациялау:
      1. Ұялы құрылғыларды басқару қалтасындағы консоль шежіресінен Сертификаттар салынған қалтасын таңдаңыз.
      2. Сертификаттар қалтасының жұмыс аймағында, Сертификат беру ережелерін конфигурациялау түймесі арқылы Сертификаттарды шығару ережелері терезесін ашыңыз.
      3. PKI жүйесімен интеграциялау бөлімінде жалпыға ортақ кілт инфрақұрылымымен біріктіруді конфигурациялаңыз.
      4. Ұялы құрылғы сертификаттарын шығару бөлімінде сертификаттар көзін көрсетіңіз.

Келесі болжамдармен KCD шектеулі табыстау конфигурациясы мысалын қарастырайық:

  • iOS MDM веб-қызметі 443-портта іске қосылған;
  • TMG бар құрылғының атауы – tmg.mydom.local;
  • iOS MDM веб-қызметі бар құрылғы атауы – iosmdm.mydom.local;
  • iOS MDM веб-қызметінің сыртқы жарияланымының атауы – iosmdm.mydom.global.

http/iosmdm.mydom.local үшін Service Principal Name

Доменде iOS MDM (iosmdm.mydom.local) веб-қызметі бар құрылғы үшін Service Principal Name (SPN) жазу қажет:

setspn -a http/iosmdm.mydom.local iosmdm

TMG (tmg.mydom.local) бар құрылғылардың домендік сипаттарын конфигурациялау

Трафикті табыстау үшін TMG (tmg.mydom.local) бар құрылғыны SPN (http/iosmdm.mydom.local) бойынша анықталған қызметке сеніп тапсыру керек.

TMG бар құрылғыны SPN (http/iosmdm.mydom.local) бойынша анықталған қызметке сеніп тапсыру үшін, әкімші келесі әрекеттерді орындауы керек:

  1. Microsoft Management Console "Active Directory Users and Computers" жабдықтарында TMG (tmg.mydom.local) орнатылған құрылғыны таңдау керек.
  2. Delegation қойыншасындағы құрылғының сипаттарында Trust this computer for delegation to specified service only қосқышы үшін Use any authentication protocol нұсқасын таңдау.
  3. Services to which this account can present delegated credentials тізіміне SPN http/iosmdm.mydom.local қосу.

Жарияланатын веб-қызмет (iosmdm.mydom.global) үшін айрықша (кастомизацияланған) сертификат

FQDN iosmdm.mydom.global бойынша орналасқан iOS MDM веб-қызметі үшін айрықша (кастомизацияланған) сертификатты шығару және оны Басқару консоліндегі iOS MDM веб-қызметі параметрлерінде әдепкі бойынша сертификат орнына көрсету керек.

Сертификаты бар контейнерде (p12 немесе pfx кеңейтімі бар файл) түбірлік сертификаттар тізбегі (жария бөліктер) болуы керек екенін де ескеру қажет.

TMG-де iOS MDM веб-қызметінің жарияланымдары

TMG-де ұялы құрылғы тарапынан iosmdm.mydom.global атты 443-портқа баратын трафик үшін, FQDN iosmdm.mydom.global атауына арнап шығарылған сертификатты қолдану арқылы SPN http/iosmdm.mydom.local мекенжайына KCD конфигурациялау керек. Жарияланымда да, жарияланатын веб-қызметте де бірдей серверлік сертификат болуы керек екенін ескеру қажет.

Сондай-ақ, қараңыз:

Типтік конфигурация: демилитаризацияланған аймақтағы Kaspersky Device Management for iOS

Жалпыға ортақ кілттер инфрақұрылымымен біріктіру

Сізге мына мақала пайдалы болды ма?
Нені жақсартуға болады?
Пікіріңіз үшін рақмет! Сіз бізге жұмысымызды жақсартуға көмектесесіз.
Пікіріңіз үшін рақмет! Сіз бізге жұмысымызды жақсартуға көмектесесіз.