技术支持

企业产品

Kaspersky Security Center 13

Kaspersky Security Center 13.2

部署最佳实践

部署移动设备管理系统

将 KES 设备连接至管理服务器

连接 KES 设备到 Kerberos constrained delegation (KCD) 服务器的方案

Kaspersky Security Center
Нет результатов
Нет результатов
知识库 在线帮助
常见问题解答 切换到新版本 购买 续订 论坛 联系支持 恢复工具

连接 KES 设备到 Kerberos constrained delegation (KCD) 服务器的方案

2023年6月26日

ID 92523

另存为 PDF

连接 KES 设备到 Kerberos constrained delegation (KCD) 管理服务器的方案包括如下:

  • 与 Microsoft Forefront TMG 的整合。
  • 将 Kerberos Constrained Delegation (KCD) 用于移动设备身份验证。
  • 与公共密钥基础架构(PKI)整合以应用用户证书。

当使用该连接方案时,请注意以下几点:

  • 连接 KES 设备到 TMG 的类型必须是“双向 SSL 身份验证”,就是,设备必须通过先前用户证书连接到 TMG。为此,您不要整合用户证书到 Kaspersky Endpoint Security for Android 安装包。该 KES 包必须由设备指定的管理服务器创建。
  • 您必须指定特定(自定义)证书,而不是移动协议的默认服务器证书:
    1. 在管理服务器的属性窗口,在设置区域,选择为移动设备打开端口复选框,然后在下拉列表中选择添加证书
    2. 在打开的窗口中,指定当到移动协议的访问点被发布在管理服务器时设置在 TMG 上的证书。
  • KES 设备的用户证书必须由域中的 Certificate Authority (CA) 发布。记住,如果域包含多个多个根 CA,用户证书必须被该 CA 发布,这已设置在 TMG 发布中。

    您可以通过以下方法确保用户证书与上述需求兼容:

    • 在新建安装包向导和证书安装向导中指定用户证书。
    • 将管理服务器与域的 PKI 整合并在证书发布规则中定义对应的设置:
      1. 在控制台树中,展开“移动设备管理”文件夹并选择“证书”子文件夹。
      2. 在“证书”文件夹的工作区中单击“配置证书发布规则”按钮,打开“证书发布规则”窗口。
      3. 在“与 PKI 整合”区域,配置与公共密钥基础架构的整合。
      4. 在“移动证书发布”区域,指定证书源。

以下是使用以下假定设置 Kerberos Constrained Delegation (KCD) 的例子:

  • 管理服务器到移动协议的访问点被设置成端口 13292。
  • TMG 设备名称是 tmg.mydom.local。
  • 管理服务器设备名称是 ksc.mydom.local。
  • 访问点到移动协议的外部发布地址是 kes4mob.mydom.global。

管理服务器域账户

您必须创建运行管理服务器服务的域账户(例如,KSCMobileSrvcUsr)。您可以在安装管理服务器或使用 klsrvswch 实用工具时指定管理服务器服务账户。klsrvswch 实用工具位于管理服务器安装文件夹。

域账户必须由以下原因指定:

  • KES 设备管理功能是管理服务器的一部分。
  • 要确保 Kerberos Constrained Delegation (KCD) 的正常功能,接收端(例如,管理服务器)必须运行在域账户下。

http/kes4mob.mydom.local 的服务主体名称

在域中,在 KSCMobileSrvcUsr 账户下,添加 SPN 以在管理服务器设备的端口 13292 发布移动协议服务。对于管理服务器设备 kes4mob.mydom.local,将是如下:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

配置 TMG 设备的域属性(tmg.mydom.local)

要授权流量,您必须信任 TMG 设备(tmg.mydom.local)到由 SPN 定义的服务(http/kes4mob.mydom.local:13292)。

要信任 TMG 设备(tmg.mydom.local)到由 SPN 定义的服务(http/kes4mob.mydom.local:13292),管理员必须执行以下操作:

  1. 在名为“活动目录用户和计算机”的 Microsoft Management Console 中,选择安装了 TMG 的设备(tmg.mydom.local)。
  2. 在设备属性窗口,在授权选项卡,设置信任此计算机到指定服务的授权切换键到使用任何身份验证协议
  3. 该账户可以展示已授权凭证的服务列表,添加 SPN http/kes4mob.mydom.local:13292。

要发布的特定(自定义)证书(kes4mob.mydom.global)

要发布管理服务器移动协议,您必须发布一个 FQDN kes4mob.mydom.global 特定(自定义)证书并在管理控制台中管理服务器的移动协议设置中指定它以代替默认服务器证书。为此,在管理服务器的属性窗口,在设置区域,选择为移动设备打开端口复选框,然后在下拉列表中选择添加证书

请注意服务器证书容器(带有 .p12 或 .pfx 扩展名的文件)必须也包含根证书链(公共密钥)。

在 TMG 上配置发布

在 TMG 上,对于从移动设备到端口 kes4mob.mydom.global 端口 13292 的流量,您必须在 SPN (http/kes4mob.mydom.local:13292) 上配置 KCD,使用为 FQND kes4mob.mydom.global 发布的证书。请注意,正发布和已发布的访问点(管理服务器端口 13292)必须共享相同的服务器证书。

另请参阅:

与公共密钥基础架构整合

提供到管理服务器的互联网访问

管理服务器位于 LAN、受管理设备位于互联网、TMG 使用中

您觉得这篇文章有帮助吗?
我们可以做什么更好?
感谢您的反馈!你正在帮助我们进步。
感谢您的反馈!你正在帮助我们进步。