Você pode habilitar uma instância do Servidor de Conexão para autenticação RSA SecurID ou autenticação RADIUS modificando as configurações do Servidor de Conexão em Horizon Console.

Pré-requisitos

Instale e configure o software de autenticação de dois fatores, como o software RSA SecurID ou o software RADIUS, em um servidor do gerenciador de autenticação.

  • Para autenticação RSA SecurID, exporte o arquivo sdconf.rec para a instância do Servidor de Conexão do RSA Authentication Manager. Consulte a documentação do RSA Authentication Manager.
  • Para autenticação RADIUS, siga a documentação de configuração do fornecedor. Anote o nome do host ou o endereço IP do servidor RADIUS, o número da porta na qual ele está detectando a autenticação do RADIUS (geralmente 1812), o tipo de autenticação (PAP, CHAP, MS-CHAPv1 ou MS-CHAPv2) e o segredo compartilhado. Você insere esses valores em Horizon Console. Você pode inserir valores para um autenticador RADIUS primário e secundário.

Procedimento

  1. Em Horizon Console, navegue até Configurações (Settings) > Servidores (Servers).
  2. Na guia Servidores de Conexão (Connection Servers), selecione a instância do Servidor de Conexão e clique em Editar (Edit).
  3. Na guia Autenticação (2-factor authentication), no menu suspenso Autenticação de dois fatores na seção Autenticação avançada (RSA SecureID), selecione RSA SecureIDRADIUS ou { .
  4. Para forçar os nomes de usuário de RSA SecurID ou RADIUS a corresponderem aos nomes de usuário em Active Directory, selecione Aplicar SecurID e Windows correspondência de nome de usuário ou Aplicar nome de usuário de dois fatores e Windows correspondente.
    Se você selecionar essa opção, os usuários deverão usar o mesmo nome de usuário RSA SecurID ou RADIUS para autenticação Active Directory. Se você não selecionar essa opção, os nomes poderão ser diferentes.
  5. Para RSA SecurID, clique em Carregar arquivo (Upload File), digite a localização do arquivo sdconf.rec ou clique em Procurar (Browse) para pesquisar o arquivo.
  6. Para autenticação RADIUS, preencha o restante dos campos:
    1. Selecione Usar o mesmo nome de usuário e senha para autenticação RADIUS e Windows se a autenticação RADIUS inicial usar a autenticação Windows que aciona uma transmissão fora de banda de um código de token, e isso o código do token é usado como parte de um desafio RADIUS.
      Se você marcar essa caixa de seleção, os usuários não serão solicitados a fornecer as credenciais Windows após a autenticação RADIUS se a autenticação RADIUS usar o nome de usuário e a senha Windows. Os usuários não precisam digitar novamente o nome de usuário e a senha Windows após a autenticação RADIUS.
    2. No menu suspenso Autenticador (Authenticator), selecione Criar novo autenticador (Create New Authenticator) e preencha a página.
      • Para permitir que rótulos personalizados de nome de usuário e código de acesso apareçam na caixa de diálogo de autenticação RADIUS para usuários finais, insira rótulos personalizados nos campos Rótulo do nome de usuário (Username Label) e Rótulo do código de acesso (Passcode Label).
      • Defina a Porta de contabilidade (Accounting port) como 0, a menos que você queira ativar a contabilidade RADIUS. Defina essa porta como um número diferente de zero somente se o servidor RADIUS oferecer suporte à coleta de dados de contabilidade. Se o servidor RADIUS não oferecer suporte a mensagens de contabilidade e você definir essa porta como um número diferente de zero, as mensagens serão enviadas, ignoradas e repetidas várias vezes, resultando em um atraso na autenticação.

        Os dados contábeis podem ser usados para faturar os usuários com base no tempo de uso e nos dados. Os dados contábeis também podem ser usados para fins estatísticos e para monitoramento geral da rede.

      • Se você especificar uma sequência de prefixo de realm, a sequência será colocada no início do nome de usuário quando for enviada para o servidor RADIUS. Por exemplo, se o nome de usuário digitado em Horizon Client for jdoe e o prefixo de realm DOMAIN-A\\} for especificado, o nome de usuário DOMAIN-A\jdoe será enviado para o servidor RADIUS. Da mesma forma, se você usar o sufixo de realm, ou postfix, cadeia de caracteres @mycorp.com, o nome de usuário [email protected] será enviado para o servidor RADIUS.
  7. Clique em OK para salvar suas alterações.
    Você não precisa reiniciar o serviço do Servidor de Conexão. Os arquivos de configuração necessários são distribuídos automaticamente e as definições de configuração entram em vigor imediatamente.

Resultados

Quando os usuários abrem Horizon Client e se autenticam no Servidor de Conexão, eles são solicitados a fornecer a autenticação de dois fatores. Para a autenticação RADIUS, a caixa de diálogo de logon exibe prompts de texto que contêm o rótulo do token que você especificou.

As alterações nas configurações de autenticação do RADIUS afetam a área de trabalho remota e as sessões do aplicativo que são iniciadas após a alteração da configuração. As sessões atuais não são afetadas por alterações nas configurações de autenticação do RADIUS.

O que Fazer Depois

Se você tiver um grupo replicado de instâncias do Servidor de Conexão e quiser configurar a autenticação RADIUS neles, poderá reutilizar uma configuração existente do autenticador RADIUS.