Поддержка

Поддержка приложений для бизнеса

Kaspersky Security Center 14

Kaspersky Security Center 14.2

Лучшие практики развертывания

Развертывание систем управления мобильными устройствами

Развертывание системы управления по протоколу iOS MDM

Схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

Kaspersky Security Center
Нет результатов
Нет результатов
База знаний Онлайн-справка
Советы и решения FAQ Скачать Купить Продлить Форум Запрос в поддержку Утилиты для лечения

Схема развертывания с использованием принудительного делегирования Kerberos Constrained Delegation (KCD)

17 октября 2024

ID 92516

Скачать PDF

Чтобы использовать схему развертывания с ограниченным делегированием Kerberos (KCD), должны быть выполнены следующие требования:

  • Сервер администрирования и Сервер iOS MDM располагаются во внутренней сети организации.
  • Используется обратный прокси-сервер с поддержкой KCD.

Эта схема развертывания предполагает:

  • интеграцию с обратным прокси-сервером, поддерживающим KCD;
  • использование для аутентификации мобильных устройств принудительного делегирования Kerberos Constrained Delegation;
  • интеграцию с инфраструктурой открытых ключей (PKI) для использования пользовательских сертификатов.

При использовании этой схемы развертывания следует учесть следующее:

  • В Консоли администрирования в параметрах веб-службы iOS MDM необходимо установить флажок Обеспечить совместимость с Kerberos constrained delegation.
  • В качестве сертификата веб-службы iOS MDM следует указать особый (кастомизированный) сертификат, заданный на TMG при публикации на обратном прокси-сервере.
  • Пользовательские сертификаты для iOS-устройств должны выписываться доменным Центром сертификации (Certification authority, далее CA). Если в домене несколько корневых CA, то пользовательские сертификаты должны быть выписаны CA, указанным при публикации веб-службы iOS MDM на обратном прокси-сервере.

    Обеспечить соответствие пользовательского сертификата указанному требованию возможно несколькими способами:

    • Указать пользовательский сертификат в мастере создания iOS MDM-профиля и в мастере установки сертификатов.
    • Интегрировать Сервер администрирования с доменным PKI и настроить соответствующий параметр в правилах выписки сертификатов:
      1. В дереве консоли в папке Управление мобильными устройствами выберите вложенную папку Сертификаты.
      2. В рабочей области папки Сертификаты по кнопке Настроить правила выпуска сертификатов откройте окно Правила выпуска сертификатов.
      3. В разделе Интеграция с PKI настройте интеграцию с инфраструктурой открытых ключей.
      4. В разделе Выпуск мобильных сертификатов укажите источник сертификатов.

Рассмотрим пример настройки ограниченного делегирования KCD со следующими допущениями:

  • веб-служба iOS MDM запущена на 443 порте;
  • имя устройства с обратного прокси-сервера – firewall.mydom.local;
  • имя устройства с веб-службой iOS MDM – iosmdm.mydom.local;
  • имя внешней публикации веб-службой iOS MDM – iosmdm.mydom.global.

Service Principal Name для http/iosmdm.mydom.local

В домене требуется прописать Service Principal Name (SPN) для устройства с веб-службой iOS MDM (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Настройка доменных свойств устройств с обратным прокси-сервером (firewall.mydom.local)

Для делегирования трафика можно доверить устройство с обратным прокси-сервером (firewall.mydom.local) службе, определенной по SPN (http/iosmdm.mydom.local).

Чтобы доверить устройство с обратным прокси-сервером службе, определенной по SPN (http/iosmdm.mydom.local), администратору нужно выполнить следующие действия:

  1. В оснастке Microsoft Management Console "Active Directory Users and Computers" выбрать устройство с установленным обратным прокси-сервером (firewall.mydom.local).
  2. В свойствах устройства на закладке Delegation для переключателя Trust this computer for delegation to specified service only выбрать вариант Use any authentication protocol.
  3. В список Services to which this account can present delegated credentials добавить SPN http/iosmdm.mydom.local.

Особый (кастомизированный) сертификат для публикуемой веб-службы (iosmdm.mydom.global)

Требуется выписать особый (кастомизированный) сертификат для веб-службы iOS MDM на FQDN iosmdm.mydom.global и указать его взамен сертификата по умолчанию в параметрах веб-службы iOS MDM в Консоли администрирования.

Следует учесть, что в контейнере с сертификатом (файл с расширением p12 или pfx) также должна присутствовать цепочка корневых сертификатов (публичные части).

Публикации веб-службы iOS MDM на обратном прокси-сервере

На обратном прокси-сервере для трафика, идущего со стороны мобильного устройства на 443 порт iosmdm.mydom.global, необходимо настроить KCD на SPN http/iosmdm.mydom.local с использованием сертификата, выписанного для FQDN iosmdm.mydom.global. При этом следует учесть, что как на публикации, так и на публикуемой веб-службе должен быть один и тот же серверный сертификат.

См. также:

Типовая конфигурация: Kaspersky Device Management для iOS в демилитаризованной зоне

Интеграция с инфраструктурой открытых ключей

Kaspersky Security Center — оптимизация выполнения повседневных задач
Мощная консоль для управления безопасностью и IT‑системами в любом месте с любого устройства. Купите в составе Endpoint Security для бизнеса Расширенный.
Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов
Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!