Remote Desktop Gateway ed ESA RADIUS
Remore Desktop Gateway Server consente agli utenti di effettuare la connessione a computer remoti su una rete aziendale da un qualsiasi computer esterno.
Utilizzare ESA RADIUS per proteggere l'autenticazione attraverso Remote Desktop Gateway (RD Gateway) con un secondo fattore - approvazione di notifica push.
Prerequisiti
•Server di autenticazione e RADIUS installati
•Remote Desktop Gateway (RD Gateway) (Gateway Desktop remoto) operativo
Integrazione di ESA RADIUS con RD Gateway
L'integrazione è costituita da due parti, configurazione di RD Gateway e configurazione ESA.
Configurazione di RD Gateway: utilizzare NPS (scelta consigliata)
1.Aprire l'applicazione Remote Desktop Manager Gateway.
a.Nella struttura di navigazione, fare clic con il pulsante destro del mouse sul nome del computer e su Proprietà.
b.Fare clic su RD CAP Store e selezionare Server centrale su cui è in esecuzione NPS.
c.Inserire l'indirizzo IP del server NPS e fare clic su Aggiungi > OK.
2.Aprire l'applicazione Network Policy Server.
a.Nella struttura di navigazione espandere i client e i server RADIUS, fare clic con il pulsante destro del mouse su Gruppi server RADIUS remoti > Nuovo.
b.Definire il Nome del gruppo desiderato.
c.Fare clic su Aggiungi.
i.Nella scheda Indirizzo, digitare l'indirizzo IP di ESA RADIUS nel campo Server.
ii.Nella scheda Autenticazione/Contabilità:
A.Lasciare il valore predefinito di 1812 nel campo Porta di autenticazione.
B.Definire un Segreto condiviso desiderato e digitarlo anche in Conferma segreto condiviso.
C.Selezionare la casella di controllo accanto a La richiesta deve contenere l'attributo dell'autenticatore del messaggio.
iii.Nella scheda Bilanciamento del carico, impostare un numero ragionevolmente alto (ad es. 120) sia per il campo Numero di secondi senza risposta prima che la richiesta venga considerata non elaborata sia per il campo Numero di secondi tra le richieste in caso di identificazione del server come non disponibile. Ciò impedisce a NPS di provare a eseguire nuovamente l'autenticazione mentre la richiesta push viene gestita (l'operazione potrebbe richiedere alcuni istanti).
iv.Fare clic su OK.
d.Fare clic su OK.
e.Nella struttura di navigazione espandere Criteri, selezionare Criteri di richiesta di connessione e fare doppio clic sul CRITERIO DI AUTORIZZAZIONE TS GATEWAY.
i.Nella scheda Impostazioni, selezionare Autenticazione > Inoltra le richieste al seguente gruppo di server RADIUS remoto per l'autenticazione e selezionare il gruppo ESA creato nei passaggi precedenti.
ii.Fare clic su OK.
Configurazione di RD Gateway: integrazione diretta (scelta non consigliata)
In caso di applicazione di questo tipo di integrazione, potrebbe essersi verificato un problema con un timeout di comunicazione RADIUS molto breve. Ciò significa che verranno ricevute altre notifiche push per la stessa richiesta di autenticazione.
1.Aprire l'applicazione Remote Desktop Manager Gateway.
2.Nella struttura di navigazione, fare clic con il pulsante destro del mouse sul nome del computer, quindi su Proprietà.
3.Fare clic su RD CAP Store e selezionare Server centrale su cui è in esecuzione NPS.
4.Inserire l'indirizzo IP di ESA RADIUS, ovvero l'indirizzo IP del computer host su cui è installato il componente ESA RADIUS, compreso il numero della porta. Fare clic su Aggiungi.
5.Definire un Segreto condiviso desiderato e fare clic su OK.
6.Fare clic su OK.
Configurazione ESA
1.Effettuare l’autenticazione a ESA Web Console.
2.Portarsi in Components (Componenti) > RADIUS e fare clic sul server RADIUS utilizzato.
3.Fare clic su Create new RADIUS client.
4.Digitare un Name (Nome) desiderato.
5.Inserire l'IP address (indirizzo IP) del client (NSP o RD Gateway in base al metodo di integrazione scelto), come lo rileva il server RADIUS.
a.L'indirizzo IP del client può essere trovato in: C:\ProgramData\ESET Secure Authentication On-Prem\logs\Radius.log
b.Ricercare la seguente stringa nel file di rapporto: "Autenticazione non valida. Pacchetto ricevuto da: <IP address><port>“
I campi <IP address> (Indirizzo IP) e <port> (Porta) rappresenteranno l'indirizzo IP e il numero della porta reali.
6.Nel campo Shared secret (Segreto condiviso), inserire lo stesso segreto condiviso configurato in Remote Desktop Manager Gateway.
7.Nel menu a discesa Client Type (Tipo di client), selezionare Client validates user name and password (Il client convalida il nome utente e la password).
8.Selezionare la casella di controllo accanto a Mobile Application Push (Push applicazione mobile).
9.Per Realm (Area di autenticazione), selezionare Current AD domain (Dominio AD corrente) or (o)Current AD domain and domains in trust (Dominio AD corrente e domini attendibili).
Utenti non 2FA Se si desidera consentire agli utenti che non sono configurati per nessun tipo di 2FA di effettuare l’autenticazione, selezionare anche gli Non-2FA users (Utenti non 2FA). |
10.Fare clic su Save.
Come funziona
1.L'utente inserisce le proprie credenziali di accesso al dominio (primo fattore) nella finestra di dialogo di autenticazione a RD Gateway.
2.L'utente riceve e approva la notifica push (secondo fattore) sul proprio telefono cellulare.
3.Nella finestra di dialogo di autenticazione successiva, l'utente inserisce le proprie credenziali di accesso per il computer di destinazione.