Kerberos 제한 위임(KCD)을 사용하는 서버에 KES 기기를 연결하기 위한 구성

Kerberos 제한 위임(KCD)을 사용하는 중앙 관리 서버에 KES 기기를 연결하기 위한 구성에서는 다음 기능이 제공됩니다:

• KCD를 지원하는 기업 방화벽과 통합됩니다.
• 모바일 기기 인증에 Kerberos 제한 위임(이하 KCD로 지칭함)을 사용하는 기능.
• 사용자 인증서를 적용하기 위해 공개키 인프라(이하 PKI로 지칭함)와 통합하는 기능.

이 연결 구성을 사용할 때는 다음 사항을 참고하십시오:

• 기업 방화벽에 대한 KES 기기 연결 유형은 "양방향 SSL 인증"이어야 합니다. 즉, 기기가 관련 사용자 인증서를 통해 기업 방화벽에 연결해야 합니다. 기기가 이와 같이 연결되도록 하려면 기기에 설치된 Kaspersky Endpoint Security for Android의 설치 패키지에 사용자 인증서를 통합해야 합니다. 이 KES 패키지는 이 기기(사용자) 전용으로 중앙 관리 서버에서 만든 것이어야 합니다.
• 모바일 프로토콜용 기본 서버 인증서 대신 특수(사용자 지정) 인증서를 지정해야 합니다:
  1. 중앙 관리 서버 속성 창의 설정 섹션에서 모바일 기기용 포트 열기 확인란을 선택하고 드롭다운 목록에서 인증서 추가를 선택합니다.
  2. 열리는 창에서 모바일 프로토콜에 대한 액세스 포인트를 중앙 관리 서버에 게시할 때 기업 방화벽에서 설정한 것과 같은 인증서를 지정합니다.
• 도메인의 인증 기관(CA)에서 KES 기기용 사용자 인증서를 발급해야 합니다. 도메인에 루트 CA가 여러 개 포함되어 있으면 기업 방화벽에서 게시할 때 설정했던 CA에서 사용자 인증서를 발급해야 합니다.

  다음 방법 중 하나를 사용하여 사용자 인증서가 위에서 설명한 요구 사항을 준수함을 확인할 수 있습니다:

  • 새 패키지 마법사와 인증서 설치 마법사에서 특수 사용자 인증서를 지정합니다.
  • 중앙 관리 서버를 도메인 PKI와 통합하고 인증서 발급을 위한 규칙에서 해당하는 설정을 정의합니다:
    1. 콘솔 트리에서 모바일 장치 관리 폴더를 확장하고 인증서 하위 폴더를 선택합니다.
    2. 인증서 폴더의 작업 영역에서 인증서 발급 규칙 구성 버튼을 눌러 인증서 발급 규칙 창을 엽니다.
    3. PKI와 통합 섹션에서 공개키 인프라와의 통합을 구성합니다.
    4. 모바일 인증서 발급 섹션에서 인증서의 소스를 지정합니다.

아래에는 다음 사항을 가정하고 Kerberos 제한 위임(KCD)을 설정하는 과정의 예가 나와 있습니다:

• 중앙 관리 서버의 모바일 프로토콜에 대한 액세스 포인트가 13292 포트로 설정되어 있음.
• 회사 방화벽이 있는 기기의 이름은 Firewall.mydom.local입니다.
• 중앙 관리 서버가 설치된 기기의 이름은 ksc.mydom.local임.
• 모바일 프로토콜에 대한 액세스 포인트의 외부 게시 이름은 kes4mob.mydom.global임.

중앙 관리 서버용 도메인 계정

중앙 관리 서버를 실행할 도메인 계정(예: KSCMobileSrvcUsr)을 만들어야 합니다. 중앙 관리 서버 서비스용 계정은 중앙 관리 서버를 실행할 때 지정하거나 klsrvswch 유틸리티를 통해 지정할 수 있습니다. klsrvswch 유틸리티는 중앙 관리 서버의 설치 폴더에 있습니다. 기본 설치 경로: <디스크>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

도메인 계정을 지정해야 하는 이유는 다음과 같습니다:

• KES 기기 관리용 기능은 중앙 관리 서버의 필수 요소입니다.
• Kerberos 제한 위임(KCD)이 올바르게 작동하도록 하려면 수신 쪽(중앙 관리 서버)을 도메인 계정으로 실행해야 합니다.

http/kes4mob.mydom.local의 서비스 사용자 이름

도메인의 KSCMobileSrvcUsr 계정에 중앙 관리 서버가 설치된 기기의 포트 13292에서 모바일 프로토콜 서비스를 게시하기 위한 SPN을 추가합니다. 중앙 관리 서버가 설치된 kes4mob.mydom.local 기기의 경우 이는 다음과 같이 표시됩니다:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

회사 방화벽(firewall.mydom.local)을 사용하여 기기의 도메인 속성 구성

트래픽을 위임하려면 SPN으로 정의된 서비스(http/kes4mob.mydom.local:13292)가 기업 방화벽이 설치된 기기(firewall.mydom.local)를 신뢰하도록 설정합니다.

SPN으로 정의된 서비스(http/kes4mob.mydom.local:13292)가 기업 방화벽이 설치된 기기를 신뢰하도록 설정하려면 관리자가 다음 작업을 수행해야 합니다:

1. Microsoft Management Console 스냅인 "Active Directory 사용자 및 컴퓨터"에서 기업 방화벽이 설치된 기기(firewall.mydom.local)를 선택합니다.
2. 기기 속성의 위임 탭에서 지정한 서비스로만 위임하도록 이 컴퓨터 신뢰 토글을 모든 인증 프로토콜 사용으로 설정합니다.
3. 이 계정이 위임된 자격증명을 제공할 수 있는 서비스 목록에서 SPN http/kes4mob.mydom.local:13292를 추가합니다.

게시(kes4mob.mydom.global)용 특수(사용자 지정) 인증서

중앙 관리 서버의 모바일 프로토콜을 게시하려면 FQDN kes4mob.mydom.global용으로 특수(사용자 지정) 인증서를 발급하여 관리 콘솔 내 중앙 관리 서버의 모바일 프로토콜 설정에서 기본 서버 인증서 대신 해당 인증서를 지정해야 합니다. 이렇게 하려면 중앙 관리 서버의 속성 창 설정 섹션에서 모바일 기기용 포트 열기 확인란을 선택하고 드롭다운 목록에서 인증서 추가를 선택합니다.

서버 인증서 컨테이너(확장자가 p12 또는 pfx인 파일)에는 루트 키 체인(공개키)도 포함되어야 합니다.

기업 방화벽에서 게시 구성

기업 방화벽에서 모바일 기기 쪽으로부터 kes4mob.mydom.global의 포트 13292로 전송되는 트래픽에 대해 FQDN(kes4mob.mydom.global)용으로 발급된 서버 인증서를 사용하여 SPN(http/kes4mob.mydom.local:13292)에서 KCD를 구성해야 합니다. 게시 작업과 게시된 액세스 포인트(중앙 관리 서버의 포트 13292)는 같은 서버 인증서를 공유해야 합니다.