技术支持

企业产品

Kaspersky Security Center 14

Kaspersky Security Center 14.2

部署最佳实践

部署移动设备管理系统

将 KES 设备连接至管理服务器

连接 KES 设备到 Kerberos constrained delegation (KCD) 服务器的方案
Kaspersky Security Center
Нет результатов
Нет результатов
在线帮助
常见问题解答 系统要求 下载 购买 续订 论坛 联系支持 恢复工具 产品视频

连接 KES 设备到 Kerberos constrained delegation (KCD) 服务器的方案

2024年5月6日

ID 92523

另存为 PDF

连接 KES 设备到 Kerberos constrained delegation (KCD) 管理服务器的方案包括如下:

  • 与支持 KCD 的企业防火墙集成。
  • 将 Kerberos Constrained Delegation (KCD) 用于移动设备身份验证。
  • 与公共密钥基础架构(PKI)整合以应用用户证书。

当使用该连接方案时,请注意以下几点:

  • 连接 KES 设备到企业防火墙的类型必须是“双向 SSL 身份验证”,就是,设备必须通过先前用户证书连接到企业防火墙。为此,您不要整合用户证书到 Kaspersky Endpoint Security for Android 安装包。该 KES 包必须由设备指定的管理服务器创建。
  • 您必须指定特定(自定义)证书,而不是移动协议的默认服务器证书:
    1. 在管理服务器的属性窗口,在设置区域,选择为移动设备打开端口复选框,然后在下拉列表中选择添加证书
    2. 在打开的窗口中,指定当到移动协议的访问点被发布在管理服务器时设置在企业防火墙上的证书。
  • KES 设备的用户证书必须由域中的 Certificate Authority (CA) 发布。记住,如果域包含多个多个根 CA,用户证书必须被该 CA 发布,这已设置在企业防火墙发布中。

    您可以通过以下方法确保用户证书与上述需求兼容:

    • 在新建安装包向导和证书安装向导中指定用户证书。
    • 将管理服务器与域的 PKI 整合并在证书发布规则中定义对应的设置:
      1. 在控制台树中,展开“移动设备管理”文件夹并选择“证书”子文件夹。
      2. 证书文件夹的工作区中,单击“配置证书发布规则”按钮以打开“证书发布规则”窗口。
      3. 在“与 PKI 整合”区域,配置与公共密钥基础架构的整合。
      4. 在“移动证书发布”区域,指定证书源。

以下是使用以下假定设置 Kerberos Constrained Delegation (KCD) 的例子:

  • 管理服务器到移动协议的访问点被设置成端口 13292。
  • 具有企业防火墙的设备的名称是firewall.mydom.local。
  • 管理服务器设备名称是 ksc.mydom.local。
  • 访问点到移动协议的外部发布地址是 kes4mob.mydom.global。

管理服务器域账户

您必须创建运行管理服务器服务的域账户(例如,KSCMobileSrvcUsr)。您可以在安装管理服务器或使用 klsrvswch 实用工具时指定管理服务器服务账户。klsrvswch 实用工具位于管理服务器安装文件夹。默认安装路径:<Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center.

域账户必须由以下原因指定:

  • KES 设备管理功能是管理服务器的一部分。
  • 要确保 Kerberos Constrained Delegation (KCD) 的正常功能,接收端(例如,管理服务器)必须运行在域账户下。

http/kes4mob.mydom.local 的服务主体名称

在域中,在 KSCMobileSrvcUsr 账户下,添加 SPN 以在管理服务器设备的端口 13292 发布移动协议服务。对于管理服务器设备 kes4mob.mydom.local,将是如下:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

配置具有企业防火墙 (firewall.mydom.local) 的设备的域属性

要授权流量,您必须将企业防火墙设备(tmg.mydom.local) 托付给由 SPN 定义的服务(http/kes4mob.mydom.local:13292)。

要将具有企业防火墙的设备托付给由 SPN 定义的服务 (http/kes4mob.mydom.local:13292),管理员必须执行以下操作:

  1. 在名为“活动目录用户和计算机”的 Microsoft Management Console 中,选择安装了企业防火墙的设备 (firewall.mydom.local)。
  2. 在设备属性窗口,在授权选项卡,设置信任此计算机到指定服务的授权切换键到使用任何身份验证协议
  3. 该账户可以展示已授权凭证的服务列表,添加 SPN http/kes4mob.mydom.local:13292。

要发布的特定(自定义)证书(kes4mob.mydom.global)

要发布管理服务器移动协议,您必须发布一个 FQDN kes4mob.mydom.global 特定(自定义)证书并在管理控制台中管理服务器的移动协议设置中指定它以代替默认服务器证书。为此,在管理服务器的属性窗口,在设置区域,选择为移动设备打开端口复选框,然后在下拉列表中选择添加证书

请注意服务器证书容器(带有 .p12 或 .pfx 扩展名的文件)必须也包含根证书链(公共密钥)。

配置在企业防火墙上发布

在企业防火墙上,对于从移动设备到端口 kes4mob.mydom.global 端口 13292 的流量,您必须在 SPN (http/kes4mob.mydom.local:13292) 上配置 KCD,使用为 FQND kes4mob.mydom.global 发布的证书。请注意,正发布和已发布的访问点(管理服务器端口 13292)必须共享相同的服务器证书。

另请参阅:

与公共密钥基础架构整合

提供到管理服务器的互联网访问

管理服务器位于 LAN、受管理设备位于互联网、防火墙使用中

Kaspersky Security Center: Optimization of daily routine tasks
A powerful administration console, with an additional flexible web-based interface that’s available wherever you are. Buy as part of Endpoint Security for Business Advanced.
Kaspersky Premium Support (MSA): High‑priority incident processing
Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.