卡巴斯基安全管理中心 14

涉及 Kerberos constrained delegation (KCD) 的佈署方案

2024年2月27日

ID 92516

若要使用具有 Kerberos 約束委派 (KCD) 的部署方案,必須符合下列要求:

  • 管理伺服器和 iOS MDM 伺服器位於組織的內部網路上。
  • 正在使用支援 KCD 的企業防火牆。

此佈署方案提供以下內容:

  • 與支援 KCD 的企業防火牆整合
  • 使用 KCD 對行動裝置做身分驗證
  • 與 PKI 整合以套用使用者憑證

當使用該佈署方案時,您必須做以下操作:

  • 在管理主控台,在 iOS MDM Web 服務設定中,選取確認與 Kerberos Constrained Delegation 相容核取方塊。
  • 作為 iOS MDM Web 服務的憑證,指定當 iOS MDM Web 服務發佈在企業防火墻上時定義的自訂憑證。
  • iOS 裝置的使用者憑證必須由網域中的 Certificate Authority (CA) 發佈。如果網域包含多個根 CAs,使用者憑證必須由當 iOS MDM Web 服務發佈在企業防火墻上時指定的 CA 發佈。

    您可以透過以下方法確保使用者憑證與 CA 發佈需求相容:

    • 在新 iOS MDM 設定檔精靈和憑證安裝精靈中指定使用者憑證。
    • 將管理伺服器與網域的 PKI 整合並在憑證發佈規則中定義對應的設定:
      1. 在主控台樹狀目錄中,延伸行動裝置管理資料夾並選擇憑證子資料夾。
      2. 憑證資料夾中點擊配置憑證發佈規則按鈕,開啟憑證發佈規則視窗。
      3. 與 PKI 整合區域,配置與公共金鑰基礎架構的整合。
      4. 行動憑證發佈區域,指定憑證來源。

以下是使用以下假定設定 Kerberos Constrained Delegation (KCD) 的例子:

  • iOS MDM Web 服務正執行在連接埠 443。
  • 具有企業防火牆的裝置的名稱是firewall.mydom.local。
  • iOS MDM Web 服務裝置名稱是 iosmdm.mydom.local。
  • iOS MDM Web 服務的外部發佈名稱是 iosmdm.mydom.global。

http/iosmdm.mydom.local 的服務主體名稱

在網域中,您必須為 iOS MDM Web 服務裝置註冊服務主體名稱 (SPN) (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

配置具有企業防火牆的裝置的網域內容 (firewall.mydom.local)

要授權流量,信任企業防火墻裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/iosmdm.mydom.local)。

要信任企業防火墻裝置 (tmg.mydom.local) 到由 SPN 定義的服務 (http/iosmdm.mydom.local),管理員必須執行以下操作:

  1. 在名稱為「Active Directory 使用者和電腦」的 Microsoft Management Console 中,選取安裝了企業防火墻的裝置 (firewall.mydom.local)。
  2. 在裝置內容視窗,在授權頁籤,設定信任此電腦到指定服務的授權轉換鍵到使用任何身分驗證協議
  3. 新增 SPN (http/iosmdm.mydom.local) 到該帳戶可以展示已授權憑證的服務清單。

已發佈 Web 服務的特殊(自訂)憑證 (iosmdm.mydom.global)

您必須在 FQDN iosmdm.mydom.global 上為 iOS MDM Web 服務發佈特殊(自訂)憑證,並在管理主控台的 iOS MDM Web 服務設定中指定它取代預設憑證。

請注意憑證容器(帶有 p12 或 .pfx 副檔名的檔案)必須也包含根憑證鏈(公共金鑰)。

在企業防火墻上發佈 iOS MDM Web 服務

在企業防火墻上,對於從行動裝置到 iosmdm.mydom.global 連接埠 443 的流量,您必須在 SPN (http/iosmdm.mydom.local) 上配置 KCD,使用為 FQDN (iosmdm.mydom.global) 發佈的憑證。請注意,正發佈和已發佈的 Web 服務必須共用相同的伺服器憑證。

另請參閱:

標準配置:DMZ 中的 Kaspersky Device Management for iOS

與公共金鑰基礎架構整合

此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。