ESETオンラインヘルプ

トピックを選択

リモートデスクトップゲートウェイとESA RADIUS

リモートデスクトップゲートウェイサーバーを使用すると、ユーザーは任意の外部コンピューターから企業ネットワーク上のリモートコンピューターに接続できます。

2番目の要素(プッシュ通知の承認)を使用して、ESA RADIUSを使用したリモートデスクトップゲートウェイ(RDゲートウェイ)を経由で認証を保護します。

 

前提条件

ESA RADIUSとRDゲートウェイの統合

統合は、RDゲートウェイ設定とESA設定の2つの部分で構成されています。

RDゲートウェイの構成 - NPSを使用(推奨)

  1. Remote Desktop Manager Gatewayアプリケーションを開きます。
    1. ナビゲーションツリーで、コンピューター名を右クリックし、プロパティをクリックします。
    2. RD CAPストアをクリックし、NPSを実行している中央サーバーを選択します。
    3. NPSサーバーのIPアドレスを入力し、追加をクリックして、OKをクリックします。
  2. Network Policy Serverアプリケーションを開きます。
    1. ナビゲーションツリーで、RADIUSクライアントとサーバーを展開し、リモートRADIUSサーバーグループを右クリックして、新規を選択します。
    2. 任意のグループ名を定義します。
    3. [追加]をクリックします。
      1. アドレスタブでサーバーフィールドにESA RADIUSのIPアドレスを入力します。
      2. 認証/アカウンティングタブで、次の操作を行います。
        1. 認証ポートフィールドは既定値値の1812のままにします。
        2. 任意の共有シークレットを定義し、共有シークレットの確認にも入力します。
        3. 要求にメッセージ認証ツール属性を含める必要があるの横にあるチェックボックスを選択します。
      3. ロードバランシングタブで、要求がドロップされたと見なされるまでの応答がない秒数フィールドとサーバーが使用不可として識別された場合の要求の間隔の秒数フィールドに、適度に高い数値(120など)を設定します。これは、プッシュ要求の処理中にNPSが認証を再試行するのを防ぐためです(時間がかかる場合があります)。
      4. OKをクリックします。
    4. OKをクリックします。
    5. ナビゲーションツリーで、ポリシーを展開し、接続要求ポリシーを選択して、TSゲートウェイ認証ポリシーをダブルクリックします。
      1. 設定タブで、認証 > 認証で次のリモートRADIUSサーバグループにリクエストを転送を選択し、前の手順で作成したESAグループを選択します。
      2. OKをクリックします。

RDゲートウェイの構成 - 直接統合(非推奨)

このタイプの統合を適用すると、RADIUS通信タイムアウトが非常に短くなるという問題が発生する可能性があります。つまり、同じ認証要求に対して受信するのプッシュ通知が多くなります。

  1. Remote Desktop Manager Gatewayアプリケーションを開きます。
  2. ナビゲーションツリーで、コンピューター名を右クリックし、プロパティをクリックします。
  3. RD CAPストアをクリックし、NPSを実行している中央サーバーを選択します。
  4. ESA RADIUSコンポーネントがインストールされているホストコンピューターのIPアドレスであるESA RADIUS IPアドレス(ポート番号を含む)を入力します。[追加]をクリックします。
  5. 任意の共有シークレットを定義し、OKをクリックします。
  6. OKをクリックします。

ESA設定

  1. ESACWebコンソールにログインします。
  2. Components > RADIUSに移動し、使用するRADIUSサーバーをクリックします。
  3. Create new RADIUS clientをクリックします。
  4. 任意のNameを入力します。
  5. RADIUSサーバーに表示されるクライアントのIP address(選択した統合方法に応じてNSPまたはRDゲートウェイ)を入力します。
    1. クライアントのIPアドレスは、次の場所にあります。C:\ProgramData\ESET Secure Authentication\logs\Radius.log
    2. ログファイルで次の文字列を検索します。Invalid Auth. packet received from : <IP address>:<port>
      <IP address>と<port>は、実際のIPアドレスとポート番号を表します。
  6. Shared secretフィールドに、Remote Desktop Manager Gatewayで設定したのと同じ共有シークレットを入力します。
  7. Client TypeドロップダウンメニューでClient validates user name and passwordを選択します。
  8. Mobile Application Pushの横のチェックボックスをオンにします。
  9. Realmで、Current AD domain or Current AD domain and domains in trustを選択します。

note

非二要素認証ユーザー

どの二要素認証タイプも設定されていないユーザーのログインを許可する場合は、Non-2FA usersも選択します。
  1. Saveをクリックします。

仕組み

  1. ユーザーがRDゲートウェイのログインダイアログにドメインログイン資格情報(第1要素)を入力します。
  2. ユーザーは、スマートフォンでプッシュ通知(第2要素)を受信して承認します。
  3. その後のログインダイアログで、ユーザーがターゲットコンピューターのログイン資格情報を入力します。