Schema per la connessione dei dispositivi KES al server tramite Kerberos Constrained Delegation (KCD)

17 giugno 2024

ID 92523

Lo schema per la connessione dei dispositivi KES all'Administration Server tramite Kerberos Constrained Delegation (KCD) offre quanto segue:

  • Integrazione con un firewall aziendale che supporta KCD.
  • Utilizzo di Kerberos Constrained Delegation (di seguito denominato KCD) per l'autenticazione dei dispositivi mobili.
  • Integrazione con l'infrastruttura Public Key Infrastructure (di seguito denominata PKI) per l'applicazione dei certificati utente.

Quando si utilizza questo schema di connessione, tenere presente quanto segue:

  • Il tipo di connessione dei dispositivi KES al firewall aziendale deve essere l'autenticazione SSL bidirezionale: un dispositivo deve connettersi al firewall aziendale tramite il relativo certificato utente proprietario. A tale scopo, è necessario integrare il certificato utente nel pacchetto di installazione di Kaspersky Endpoint Security for Android, che è stato installato nel dispositivo. Questo pacchetto KES deve essere creato dall'Administration Server specificamente per questo dispositivo (utente).
  • È necessario specificare lo speciale certificato (personalizzato) invece del certificato server predefinito per il protocollo mobile:
    1. Nella finestra delle proprietà di Administration Server, nella sezione Impostazioni, selezionare la casella di controllo Apri porta per i dispositivi mobili e selezionare Aggiungi certificato nell'elenco a discesa.
    2. Nella finestra visualizzata specificare lo stesso certificato che è stato impostato nel firewall aziendale al momento della pubblicazione del punto di accesso al protocollo mobile nell'Administration Server.
  • I certificati utente per i dispositivi KES devono essere emessi dall'Autorità di certificazione (CA) del dominio. Tenere presente che se il dominio include più Autorità di certificazione radice, i certificati utente devono essere emessi dall'Autorità di certificazione che è stata impostata nella pubblicazione nel firewall aziendale.

    È possibile garantire che il certificato utente sia conforme a tale requisito utilizzando uno dei seguenti metodi:

    • Specificare lo certificato utente speciale nella Creazione guidata nuovo pacchetto e nell'Installazione guidata certificato.
    • Integrare l'Administration Server con l'infrastruttura PKI del dominio e definire l'impostazione corrispondente nelle regole per l'emissione dei certificati:
      1. Nella struttura della console espandere la cartella Mobile Device Management, quindi selezionare la sottocartella Certificati.
      2. Nell'area di lavoro della cartella Certificati fare clic sul pulsante Configura regole di emissione certificati per aprire la finestra Regole di emissione certificati.
      3. Nella sezione Integrazione con PKI configurare l'integrazione con l'infrastruttura a chiave pubblica (PKI).
      4. Nella sezione Emissione di certificati mobili specificare l'origine dei certificati.

Di seguito è riportato un esempio di configurazione di Kerberos Constrained Delegation (KCD) con i seguenti presupposti:

  • Il punto di accesso al protocollo mobile in Administration Server è impostato sulla porta 13292.
  • Il nome del dispositivo con il firewall aziendale è firewall.mydom.local.
  • Il nome del dispositivo con Administration Server è ksc.mydom.local.
  • Il nome della pubblicazione esterna del punto di accesso al protocollo mobile è kes4mob.mydom.global.

Account di dominio per Administration Server

È necessario creare un account di dominio (ad esempio, KSCMobileSrvcUsr) con cui verrà eseguito il servizio Administration Server. È possibile specificare un account per il servizio Administration Server al momento dell'installazione di Administration Server o tramite l'utilità klsrvswch. L'utilità klsrvswch è disponibile nella cartella di installazione di Administration Server. Il percorso di installazione predefinito: <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.

È necessario specificare un account di dominio per i motivi seguenti:

  • La funzionalità di gestione dei dispositivi KES è una parte integrante di Administration Server.
  • Per garantire il corretto funzionamento di Kerberos Constrained Delegation (KCD), la parte ricevente (ovvero, Administration Server) deve essere in esecuzione con un account di dominio.

Nome dell'entità servizio per http/kes4mob.mydom.local

Nel dominio, con l'account KSCMobileSrvcUsr, aggiungere un SPN per pubblicare il servizio del protocollo mobile sulla porta 13292 del dispositivo con Administration Server. Per il dispositivo kes4mob.mydom.local con Administration Server, si presenta come segue:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Configurazione delle proprietà di dominio del dispositivo con il firewall aziendale (firewall.mydom.local)

Per delegare il traffico, è necessario impostare come attendibile il dispositivo con il firewall aziendale (firewall.mydom.local) per il servizio definito dall'SPN (http/kes4mob.mydom.local:13292).

Per impostare come attendibile il dispositivo con il firewall aziendale per il servizio definito dall'SPN (http/kes4mob.mydom.local:13292), l'amministratore deve eseguire seguenti le operazioni:

  1. Nello snap-in Microsoft Management Console "Utenti e computer di Active Directory" selezionare il dispositivo in cui è installato il firewall aziendale (firewall.mydom.local).
  2. Nelle proprietà del dispositivo, nella scheda Delega, impostare l'interruttore Computer attendibile per la delega solo ai servizi specificati su Utilizza un qualsiasi protocollo di autenticazione.
  3. Nell'elenco Servizi ai quali l'account può presentare credenziali delegate aggiungere l'SPN http/kes4mob.mydom.local:13292.

Speciale certificato (personalizzato) per la pubblicazione (kes4mob.mydom.global)

Per pubblicare il protocollo mobile di Administration Server, è necessario emettere uno speciale certificato (personalizzato) per il nome FQDN kes4mob.mydom.global e specificarlo invece del certificato server predefinito nelle impostazioni del protocollo mobile di Administration Server in Administration Console. A tale scopo, nella finestra delle proprietà di Administration Server, nella sezione Impostazioni, selezionare la casella di controllo Apri porta per i dispositivi mobili e quindi selezionare Aggiungi certificato nell'elenco a discesa.

Il contenitore del certificato server (file con estensione p12 o pfx) deve anche contenere una catena di certificati radice (chiavi pubbliche).

Configurazione della pubblicazione nel firewall aziendale

Nel firewall aziendale, per il traffico dal dispositivo mobile alla porta 13292 kes4mob.mydom.global, è necessario configurare KCD sull'SPN (http/kes4mob.mydom.local:13292) utilizzando il certificato server emesso per il nome FQDN kes4mob.mydom.global. La pubblicazione e il punto di accesso pubblicato (la porta 13292 di Administration Server) devono condividere lo stesso certificato server.

Vedere anche:

Integrazione con PKI (Public Key Infrastructure)

Concessione dell'accesso via Internet all'Administration Server

Administration Server nella LAN, dispositivi gestiti in Internet; firewall in uso

Hai trovato utile questo articolo?
Cosa pensi che potremmo migliorare?
Grazie per il feedback! Ci stai aiutando a migliorare.
Grazie per il feedback! Ci stai aiutando a migliorare.