Информационный портал по безопасности » Админитстрирование » Системное администрирование » Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS

 

Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS

Автор: admin от 14-11-2017, 07:10, посмотрело: 511

В нашей прошлой статье мы рассказывали о настройке двухфакторной аутентификации в VMware Horizon View на основе PKI-инфраструктуры и x509-сертификатов. Сегодня рассмотрим другой вариант 2FA-аутентификации — одноразовые пароли (OTP). Использование PKI-технологии, возможно, более надежное, но в наш век всеобщей мобильности и тенденции BYOD, когда пользователям нужно получать доступ к информационным ресурсам с любых устройств, включая мобильные, использование технологии PKI не всегда удобно, а иногда совсем невозможно. Поэтому аутентификация по одноразовым паролям (OTP) набирает всё большую популярность.

JaCarta Authentication Server (JAS). В качестве аутентификатора (средства генерации OTP) могут выступать:




  • программный токен (google authenticator для смартфонов под управлением iOS, Android, Windows);


  • физический токен с USB-портом (JaCarta WebPass, Yubikey и другие);


  • физический токен без USB-порта (eToken Pass и другие).



Поддерживаются следующие алгоритмы генерации OTP:




  • RFC 4226 + HMAC-SHA-1 (6 символов);


  • RFC 4226 + HMAC-SHA-256 (6 символов);


  • RFC 4226 + HMAC-SHA-256 (7 символов);


  • RFC 4226 + HMAC-SHA-256 (8 символов).



Также существует возможность подключить СМС-шлюз и получать одноразовые пароли в виде СМС-сообщений.



Как и в прошлый раз предполагается, что VDI в рамках VMware Horizon View уже развернут и настроен на простую парольную аутентификацию. Также уже установлен и настроен сервер JAS и NTP-плагин для него. А для пользователей заведены программные или аппаратные токены. Об установке и настройке JAS у нас есть большой скучный документ, входящий в комплект поставки.



Далее мы покажем как легко и просто связать имеющийся сервер JAS с сервером VMware Horizon View и реализовать OTP-аутентификацию.



Ход настройки



На сервере, где установлен JAS и NPS-плагин, перейдите в оснастку Network Policy Server и добавьте новый RADIUS Client.



Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS


Задайте Friendly name, IP-адрес Horizon View Connection Server и общий Shared secret.



Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS


Перейдите на сервер VMware View, откройте консоль администрирования View Connection Server.



Перейдите в View Configuration Servers Connection Servers.



Выберите необходимый сервер аутентификации и нажмите кнопку Edit.



Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS


В открывшемся окне перейдите во вкладку Authentication. В разделе Advanced Authentication 2-factor authentication выберите из выпадающего меню RADIUS.



Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS


Снимите чек-боксы со значений Enforce 2-factor and Windows user name matching и Use the same user name and password for RADIUS and Windows authentication.



Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS


Нажмите кнопку Manage Authenticators. В новом окне кликните по кнопке Add…



Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS


Заполните поля Label — Название сервера, отображаемое клиенту, Hostname/address — адрес NPS-сервера с OTP-плагином, Shared Secret. Authentication type – PAP.



Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS


Теперь настройка окончена, необходимо выполнить проверку.



Проверка работоспособности с ноутбука



Запустите VmWare Horizon Client (это может быть на ОС Windows, Linux и MacOS) и подключитесь к серверу.



Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS


После подключения к серверу будет отображено диалоговое окно входа с требованием ввода имени пользователя и OTP (поле Passcode).



Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS


Откройте google authenticator для получения OTP-значения.



Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS


После успешной аутентификации по OTP будет произведен запрос на вход по имени пользователя и паролю.



Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS


Запрос OTPPassword происходит именно в такой последовательности, а не наоборот. Это сделано для защиты пароля от подбора.



Проверка работоспособности с мобильного устройства



С мобильного телефона все будет выглядеть похожим образом. Ниже пример на iOS (Android также поддерживается).



В начале запустите приложение Horizon и подключитесь к серверу.



Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS




Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS


Сервер запросит OTP.



Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS


Переключитесь на Google authenticator, запомните OTP-значение.



Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS


Переключитесь на Horizon введите OTP.



Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS


Далее введите пароль.



Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS


Выберете нужный десктоп или приложение.



Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS




Настройка двухфакторной аутентификации в VMware Horizon View 7 c использованием OTP и сервера JAS


На этом всё.

Источник: Хабрахабр

Категория: Админитстрирование / Системное администрирование

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent