Aide en ligne ESET

Rechercher Français
Sélectionner la rubrique

Passerelle des services Bureau à distance et ESA RADIUS

Un serveur de passerelle des services Bureau à distance permet aux utilisateurs de se connecter à des ordinateurs distants sur un réseau d’entreprise à partir de n’importe quel ordinateur externe.

Utilisez ESA RADIUS pour sécuriser l’authentification via la passerelle des services Bureau à distance avec un deuxième facteur : l’approbation d’une notification push.

 

Conditions préalables requises

Serveur d’authentification et RADIUS installés

Passerelle des services Bureau à distance fonctionnelle

 

Intégration d’ESA RADIUS avec la passerelle des services Bureau à distance

L’intégration se compose de deux parties, la configuration de la passerelle des services Bureau à distance et la configuration d’ESA.

Configuration de la passerelle des services Bureau à distance - Utilisez NPS (recommandé)

1.Ouvrez l’application Gestionnaire de passerelle de Bureau à distance.

a.Dans l’arborescence de navigation, cliquez avec le bouton droit sur le nom de l’ordinateur, puis cliquez sur Propriétés.

b.Cliquez sur Magasin de stratégies d’autorisation des connexions aux services Bureau à distance et sélectionnez Serveur central exécutant NPS.

c.Tapez l’adresse IP du serveur NPS, puis cliquez sur Ajouter > OK.

2.Ouvrez l’application Network Policy Server.

a.Dans l’arborescence de navigation, développez Clients et serveurs RADIUS, cliquez avec le bouton droit sur Groupes de serveurs RADIUS distants, puis cliquez sur Nouveau.

b.Définissez le nom de groupe souhaité.

c.Cliquez sur Ajouter.

i.Dans l’onglet Adresse, tapez l’adresse IP d’ESA RADIUS dans le champ Serveur.

ii.Dans l’onglet Authentification/Comptabilité :

A.Conservez la valeur par défaut 1812 dans le champ Port d’authentification.

B.Saisissez le secret partagé de votre choix dans Secret partagé, puis saisissez-le aussi dans le champ Confirmer le secret partagé.

C.Activez la case à cocher à côté de La demande doit contenir l’attribut d’authentificateur de message.

iii.Dans l’onglet Équilibrage de charge, définissez un nombre raisonnablement élevé (par exemple, 120) pour les champs Nombre de secondes sans réponse avant que la demande ne soit considérée comme abandonnée et Nombre de secondes entre les demandes lorsque le serveur est identifié comme indisponible. Cela permet d’éviter que NPS ne tente à nouveau l’authentification pendant le traitement de la demande push (cela peut prendre un certain temps).

iv.Cliquez sur OK.

d.Cliquez sur OK.

e.Dans l’arborescence de navigation, développez Stratégies, sélectionnez Stratégies de demande de connexion, puis double-cliquez sur STRATÉGIE D’AUTORISATION DE PASSERELLE TS.

i.Dans l’onglet Paramètres, sélectionnez Authentification > Transférer les demandes au groupe de serveurs RADIUS distant suivant pour l’authentification, puis sélectionnez le groupe ESA créé dans les étapes précédentes.

ii.Cliquez sur OK.

Configuration de la passerelle des services Bureau à distance - Intégration directe (non recommandée)

Lorsque ce type d’intégration est appliqué, il peut y avoir un problème avec un délai d’expiration très court pour la communication RADIUS. Cela signifie que davantage de notifications push seraient reçues pour la même demande d’authentification.

1.Ouvrez l’application Gestionnaire de passerelle de Bureau à distance.

2.Dans l’arborescence de navigation, cliquez avec le bouton droit sur le nom de l’ordinateur, puis cliquez sur Propriétés.

3.Cliquez sur Magasin de stratégies d’autorisation des connexions aux services Bureau à distance et sélectionnez Serveur central exécutant NPS.

4.Saisissez l’adresse IP d’ESA RADIUS, qui est l’adresse IP de l’ordinateur hôte sur lequel le composant ESA RADIUS est installé, y compris le numéro de port, puis cliquez sur Ajouter.

5.Définissez le secret partagé de votre choix, puis cliquez sur OK.

6.Cliquez sur OK.

ESA Configuration

1.Connectez-vous à ESA Web Console.

2.Accédez à Components (Composants) > RADIUS, puis cliquez sur le serveur RADIUS que vous utilisez.

3.Cliquez sur Create new RADIUS client.

4.Tapez le nom (Name) de votre choix.

5.Tapez l’adresse IP (IP address) du client (NSP ou passerelle des services Bureau à distance selon la méthode d’intégration choisie) telle que le serveur RADIUS la voit.

a.L’adresse IP du client se trouve dans : C:\ProgramData\\ESET Secure Authenticationlogs\Radius.log

b.Recherchez la chaîne suivante dans ce fichier journal : « Invalid Auth. packet received from : <IP address><port> »
<IP address> et <port> représentent respectivement l’adresse IP réelle et le numéro du port.

6.Dans le champ Shared secret (Secret partagé), tapez le même secret partagé que celui que vous avez configuré dans le Gestionnaire de passerelle de Bureau à distance.

7.Dans le menu déroulant Client Type (Type de client), sélectionnez Client validates user name and password (Le client valide le nom d’utilisateur et le mot de passe).

8.Cochez la case à côté de Mobile Application Push (Push par application mobile).

9.Pour Realm (Domaine), sélectionnez Current AD domain (Domaine AD actuel) ou ( or ) Current AD domain and domains in trust (Domaine AD actuel et domaines approuvés).

note

Utilisateurs n’utilisant pas l’authentification à 2 facteurs

Si vous souhaitez autoriser les utilisateurs n’utilisant pas l’authentification à 2 facteurs à se connecter, sélectionnez également Non-2FA users (Utilisateurs n’utilisant pas l’authentification à 2 facteurs).

10.Cliquez sur Save.

Comment ça marche

1.L’utilisateur saisit ses identifiants de connexion de domaine (premier facteur) dans la boîte de dialogue de connexion de la passerelle des services Bureau à distance.

2.L’utilisateur reçoit et approuve la notification push (deuxième facteur) sur son téléphone mobile.

3.Dans la boîte de dialogue de connexion suivante, l’utilisateur saisit ses identifiants de connexion pour l’ordinateur cible.