Depois de definir as configurações de autenticação de dois fatores RADIUS na configuração de gateway de um pod do Horizon Cloud, você também deve definir a configuração do servidor RADIUS para permitir as solicitações de clientes de endereços IP específicos relacionados ao gateway. As instâncias do Unified Access Gateway do gateway tentarão se comunicar com o servidor RADIUS a partir de endereços IP específicos. O administrador de rede determina a visibilidade da rede do servidor RADIUS para as sub-redes e a rede virtual (VNet) do Azure do pod. A combinação dessa visibilidade de rede e do tipo de gateway de pod, externo ou interno, determina os endereços IP específicos relacionados ao gateway que você deve configurar como clientes permitidos na configuração do seu servidor RADIUS.

Importante:

Siga a documentação apropriada ao seu sistema de autenticação de dois fatores RADIUS para ver na sintaxe o arquivo de configuração específico usado no seu sistema RADIUS no qual você deve configurar essas informações de cliente. Por exemplo, conforme descrito no wiki FreeRADIUS do para a configuração do cliente FreeRADIUS, o arquivo /etc/raddb/clients.conf contém as definições dos clientes RADIUS como:

client NAME {
  ipaddr = IPADDRESS
  secret = SECRET
}

Este tópico descreve as informações do seu pod Horizon Cloud que você deve usar no servidor RADIUS para habilitar a comunicação entre o gateway do pod e também para manter a resiliência dessa comunicação após cada atualização de pod. Para aceitar conexões de máquinas cliente que tentam contatá-la, os servidores RADIUS precisam registrar os IPs dessas máquinas cliente como clientes permitidos. Nesse caso de um gateway de pod do Horizon Cloud configurado com as configurações de autenticação de dois fatores RADIUS, essas máquinas cliente são as instâncias do Unified Access Gateway do gateway. Normalmente, o administrador de rede determina qual acesso à rede o servidor RADIUS tem à VNet e as sub-redes que estão conectadas ao pod implantado. Os IPs de origem específicos que as instâncias do Unified Access Gateway usam ao contatar o servidor RADIUS dependem de:

  • Se a configuração do gateway é interna ou externa
  • Se o administrador de rede configurou o servidor RADIUS como acessível pela VNet do pod ou está localizado fora da VNet
  • Se o servidor RADIUS pode ser acessado pela VNet do pod, de qual das sub-redes do pod nessa VNet seu administrador de rede configurou o acesso ao servidor RADIUS
Configuração gateway interno
As instâncias do Unified Access Gateway implantadas para uma configuração de gateway interno usam endereços IP privados das NICs para entrar em contato com esse servidor RADIUS. O servidor RADIUS vê as solicitações provenientes dos endereços IP de origem que são os endereços IP privados dos NICs. O administrador de rede configurou se o servidor RADIUS está acessível ao intervalo de endereços IP da sub-rede do tenant ou gerenciamento do pod. O grupo de recursos do gateway interno no Microsoft Azure tem quatro (4) NICs que correspondem a essa sub-rede: duas que estão ativas atualmente para as duas instâncias do Unified Access Gateway e duas que estão ociosas e se tornarão as ativas após o pod passar por uma atualização. Para oferecer suporte à conectividade de comunicação entre o gateway e o servidor RADIUS para operações de pod contínuo e após cada atualização de pod, você deve configurar o servidor RADIUS para permitir conexões de cliente dos endereços IP dos quatro NICs no grupo de recursos do gateway interno no Microsoft Azure que correspondem à sub-rede que tem visibilidade para o servidor RADIUS. Consulte Como adicionar endereços IP das NICs de gateway de pod como clientes permitidos para solicitações.
A configuração gateway externo e o servidor RADIUS que pode ser acessado pela VNet do pod
Quando o administrador de rede configura o servidor RADIUS para ser acessível na mesma VNet que o pod, as instâncias do Unified Access Gateway usam seus endereços IP privados dos NICs para entrar em contato com esse servidor RADIUS. O servidor RADIUS vê as solicitações provenientes dos endereços IP de origem que são os endereços IP privados dos NICs. O administrador de rede configurou se o servidor RADIUS está acessível ao intervalo de endereços IP da sub-rede da zona desmilitarizada, de tenant ou gerenciamento do pod. O grupo de recursos do gateway externo no Microsoft Azure tem quatro (4) NICs que correspondem a essa sub-rede: duas que estão ativas atualmente para as duas instâncias do Unified Access Gateway e duas que estão ociosas e se tornarão as ativas após o pod passar por uma atualização. Para oferecer suporte à conectividade de comunicação entre o gateway e o servidor RADIUS para operações de pod contínuo e após cada atualização de pod, você deve configurar o servidor RADIUS para permitir conexões de cliente dos endereços IP das quatro NICs no grupo de recursos do gateway externo no Microsoft Azure que correspondem à sub-rede com visibilidade para o servidor RADIUS. Consulte Como adicionar endereços IP das NICs de gateway de pod como clientes permitidos para solicitações.
A configuração de gateway externo e o servidor RADIUS que pode ser acessado fora da VNet do pod
Quando o administrador de rede configura o servidor RADIUS fora da VNet do pod, as instâncias do Unified Access Gateway da configuração externado gateway usam o endereço IP do recurso do balanceador de carga do Azure do gateway externo para entrar em contato com esse servidor RADIUS. Você deve configurar o servidor RADIUS para permitir conexões de cliente do endereço IP do recurso de balanceador de carga do gateway externo. Consulte Como adicionar o endereço IP do balanceador de carga do gateway externo do pod como um cliente permitido para solicitações.

