Nachdem Sie die Einstellungen für die RADIUS-2-Faktor-Authentifizierung in der Gateway-Konfiguration eines Horizon Cloud-Pod vorgenommen haben, müssen Sie auch die Konfiguration Ihres RADIUS-Servers vornehmen, um Clientanforderungen von bestimmten Gateway-bezogenen IP-Adressen zuzulassen. Die Unified Access Gateway-Instanzen des Gateways versuchen, über bestimmte IP-Adressen mit dem RADIUS-Server zu kommunizieren. Ihr Netzwerkadministrator bestimmt die Netzwerksichtbarkeit des RADIUS-Servers für das virtuelle Azure-Netzwerk (VNet) und die Subnetze des Pods. Die Kombination aus dieser Netzwerksichtbarkeit und dem Pod-Gateway-Typ („extern“ oder „intern“) bestimmt die spezifischen Gateway-bezogenen IP-Adressen, die Sie als zugelassene Clients in Ihrer RADIUS-Serverkonfiguration konfigurieren müssen.

Wichtig:

Folgen Sie der entsprechenden Dokumentation für Ihr RADIUS-2-Faktor-Authentifizierungssystem, um die Syntax für die spezifische Konfigurationsdatei zu sehen, die in Ihrem RADIUS-System verwendet wird, in dem Sie diese Clientinformationen konfigurieren müssen. Beispiel: Wie im FreeRADIUS-Wiki für die FreeRADIUS-Client-Konfiguration beschrieben, enthält die /etc/raddb/clients.conf-Datei die Definitionen der RADIUS-Clients wie folgt:

client NAME {
  ipaddr = IPADDRESS
  secret = SECRET
}

In diesem Thema werden die Informationen aus Ihrem Horizon Cloud-Pod beschrieben, die Sie in Ihrem RADIUS-Server verwenden müssen, um die Kommunikation mit dem Pod-Gateway zu ermöglichen und auch die Stabilität dieser Kommunikation nach jeder Pod-Aktualisierung aufrechtzuerhalten. Um Verbindungen von Clientmaschinen zu akzeptieren, die versuchen, RADIUS-Server zu erreichen, müssen diese die IPs der Clientmaschinen als zugelassene Clients registrieren. In diesem Fall eines Horizon Cloud-Pod-Gateways, das mit RADIUS-2-Faktor-Authentifizierungseinstellungen konfiguriert ist, handelt es sich bei solchen Clientmaschinen um die Unified Access Gateway-Instanzen dieses Gateways. In der Regel legt Ihr Netzwerkadministrator fest, welche Netzwerkzugriffe der RADIUS-Server auf das VNet und die Subnetze hat, die mit dem bereitgestellten Pod verbunden sind. Die spezifischen Quell-IPs, die von den Unified Access Gateway-Instanzen beim Kontaktieren des RADIUS-Servers verwendet werden, sind abhängig von folgenden Faktoren:

