通过在 Horizon Administrator 中修改连接服务器设置,您可以为连接服务器实例启用 RSA SecurID 身份验证或 RADIUS 身份验证。

前提条件

在身份验证管理器服务器上安装并配置双因素身份验证软件,如 RSA SecurID 软件或 RADIUS 软件。

  • 对于 RSA SecurID 身份验证,从 RSA Authentication Manager 中导出连接服务器实例的 sdconf.rec 文件。请参阅 RSA Authentication Manager 文档。
  • 对于 RADIUS 身份验证,请遵循供应商的配置文档。记录 RADIUS 服务器的主机名或 IP 地址、其侦听 RADIUS 身份验证的端口号(通常为 1812)、身份验证类型(PAP、CHAP、MS-CHAPv1 或 MS-CHAPv2)以及共享密码。您将会在 Horizon Administrator 中输入这些值。可以为主要和辅助 RADIUS 身份验证器输入这些值。

过程

  1. 在 Horizon Administrator 中,选择 View 配置 > 服务器
  2. 连接服务器选项卡中,选择服务器,然后单击编辑
  3. 身份验证选项卡上,从“高级身份验证”部分中的双因素身份验证下拉列表中选择 RSA SecureIDRADIUS
  4. 要强制要求 RSA SecurID 或 RADIUS 用户名与 Active Directory 中的用户名匹配,请选择强制要求 SecurID 与 Windows 用户名匹配强制要求双因素与 Windows 用户名匹配
    如果选择此选项,用户必须使用同一 RSA SecurID 或 RADIUS 用户名进行 Active Directory 身份验证。如果不选择此选项,则可以使用不同的用户名。
  5. 对于 RSA SecurID,单击上传文件,键入 sdconf.rec 文件的位置,或单击浏览搜索该文件。
  6. 对于 RADIUS 身份验证,完成其余字段:
    1. 如果初始 RADIUS 身份验证使用可触发令牌代码带外传输的 Windows 身份验证,且此令牌代码用作 RADIUS 质询的一部分,则选择使用相同的用户名和密码进行 RADIUS 和 Windows 身份验证
      如果您选中此复选框,则在 RADIUS 身份验证使用 Windows 用户名和密码时,将不会在 RADIUS 身份验证后提示用户输入 Windows 凭据。用户不必在 RADIUS 身份验证后重新输入 Windows 用户名和密码。
    2. 身份验证器下拉列表中,选择创建新的身份验证器,并完成此页。
      • 如果您不希望启用 RADIUS 计帐,请将记帐端口设置为 0。仅在您的 RADIUS 服务器支持收集计帐数据时,将此端口设置为非零数字。如果 RADIUS 服务器不支持计帐消息,且您将此端口设置为非零数字,则将发送并忽略这些消息,然后重试多次,从而导致身份验证发生延迟。

        可使用计帐数据来根据使用时间和数据给用户开具帐单。还可将计帐数据用于统计目的和常规的网络监视。

      • 如果指定领域前缀字符串,则会将其放在用户名的开头并发送到 RADIUS 服务器。例如,如果在 Horizon Client 中输入的用户名为 jdoe,且指定领域前缀 DOMAIN-A\,则会将用户名 DOMAIN-A\jdoe 发送到 RADIUS 服务器。同样,如果使用领域后缀或词尾字符串 @mycorp.com,则会将用户名 [email protected] 发送到 RADIUS 服务器。
  7. 单击确定保存更改。
    您无需重新启动连接服务器服务。系统将自动分发必要的配置文件,配置设置可立即生效。

结果

当用户打开 Horizon Client 并向连接服务器进行身份验证时,系统将提示他们进行双因素身份验证。对于 RADIUS 身份验证,登录对话框将显示包含您指定的令牌标签的文本提示。

更改 RADIUS 身份验证设置将会影响在更改配置后启动的远程桌面和应用程序会话。当前会话不会受到 RADIUS 身份验证设置更改的影响。

下一步做什么

如果您具有连接服务器实例的副本组,且希望也对其设置 RADIUS 身份验证,则可以重新使用现有的 RADIUS 身份验证器配置。