Schema di distribuzione tramite Kerberos Constrained Delegation (KCD)

23 maggio 2024

ID 92516

Per utilizzare lo schema di distribuzione con la delega vincolata Kerberos (KCD), è necessario soddisfare i seguenti requisiti:

  • Administration Server e il server MDM iOS si trovano nella rete interna dell'organizzazione.
  • È in uso un firewall aziendale con supporto di KCD.

Questo schema di distribuzione offre quanto segue:

  • Integrazione con il firewall aziendale che supporta KCD
  • Utilizzo di KCD per l'autenticazione dei dispositivi mobili
  • Integrazione con PKI per l'applicazione dei certificati utente

Quando si utilizza questo schema di distribuzione, è necessario eseguire le seguenti operazioni:

  • In Administration Console, nelle impostazioni del servizio Web MDM iOS, selezionare la casella di controllo Assicura la compatibilità con la delega vincolata Kerberos.
  • Come certificato per il servizio Web MDM iOS, specificare il certificato personalizzato che è stato definito al momento della pubblicazione del servizio Web MDM iOS nel firewall aziendale.
  • I certificati utente per i dispositivi iOS devono essere emessi dall'Autorità di certificazione (CA) del dominio. Se il dominio contiene più Autorità di certificazione radice, i certificati utente devono essere emessi dall'Autorità di certificazione che è stata specificata al momento della pubblicazione del servizio Web MDM iOS nel firewall aziendale.

    È possibile garantire che il certificato utente sia conforme con questo requisito di emissione da parte dell'Autorità di certificazione utilizzando uno dei seguenti metodi:

    • Specificare il certificato utente nella procedura guidata per la creazione di un nuovo profilo MDM iOS e nell'Installazione guidata certificato.
    • Integrare l'Administration Server con l'infrastruttura PKI del dominio e definire l'impostazione corrispondente nelle regole per l'emissione dei certificati:
      1. Nella struttura della console espandere la cartella Mobile Device Management, quindi selezionare la sottocartella Certificati.
      2. Nell'area di lavoro della cartella Certificati fare clic sul pulsante Configura regole di emissione certificati per aprire la finestra Regole di emissione certificati.
      3. Nella sezione Integrazione con PKI configurare l'integrazione con l'infrastruttura a chiave pubblica (PKI).
      4. Nella sezione Emissione di certificati mobili specificare l'origine dei certificati.

Di seguito è riportato un esempio di configurazione di Kerberos Constrained Delegation (KCD) con i seguenti presupposti:

  • Il servizio Web MDM iOS è in esecuzione sulla porta 443.
  • Il nome del dispositivo con il firewall aziendale è firewall.mydom.local.
  • Il nome del dispositivo con il servizio Web MDM iOS è iosmdm.mydom.local.
  • Il nome della pubblicazione esterna del servizio Web MDM iOS è iosmdm.mydom.global.

Nome dell'entità servizio per http/iosmdm.mydom.local

Nel dominio è necessario registrare il nome dell'entità servizio (SPN) per il dispositivo con il servizio Web MDM iOS (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Configurazione delle proprietà di dominio del dispositivo con il firewall aziendale (firewall.mydom.local)

Per delegare il traffico, impostare come attendibile il dispositivo con il firewall aziendale (firewall.mydom.local) per il servizio definito dall'SPN (http/iosmdm.mydom.local).

Per impostare come attendibile il dispositivo con il firewall aziendale per il servizio definito dall'SPN (http/iosmdm.mydom.local), l'amministratore deve eseguire seguenti le operazioni:

  1. Nello snap-in Microsoft Management Console "Utenti e computer di Active Directory" selezionare il dispositivo in cui è installato il firewall aziendale (firewall.mydom.local).
  2. Nelle proprietà del dispositivo, nella scheda Delega, impostare l'interruttore Computer attendibile per la delega solo ai servizi specificati su Utilizza un qualsiasi protocollo di autenticazione.
  3. Aggiungere l'SPN (http/iosmdm.mydom.local) all'elenco Servizi ai quali l'account può presentare credenziali delegate.

Speciale certificato (personalizzato) per il servizio Web pubblicato (iosmdm.mydom.global)

È necessario emettere uno speciale certificato (personalizzato) per il servizio Web MDM iOS sul nome FQDN iosmdm.mydom.global e specificare che sostituisce il certificato predefinito nelle impostazioni del servizio Web MDM iOS in Administration Console.

Il contenitore del certificato (file con estensione p12 o pfx) deve anche contenere una catena di certificati radice (chiavi pubbliche).

Pubblicazione del servizio Web MDM iOS nel firewall aziendale

Nel firewall aziendale, per il traffico da un dispositivo mobile alla porta 443 di iosmdm.mydom.global, è necessario configurare KCD sull'SPN (http/iosmdm.mydom.local) utilizzando il certificato emesso per il nome FQDN (iosmdm.mydom.global). Tenere presente che la pubblicazione e il servizio Web pubblicato devono condividere lo stesso certificato server.

Vedere anche:

Configurazione standard: gestione di Kaspersky Device Management for iOS nella rete perimetrale

Integrazione con PKI (Public Key Infrastructure)

Hai trovato utile questo articolo?
Cosa pensi che potremmo migliorare?
Grazie per il feedback! Ci stai aiutando a migliorare.
Grazie per il feedback! Ci stai aiutando a migliorare.