  • Ob die Gateway-Konfiguration intern oder extern ist
  • Ob Ihr Netzwerkadministrator den RADIUS-Server so konfiguriert hat, dass er von innerhalb des Pods-VNet aus erreichbar ist, oder ob er sich außerhalb des VNet befindet
  • Über welches Subnetz des Pods in diesem VNet Ihr Netzwerkadministrator den Zugang zum RADIUS-Server konfiguriert hat, wenn der RADIUS-Server über das Pod-VNet erreichbar ist
Interne Gateway-Konfiguration
Die für eine interne Gateway-Konfiguration bereitgestellten Unified Access Gateway-Instanzen verwenden die privaten IP-Adressen Ihrer Netzwerkkarten, um diesen RADIUS-Server zu kontaktieren. Der RADIUS-Server sieht die Anforderungen von Quell-IP-Adressen, die den privaten IP-Adressen der Netzwerkkarten entsprechen. Ihr Netzwerkadministrator hat konfiguriert, ob über den Pod-Verwaltungs-IP-Adressbereich oder den Mandanten-Subnetz-IP-Bereich auf den RADIUS-Server zugegriffen werden kann. Die Ressourcengruppe des internen Gateways in Microsoft Azure verfügt über vier (4) Netzwerkkarten, die diesem Subnetz entsprechen: zwei, die derzeit für die beiden Unified Access Gateway-Instanzen aktiv sind, und zwei Netzwerkkarten, die sich im Leerlauf befinden und aktiv werden, nachdem der Pod eine Aktualisierung durchlaufen hat. Um die Kommunikationskonnektivität zwischen dem Gateway und dem RADIUS-Server sowohl für laufende Pod-Vorgänge als auch nach jeder Pod-Aktualisierung beizubehalten, müssen Sie den RADIUS-Server so konfigurieren, dass Clientverbindungen von den IP-Adressen der vier Netzwerkkarten in der Ressourcengruppe des internen Gateways in Microsoft Azure zugelassen werden, die dem Subnetz entsprechen, das für den RADIUS-Server sichtbar ist. Siehe Hinzufügen von IP-Adressen der Pod-Gateway-Netzwerkkarten als zugelassene Clients für Anforderungen.
Auf die externe Gateway-Konfiguration und auf den RADIUS-Server kann innerhalb des VNet des Pods zugegriffen werden
Wenn Ihr Netzwerkadministrator den RADIUS-Server so konfiguriert hat, dass er auf demselben VNet wie der Pod verfügbar ist, verwenden die Unified Access Gateway-Instanzen die privaten IP-Adressen Ihrer Netzwerkkarten, um diesen RADIUS-Server zu kontaktieren. Der RADIUS-Server sieht die Anforderungen von Quell-IP-Adressen, die den privaten IP-Adressen der Netzwerkkarten entsprechen. Ihr Netzwerkadministrator hat konfiguriert, ob über den Pod-Verwaltungs-IP-Adressbereich, den Mandanten-Subnetz-IP-Bereich oder den DMZ-Subnetz-Bereich auf den RADIUS-Server zugegriffen werden kann. Die Ressourcengruppe des externen Gateways in Microsoft Azure verfügt über vier (4) Netzwerkkarten, die diesem Subnetz entsprechen: zwei, die derzeit für die beiden Unified Access Gateway-Instanzen aktiv sind, und zwei, die sich im Leerlauf befinden und aktiv werden, nachdem der Pod eine Aktualisierung durchlaufen hat. Um die Kommunikationskonnektivität zwischen dem Gateway und dem RADIUS-Server sowohl für laufende Pod-Vorgänge als auch nach jeder Pod-Aktualisierung beizubehalten, müssen Sie den RADIUS-Server so konfigurieren, dass Clientverbindungen von den IP-Adressen der vier Netzwerkkarten in der Ressourcengruppe des externen Gateways in Microsoft Azure zugelassen werden, die dem Subnetz entsprechen, das für den RADIUS-Server sichtbar ist. Siehe Hinzufügen von IP-Adressen der Pod-Gateway-Netzwerkkarten als zugelassene Clients für Anforderungen.
Auf die externe Gateway-Konfiguration und auf den RADIUS-Server kann außerhalb des VNet des Pods zugegriffen werden.
Wenn Ihr Netzwerkadministrator den RADIUS-Server außerhalb des VNet des Pods konfiguriert hat, verwenden die Unified Access Gateway-Instanzen der externen Gateway-Konfiguration die IP-Adresse der Azure-Lastausgleich-Ressource des externen Gateways, um diesen RADIUS-Server zu kontaktieren. Sie müssen den RADIUS-Server so konfigurieren, dass Clientverbindungen von der IP-Adresse des externen Gateways der Lastausgleich-Ressource zugelassen werden. Siehe Hinzufügen der IP-Adresse des Lastausgleichs des Pods-externen Gateways als zulässiger Client für Anforderungen.

Hinzufügen von IP-Adressen der Pod-Gateway-Netzwerkkarten als zugelassene Clients für Anforderungen

Wenn der Pod bereitgestellt wird, erstellt der Pod-Bereitsteller einen Satz von Netzwerkkarten in der Ressourcengruppe des Gateways in Ihrem Microsoft Azure-Abonnement. Die folgenden Screenshots zeigen Beispiele für die Netzwerkkarten für den internen Gateway-Typ und den externen Gateway-Typ. Auch wenn die Pod-ID in diesen Screenshots verpixelt ist, können Sie das Muster sehen, nach dem der Bereitsteller die Netzwerkkarten mit den Namen -management, -tenant und -dmz benennt. Die Namen der Ressourcengruppen des Pods finden Sie unter Für einen in Microsoft Azure bereitgestellten Pod erstellte Ressourcengruppen.


Screenshot der Netzwerkkarten und VMs, die der Pod-Bereitsteller für eine interne Gateway-Konfiguration erstellt.


Screenshot der Netzwerkkarten und VMs, die der Pod-Bereitsteller für eine externe Gateway-Konfiguration erstellt.

Sie müssen die IP-Adressen der Netzwerkkarten für die Gateway-Konfiguration abrufen, auf der Sie die RADIUS-2-Faktor-Authentifizierung aktiviert haben, die dem Subnetz entspricht, das über Netzwerksichtbarkeit für den RADIUS-Server verfügt, und diese IP-Adressen als zugelassene Clients in Ihrer RADIUS-Serverkonfiguration angeben.

Wichtig: Um eine Unterbrechung der Konnektivität zwischen Ihrem RADIUS-Server und dem Pod nach einer Aktualisierung zu vermeiden, müssen Sie für jedes Gateway, das Sie mit RADIUS-Einstellungen konfiguriert haben, sicherstellen, dass die IP-Adressen der unten beschriebenen vier (4) Netzwerkkarten als zugelassene Clients in der Konfiguration Ihres RADIUS-Servers angegeben sind. Es ist zwar nur die Hälfte der Netzwerkkarten während der laufenden Pod-Vorgänge aktiv, aber diese werden gewechselt, wenn der Pod aktualisiert wird. Nach einer Pod-Aktualisierung wird die andere Hälfte der Netzwerkkarten aktiv, und die vor der Aktualisierung aktiven Netzwerkkarten werden bis zur nächsten Pod-Aktualisierung inaktiv. Dann wird erneut gewechselt. Wenn Sie nicht alle Netzwerkkarten-IP-Adressen, also die aktiven sowie auch die inaktiven, zu Ihrer RADIUS-Serverkonfiguration hinzugefügt haben, lehnt der RADIUS-Server Verbindungsanforderungen aus der aktuell aktiven Gruppe von Netzwerkkarten nach der Pod-Aktualisierung ab und der Anmeldevorgang für Endbenutzer, die dieses Gateway verwenden, wird unterbrochen.

