Схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

05 февраля 2024

ID 92516

Для использования схемы развертывания с принудительным делегированием Kerberos Сервер администрирования и Сервер iOS MDM должны располагаться во внутренней сети организации.

Эта схема развертывания предполагает:

  • интеграцию с Microsoft Forefront Threat Management Gateway (далее TMG);
  • использование для аутентификации мобильных устройств принудительного делегирования Kerberos Constrained Delegation;
  • интеграцию с инфраструктурой открытых ключей (PKI) для использования пользовательских сертификатов.

При использовании этой схемы развертывания следует учесть следующее:

  • В Консоли администрирования в параметрах веб-службы iOS MDM необходимо установить флажок Обеспечить совместимость с Kerberos constrained delegation.
  • В качестве сертификата веб-службы iOS MDM следует указать особый (кастомизированный) сертификат, заданный на TMG при публикации веб-службы iOS MDM.
  • Пользовательские сертификаты для iOS-устройств должны выписываться доменным Центром сертификации (Certification authority, далее CA). Если в домене несколько корневых CA, то пользовательские сертификаты должны быть выписаны CA, указанным при публикации веб-службы iOS MDM на TMG.

    Обеспечить соответствие пользовательского сертификата указанному требованию возможно несколькими способами:

    • Указать пользовательский сертификат в мастере создания iOS MDM-профиля и в мастере установки сертификатов.
    • Интегрировать Сервер администрирования с доменным PKI и настроить соответствующий параметр в правилах выписки сертификатов:
      1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
      2. В рабочей области папки Сертификаты по кнопке Настроить правила выпуска сертификатов откройте окно Правила выпуска сертификатов.
      3. В разделе Интеграция с PKI настройте интеграцию с инфраструктурой открытых ключей.
      4. В разделе Выпуск мобильных сертификатов укажите источник сертификатов.

Рассмотрим пример настройки ограниченного делегирования KCD со следующими допущениями:

  • веб-служба iOS MDM запущена на 443 порте;
  • имя устройства с TMG – tmg.mydom.local;
  • имя устройства с веб-службой iOS MDM – iosmdm.mydom.local;
  • имя внешней публикации веб-службой iOS MDM – iosmdm.mydom.global.

Service Principal Name для http/iosmdm.mydom.local

В домене требуется прописать Service Principal Name (SPN) для устройства с веб-службой iOS MDM (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Настройка доменных свойств устройств с TMG (tmg.mydom.local)

Для делегирования трафика доверить устройство с TMG (tmg.mydom.local) службе, определенной по SPN (http/iosmdm.mydom.local).

Чтобы доверить устройство с TMG службе, определенной по SPN (http/iosmdm.mydom.local), администратор должен выполнить следующие действия:

  1. В оснастке Microsoft Management Console "Active Directory Users and Computers" необходимо выбрать устройство с установленным TMG (tmg.mydom.local).
  2. В свойствах устройства на закладке Delegation для переключателя Trust this computer for delegation to specified service only выбрать вариант Use any authentication protocol.
  3. В список Services to which this account can present delegated credentials добавить SPN http/iosmdm.mydom.local.

Особый (кастомизированный) сертификат для публикуемой веб-службы (iosmdm.mydom.global)

Требуется выписать особый (кастомизированный) сертификат для веб-службы iOS MDM на FQDN iosmdm.mydom.global и указать его взамен сертификата по умолчанию в параметрах веб-службы iOS MDM в Консоли администрирования.

Следует учесть, что в контейнере с сертификатом (файл с расширением p12 или pfx) также должна присутствовать цепочка корневых сертификатов (публичные части).

Публикации веб-службы iOS MDM на TMG

На TMG для трафика, идущего со стороны мобильного устройства на 443 порт iosmdm.mydom.global, необходимо настроить KCD на SPN http/iosmdm.mydom.local с использованием сертификата, выписанного для FQDN iosmdm.mydom.global. При этом следует учесть, что как на публикации, так и на публикуемой веб-службе должен быть один и тот же серверный сертификат.

См. также:

Типовая конфигурация: Kaspersky Device Management для iOS в демилитаризованной зоне

Интеграция с инфраструктурой открытых ключей

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!