Поддержка Kerberos с огранич. делегированием (KCD) для идентификации по сертификатам

Мобильный Enterprise Gateway (MEG) поддерживает Kerberos Constrained Delegation (KCD) для сайтов внутренней сети, для которых требуются идентификационные данные пользователя.

For Мобильный Enterprise Gateway (MEG) 2.90 and earlier, Мобильный Enterprise Gateway (MEG) uses Kerberos authentication with user name and password credentials to retrieve Kerberos tokens. Если пользователь не использует имя пользователя и пароль, Мобильный Enterprise Gateway (MEG) не сможет получить ключ Kerberos из пользовательского сертификата.

В выпуске Мобильный Enterprise Gateway (MEG) 2.91 провайдер идентификации Kerberos Мобильный Enterprise Gateway (MEG) теперь использует специальные учетные записи домена или делегирование Kerberos Constrained Delegation (KCD), чтобы олицетвовать пользователя во время аутентификации Kerberos, чтобы пользователю не пришлось повторно вводить свои учетные данные для доступа к сайту во время аутентификации сертификата.

Для делегирования Kerberos с ограничением (KCD) администратор должен настроить права делегирования в среде Kerberos для делегированных учетных записей. Когда пользователь идентифицирует Мобильный Enterprise Gateway (MEG) с помощью сертификата, Мобильный Enterprise Gateway (MEG) конфигурируется с использованием делегированной учетной записи, которая получает служебные паспорта навалом с сервера Kerberos. Мобильный Enterprise Gateway (MEG) отправляет эти паспорта аутентифицированным пользователям и позволяет этим пользователям обращаться к ресурсам (делегировать идентификацию), не предоставя свои учетные данные.
Прим.:
  • Только пользователь, аутентифицированный в Мобильный Enterprise Gateway (MEG) с сертификатом идентификации, является олицетворным. Пользователь, аутентифицированный в Мобильный Enterprise Gateway (MEG) с именем пользователя и паролем, по-прежнему использует текущий механизм аутентификации Kerberos.
  • Если сертификат идентификации, используемый для идентификации Мобильный Enterprise Gateway (MEG) , является PKI третьей стороны (не MaaS360 Certificate), администратор должен включить параметр Проверка информации о пользователе для корпоративного каталога в Инструмент конфигурированияCloud Extender.
  • Мобильные агенты должны поддерживать аутентификацию на основе сертификата Мобильный Enterprise Gateway (MEG) как минимум.
  • Если для работы с олицетворениями Kerberos используется учетная запись службы, то эта учетная запись должна быть сконфигурирована с соответствующими правами делегирования.
  • Для выпуска Мобильный Enterprise Gateway (MEG) 2.91 Kerberos Constrained Delegation (KCD) поддерживает только одну учетную запись KCD и может использоваться только в одном домене/лесу. Доступ ко всем ресурсам HTTP осуществляется через эту учетную запись олицетворения.
  • Если идентификационные данные учетной записи делегирования введены неправильно, то Мобильный Enterprise Gateway (MEG) выводит на экран страницу состояния с неавторизованным именем 401 и показывает сообщение об ошибке в файле журнала. Параметр Имя пользователя учетной записи не должен уметь олицетвовать учетные записи, помеченные Конфиденциальный в Active Directory.
  • Убедитесь, что файл krb5.conf в каталоге \ProgramData \ Cloud Extender\AR\DATA содержит следующий параметр: forwardable=true

Включение делегирования с ограничением Kerberos (KCD)

  1. В Инструмент конфигурированияCloud Extenderперейдите в раздел Enterprise Gateway. Появится параметр Делегирование с ограничениями Kerberos .
    Параметр Kerberos с огранич. делегированием (KCD)
  2. Включите переключатель Включить идентификацию KCD . Будут показаны следующие параметры:
    Параметр Kerberos с огранич. делегированием (KCD)
  3. Если Мобильный Enterprise Gateway (MEG) сконфигурирован для использования аутентификации Active Directory:
    1. Включите переключатель Использовать учетную запись службы , который автоматически заполняет поля Имя пользователя учетной записи и Пароль учетной записи делегата . Эти значения-те же значения, которые сконфигурированы для учетной записи службы при установке Cloud Extender . Эти значения изменять нельзя.
    2. Щелкните по Далее. Инструмент конфигурированияCloud Extender проверяет идентификационные данные, введенные для учетной записи. Когда пользователь обращается к сайту Kerberos, паспорт Kerberos получает от имени пользователя настроенный учетную запись службы KCD.
    Если Мобильный Enterprise Gateway (MEG) сконфигурирован для использования аутентификации LDAP:
    • Поля Имя пользователя учетной записи и Пароль учетной записи делегата разрешены и изменяются. Щелкните по Далее. Инструмент конфигурированияCloud Extender проверяет идентификационные данные, введенные для учетной записи. Когда пользователь обращается к сайту Kerberos, паспорт Kerberos получает от имени пользователя настроенный учетную запись службы KCD.