Интернет-справка ESET

Выберите тему

Шлюз удаленных рабочих столов и ESA RADIUS

Сервер шлюза удаленных рабочих столов позволяет пользователям подключаться к удаленным компьютерам в корпоративной сети с любого внешнего компьютера.

Для защиты аутентификации через шлюз удаленных рабочих столов с помощью второго фактора (подтверждения push-уведомлений) используйте ESA RADIUS.

 

Обязательные условия

Сервер аутентификации и RADIUS установлены

Наличие работающего шлюза удаленных рабочих столов (шлюз RD)

 

Интеграция ESA RADIUS с шлюзом удаленных рабочих столов

Интеграция состоит из двух частей: конфигурирования шлюза удаленных рабочих столов и конфигурирования ESA.

Конфигурирование шлюза удаленных рабочих столов — использование сервера политики сети (рекомендуется)

1.Откройте приложение Шлюз диспетчера удаленных рабочих столов.

a.В дереве навигации щелкните правой кнопкой мыши имя компьютера и выберите пункт Свойства.

b.Щелкните Хранилище политики авторизации подключений к удаленным рабочим столам и выберите Центральный сервер политики сети.

c.Введите IP-адрес сервера политики сети, нажмите кнопку Добавить > ОК.

2.Откройте приложение Сервер политик сети.

a.В дереве навигации разверните узел Клиенты и серверы RADIUS, щелкните правой кнопкой мыши Группы внешних серверов RADIUS > Новый.

b.Заполните поле Имя группы.

c.Нажмите Add (Добавить).

i.На вкладке Адрес введите IP-адрес ESA RADIUS в поле Сервер.

ii.На вкладке Аутентификация/Учет выполните следующие действия.

A.Оставьте значение по умолчанию 1812 в поле Порт аутентификации.

B.Заполните поле Общий секрет и введите это же значение в поле Подтверждение общего секрета.

C.Установите флажок рядом с пунктом Запрос должен содержать атрибут средства аутентификации для сообщения.

iii.На вкладке Балансировка нагрузки установите достаточно большое значение (например, 120) для обоих полей: Число секунд без ответа, после которого запрос считается отброшенным и Число секунд между запросами, после которого сервер считается недоступным. Это позволит избежать повторной попытки аутентификации сервером политики сети во время обработки push-запроса (может занять некоторое время).

iv.Нажмите кнопку ОК.

d.Нажмите кнопку ОК.

e.В дереве навигации разверните узел Политики, выберите Политики запросов на подключение, дважды щелкните ПОЛИТИКА АВТОРИЗАЦИИ ПОДКЛЮЧЕНИЙ К ШЛЮЗУ СЛУЖБ ТЕРМИНАЛА.

i.На вкладке Параметры выберите Аутентификация > Перенаправлять запросы на следующую группу внешних RADIUS-серверов для проверки подлинности, а затем выберите группу ESA, созданную на предыдущих этапах.

ii.Нажмите кнопку ОК.

Конфигурация шлюза удаленных рабочих столов — непосредственна интеграция (не рекомендуется)

При применении этого типа интеграции может возникнуть проблема из-за очень короткого времени ожидания соединения с RADIUS. Она приводит к тому, что для одного и того же запроса аутентификации поступает больше push-уведомлений.

1.Откройте приложение Шлюз диспетчера удаленных рабочих столов.

2.В дереве навигации щелкните правой кнопкой мыши имя компьютера, а затем выберите пункт Свойства.

3.Щелкните Хранилище политики авторизации подключений к удаленным рабочим столам, а затем выберите Центральный сервер политики сети.

4.Введите IP-адрес ESA RADIUS (IP-адрес главного компьютера, на котором установлен компонент ESA RADIUS), включая номер порта. Нажмите кнопку Добавить.

5.Заполните поле Общий секрет и нажмите кнопку ОК.

6.Нажмите кнопку ОК.

Конфигурация ESA

1.Авторизуйтесь в ESA Web Console.

2.Выберите Components > RADIUS (Компоненты > RADIUS) и щелкните используемый сервер RADIUS.

3.Нажмите кнопку Create new RADIUS client.

4.Введите нужное имя в поле Name (Имя).

5.В поле IP address (IP-адрес) введите IP-адрес клиента (поставщика сетевых услуг или шлюза удаленных рабочих столов в зависимости от выбранного способа интеграции) в том виде, в котором он отображается для сервера RADIUS.

a.IP-адрес клиента можно найти в файле журнала C:\ProgramData\ESET Secure Authentication On-Prem\logs\Radius.log

b.Найдите в нем следующую строку: «Недействительный пакет аутентификации получен с: <IP address>: <port>.
Вместо <IP address> (<IP-адрес>) и <port> (<порт>) будут указаны фактические IP-адрес и номер порта.

6.В поле Shared secret (Общий секрет) введите тот же общий секрет, который был задан в приложении «Шлюз диспетчера удаленных рабочих столов».

7.В раскрывающемся меню Client Type (Тип клиента) выберите Client validates user name and password (Клиент проверяет имя пользователя и пароль).

8.И установите флажок рядом с пунктом Mobile Application Push.

9.Для параметра Realm (Область) выберите Current AD domain (Текущий домен AD) or  (или) Current AD domain and domains in trust (Текущий домен AD и доверенные домены).

note

Пользователи, не использующие двухфакторную аутентификацию

Если вы хотите разрешить авторизоваться пользователям, для которых не настроен какой-либо тип двухфакторной (Пользователи без двухфакторной аутентификации).

10.Нажмите кнопку Save.

Как это работает

1.Пользователь вводит свои учетные данные для авторизации в домене (первый фактор) в диалоговом окне «Авторизация в шлюзе удаленных рабочих столов».

2.Затем он получает и подтверждает push-уведомление (второй фактор) на своем мобильном телефоне.

3.В следующем диалоговом окне авторизации пользователь вводит свои учетные данные для авторизации на конечном компьютере.