Schemat łączenia urządzeń KES z Serwerem wykorzystujący delegowanie protokołu Kerberos (KCD)

19 marca 2024

ID 92523_1

Schemat łączenia urządzeń KES z Serwerem wykorzystujący delegowanie protokołu Kerberos (KCD) uwzględnia:

  • Integracja z zaporą firmową obsługującą KCD.
  • Użycie delegowania protokołu Kerberos (zwane również KCD) do uwierzytelnia urządzeń mobilnych.
  • Integrację z infrastrukturą kluczy publicznych (zwana również PKI) w celu zastosowania certyfikatów użytkownika.

Podczas korzystania z tego schematu połączenia należy pamiętać, że:

  • Typem połączenia urządzeń KES z zapora firmową ma być "dwukierunkowe uwierzytelnianie SSL", czyli urządzenie musi łączyć się z zaporą firmową poprzez swój własny certyfikat użytkownika. W tym celu należy zintegrować certyfikat użytkownika z pakietem instalacyjnym programu Kaspersky Endpoint Security for Android, który został zainstalowany na urządzeniu. Ten pakiet KES musi być utworzony przez Serwer administracyjny specjalnie dla tego urządzenia (użytkownika).
  • Dla protokołu mobilnego powinieneś określić specjalny (niestandardowy) certyfikat zamiast domyślnego certyfikatu serwera:
    1. W oknie właściwości Serwera administracyjnego, w sekcji Ustawienia zaznacz pole Otwórz port dla urządzeń mobilnych, a następnie z listy rozwijalnej wybierz Dodaj certyfikat.
    2. W otwartym oknie określ ten sam certyfikat, który został ustawiony na zaporze firmowej, gdy punkt dostępu do protokołu mobilnego został opublikowany na Serwerze administracyjnym.
  • Certyfikaty użytkownika dla urządzeń KES muszą być wystawione przez urząd certyfikacji (CA) domeny. Należy pamiętać, że jeśli domena zawiera kilka głównych urzędów certyfikacji, certyfikaty użytkownika muszą być wystawione przez urząd certyfikacji, który został ustawiony w publikacji na zaporze firmowej.

    Możesz upewnić się, że certyfikat użytkownika jest zgodny z wyżej opisanymi wymaganiami przy użyciu jednej z następujących metod:

    • Określ specjalny certyfikat użytkownika w kreatorze Nowego pakietu oraz kreatorze instalacji Certyfikatu.
    • Zintegruj Serwer administracyjny z infrastrukturą kluczy publicznych domeny oraz zdefiniuj odpowiednie ustawienie w regułach wystawiania certyfikatów:
      1. W drzewie konsoli rozwiń folder Zarządzanie urządzeniami mobilnymi, z którego wybierz podfolder Certyfikaty.
      2. W obszarze roboczym folderu Certyfikaty kliknij przycisk Konfiguruj reguły wydawania certyfikatów, aby otworzyć okno Reguły wydawania certyfikatu.
      3. W sekcji Integracja z PKI skonfiguruj integrację z infrastrukturą kluczy publicznych.
      4. W sekcji Wydawanie certyfikatów dla urządzeń mobilnych określ źródło certyfikatów.

Poniżej znajduje się przykład konfiguracji delegowania protokołu Kerberos (KCD) z następującymi założeniami:

  • Punkt dostępu do protokołu mobilnego na Serwerze administracyjnym jest ustawiony na porcie 13292.
  • Nazwa urządzenia z zaporą firmową to firewall.mydom.local.
  • Nazwa urządzenia z Serwerem administracyjnym to ksc.mydom.local.
  • Nazwa zewnętrznej publikacji punktu dostępu do protokołu mobilnego to kes4mob.mydom.global.

