О некоторых особенностях работы Kaspersky iOS MDM

Приветствую, коллеги.

Сегодня речь пойдет о Kaspersky iOS MDM Server, который поставляется вместе с корпоративной линейкой продуктов Kaspersky Endpoint Security.

iOS MDM Server предназначен для управления корпоративными устройствами на базе iOS – айфоны и айпэды. Вкратце – вы генерируете специальный профиль подключения к серверу, пользователь на своем устройстве его устанавливает и таким образом связывает свой айфон с сервером компании. MDM – это Mobile Device Management, т.е. после подключения устройства к серверу администратор может им управлять в рамках настроек, заданным в конфигурационном профиле. Например, задавать настройки подключения к WiFi, прописывать сертификаты, включать\отключать\удалять приложения и функции, блокировать устройство. В общем, все просто и понятно и актуально для России, поскольку зарубежные ios mdm серверы (от Apple и другие) у нас недоступны.

Инструкции по установке всех необходимых сертификатов и работе с mdm сервером есть на сайте Касперского, например, здесь. Перейдем теперь к неожиданным особенностям. А они есть, и очень неожиданные!

Kaspersky iOS MDM Server некорректно работает при использовании wildcard сертификата. Проявляется это так: пробуем создать новое мобильное устройство, задаем сертификат средствами сервера администрирования в составе iOS MDM профиля – получаем ссылку на инсталляционный пакет. Ссылка получается вот такой:

https://*.external.domain.ru:8061/dlssppkg?id=149F4545FBAFA52CE98DA61582104E9D6DE667BF4F42A882BB7E8D98B1ED5F9E

при переходе в браузер трансформируется в

https://%2A.external.domain.ru:8061/dlssppkg?id=149F4545FBAFA52CE98DA61582104E9D6DE667BF4F42A882BB7E8D98B1ED5F9E

Здесь external.domain.ru – та часть, которая прописана в wildcard сертификате и в настройках KSC. Под звездочкой скрывается имя сервера, т.е. действительно формируется именно такая ссылка. Соответственно, по такому URL никуда перейти нельзя, получить mdm профиль не получится.

Смотрим скриншот настроек:

ksc01

Указан wildcard сертификат, и правильное доменное имя, но в сумме – не работает. Казалось бы, достаточно вместо * в ссылку подставить srv-av01

https://srv-av01.external.domain.ru:8061/dlssppkg?id=149F4545FBAFA52CE98DA61582104E9D6DE667BF4F42A882BB7E8D98B1ED5F9E

– и готово. Но нет, в этом случае встроенный веб-сервер Касперского не отвечает на запросы вообще. Зато отвечает на запросы по адресу

https://srv-av01.internal.domain.ru:8061

– можно вытащить заветный профиль. Если у вас split dns, то вам повезло! Попытка в этом окне задать другие настройки ни к чему не приводит – в любом случае генерируется некорректный URL. Причина этого поведения в том, что wildcard сертификат указывался еще на самом первом этапе – генерации необходимых для сервера сертификатов от Касперского и Apple. Текущая рекомендация компании – использовать самоподписанные сертификаты. Использовать сертификат с одним CN я не пробовал.

Если описанных проблем нет и вы удачно скачали профиль .mobileconfig, то установить на устройство его все равно не выйдет! На iOS 9.2 и старше это приведет к ошибке:

image1

Установка через Apple configurator тоже будет неудачной:

Failed to parse profile data. Error: NSError:

Баг выявлен в новой версии MDM сервера – 10.3.407, на предыдущих версиях такой проблемы не было. С чем конкретно это связано – не ясно, но можно открыть .mobileconfig текстовым редактором и поправить 2 строки по образцу:

Было:

<key>PayloadDescription</key>
<string>Kaspersky Иван Иванов’s mdm profile</string>
<key>PayloadDisplayName</key>
<string>Kaspersky Иван Иванов’s mdm profile</string>

Стало:

<key>PayloadDescription</key>
<string>Kaspersky mdm profile</string>
<key>PayloadDisplayName</key>
<string>Kaspersky mdm profile</string>

Или заменить кириллическое написание латиницей. Кодировка конфига – UTF-8.

Кстати, в новой iOS 10.0.1 операционная система не распознает конфигурационные профили, содержащие символы национальных алфавитов. Т.е., даже ошибок не будет, система считает такой .mobileconfig за обычный текстовый файл.

Успехов!

© Роман Балабан, 2016.

P.S. Ответ от технического инженера Лаборатории Касперского:

На данный момент, к сожалению, сертификаты с wildcard не поддерживаются, необходимо использовать именно сертификат с FQDN компьютера.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s