Kerberos の制約付き委任(KCD)を使用して KES デバイスをサーバーに接続するスキーム
2023年4月17日
ID 92523
Kerberos の制約付き委任(KCD)を使用して KES デバイスをサーバーに接続するスキームでは、以下を実現します:
- Microsoft Forefront TMG との統合
- Kerberos の制約付き委任(以下、「KCD」)を使用したモバイルデバイスの認証
- 公開鍵基盤(以下、「PKI」)との統合によるユーザー証明書の適用
この接続スキームを使用する場合は、以下に留意してください:
- KES デバイスの TMG への接続種別は、「双方向 SSL 認証」でなければなりません。つまり。専用のユーザー証明書を使用してデバイスを TMG に接続される必要があります。これを行うには、デバイスにインストールされている Kaspersky Endpoint Security for Android のインストールパッケージに、ユーザー証明書を統合する必要があります。この KES パッケージは、このデバイス(ユーザー)専用の管理サーバーによって作成される必要があります。
- 次のように、モバイルプロトコルの既定のサーバー証明書ではなく、専用(カスタマイズ済み)の証明書を指定する必要があります:
- 管理サーバーのプロパティウィンドウの[管理サーバー接続設定]セクションの[追加のポート]で、[モバイルデバイス用ポートを開く]をオンにし、ドロップダウンリストで[証明書の追加]を選択します。
- 表示されたウィンドウで、モバイルプロトコルへのアクセスポイントが管理サーバーで公開された際に TMG に設定されたものと同じ証明書を指定します。
- KES デバイスのユーザー証明書は、ドメインの Certificate Authority(CA)によって発行される必要があります。ドメインに複数のルート CA がある場合、ユーザー証明書は、TMG での公開で設定された CA によって発行される必要があります。
以下の方法のいずれかを使用して、ユーザー証明書が、上述の要件を満たしていることを確認できます:
- 新しいインストールパッケージウィザードと証明書インストールウィザードで、専用のユーザー証明書を指定します。
- 管理サーバーとドメインの PKI を統合し、証明書発行ルールの該当する設定を定義します:
- コンソールツリーで、[モバイルデバイス管理]フォルダーを展開し、[証明書]サブフォルダーを選択します。
- [証明書]フォルダーの作業領域で[証明書の発行ルールを指定する]をクリックし、[証明書発行ルール]を開きます。
- [PKI(公開鍵基盤)の統合]セクションで、公開鍵基盤との統合を設定します。
- [モバイル証明書の発行]セクションで、証明書のソースを指定します。
以下を前提とした Kerberos の制約付き委任(KCD)の設定例を次に示します:
- 管理サーバーのモバイルプロトコルへのアクセスポイントがポート 13292 に設定されている。
- TMG がインストールされたデバイスの名前が tmg.mydom.local である。
- 管理サーバーがインストールされたデバイスの名前が ksc.mydom.local である。
- モバイルプロトコルへのアクセスポイントの外部公開名が kes4mob.mydom.global である。
管理サーバーのドメインアカウント
管理サーバーサービスが実行されるドメインアカウント(例:KSCMobileSrvcUsr)を作成する必要があります。管理サーバーサービスのアカウントは、管理サーバーのインストール時に、または klsrvswch ユーティリティを使用して指定できます。klsrvswch ユーティリティは、管理サーバーのインストールフォルダーにあります。
ドメインアカウントを指定しなければならない理由は次の通りです:
- KES デバイスの管理機能は、管理サーバーにおいて不可欠であるため。
- Kerberos の制約付き委任(KCD)が適切に機能するには、受信側(すなわち管理サーバー)がドメインアカウントで実行される必要があるため。
http/kes4mob.mydom.local のサービスプリンシパル名
ドメインの KSCMobileSrvcUsr アカウントの下で、管理サーバーがインストールされたデバイスのポート 13292 にモバイルプロトコルサービスを発行する SPN を追加します。管理サーバーがインストールされた kes4mob.mydom.local デバイスでは、次のようになります:
setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr
TMG がインストールされたデバイス(tmg.mydom.local)のドメインプロパティの設定
トラフィックを委任するには、SPN(http/kes4mob.mydom.local:13292)によって定義されたサービスに対して TMG がインストールされたデバイス(tmg.mydom.local)を信頼する必要があります。
SPN(http/kes4mob.mydom.local:13292)によって定義されたサービスに対して TMG がインストールされたデバイスを信頼するには、管理者は以下の操作を実行する必要があります:
- 「Active Directory ユーザーとコンピューター」という名前の Microsoft 管理コンソールスナップインで、TMG がインストールされたデバイス(tmg.mydom.local)を選択します。
- デバイスのプロパティの[委任]タブで、[このコンピューターを、指定されたサービスの委任に限って信頼する]トグルを[任意の認証プロトコルを使用する]に設定します。
- [このアカウントが委任された資格情報を提供できるサービス]リストに、SPN(http/kes4mob.mydom.local:13292)を追加します。
公開専用(カスタマイズ済み)の証明書(kes4mob.mydom.global)
管理サーバーのモバイルプロトコルを公開するには、FQDN kes4mob.mydom.global 専用(カスタマイズ済み)の証明書を発行し、管理コンソールにおいて、管理サーバーのモバイルプロトコル設定で、この証明書を既定のサーバー証明書の代わりに指定する必要があります。これを行うには、管理サーバーのプロパティウィンドウの[管理サーバー接続設定]セクションの[追加のポート]で、[モバイルデバイス用ポートを開く]をオンにし、次にドロップダウンリストで[証明書の追加]を選択します。
サーバー証明書のコンテナー(拡張子が p12 または pfx のファイル)には、ルート証明書(公開鍵)のチェーンも含まれる必要があることに留意してください。
TMG での公開の設定
TMG で、モバイルデバイスから kes4mob.mydom.global のポート 13292 へ向かうトラフィックに対して、FQDN kes4mob.mydom.global 用に発行されたサーバー証明書を使用して、SPN(http/kes4mob.mydom.local:13292)の KCD を設定する必要があります。公開中、および公開済みのアクセスポイント(管理サーバーのポート 13292)は、同じサーバー証明書を共有する必要があることに留意してください。