Konto domeny dla Serwera administracyjnego

Należy utworzyć konto domeny (na przykład: KSCMobileSrvcUsr), z poziomu którego będzie uruchamiana usługa Serwera administracyjnego. Konto dla usługi Serwera administracyjnego można określić podczas instalacji Serwera administracyjnego lub poprzez narzędzie klsrvswch. Narzędzie klsrvswch znajduje się w folderze instalacyjnym Serwera administracyjnego. Domyślna ścieżka instalacji: <Disk>:\Program Files (x86)\ Kaspersky Lab\ Kaspersky Security Center.

Konto domeny musi zostać określone z następujących względów:

  • Funkcja zarządzania urządzeniami KES jest integralną częścią Serwera administracyjnego.
  • Aby zapewnić poprawne działanie delegowania protokołu Kerberos (KCD), strona odbierająca (czyli Serwer administracyjny) musi być uruchomiona z poziomu konta domeny.

Nazwa główna usługi dla http/kes4mob.mydom.local

W domenie, z poziomu konta KSCMobileSrvcUsr, dodaj SPN dla publikacji usługi protokołu mobilnego na porcie 13292 urządzenia z Serwerem administracyjnym. Dla urządzenia kes4mob.mydom.local z Serwerem administracyjnym będzie to wyglądało w następujący sposób:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Konfiguracja właściwości domeny urządzenia z zaporą firmową (firewall.mydom.local)

Aby przeprowadzić ruch sieciowy, przełącz urządzenie z zapory firmowej (firewall.mydom.local) do usługi, która jest definiowana po SPN (http/kes4mob.mydom.local:13292).

W celu przełączenia urządzenia z zapory firmowej do usługi definiowanej po SPN (http/kes4mob.mydom.local:13292), administrator musi wykonać następujące działania:

  1. W przystawce Microsoft Management Console o nazwie „Użytkownicy i komputery usługi Active Directory” wybierz urządzenie z zainstalowaną zaporą firmową (firewall.mydom.local).
  2. We właściwościach urządzenia, na zakładce Delegowanie ustaw przełącznik Ufaj temu komputerowi w delegowaniu tylko do określonych usług na Użyj dowolnego protokołu uwierzytelniania.
  3. Na liście Usługi, którym to konto może przedstawiać delegowane poświadczenia dodaj SPN http/kes4mob.mydom.local:13292.

Specjalny (niestandardowy) certyfikat dla publikacji (kes4mob.mydom.global)

Aby opublikować protokół mobilny Serwera administracyjnego, należy wystawić specjalny (niestandardowy) certyfikat dla FQDN kes4mob.mydom.global, a także określić go w miejsce domyślnego certyfikatu serwera w ustawieniach protokołu mobilnego Serwera administracyjnego, w Konsoli administracyjnej. W tym celu, w oknie właściwości Serwera administracyjnego, w sekcji Ustawienia zaznacz pole Otwórz port dla urządzeń mobilnych, a następnie z listy rozwijalnej wybierz Dodaj certyfikat.

Należy pamiętać, że kontener certyfikatów serwera (plik z rozszerzeniem .p12 lub .pfx) musi także zawierać łańcuch certyfikatów głównych (klucze publiczne).

Konfiguracja publikacji na zaporze firmowej

Na zaporze firmowej, dla ruchu przechodzącego z urządzenia mobilnego do portu 13292 usługi kes4mob.mydom.global należy skonfigurować KCD na SPN (http/kes4mob.mydom.local:13292), korzystając z certyfikatu serwera opublikowanego dla FQDN kes4mob.mydom.global. Nie można zapominać, że publikacja oraz opublikowany punkt dostępu (port 13292 Serwera administracyjnego) powinny korzystać z tego samego certyfikatu serwera.

Zobacz również:

Integracja z infrastrukturą kluczy publicznych

Umożliwianie uzyskania dostępu do Serwera administracyjnego przez internet

Serwer administracyjny w sieci LAN, zarządzane urządzenia w Internecie, zapora w użyciu

Czy ten artykuł był pomocny?
Co możemy zrobić lepiej?
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.