Kerberos の制約付き委任(KCD)を使用して KES デバイスをサーバーに接続するスキーム

2024年3月18日

ID 92523

Kerberos の制約付き委任(KCD)を使用して KES デバイスをサーバーに接続するスキームでは、以下を実現します:

  • KCD をサポートする企業ファイアウォールとの統合
  • Kerberos の制約付き委任(以下、「KCD」)を使用したモバイルデバイスの認証
  • 公開鍵基盤(以下、「PKI」)との統合によるユーザー証明書の適用

この接続スキームを使用する場合は、以下に留意してください:

  • KES デバイスの企業ファイアウォールへの接続タイプは「双方向 SSL 認証」でなければなりません。つまり、デバイスは専用のユーザー証明書を介して企業ファイアウォールに接続される必要があります。これを行うには、デバイスにインストールされている Kaspersky Endpoint Security for Android のインストールパッケージに、ユーザー証明書を統合する必要があります。この KES パッケージは、このデバイス(ユーザー)専用の管理サーバーによって作成される必要があります。
  • 次のように、モバイルプロトコルの既定のサーバー証明書ではなく、専用(カスタマイズ済み)の証明書を指定する必要があります:
    1. 管理サーバーのプロパティウィンドウの[管理サーバー接続設定]セクションの[追加のポート]で、[モバイルデバイス用ポートを開く]をオンにし、ドロップダウンリストで[証明書の追加]を選択します。
    2. 表示されたウィンドウで、モバイルプロトコルへのアクセスポイントが管理サーバーで公開された際に企業ファイアウォールに設定されたものと同じ証明書を指定します。
  • KES デバイスのユーザー証明書は、ドメインの Certificate Authority(CA)によって発行される必要があります。ドメインに複数のルート CA が含まれる場合、ユーザ証明書は、企業ファイアウォールの公開に設定されている CA によって発行される必要があることに注意してください。

    以下の方法のいずれかを使用して、ユーザー証明書が、上述の要件を満たしていることを確認できます:

    • 新規パッケージウィザードと証明書インストールウィザードで、専用のユーザー証明書を指定します。
    • 管理サーバーとドメインの PKI を統合し、証明書発行ルールの該当する設定を定義します:
      1. コンソールツリーで、[モバイルデバイス管理]フォルダーを展開し、[証明書]サブフォルダーを選択します。
      2. 証明書]フォルダーの作業領域で[証明書の発行ルールを指定する]をクリックし、[証明書発行ルール]を開きます。
      3. PKI(公開鍵基盤)の統合]セクションで、公開鍵基盤との統合を設定します。
      4. モバイル証明書の発行]セクションで、証明書のソースを指定します。

以下を前提とした Kerberos の制約付き委任(KCD)の設定例を次に示します:

  • 管理サーバーのモバイルプロトコルへのアクセスポイントがポート 13292 に設定されている。
  • 企業ファイアウォールを備えたデバイスの名前は、firewall.mydom.local です
  • 管理サーバーがインストールされたデバイスの名前が ksc.mydom.local である。
  • モバイルプロトコルへのアクセスポイントの外部公開名が kes4mob.mydom.global である。

管理サーバーのドメインアカウント

管理サーバーサービスが実行されるドメインアカウント(例:KSCMobileSrvcUsr)を作成する必要があります。管理サーバーサービスのアカウントは、管理サーバーのインストール時に、または klsrvswch ユーティリティを使用して指定できます。klsrvswch ユーティリティは、管理サーバーのインストールフォルダーにあります。既定のインストールパス:<Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center。

ドメインアカウントを指定しなければならない理由は次の通りです:

  • KES デバイスの管理機能は、管理サーバーにおいて不可欠であるため。
  • Kerberos の制約付き委任(KCD)が適切に機能するには、受信側(すなわち管理サーバー)がドメインアカウントで実行される必要があるため。

http/kes4mob.mydom.local のサービスプリンシパル名

ドメインの KSCMobileSrvcUsr アカウントの下で、管理サーバーがインストールされたデバイスのポート 13292 にモバイルプロトコルサービスを発行する SPN を追加します。管理サーバーがインストールされた kes4mob.mydom.local デバイスでは、次のようになります:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

企業ファイアウォールを備えたデバイス(firewall.mydom.local)のドメインプロパティを設定します

トラフィックを委任するには、SPN で定義されたサービス(http/kes4mob.mydom.local:13292)に対して企業ファイアウォール(firewall.mydom.local)を備えたデバイスを信頼する必要があります。

SPN で定義されたサービス(http/kes4mob.mydom.local:13292)に対して企業ファイアウォールを備えたデバイスに信頼するには、管理者は以下の操作を実行する必要があります:

  1. 「Active Directory Users and Computers」という名前の Microsoft 管理コンソールスナップインで、企業ファイアウォールがインストールされているデバイス(firewall.mydom.local)を選択します。
  2. デバイスのプロパティの[委任]タブで、[このコンピューターを、指定されたサービスの委任に限って信頼する]トグルを[任意の認証プロトコルを使用する]に設定します。
  3. このアカウントが委任された資格情報を提供できるサービス]リストに、SPN(http/kes4mob.mydom.local:13292)を追加します。

公開専用(カスタマイズ済み)の証明書(kes4mob.mydom.global)

管理サーバーのモバイルプロトコルを公開するには、FQDN kes4mob.mydom.global 専用(カスタマイズ済み)の証明書を発行し、管理コンソールにおいて、管理サーバーのモバイルプロトコル設定で、この証明書を既定のサーバー証明書の代わりに指定する必要があります。これを行うには、管理サーバーのプロパティウィンドウの[管理サーバー接続設定]セクションの[追加のポート]で、[モバイルデバイス用ポートを開く]をオンにし、次にドロップダウンリストで[証明書の追加]を選択します。

サーバー証明書のコンテナー(拡張子が p12 または pfx のファイル)には、ルート証明書(公開鍵)のチェーンも含まれる必要があることに留意してください。

企業ファイアウォールでの公開の設定

企業ファイアウォール上で、モバイルデバイス側から kes4mob.mydom.global の 13292 番ポートに向かうトラフィックについては、FQND の kes4mob.mydom.global に対して発行されたサーバー証明書を使用して、SPN(http/kes4mob.mydom.local:13292)に KCD を設定する必要があります。公開中、および公開済みのアクセスポイント(管理サーバーのポート 13292)は、同じサーバー証明書を共有する必要があることに留意してください。

関連項目:

公開鍵基盤との統合

管理サーバーへのインターネットアクセス

管理サーバーが LAN 内にありインターネット経由で管理対象デバイスに接続している構成(ファイアウォールを使用)

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。