您可以使用“编辑容器”工作流更改容器网关上的双因素身份验证设置,或者完全禁用双因素身份验证。更改这些设置时,您需要为这一组双因素身份验证设置键入一个新名称,输入所需的新设置,确保已为该特定网关选择了新名称,然后再进行保存。您可以使用“编辑容器”工作流更改双因素身份验证设置。

前提条件

如果要继续为其中一个网关启用双因素身份验证,但要更改特定设置,请确认您具有以下信息:

  • 当双因素身份验证服务器为内部部署时,请确认您拥有以下字段的相关信息,以便该网关的 Unified Access Gateway 实例可以解析到该服务器的路由。
    选项 说明
    DNS 地址 指定一个或多个能够解析内部部署身份验证服务器名称的 DNS 服务器的地址。
    路由 指定一个或多个自定义路由以允许容器的 Unified Access Gateway 实例解析到内部部署身份验证服务器的网络路由。

    例如,如果您的内部部署 RADIUS 服务器使用 10.10.60.20 作为其 IP 地址,则您将需要使用 10.10.60.0/24 和默认路由网关地址作为自定义路由。您可以从用于此环境的 Express Route 或 VPN 配置中获取默认路由网关地址。

    以逗号分隔列表的形式指定格式为 ipv4-network-address/bits ipv4-gateway-address 的自定义路由,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2

  • 确认您在身份验证服务器的配置中使用了以下信息,以便您能够在容器部署向导的相应字段中提供这些信息。如果您同时拥有主服务器和辅助服务器,请分别获取它们各自的信息。

    • 身份验证服务器的 IP 地址或 DNS 名称
    • 用于在身份验证服务器的协议消息中进行加密和解密的共享密码
    • 身份验证端口号,通常为 1812 UDP 端口。
    • 身份验证协议类型。身份验证类型包括 PAP(密码身份验证协议)、CHAP(质询握手身份验证协议)、MSCHAP1 和 MSCHAP2(Microsoft 质询握手身份验证协议版本 1 和 2)。
      注: 查看 RADIUS 供应商的文档以了解 RADIUS 供应商建议的身份验证协议,并采用指示的协议类型。Unified Access Gateway 实例为容器提供了相应的功能以支持使用 RADIUS 的双因素身份验证,Unified Access Gateway 支持 PAP、CHAP、MSCHAP1 和 MSCHAP2。PAP 通常不如 MSCHAP2 安全。PAP 也是比 MSCHAP2 简单的协议。因此,即使大多数 RADIUS 供应商与更简单的 PAP 协议兼容,但一些 RADIUS 供应商的兼容性也不如更安全的 MSCHAP2 那么高。

过程

  1. 通过单击编辑,从容器的详细信息页面中打开“编辑容器”窗口。
  2. 在“编辑容器”窗口中,单击下一步以转到网关设置步骤。
    此步骤有一部分是适用于外部网关配置,还有一部分是适用于内部网关配置。用户界面中会反映容器的当前配置以及它已具有的网关设置。
  3. 将窗口放置在要更改双因素身份验证的网关类型(外部或内部)上。
  4. 要在网关上禁用双因素身份验证,请关闭启用双因素身份验证开关,然后转到步骤 10以保存更改。
    如果另一个网关也启用了双因素身份验证,并且您希望禁用该设置,请在该网关的同一部分中关闭该开关。
  5. 要更改在网关上设置的特定双因素身份验证设置,请继续执行以下步骤。
    为新设置的双因素身份验证值创建新名称,并使用在该窗口中为该网关部分选择的新名称来保存配置。
  6. 名称字段中,输入此配置的标识名称。
  7. 在“属性”部分中,指定有关最终用户与他们将用来进行访问身份验证的登录屏幕进行交互的详细信息。
    选项 说明
    显示名称 您可以将此字段保留为空。即使此字段在向导中可见,它也只会设置 Unified Access Gateway 中的内部名称。Horizon Client 不会使用此名称。
    显示提示 (可选)输入在最终用户客户端登录屏幕中以消息形式提示用户输入其 RADIUS 用户名和通行码时,向最终用户显示的文本字符串。指定的提示将以“为您的用户名和通行码输入 DisplayHint”(Enter your DisplayHint user name and passcode) 形式显示给最终用户,其中 DisplayHint 是您在此字段中指定的文本。

    此提示有助于指导用户输入正确的 RADIUS 通行码。例如,指定诸如以下示例公司用户名和域密码之类的短语将会向最终用户显示内容为“为您的用户名和通行码输入以下示例公司用户名和域密码”(Enter your Example Company user name and domain password below for user name and passcode) 的提示。

    名称 ID 后缀 此设置用于 SAML 场景中,其中已将您的容器配置为使用 TrueSSO 进行单点登录。(可选)提供一个字符串,系统会将其附加到 SAML 断言用户名后,再将该用户名发送给代理。例如,如果在登录屏幕上输入的用户名为 user1,并且在此处指定了用户名 ID 后缀 @example.com,则系统会向代理发送 SAML 断言用户名 user1@example.com
    迭代次数 输入用户在尝试使用此 RADIUS 系统登录时,所允许的失败身份验证尝试的最大次数。
    维护用户名 启用此开关可在对 Horizon Cloud 进行身份验证期间保留用户的 RADIUS 用户名。启用时:
    • 用户用于 RADIUS 的用户名凭据必须与用于 Active Directory 身份验证(针对 Horizon Cloud)的用户名凭据相同。
    • 用户无法更改登录屏幕中的用户名。

