Esquema de despliegue para usar la delegación restringida de Kerberos (KCD)

16 de febrero de 2024

ID 92516

Para usar el esquema de despliegue con la delegación restringida de Kerberos (KCD), se deben cumplir los siguientes requisitos:

  • El Servidor de administración y el Servidor de MDM para iOS se encuentran en la red interna de la organización.
  • Se está utilizando un firewall corporativo compatible con KCD.

Este esquema de despliegue permite lo siguiente:

  • Integración con el firewall corporativo compatible con KCD
  • Uso de KCD para autenticación de dispositivos móviles
  • Integración con PKI para aplicar certificados de usuario

Si elige usar este esquema de despliegue, debe hacer lo siguiente:

  • En la Consola de administración, en la configuración del servicio web de MDM para iOS, seleccione la casilla Asegurar compatibilidad con la delegación restringida de Kerberos.
  • Como certificado para el servicio web de MDM para iOS, especifique el certificado personalizado que se definió cuando el servicio web de MDM para iOS se publicó en firewall corporativo.
  • Los certificados de usuario para dispositivos iOS deben ser emitidos por la Entidad de certificación (CA) del dominio. Si el dominio contiene varias CA originales, los certificados de usuario deben ser emitidos por la CA que se especificó cuando el servicio web de MDM para iOS se publicó en el firewall corporativo.

    Se puede asegurar de que el certificado cliente (certificado de usuario) se realice conforme a este requisito de emisión de CA usando uno de los métodos siguientes:

    • Especifique el certificado de usuario en el Asistente para crear un nuevo perfil de MDM para iOS y en el Asistente de instalación de certificados.
    • Integre el Servidor de administración con PKI del dominio y defina el parámetro correspondiente en las reglas para la emisión de certificados:
      1. En el árbol de consola, expanda la carpeta Administración de dispositivos móviles y seleccione la subcarpeta Certificados.
      2. En el espacio de trabajo de la carpeta Certificados, haga clic en el botón Configurar reglas de emisión de certificados para abrir la ventana Reglas de emisión de certificados.
      3. En la sección Integración con PKI, configure la integración con la Infraestructura de clave pública.
      4. En la sección Emisión de certificados para dispositivos móviles, especifique el origen de los certificados.

A continuación se muestra un ejemplo de instalación de la delegación restringida de Kerberos (KCD) con las siguientes suposiciones:

  • El servicio web de MDM para iOS se está ejecutando en el puerto 443.
  • El nombre del dispositivo con el firewall corporativo es firewall.mydom.local.
  • El nombre del dispositivo con el servicio web de MDM para iOS es iosmdm.mydom.local.
  • El nombre de publicación externa del servicio web de MDM para iOS es iosmdm.mydom.local.

Nombre principal de servicio para http/iosmdm.mydom.local

En el dominio, tiene que registrar el nombre principal de servicio (SPN) en el dispositivo con el servicio web de MDM para iOS (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Configuración de las propiedades del dominio del dispositivo con el firewall corporativo (firewall.mydom.local)

Para delegar el tráfico, delegue el dispositivo con el firewall corporativo (firewall.mydom.local) al servicio que es definido por SPN (http/iosmdm.mydom.local).

Para delegar el dispositivo con el firewall corporativo al servicio definido por SPN (http/iosmdm.mydom.local), el administrador debe realizar las siguientes acciones:

  1. En el complemento de Microsoft Management Console denominado "Usuarios y equipos de Active Directory", seleccione el dispositivo con el firewall corporativo instalado (firewall.mydom.local).
  2. En las propiedades del dispositivo, en la pestaña Delegación, configure la opción Confiar este equipo para delegación para un servicio especificado únicamente en Usar cualquier protocolo de autenticación.
  3. Agregue el SPN (http/iosmdm.mydom.local) a los Servicios en los cuales esta cuenta puede presentar credenciales delegadas.

Certificado especial (personalizado) para el servicio web publicado (iosmdm.mydom.global)

Tiene que emitir un certificado especial (personalizado) para el servicio web de MDM para iOS en FQDN iosmdm.mydom.global y especificar que reemplaza al certificado predeterminado en la configuración del servicio web de MDM para iOS en la Consola de administración.

Tenga en cuenta que el contenedor del certificado (archivo con la extensión p12 o pfx) también debe contener una cadena de certificados de origen (claves públicas).

Publicación del servicio web de MDM para iOS en el firewall corporativo

En el firewall corporativo, para el tráfico que va desde un dispositivo móvil al puerto 443 de iosmdm.mydom.global, tiene que configurar KCD en SPN (http/iosmdm.mydom.local) usando el certificado emitido para FQDN (iosmdm.mydom.global). Tenga en cuenta que la publicación y el servicio web publicado deben compartir el mismo certificado del servidor.

Consulte también:

Configuración estándar: Kaspersky Device Management for iOS en una DMZ

Integración con la infraestructura de claves públicas

¿El artículo le resultó útil?
¿En qué podemos mejorar?
¡Gracias por sus comentarios! Nos está ayudando a mejorar.
¡Gracias por sus comentarios! Nos está ayudando a mejorar.