Шлюз віддаленого робочого стола й ESA RADIUS

Шлюзовий сервер віддаленого робочого стола дає користувачам змогу підключатися до віддалених комп’ютерів у корпоративній мережі з будь-якого зовнішнього комп’ютера.

Використовуйте ESA RADIUS, щоб забезпечити автентифікацію за допомогою шлюзу віддаленого робочого стола (шлюзу RD) і підтвердження запитів у push-сповіщеннях як другого фактора.

 

Попередні вимоги

Authentication Server і RADIUS інстальовано

Робочий шлюз віддаленого робочого стола (RD Gateway)

 

Інтеграція ESA RADIUS і шлюзу віддаленого робочого стола

Інтеграція проходить у два етапи: конфігурація шлюзу віддаленого робочого стола та налаштування ESA.

Конфігурація шлюзу віддаленого робочого стола з використанням NPS (рекомендовано)

1.Відкрийте програму Remote Desktop Manager Gateway.

a.У дереві навігації натисніть правою кнопкою миші ім’я комп’ютера та виберіть пункт Properties.

b.Натисніть RD CAP Store та виберіть Central server running NPS.

c.Введіть IP-адресу сервера NPS і натисніть Add > OK.

2.Відкрийте програму Network Policy Server.

a.У дереві навігації розгорніть вузол RADIUS Clients and Servers і натисніть правою кнопкою миші Remote RADIUS Server Groups > New.

b.Укажіть бажану назву групи.

c.Натисніть кнопку Add (Додати).

i.На вкладці Address введіть IP-адресу ESA RADIUS у полі Server.

ii.На вкладці Authentication/Accounting:

A.Залиште в полі Authentication port значення за замовчуванням – "1812".

B.Задайте бажаний спільний секрет у полі Shared secret і повторно введіть його в полі Confirm shared secret.

C.Установіть прапорець Request must contain the message authenticator attribute.

iii.На вкладці Load balancing установіть для параметрів Number of seconds without response before request is considered dropped і Number of seconds between requests when server is identified as unavailable достатньо високі значення (наприклад, 120), щоб запобігти спробам повторної автентифікації під час обробки push-запиту (вона може тривати певний час).

iv.Натисніть OK.

d.Натисніть OK.

e.У дереві навігації розгорніть вузол Policies, виберіть Connection Request Policies і двічі натисніть TS GATEWAY AUTHORIZATION POLICY.

i.На вкладці Settings натисніть Authentication > Forward requests to the following remote RADIUS server group for authentication. Виберіть створену групу ESA.

ii.Натисніть OK.

Конфігурація шлюзу віддаленого робочого стола з прямою інтеграцією (не рекомендовано)

За цього типу інтеграції можуть виникати проблеми з дуже коротким часом очікування зв’язку з RADIUS, тобто для того самого запиту автентифікації надходитиме більше push-сповіщень.

1.Відкрийте програму Remote Desktop Manager Gateway.

2.У дереві навігації натисніть правою кнопкою миші ім’я комп’ютера та виберіть пункт Properties.

3.Натисніть RD CAP Store та виберіть Central server running NPS.

4.Введіть IP-адресу ESA RADIUS (тобто IP-адресу головного комп’ютера, на якому інстальовано компонент ESA RADIUS) разом із номером порту. Натисніть Add.

5.Задайте бажаний спільний секрет у полі Shared secret. Натисніть OK.

6.Натисніть OK.

Конфігурація ESA

1.Увійдіть на ESA Web Console.

2.Перейдіть до розділу Components > RADIUS і виберіть сервер RADIUS, який ви використовуєте.

3.Натисніть Create new RADIUS client.

4.У полі Name введіть потрібне ім’я.

5.У полі IP address введіть IP-адресу клієнта (шлюзу RD або NSP, залежно від вибраного методу інтеграції), яку використовує сервер RADIUS.

a.IP-адресу клієнта можна знайти тут: C:\ProgramData\ESET Secure Authentication\logs\Radius.log

b.Знайдіть у цьому файлі журналу такий рядок: "Invalid Auth. packet received from : <IP address>:<port>"
Значення <IP address> і <port> – це ваша IP-адреса та номер порту.

6.У полі Shared secret введіть спільний секрет, заданий у Remote Desktop Manager Gateway.

7.У розкривному меню Client Type виберіть Client validates user name and password.

8.І встановіть прапорець поруч із пунктом Mobile Application Push.

9.У полі Realm виберіть Current AD domain or Current AD domain and domains in trust.


note

Користувачі без 2FA

Щоб дозволити користувачам без 2FA входити в систему, виберіть Non-2FA users.

10.Натисніть Save.

Принцип роботи

1.Користувач вводить у діалоговому вікні шлюзу віддаленого робочого стола свої облікові дані для входу в домен (перший фактор автентифікації).

2.Користувач отримує й підтверджує на своєму мобільному телефоні запит у вигляді push-сповіщення (другий фактор).

3.У наступному діалоговому вікні користувач вводить облікові дані для входу на потрібному комп’ютері.