您可以使用“编辑容器”工作流更改容器网关上的双因素身份验证设置,或者完全停用双因素身份验证。更改这些设置时,您需要为这一组双因素身份验证设置键入一个新名称,输入所需的新设置,确保已为该特定网关选择了新名称,然后再进行保存。您可以使用“编辑容器”工作流更改双因素身份验证设置。
前提条件
如果要继续为其中一个网关启用双因素身份验证,但要更改特定设置,请确认您具有以下信息:
- 当双因素身份验证服务器为内部部署时,请确认您拥有以下字段的相关信息,以便该网关的 Unified Access Gateway 实例可以解析到该服务器的路由。
选项 说明 DNS 地址 指定一个或多个能够解析内部部署身份验证服务器名称的 DNS 服务器的地址。 路由 指定一个或多个自定义路由以允许容器的 Unified Access Gateway 实例解析到内部部署身份验证服务器的网络路由。 例如,如果您的内部部署 RADIUS 服务器使用 10.10.60.20 作为其 IP 地址,则您将需要使用 10.10.60.0/24 和默认路由网关地址作为自定义路由。您可以从用于此环境的 Express Route 或 VPN 配置中获取默认路由网关地址。
以逗号分隔列表的形式指定格式为
ipv4-network-address/bits ipv4-gateway-address
的自定义路由,例如:192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2
。 -
确认您在身份验证服务器的配置中使用了以下信息,以便您能够在容器部署向导的相应字段中提供这些信息。如果您正在使用 RADIUS 身份验证服务器,并且同时拥有主服务器和辅助服务器,请分别获取它们各自的信息。
- RADIUS
-
如果要同时配置主和辅助 RADIUS 服务器的设置,请分别获取它们各自的信息。
- 身份验证服务器的 IP 地址或 DNS 名称
- 用于在身份验证服务器的协议消息中进行加密和解密的共享密码
- 身份验证端口号,对于 RADIUS,通常为 1812/UDP。
- 身份验证协议类型。身份验证类型包括 PAP(密码身份验证协议)、CHAP(质询握手身份验证协议)、MSCHAP1 和 MSCHAP2(Microsoft 质询握手身份验证协议版本 1 和 2)。
注: 查看 RADIUS 供应商的文档以了解 RADIUS 供应商建议的身份验证协议,并采用指示的协议类型。Unified Access Gateway 实例为容器提供了相应的功能以支持使用 RADIUS 的双因素身份验证,Unified Access Gateway 支持 PAP、CHAP、MSCHAP1 和 MSCHAP2。PAP 通常不如 MSCHAP2 安全。PAP 也是比 MSCHAP2 简单的协议。因此,即使大多数 RADIUS 供应商与更简单的 PAP 协议兼容,但一些 RADIUS 供应商的兼容性也不如更安全的 MSCHAP2 那么高。
- RSA SecurID
-
注: 运行清单 3139.x 或更高版本的 Horizon Cloud on Microsoft Azure 部署支持 RSA SecurID 类型。从 2022 年 3 月中旬开始,“添加容器”和“编辑容器”向导中用于指定 RSA SecurID 类型的 UI 选项将变为可见且可供选择。
- RSA SecurID Authentication Manager 服务器的访问密钥。
- RSA SecurID 通信端口号。按照 RSA SecurID 身份验证 API 的 RSA Authentication Manager 系统设置中所设置,通常为 5555。
- RSA SecurID Authentication Manager 服务器的主机名。
- RSA SecurID Authentication Manager 服务器的 IP 地址。
- 如果 RSA SecurID Authentication Manager 服务器或其负载均衡器服务器具有自签名证书,那么您需要在“添加容器”向导中提供 CA 证书。该证书应采用 PEM 格式(文件类型为
.cer
、.cert
或.pem
)
过程
结果
在系统将新配置部署到容器之前,添加双因素身份验证的网关的“容器摘要”页面部分将显示挂起状态。
在该工作流完成后,状态将显示为就绪,并在页面中显示该网关的双因素身份验证设置。
下一步做什么
- 如果容器的外部网关配置了双因素身份验证,并且无法在部署了网关 Unified Access Gateway 实例的同一 VNet 拓扑中访问双因素身份验证服务器,请确认您在网关配置中指定的双因素身份验证服务器允许来自外部网关负载均衡器 IP 地址的通信。
如果无法在与网关部署相同的 VNet 拓扑中访问双因素身份验证服务器,那么 Unified Access Gateway 实例将尝试使用该负载均衡器地址与该服务器联系。要允许该通信流量,请确保该外部网关资源组中的负载均衡器资源 IP 地址在双因素身份验证服务器配置中指定为允许的客户端或已注册的代理。有关如何允许该通信的具体信息,请参阅双因素身份验证服务器的文档。
- 如果可以在同一 VNet 拓扑中访问您的双因素身份验证服务器,请确认双因素身份验证服务器已配置为允许来自为 Microsoft Azure 中的部署 Unified Access Gateway 实例创建的相应网卡的通信。
您的网络管理员将确定双因素身份验证服务器的网络是否对用于部署的 Azure VNet 拓扑及其子网可见。双因素身份验证服务器必须允许来自 Unified Access Gateway 实例网卡 IP 地址的通信,这些网卡对应于您的网络管理员为双因素身份验证服务器提供网络可见性的子网。
Microsoft Azure 中的网关资源组具有四个与该子网相对应的网卡:两个活动网卡用于两个 Unified Access Gateway 实例,两个空闲网卡将在容器及其网关经过更新后变为活动网卡。
当执行日常容器操作时以及在每次容器更新后,要支持网关与双因素身份验证服务器之间的通信流量,请确保在该服务器的配置中将这四个网卡的 IP 地址指定为允许的客户端或已注册的代理。有关如何允许该通信的具体信息,请参阅双因素身份验证服务器的文档。
有关如何获取这些 IP 地址的信息,请参阅使用所需的 Horizon Cloud 容器网关信息更新双因素身份验证系统。