Схема подключения KES-устройств к Серверу с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

Схема подключения KES-устройств к Серверу администрирования с использованием принудительного делегирования Kerberos Constrained Delegation (KCD) предполагает:

• интеграцию с Microsoft Forefront Threat Management Gateway (TMG);
• использование принудительного делегирования Kerberos Constrained Delegation (далее – KCD) для аутентификации мобильных устройств;
• интеграцию с инфраструктурой открытых ключей (Public Key Infrastructure, далее – PKI) для применения пользовательских сертификатов.

При использовании этой схемы подключения следует учесть следующее:

• В качестве типа подключения KES-устройств к TMG следует выбрать двустороннюю аутентификацию SSL, то есть устройство должно подключаться к TMG по своему пользовательскому сертификату. Для этого в установленный на устройстве пакет установки Kaspersky Endpoint Security для Android необходимо интегрировать пользовательский сертификат. Этот KES-пакет создается Сервером администрирования специально для данного устройства (пользователя).
• Вместо сертификата сервера, используемого по умолчанию, для мобильного протокола следует указать особый (персонализированный) сертификат:
  1. В окне свойств Сервера администрирования в разделе Параметры установите флажок Открыть порт для мобильных устройств и в раскрывающемся списке выберите Добавить сертификат.
  2. В открывшемся окне укажите тот же сертификат, что задан на TMG при публикации точки доступа к мобильному протоколу на Сервере администрирования.
• Пользовательские сертификаты для KES-устройств должны быть выпущены доменным Центром сертификации (ЦС). Следует учесть, что если в домене несколько корневых ЦС, то пользовательские сертификаты должны быть выписаны тем Центром сертификации, который указан в публикации на TMG.

  Обеспечить соответствие пользовательского сертификата заявленному выше требованию возможно несколькими способами:

  • Указать особый пользовательский сертификат в мастере создания пакета установки и в мастере установки сертификатов.
  • Интегрировать Сервер администрирования с доменной инфраструктурой открытых ключей и настроить соответствующий параметр в правилах выпуска сертификатов:
    1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
    2. В рабочей области папки Сертификаты нажмите на кнопку Настроить правила выпуска сертификатов, чтобы открыть окно Правила выпуска сертификатов.
    3. В разделе Интеграция с инфраструктурой открытых ключей настройте интеграцию с инфраструктурой открытых ключей.
    4. В разделе Выдача мобильных сертификатов укажите источник сертификатов.

Рассмотрим пример настройки принудительного делегирования KCD со следующими допущениями:

• точка доступа к мобильному протоколу на Сервере администрирования настроена на порте 13292;
• имя устройства с TMG – tmg.mydom.local;
• имя устройства с Сервером администрирования – ksc.mydom.local;
• имя внешней публикации точки доступа к мобильному протоколу – kes4mob.mydom.global.

Доменная учетная запись для Сервера администрирования

Необходимо создать доменную учетную запись (например, KSCMobileSrvcUsr), под которой будет работать служба Сервера администрирования. Указать учетную запись для службы Сервера администрирования можно при установке Сервера администрирования или с помощью утилиты klsrvswch. Утилита klsrvswch расположена в папке установки Сервера администрирования.

Указать доменную учетную запись необходимо по следующим причинам:

• Управление KES-устройствами – неотъемлемая функция Сервера администрирования.
• Для правильной работы принудительного делегирования Kerberos Constrained Delegation (KCD) принимающая сторона (то есть Сервер администрирования) должна работать под доменной учетной записью.

Имя субъекта-службы (SPN) для http/kes4mob.mydom.local

В домене под учетной записью KSCMobileSrvcUsr требуется прописать SPN для публикации службы мобильного протокола на порте 13292 устройства с Сервером администрирования. Для устройства kes4mob.mydom.local с Сервером администрирования требуется прописать следующее:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Настройка доменных свойств устройства с TMG (tmg.mydom.local)

Для делегирования трафика нужно доверить устройство с TMG (tmg.mydom.local) службе, определенной по SPN (http/kes4mob.mydom.local:13292).

Чтобы доверить устройство с TMG службе, определенной по SPN (http/kes4mob.mydom.local:13292), администратор должен выполнить следующие действия:

1. В оснастке Microsoft Management Console под названием Active Directory Users and Computers (Консоль управления пользователями и компьютерами Active Directory) выбрать устройство с установленным TMG (tmg.mydom.local).
2. В свойствах устройства на закладке Делегирование для переключателя Доверять компьютеру делегирование только указанным службам выбрать вариант Использовать любой протокол аутентификации.
3. В список Службы, с которыми эта учетная запись может использовать делегированные учетные данные добавить SPN http/kes4mob.mydom.local:13292.

Особый (персонализированный) сертификат для публикации (kes4mob.mydom.global)

Для публикации мобильного протокола Сервера администрирования требуется выписать особый (персонализированный) сертификат на FQDN kes4mob.mydom.global и указать его вместо сертификата сервера, используемого по умолчанию, в параметрах мобильного протокола Сервера администрирования в Консоли администрирования. Для этого в окне свойств Сервера администрирования в разделе Параметры необходимо установить флажок Открыть порт для мобильных устройств и в раскрывающемся списке выбрать Добавить сертификат.

Следует учесть, что в контейнере с сертификатом сервера (файл с расширением p12 или pfx) должна также присутствовать цепочка корневых сертификатов (открытые ключи).

Настройка публикации на TMG

На TMG для трафика, идущего со стороны мобильного устройства на порт 13292 kes4mob.mydom.global, необходимо настроить KCD на SPN (http/kes4mob.mydom.local:13292) с использованием сертификата сервера, выпущенного для FQND kes4mob.mydom.global. Следует учесть, что к публикации и публикуемой точке доступа (порт 13292 Сервера администрирования) должен быть применен один и тот же сертификат сервера.