Pomoc techniczna

Pomoc dla biznesu

Kaspersky Security Center 14

Kaspersky Security Center 14.2

Wdrażanie praktycznego zastosowania aplikacji

Wdrażanie systemów zarządzania urządzeniami mobilnymi

Wdrażanie systemu zarządzania poprzez protokół iOS MDM

Schemat zdalnej instalacji z użyciem delegowania protokołu Kerberos (KCD)

Kaspersky Security Center
Нет результатов
Нет результатов
Pomoc online
Często zadawane pytania Wymagania systemowe Pobierz Kup Odnów Forum Skontaktuj się z zespołem wsparcia Narzędzia odzyskiwania Filmy o produktach

Schemat zdalnej instalacji z użyciem delegowania protokołu Kerberos (KCD)

27 kwietnia 2024

ID 92516

Zapisz jako PDF

Aby móc korzystać ze schematu wdrażania z Kerberos Constrained Delegation (KCD), muszą zostać spełnione następujące wymagania:

  • Serwer administracyjny i serwer iOS MDM znajdują się w wewnętrznej sieci organizacji.
  • Używana jest firmowa zapora sieciowa obsługująca KCD.

Ten schemat instalacji obejmuje:

  • Integracja z firmową zaporą obsługującą KCD
  • Użycie KCD do autoryzacji urządzeń mobilnych
  • Integrację z PKI do stosowania certyfikatów użytkownika

Podczas korzystania z tego schematu zdalnej instalacji należy:

  • W Konsoli administracyjnej, w ustawieniach usługi sieciowej iOS MDM zaznaczyć pole Zapewnij kompatybilność z Kerberos constrained delegation.
  • Jako certyfikat dla usługi sieciowej iOS MDM należy określić certyfikat niestandardowy, który został zdefiniowany, gdy usługa sieciowa iOS MDM została opublikowana na zaporze firmowej.
  • Certyfikaty użytkownika dla urządzeń iOS muszą być wystawione przez urząd certyfikacji (CA) domeny. Jeśli domena zawiera kilka głównych urzędów certyfikacji, certyfikaty użytkownika muszą być wystawione przez urząd certyfikacji, który został określony, gdy usługa sieciowa iOS MDM została opublikowana na zaporze firmowej.

    Możesz zapewnić, że certyfikat użytkownika jest zgodny z wymaganiami wystawiania certyfikatów urzędu certyfikacji przy użyciu jednej z następujących metod:

    • Określ certyfikat użytkownika w kreatorze Nowego profilu iOS MDM oraz w kreatorze instalacji certyfikatu.
    • Zintegruj Serwer administracyjny z infrastrukturą kluczy publicznych domeny oraz zdefiniuj odpowiednie ustawienie w regułach wystawiania certyfikatów:
      1. W drzewie konsoli rozwiń folder Zarządzanie urządzeniami mobilnymi, z którego wybierz podfolder Certyfikaty.
      2. W obszarze roboczym folderu Certyfikaty kliknij przycisk Konfiguruj reguły wydawania certyfikatów, aby otworzyć okno Reguły wydawania certyfikatu.
      3. W sekcji Integracja z PKI skonfiguruj integrację z infrastrukturą kluczy publicznych.
      4. W sekcji Wydawanie certyfikatów dla urządzeń mobilnych określ źródło certyfikatów.

Poniżej znajduje się przykład konfiguracji delegowania protokołu Kerberos (KCD) z następującymi założeniami:

  • Usługa sieciowa iOS MDM działa na porcie 443.
  • Nazwa urządzenia z zaporą firmową to firewall.mydom.local.
  • Nazwa urządzenia z usługą sieciową iOS MDM to iosmdm.mydom.local.
  • Nazwa zewnętrznej publikacji usługi sieciowej iOS MDM to iosmdm.mydom.global.

Nazwa główna usługi dla http/iosmdm.mydom.local

W domenie należy zarejestrować nazwę główną usługi (SPN) dla urządzenia z usługą sieciową iOS MDM (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Konfiguracja właściwości domeny urządzenia z zaporą firmową (firewall.mydom.local)

Aby przeprowadzić ruch sieciowy, przełącz urządzenie z zaporą firmową (tmg.mydom.local) do usługi, która jest definiowana po SPN (http/iosmdm.mydom.local).

W celu przełączenia urządzenia z zapory firmowej do usługi definiowanej po SPN (http/iosmdm.mydom.local), administrator musi wykonać następujące działania:

  1. W przystawce Microsoft Management Console o nazwie „Użytkownicy i komputery usługi Active Directory” wybierz urządzenie z zainstalowaną zaporą firmową (firewall.mydom.local).
  2. We właściwościach urządzenia, na zakładce Delegowanie ustaw przełącznik Ufaj temu komputerowi w delegowaniu tylko do określonych usług na Użyj dowolnego protokołu uwierzytelniania.
  3. Dodaj SPN (http/iosmdm.mydom.local) do listy Usługi, którym to konto może przedstawiać delegowane poświadczenia.

Specjalny (niestandardowy) certyfikat dla opublikowanej usługi sieciowej (iosmdm.mydom.global)

Konieczne jest opublikowanie specjalnego (niestandardowego) certyfikatu dla usługi sieciowej iOS MDM na FQDN iosmdm.mydom.global i określić w Konsoli administracyjnej, w ustawieniach usługi sieciowej iOS MDM, że zastępuje on domyślny certyfikat.

Należy pamiętać, że kontener certyfikatów (plik z rozszerzeniem .p12 lub .pfx) musi także zawierać łańcuch certyfikatów głównych (klucze publiczne).

Publikowanie usługi sieciowej iOS MDM na zaporze firmowej

Na zaporze firmowej, dla ruchu przechodzącego z urządzenia mobilnego do portu 443 usługi iosmdm.mydom.global należy skonfigurować KCD na SPN (http/iosmdm.mydom.local), korzystając z certyfikatu opublikowanego dla FQDN (iosmdm.mydom.global). Nie można zapominać, że publikacja oraz opublikowana usługa sieciowa powinny korzystać z tego samego certyfikatu serwera.

Zobacz również:

Standardowa konfiguracja: Kaspersky Device Management for iOS w strefie DMZ

Integracja z infrastrukturą kluczy publicznych

Kaspersky Security Center: Optimization of daily routine tasks
A powerful administration console, with an additional flexible web-based interface that’s available wherever you are. Buy as part of Endpoint Security for Business Advanced.
Kaspersky Premium Support (MSA): High‑priority incident processing
Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).
Czy ten artykuł był pomocny?
Co możemy zrobić lepiej?
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.