So rufen Sie die Netzwerkkarten-IP-Adressen des Gateways ab, die zur RADIUS-Serverkonfiguration hinzugefügt werden sollen:

  1. Holen Sie von Ihrem Netzwerkadministrator die Informationen darüber ein, welche der Subnetze des Pods über Netzwerksichtbarkeit zum RADIUS-Server (Verwaltung, Mandant oder DMZ) verfügen.
  2. Melden Sie sich beim Microsoft Azure-Portal für Ihr Abonnement an und suchen Sie die Ressourcengruppe des Gateways.
  3. Für die Netzwerkkarten, die dem Subnetz entsprechen, das laut Ihrem Netzwerkadministrator über Sichtbarkeit für den RADIUS-Server verfügt, klicken Sie auf die einzelnen Netzwerkkarte und kopieren Sie deren IP-Adresse.
  4. Fügen Sie diese Netzwerkkarten-IP-Adressen zu Ihrer RADIUS-Server-Client-Konfigurationsdatei hinzu, damit diese Netzwerkkarten als zulässige Clients für den RADIUS-Server gelten, den Sie in den Einstellungen für dieses Gateway konfiguriert haben.

    Die folgende Zeile veranschaulicht einen Teil der Client-Konfigurationszeilen für die Netzwerkkarten mit IP-Adressen im Mandanten-Subnetz des Pods für ein internes Gateway, bei dem der Netzwerkadministrator den RADIUS-Server im selben VNet wie der Pod und Zugriff über das Mandanten-Subnetz des Pods konfiguriert hat. Das Mandanten-Subnetz des Pods wurde als 192.168.25.0/22 konfiguriert, als dieser Pod bereitgestellt wurde. Wenn der Pod anfänglich bereitgestellt wird, sind NIC1 und NIC2 aktiv und NIC3 und NIC4 inaktiv. Allerdings werden alle vier Netzwerkkarten zur RADIUS-Serverkonfiguration hinzugefügt, um sicherzustellen, dass der RADIUS-Server nach der Pod-Aktualisierung, wenn NIC3 und NIC4 aktiv und NIC1 und NIC2 inaktiv werden, weiterhin Verbindungen von diesem Gateway akzeptiert. Sie müssen die entsprechende Syntax für Ihren eigenen RADIUS-Server verwenden.

    client UAGTENANTNIC1 {
      ipaddr = 192.168.25.5
      secret = myradiussecret
    }
    client UAGTENANTNIC2 {
      ipaddr = 192.168.25.6
      secret = myradiussecret
    }
    client UAGTENANTNIC3 {
      ipaddr = 192.168.25.7
      secret = myradiussecret
    }
    client UAGTENANTNIC4 {
      ipaddr = 192.168.25.8
      secret = myradiussecret
    }

Hinzufügen der IP-Adresse des Lastausgleichs des Pods-externen Gateways als zulässiger Client für Anforderungen

Wenn sich der RADIUS-Server außerhalb der VNet des Pods befindet, müssen Sie für das externe Gateway, auf dem Sie diesen RADIUS-Server angegeben haben, die öffentliche IP-Adresse des externen Gateways der Azure Lastausgleich-Ressource als zulässigen Client in dieser RADIUS-Serverkonfiguration hinzufügen. Sie können die IP-Adresse des Lastausgleichs mithilfe des Microsoft Azure-Portals abrufen und die Lastausgleich-Ressource in der Ressourcengruppe des Gateways suchen.

  1. Melden Sie sich beim Microsoft Azure-Portal für Ihr Abonnement an und suchen Sie die Ressourcengruppe des Gateways.
  2. Klicken Sie in der Ressourcengruppe des Gateways auf die Lastausgleich-Ressource. Ihr Name entspricht dem Muster vmw-hcs-podID-uag-lb. Ihre IP-Adresse wird in den Übersichtsinformationen aufgeführt.
  3. Fügen Sie die IP-Adresse des Gateway-Lastausgleichs zu Ihrer RADIUS-Server-Client-Konfigurationsdatei hinzu, damit der Gateway-Lastausgleich als zulässiger Client für den RADIUS-Server gilt, den Sie in den Einstellungen für dieses Gateway konfiguriert haben. Die folgende Zeile ist ein Beispiel zur Veranschaulichung. Sie müssen die entsprechende Syntax für Ihren eigenen RADIUS-Server verwenden.
    client MYPODUAGEXTLBIP {
      ipaddr = 52.191.236.223
      secret = myradiussecret
    }