Esquema de implementação envolvendo a delegação de restrição Kerberos (KCD)

8 de fevereiro de 2024

ID 92516

Para usar o esquema de implementação com a delegação de restrição Kerberos (KCD), os seguintes requisitos devem ser atendidos:

  • O Servidor de Administração e o Servidor de MDM do iOS estão localizados na rede interna da organização.
  • Um firewall corporativo compatível com a KCD está em uso.

Este esquema de implementação fornece para o seguinte:

  • Integração com o firewall corporativo compatível com a KCD
  • Uso do KCD para a autenticação de dispositivos móveis
  • Integração com o PKI para aplicar certificados de usuário

Ao usar este esquema de implementação, você deve fazer o seguinte:

  • No Console de Administração, nas configurações do serviço da Web MDM do iOS, selecione a caixa de seleção Assegurar compatibilidade com a delegação restrita de Kerberos.
  • Como o certificado do serviço da Web MDM do iOS, especifique o certificado personalizado que foi definido quando o serviço da Web MDM do iOS foi publicado no firewall corporativo.
  • Os certificados de usuário para dispositivos iOS devem ser emitidos por Certificate Authority (CA) do domínio. Se o domínio contiver CAs com múltiplas raízes, os certificados do usuário devem ser emitidos pela CA que foi especificada quando o serviço da Web MDM do iOS foi publicado no firewall corporativo.

    Você pode assegurar-se de que o certificado do usuário está em conformidade como o requisito de emissão CA usando um dos seguintes métodos:

    • Especifique o certificado do usuário no Assistente de novo perfil de iOS MDM e no Assistente de instalação de certificados.
    • Integre o Servidor de Administração com o PKI do domínio e defina a configuração correspondente nas regras de emissão de certificados:
      1. Na árvore do console, expanda a pasta Gerenciamento de Dispositivos Móveis e selecione a subpasta Certificados.
      2. No espaço de trabalho da pasta Certificados, clique no botão Configurar as regras de emissão de certificados para abrir a janela Regras de emissão do certificado.
      3. Na seção Integração com PKI, configure a integração com a infraestrutura de chaves públicas.
      4. Na seção Emissão de certificados móveis, especifique a origem dos certificados.

Abaixo encontra-se um exemplo da Kerberos Constrained Delegation (KCD) com as seguintes suposições:

  • O serviço da Web MDM do iOS está em execução na porta 443.
  • O nome do dispositivo com o firewall corporativo é firewall.mydom.local.
  • O nome do dispositivo com o serviço da Web MDM do iOS é iosmdm.mydom.local.
  • O nome da publicação externa do serviço da Web MDM do iOS é iosmdm.mydom.global.

Nome do serviço principal para http/iosmdm.mydom.local

No domínio, você deve registrar o nome do serviço principal (SPN) para o dispositivo com o serviço da Web MDM do iOS (iosmdm.mydom.local):

setspn -a http/iosmdm.mydom.local iosmdm

Configurar as propriedades de domínio do dispositivo com o firewall corporativo (firewall.mydom.local)

Para delegar o tráfego, confie ao dispositivo com o firewall corporativo (firewall.mydom.local) ao serviço que é definido pelo SPN (http/iosmdm.mydom.local).

Para confiar o dispositivo com firewall corporativo ao serviço definido pelo SPN (http/iosmdm.mydom.local), o administrador deve executar as seguintes ações:

  1. No snap-in Microsoft Management Console nomeado "Usuários e Computadores do Active Directory", selecione o dispositivo com o firewall corporativo instalado (firewall.mydom.local).
  2. Nas propriedades do dispositivo, na guia Delegação, defina Confiar neste computador somente para a delegação ao serviço especificado alterne para Usar qualquer protocolo de autenticação.
  3. Adicione o SPN (http/iosmdm.mydom.local) à lista Serviços aos quais esta conta possa apresentar credenciais delegadas.

Certificado especial (personalizado) do serviço da Web publicado (iosmdm.mydom.global)

Você tem de emitir um certificado especial (personalizado) para serviço da Web MDM do iOS no FQDN iosmdm.mydom.global e especificar que ele substitui o certificado padrão nas configurações do serviço da Web MDM do iOS no Console de Administração.

Observe que o contêiner de certificado (arquivo com a extensão p12 ou pfx) também deve conter uma cadeia de certificados raiz (chaves públicas).

Publicar o serviço da Web MDM do iOS no firewall corporativo

No firewall corporativo, para o tráfego que vai de um dispositivo móvel para a porta 443 do iosmdm.mydom.global, você precisa configurar a KCD no SPN (http/iosmdm.mydom.local), usando o certificado emitido para o FQDN (iosmdm.mydom.global). Observe que publicar e o serviço da Web publicado devem compartilhar o mesmo certificado do servidor.

Consulte também:

Configuração padrão: Kaspersky Device Management for iOS no DMZ

Integração com a infraestrutura de chaves públicas

Este artigo foi útil?
O que podemos melhorar?
Agradecemos o seu comentário! Ele nos ajuda a melhorar.
Agradecemos o seu comentário! Ele nos ajuda a melhorar.