    如果关闭此选项开关,用户将能够在登录屏幕中键入不同的用户名。

    注: 有关启用 维护用户名Horizon Cloud 中的域安全性设置之间的关系,请参阅 “常规设置”页面上的域安全性设置主题。
  8. 在“主服务器”部分中,指定有关身份验证服务器的详细信息。
    选项 说明
    主机名称/IP 地址 输入身份验证服务器的 DNS 名称或 IP 地址。
    共享密码 输入用来与身份验证服务器进行通信的密码。此值必须与服务器配置的值相同。
    身份验证端口 指定在身份验证服务器上配置的用于发送或接收身份验证流量的 UDP 端口。默认值为 1812。
    记帐端口 (可选)指定在身份验证服务器上配置的用于发送或接收记帐流量的 UDP 端口。默认值为 1813。
    机制 选择受指定的身份验证服务器支持,并且您希望部署的容器使用的身份验证协议。
    服务器超时 指定容器应等待来自身份验证服务器的响应的秒数。此秒数过后,如果服务器未响应,则会发送重试。
    最大重试次数 指定容器在对身份验证服务器的请求失败时应重试的最大次数。
    领域前缀 (可选)提供系统在将用户名发送到身份验证服务器时,将在用户名开头放置的字符串。用户帐户位置称为领域。

    例如,如果在登录屏幕上输入的用户名为 user1,并且在此处指定了领域前缀 DOMAIN-A\,则系统会向身份验证服务器发送 DOMAIN-A\user1。如果不指定领域前缀,则只会发送所输入的用户名。

    领域后缀 (可选)提供系统在将用户名发送到身份验证服务器时,将在用户名后面附加的字符串。例如,如果在登录屏幕上输入的用户名为 user1,并且在此处指定了领域后缀 @example.com,则系统会向身份验证服务器发送 user1@example.com
  9. (可选) 在“辅助服务器”部分中,可以选择指定有关辅助身份验证服务器的详细信息。
    您可以配置辅助身份验证服务器以提供高可用性。启用 辅助服务器开关,然后按照 “主服务器”部分中所述填写相应的字段。
  10. 完成所需的所有设置后,单击保存并退出
    将显示确认消息,要求您确认启动工作流。
  11. 单击以启动工作流。

结果

在系统将新配置部署到容器之前,添加双因素身份验证的网关的“容器摘要”页面部分将显示挂起状态。

在该工作流完成后,状态将显示为就绪,并在页面中显示该网关的双因素身份验证设置。

注: 在 Microsoft Azure 中国为容器运行该工作流时,该过程可能需要超过一个小时的时间才能完成。该过程受地理网络问题的影响,从云控制平面下载二进制文件时,这些问题可能导致下载速度缓慢。

后续步骤

重要事项: 当将网关的双因素身份验证设置的值更改为新值时,在最终用户继续使用具有新双因素身份验证值的网关之前,您必须完成以下任务。
  • 如果已使用 RADIUS 设置配置了外部网关,并且在容器使用的同一 VNet 中,或者在对等 VNet 拓扑中(如果将外部网关部署到其自己单独的 VNet 中)无法访问 RADIUS 服务器,请确认在网关配置中指定的 RADIUS 服务器允许与外部网关负载均衡器的 IP 地址建立客户端连接。在外部网关配置中,Unified Access Gateway 实例尝试使用该负载均衡器地址来与 RADIUS 服务器联系。要允许连接,请确保该外部网关资源组中的负载均衡器资源 IP 地址在 RADIUS 服务器配置中指定为客户端。
  • 如果配置了内部网关或者外部网关,并且在容器使用的同一 VNet 中可以访问 RADIUS 服务器,请确认该 RADIUS 服务器已配置为允许与 Microsoft Azure 内网关资源组中创建的相应网卡建立连接。网络管理员可以决定 RADIUS 服务器对容器的 Azure 虚拟网络和子网的网络可见性。您的 RADIUS 服务器必须允许与这些网关网卡(与网络管理员已为该 RADIUS 服务器提供网络可见性的子网相对应)的 IP 地址建立客户端连接。Microsoft Azure 中的网关资源组具有四个与该子网相对应的网卡:两个活动网卡用于两个 Unified Access Gateway 实例,两个空闲网卡将在容器经过更新后变为活动网卡。当执行日常容器操作时以及在每次容器更新后,要支持网关与 RADIUS 服务器之间的连接,请确保在 RADIUS 服务器配置中将这四个网卡的 IP 地址指定为客户端。

有关如何获取这些 IP 地址的信息,请参阅使用所需的 Horizon Cloud 容器网关信息更新 RADIUS 系统