Como adicionar endereços IP das NICs de gateway de pod como clientes permitidos para solicitações

Quando o pod é implantado, o implantador do pod cria um conjunto de NICs no grupo de recursos do gateway na sua assinatura do Microsoft Azure. As seguintes capturas de tela são exemplos dos NICs para os tipos de gateway interno e externo. Ainda que a ID do pod esteja em pixels nessas capturas de tela, você consegue ver o padrão no qual o implantador nomeia as NICs, com -management, -tenant e -dmz nesses nomes. Para os nomes dos grupos de recursos do pod, consulte Grupos de recursos criados para um pod implantado no Microsoft Azure.


Captura de tela dos NICs e VMs que o implantador do pod cria para uma configuração gateway interno.


Captura de tela das NICs e VMs que o implantador do pod cria para uma configuração de gateway externo.

Você precisa obter os endereços IP dos NICs para a configuração do gateway na qual você ativou a autenticação de dois fatores RADIUS que correspondem à sub-rede que tem visibilidade de rede para o servidor RADIUS e especificar esses endereços IP como clientes permitidos em sua configuração do servidor RADIUS.

Importante: Para evitar qualquer interrupção na conectividade entre o servidor RADIUS e o pod após uma atualização, para cada gateway que você configurou com as configurações RADIUS, certifique-se de que os endereços IP dos quatro (4) NICs descritos abaixo estejam especificados como clientes permitidos na configuração do seu servidor RADIUS. Embora apenas metade dos NICs estejam ativos durante operações de pod contínuas, eles são trocados quando o pod é atualizado. Após uma atualização de pod, a outra metade dos NICs se tornará ativa, e os NICs de pré-atualização ficarão ociosos até a próxima atualização do pod, quando alternarem novamente. Se você não tiver adicionado à sua configuração do servidor RADIUS todos os endereços IP do NIC, tanto os ativos quanto os ociosos, o servidor RADIUS recusará solicitações de conexão do conjunto de NICs agora ativos pós-atualização de pod, e o processo de login para usuários finais que usam esse o gateway será interrompido.

Para obter os endereços IP do NIC do gateway para adicionar à configuração do servidor RADIUS:

  1. Obtenha do seu administrador de rede as informações sobre qual das sub-redes do pod tem visibilidade de rede para o servidor RADIUS (gerenciamento, tenant ou zona desmilitarizada).
  2. Faça login no portal do Microsoft Azure para sua assinatura e localize o grupo de recursos do gateway.
  3. Para os NICs que correspondem à sub-rede que o administrador de rede diz ter visibilidade para o servidor RADIUS, clique em cada NIC e copie o endereço IP.
  4. Adicione esses endereços IP de NIC ao seu arquivo de configuração do cliente do servidor RADIUS para que esses NICs sejam clientes permitidos para o servidor RADIUS que você configurou nas configurações desse gateway.

    A linha a seguir é uma ilustração de uma parte das linhas de configuração do cliente para os NICs com endereços IP na sub-rede do tenant do pod para um gateway interno no qual o administrador de rede configurou o servidor RADIUS na mesma VNet que o pod e com acessibilidade da sub-rede do tenant do pod. A sub-rede do tenant do pod foi configurada como 192.168.25.0/22 quando esse pod foi implantado. Quando o pod é implantado inicialmente, o NIC1 e o NIC2 são ativos, e o NIC3 e o NIC4 ficam ociosos. No entanto, todos os quatro NICs são adicionados à configuração do servidor RADIUS para garantir que, após a atualização do pod, quando o NIC3 e o NIC4 se tornam ativos, e o NIC1 e o NIC2 ficam ociosos, o servidor RADIUS continuará a aceitar conexões a partir desse gateway. Você deve usar a sintaxe apropriada para seu próprio servidor RADIUS.

    client UAGTENANTNIC1 {
      ipaddr = 192.168.25.5
      secret = myradiussecret
    }
    client UAGTENANTNIC2 {
      ipaddr = 192.168.25.6
      secret = myradiussecret
    }
    client UAGTENANTNIC3 {
      ipaddr = 192.168.25.7
      secret = myradiussecret
    }
    client UAGTENANTNIC4 {
      ipaddr = 192.168.25.8
      secret = myradiussecret
    }

Como adicionar o endereço IP do balanceador de carga do gateway externo do pod como um cliente permitido para solicitações

Quando o servidor RADIUS está localizado fora da VNet do pod, para o gateway externo no qual você especificou esse servidor RADIUS, você deve adicionar o endereço IP público do recurso do balanceador de carga do Azure do gateway externo como um cliente permitido na configuração desse servidor RADIUS. Você pode obter esse endereço IP do balanceador de carga usando o portal do Microsoft Azure e localizando o recurso do balanceador de carga no grupo de recursos do gateway.

  1. Faça login no portal do Microsoft Azure para sua assinatura e localize o grupo de recursos do gateway.
  2. No grupo de recursos do gateway, clique no recurso do balanceador de carga. Ele tem um nome no padrão vmw-hcs-podID-uag-lb. Seu endereço IP está listado em suas informações de visão geral.
  3. Adicione o endereço IP do balanceador de carga do gateway ao seu arquivo de configuração do cliente do servidor RADIUS para que o balanceador de carga do gateway seja um cliente permitido para o servidor RADIUS que você configurou nas configurações desse gateway. A linha a seguir é um exemplo de ilustração. Você deve usar a sintaxe apropriada para seu próprio servidor RADIUS.
    client MYPODUAGEXTLBIP {
      ipaddr = 52.191.236.223
      secret = myradiussecret
    }