Remote Desktop Gateway a ESA RADIUS
Remote Desktop Gateway Server umožňuje používateľom pripojiť sa k vzdialeným počítačom vo firemnej sieti z ľubovoľného externého počítača.
ESA RADIUS zabezpečuje autentifikáciu Remote Desktop Gateway (RD Gateway) druhým faktorom – schválenie push notifikácie.
Prerekvizity
•Nainštalovaný autentifikačný server a RADIUS
•Funkčný Remote Desktop Gateway (RD Gateway)
Integrácia ESA RADIUS s RD Gateway
Integrácia pozostáva z dvoch častí: konfigurácia RD Gateway a konfigurácia ESA.
Konfigurácia RD Gateway – použite NPS (odporúčané)
1.Otvorte aplikáciu Remote Desktop Manager Gateway.
a.V stromovej štruktúre kliknite pravým tlačidlom myši na názov počítača a následne kliknite na Properties.
b.Kliknite na RD Cap Store a vyberte Central server running NPS.
c.Zadajte IP adresu NPS servera a kliknite na Add > OK.
2.Otvorte aplikáciu Network Policy Server.
a.V stromovej štruktúre rozbaľte sekciu RADIUS Clients and Servers a kliknite pravým tlačidlom na Remote RADIUS Server Groups > New.
b.Zadajte názov skupiny do Group name.
c.Kliknite na Add.
i.Na karte Address zadajte IP adresu pre ESA RADIUS do poľa Server.
ii.Na karte Authentication/Accounting:
A.Ponechajte predvolenú hodnotu 1812 v poli Authentication port.
B.Definujte Shared secret (zdieľaná tajná informácia) a zadajte ju aj do poľa Confirm shared secret.
C.Označte možnosť Request must contain the message authenticator attribute.
iii.Na karte Load balancing nastavte primerane vysoké číslo (napr. 120) do polí Number of seconds without response before request is considered dropped a Number of seconds between requests when server is identified as unavailable. Toto nastavenie slúži na to, aby sa NPS nepokúšal opakovane vykonať overenie počas plnenia push požiadavky (môže to trvať nejaký čas).
iv.Kliknite na OK.
d.Kliknite na OK.
e.V stromovej štruktúre rozbaľte sekciu Policies, vyberte možnosť Connection Request Policies a dvakrát kliknite na TS GATEWAY AUTHORIZATION POLICY.
i.V sekcii Settings vyberte možnosť Authentication > Forward requests to the following remote RADIUS server group for authentication a vyberte skupinu ESA vytvorenú v predchádzajúcich krokoch.
ii.Kliknite na OK.
Konfigurácia RD Gateway – priama integrácia (neodporúča sa)
Pri použití tohto typu integrácie sa môže vyskytnúť problém s veľmi krátkym časovým limitom komunikácie RADIUS. Znamená to, že by prichádzalo viacero push notifikácií pre rovnakú požiadavku na overenie.
1.Otvorte aplikáciu Remote Desktop Manager Gateway.
2.V stromovej štruktúre kliknite pravým tlačidlom myši na názov počítača a následne kliknite na Properties.
3.Kliknite na RD Cap Store a vyberte Central server running NPS.
4.Zadajte IP adresu ESA RADIUS, ktorá je IP adresou hostiteľského počítača, kde je nainštalovaný komponent ESA RADIUS, a číslo portu. Kliknite na Add.
5.Definujte Shared secret (zdieľaná tajná informácia) a kliknite na OK.
6.Kliknite na OK.
Konfigurácia ESA
1.Prihláste sa do ESA Web Console.
2.Prejdite do sekcie Components > RADIUS a kliknite na server RADIUS, ktorý používate.
3.Kliknite na Create new RADIUS client.
4.Zadajte názov do poľa Name.
5.Zadajte IP adresu klienta do poľa IP address (NSP alebo RD Gateway v závislosti od zvolenej metódy integrácie) z pohľadu servera RADIUS.
a.IP adresa klienta sa nachádza v umiestnení C:\ProgramData\ESET Secure Authentication On-Prem\logs\Radius.log.
b.V tomto protokole vyhľadajte nasledujúci reťazec: "Invalid Auth. packet received from : <IP address>:<port>".
<IP address> a <port> budú predstavovať skutočnú IP adresu a číslo portu.
6.Do poľa Shared secret zadajte zdieľanú tajnú informáciu, ktorú ste nastavili v Remote Desktop Manager Gateway.
7.Z rozbaľovacej ponuky Client Type vyberte možnosť Client validates user name and password.
8.Označte začiarkavacie políčko vedľa položky Mobile Application Push.
9.Pre Realm vyberte Current AD domain alebo Current AD domain and domains in trust.
Používatelia bez 2FA Ak chcete umožniť používateľom, pre ktorých nie je nakonfigurovaný žiadny typ 2FA, aby sa mohli prihlásiť, označte takisto možnosť Non-2FA users. |
10.Kliknite na Save.
Ako to funguje
1.Používateľ zadá svoje prihlasovacie údaje do domény (prvý faktor) v prihlasovacom okne RD Gateway.
2.Používateľ schváli push notifikáciu (druhý faktor) na svojom mobilnom telefóne.
3.V nasledujúcom prihlasovacom okne používateľ zadá svoje prihlasovacie údaje pre cieľový počítač.