Поддержка

Поддержка приложений для бизнеса

Kaspersky Secure Mobility Management

Работа с Консолью администрирования на базе MMC

Развертывание

Развертывание систем управления мобильными устройствами

Развертывание системы управления по протоколу iOS MDM

Схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

Kaspersky Secure Mobility Management
Нет результатов
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

Схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

20 марта 2024

ID 92516

Скачать PDF

Для использования схемы развертывания с принудительным делегированием Kerberos Constrained Delegation (KCD) Сервер администрирования и Сервер iOS MDM должны располагаться во внутренней сети организации.

Эта схема развертывания предполагает:

  • интеграцию с Microsoft Forefront Threat Management Gateway (TMG);
  • использование схемы принудительного делегирования Kerberos Constrained Delegation для аутентификации мобильных устройств;
  • интеграцию с инфраструктурой открытых ключей для применения пользовательских сертификатов.

При использовании этой схемы развертывания следует учесть, что:

  • в Консоли администрирования в параметрах веб-службы iOS MDM необходимо установить флажок Обеспечить совместимость с Kerberos Constrained Delegation;
  • в качестве сертификата веб-службы iOS MDM следует указать персонализированный сертификат, заданный при публикации веб-службы iOS MDM на TMG;
  • пользовательские сертификаты для iOS-устройств должны выпускаться доменным Центром сертификации (ЦС). Если в домене несколько корневых ЦС, то пользовательские сертификаты должны быть выпущены Центром сертификации, указанным при публикации веб-службы iOS MDM на TMG.

    Соответствие пользовательского сертификата указанному требованию обеспечивается несколькими способами:

    • Указать пользовательский сертификат в мастере создания профилей iOS MDM и в мастере установки сертификатов.
    • Интегрировать Сервер администрирования с доменной инфраструктурой открытых ключей и настроить соответствующий параметр в правилах выпуска сертификатов:
      1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
      2. В рабочей области папки Сертификаты нажмите на кнопку Настроить правила выпуска сертификатов, чтобы открыть окно Правила выпуска сертификатов.
      3. В разделе Интеграция с инфраструктурой открытых ключей настройте интеграцию с инфраструктурой открытых ключей.
      4. В разделе Выдача мобильных сертификатов укажите источник сертификатов.

Рассмотрим пример настройки принудительного делегирования KCD со следующими допущениями:

  • веб-служба iOS MDM запущена на порте 443;
  • имя устройства с TMG – tmg.mydom.local;
  • имя устройства с веб-службой iOS MDM – iosmdm.mydom.local;
  • имя внешней публикации веб-службы iOS MDM – iosmdm.mydom.global.

Имя субъекта-службы (SPN) для http/iosmdm.mydom.local

В домене требуется зарегистрировать имя субъекта-службы (SPN) для устройства с веб-службой iOS MDM (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Настройка доменных свойств устройства с TMG (tmg.mydom.local)

Для делегирования трафика необходимо доверить устройство с TMG (tmg.mydom.local) службе, определенной по SPN (http/iosmdm.mydom.local).

Чтобы доверить устройство с TMG службе, определенной по SPN (http/iosmdm.mydom.local), администратор должен выполнить следующие действия:

  1. В оснастке Microsoft Management Console под названием Active Directory Users and Computers (Консоль управления пользователями и компьютерами Active Directory) выбрать устройство с установленным TMG (tmg.mydom.local).
  2. В свойствах устройства на закладке Делегирование для переключателя Доверять компьютеру делегирование только указанным службам выбрать вариант Использовать любой протокол аутентификации.
  3. В список Службы, с которыми эта учетная запись может использовать делегированные учетные данные добавить SPN (http/iosmdm.mydom.local).

Особый (персонализированный) сертификат для публикуемой веб-службы (iosmdm.mydom.global)

Требуется выписать особый (персонализированный) сертификат для веб-службы iOS MDM на FQDN iosmdm.mydom.global и указать его взамен сертификата по умолчанию в параметрах веб-службы iOS MDM в Консоли администрирования.

Следует учесть, что в контейнере с сертификатом (файл с расширением p12 или pfx) также должна присутствовать цепочка корневых сертификатов (открытые ключи).

Публикация веб-службы iOS MDM на TMG

На TMG для трафика, идущего со стороны мобильного устройства на порт 443 iosmdm.mydom.global, необходимо настроить KCD на SPN (http/iosmdm.mydom.local) с использованием сертификата, выпущенного для FQDN (iosmdm.mydom.global). При этом следует учесть, что к публикации и публикуемой веб-службе должен быть применен один и тот же сертификат сервера.

См. также:

Интеграция с инфраструктурой открытых ключей

Включение поддержки Kerberos Constrained Delegation

Профессиональные услуги «Лаборатории Касперского»
Внедрение продуктов. Аудит и конфигурирование системы защиты. Свяжитесь с нами и получите помощь экспертов.
Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов
Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!