连接 KES 设备到 Kerberos constrained delegation (KCD) 服务器的方案
连接 KES 设备到 Kerberos constrained delegation (KCD) 管理服务器的方案包括如下:
- 与 Microsoft Forefront TMG 的整合。
- 将 Kerberos Constrained Delegation (KCD) 用于移动设备身份验证。
- 与公共密钥基础架构(PKI)整合以应用用户证书。
当使用该连接方案时,请注意以下几点:
- 连接 KES 设备到 TMG 的类型必须是“双向 SSL 身份验证”,就是,设备必须通过先前用户证书连接到 TMG。为此,您不要整合用户证书到 Kaspersky Endpoint Security for Android 安装包。该 KES 包必须由设备指定的管理服务器创建。
- 您必须指定特定(自定义)证书,而不是移动协议的默认服务器证书:
- 在管理服务器的属性窗口,在设置区域,选择为移动设备打开端口复选框,然后在下拉列表中选择添加证书。
- 在打开的窗口中,指定当到移动协议的访问点被发布在管理服务器时设置在 TMG 上的证书。
- KES 设备的用户证书必须由域中的 Certificate Authority (CA) 发布。记住,如果域包含多个多个根 CA,用户证书必须被该 CA 发布,这已设置在 TMG 发布中。
您可以通过以下方法确保用户证书与上述需求兼容:
- 在新建安装包向导和证书安装向导中指定用户证书。
- 将管理服务器与域的 PKI 整合并在证书发布规则中定义对应的设置:
- 在控制台树中,展开“移动设备管理”文件夹并选择“证书”子文件夹。
- 在“证书”文件夹的工作区中单击“配置证书发布规则”按钮,打开“证书发布规则”窗口。
- 在“与 PKI 整合”区域,配置与公共密钥基础架构的整合。
- 在“移动证书发布”区域,指定证书源。
以下是使用以下假定设置 Kerberos Constrained Delegation (KCD) 的例子:
- 管理服务器到移动协议的访问点被设置成端口 13292。
- TMG 设备名称是 tmg.mydom.local。
- 管理服务器设备名称是 ksc.mydom.local。
- 访问点到移动协议的外部发布地址是 kes4mob.mydom.global。
管理服务器域账户
您必须创建运行管理服务器服务的域账户(例如,KSCMobileSrvcUsr)。您可以在安装管理服务器或使用 klsrvswch 实用工具时指定管理服务器服务账户。klsrvswch 实用工具位于管理服务器安装文件夹。
域账户必须由以下原因指定:
- KES 设备管理功能是管理服务器的一部分。
- 要确保 Kerberos Constrained Delegation (KCD) 的正常功能,接收端(例如,管理服务器)必须运行在域账户下。
http/kes4mob.mydom.local 的服务主体名称
在域中,在 KSCMobileSrvcUsr 账户下,添加 SPN 以在管理服务器设备的端口 13292 发布移动协议服务。对于管理服务器设备 kes4mob.mydom.local,将是如下:
setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr
配置 TMG 设备的域属性(tmg.mydom.local)
要授权流量,您必须信任 TMG 设备(tmg.mydom.local)到由 SPN 定义的服务(http/kes4mob.mydom.local:13292)。
要信任 TMG 设备(tmg.mydom.local)到由 SPN 定义的服务(http/kes4mob.mydom.local:13292),管理员必须执行以下操作:
- 在名为“活动目录用户和计算机”的 Microsoft Management Console 中,选择安装了 TMG 的设备(tmg.mydom.local)。
- 在设备属性窗口,在授权选项卡,设置信任此计算机到指定服务的授权切换键到使用任何身份验证协议。
- 在该账户可以展示已授权凭证的服务列表,添加 SPN http/kes4mob.mydom.local:13292。
要发布的特定(自定义)证书(kes4mob.mydom.global)
要发布管理服务器移动协议,您必须发布一个 FQDN kes4mob.mydom.global 特定(自定义)证书并在管理控制台中管理服务器的移动协议设置中指定它以代替默认服务器证书。为此,在管理服务器的属性窗口,在设置区域,选择为移动设备打开端口复选框,然后在下拉列表中选择添加证书。
请注意服务器证书容器(带有 .p12 或 .pfx 扩展名的文件)必须也包含根证书链(公共密钥)。
在 TMG 上配置发布
在 TMG 上,对于从移动设备到端口 kes4mob.mydom.global 端口 13292 的流量,您必须在 SPN (http/kes4mob.mydom.local:13292) 上配置 KCD,使用为 FQND kes4mob.mydom.global 发布的证书。请注意,正发布和已发布的访问点(管理服务器端口 13292)必须共享相同的服务器证书。