Sie können eine Verbindungsserver-Instanz für die RSA SecurID- oder RADIUS-Authentifizierung aktivieren, indem Sie die Verbindungsserver-Einstellungen in Horizon Console bearbeiten.

Voraussetzungen

Installieren und konfigurieren Sie die Software für Zwei-Faktor-Authentifizierung, z. B. RSA SecurID oder RADIUS auf einem Authentifizierungsmanager-Server.

  • Exportieren Sie im Fall der RSA SecurID-Authentifizierung die Datei sdconf.rec für die Verbindungsserver-Instanz aus RSA Authentication Manager. Weitere Informationen finden Sie in der RSA Authentication Manager-Dokumentation.
  • Befolgen Sie für die RADIUS-Authentifizierung die Anweisungen in der Konfigurationsdokumentation des Anbieters. Notieren Sie sich den Hostnamen oder die IP-Adresse des RADIUS-Servers, die Portnummer, unter der die RADIUS-Authentifizierung überwacht wird (in der Regel 1812), den Authentifizierungstyp (PAP, CHAP, MS-CHAPv1 oder MS-CHAPv2) und den gemeinsamen geheimen Schlüssel. Sie können diese Werte in Horizon Console eingeben. Sie können Werte für einen primären und einen sekundären RADIUS-Authentifikator eingeben.

Prozedur

  1. Navigieren Sie in Horizon Console zu Einstellungen > Server.
  2. Wählen Sie auf der Registerkarte Verbindungsserver die Verbindungsserver-Instanz aus und klicken Sie auf Bearbeiten.
  3. Wählen Sie auf der Registerkarte Authentifizierung im Bereich Erweiterte Authentifizierung aus dem Dropdown-Menü 2-Faktor-Authentifizierung die Option RSA SecureID oder RADIUS aus.
  4. Um die Übereinstimmung von RSA SecurID- oder RADIUS-Benutzernamen und Benutzernamen in Active Directory zu erzwingen, wählen Sie Abstimmung von SecurID- und Windows-Benutzernamen erzwingen oder Abstimmung von 2-Faktor- und Windows-Benutzernamen erzwingen.
    Bei Auswahl dieser Option müssen die Benutzer den RSA SecurID- bzw. RADIUS-Benutzernamen auch für die Active Directory-Authentifizierung verwenden. Wenn Sie diese Option nicht auswählen, können unterschiedliche Namen gewählt werden.
  5. Klicken Sie für RSA SecurID auf Datei hochladen und geben Sie den Speicherort der Datei sdconf.rec ein oder klicken Sie auf Durchsuchen, um nach der Datei zu suchen.
  6. Füllen Sie für die RADIUS-Authentifizierung die übrigen Felder aus:
    1. Wählen Sie Den gleichen Benutzernamen und das gleiche Kennwort für die RADIUS- und Windows-Authentifizierung verwenden, wenn die ursprüngliche RADIUS-Authentifizierung eine Windows-Authentifizierung verwendet, die eine Out-of-Band-Übertragung eines Token-Codes auslöst, der wiederum als Teil einer RADIUS-Aufforderung verwendet wird.
      Wenn Sie dieses Kontrollkästchen aktivieren, werden die Benutzer nach der RADIUS-Authentifizierung nicht zur Eingabe der Windows-Anmeldedaten aufgefordert, wenn die RADIUS-Authentifizierung den Windows-Benutzernamen und das Windows-Kennwort verwendet. Die Benutzer müssen den Windows-Benutzernamen und das Windows-Kennwort nach der RADIUS-Authentifizierung nicht erneut eingeben.
    2. Wählen Sie im Dropdown-Menü Authentifikator die Option Neuen Authentifikator erstellen und füllen Sie die Seite aus.
      • Damit benutzerdefinierte Benutzernamen- und Kennungsbezeichnungen im RADIUS-Authentifizierungsdialogfeld für Endbenutzer angezeigt werden, geben Sie benutzerdefinierte Bezeichnungen in die Felder Benutzernamenbezeichnung und Kennungsbezeichnung ein.
      • Legen Sie für Kontoführungsport den Wert 0 fest, es sei denn, Sie möchten die RADIUS-Kontoführung aktivieren. Legen Sie für diesen Port nur dann eine Portnummer fest, die nicht null ist, wenn Ihr RADIUS-Server das Erfassen von Kontoführungsdaten unterstützt. Wenn der RADIUS-Server Kontoführungsnachrichten nicht unterstützt und Sie für diesen Port eine Portnummer ungleich null festlegen, werden die Nachrichten gesendet, ignoriert und daraufhin mehrere Male erneut gesendet, was zu einer Verzögerung bei der Authentifizierung führt.

        Kontoführungsdaten können verwendet werden, um basierend auf den Nutzungszeiten und -daten Rechnungen für die Benutzer auszustellen. Darüber hinaus können Kontoführungsdaten für statistische Zwecke sowie zur allgemeinen Netzwerküberwachung verwendet werden.

      • Wenn Sie eine Bereichspräfixzeichenfolge angeben, wird diese Zeichenfolge an den Anfang des Benutzernamens gestellt, wenn dieser an den RADIUS-Server gesendet wird. Wenn der in Horizon Client eingegebene Benutzername beispielsweise JDoe lautet und als Bereichspräfix DOMÄNE-A\ angegeben wird, wird DOMÄNE-A\JDoe als Benutzername an den RADIUS-Server gesendet. Wenn Sie die Bereichssuffix- oder Postfixzeichenfolge @mycorp.com verwenden, wird entsprechend [email protected] als Benutzername an den RADIUS-Server gesendet.
  7. Klicken Sie auf OK, um Ihre Änderungen zu speichern.
    Der Verbindungsserver-Dienst muss nicht neu gestartet werden. Die erforderlichen Konfigurationsdateien werden automatisch verteilt und die Konfigurationseinstellungen werden umgehend angewendet.

Ergebnisse

Wenn Benutzer Horizon Client öffnen und sich beim Verbindungsserver authentifizieren, werden Sie zur Zwei-Faktor-Authentifizierung aufgefordert. Bei der RADIUS-Authentifizierung werden im Anmelde-Dialogfeld Aufforderungen in Textform angezeigt, die die angegebene Tokenbezeichnung enthalten.

Änderungen bei den RADIUS-Authentifizierungseinstellungen betreffen Remote-Desktop- und Anwendungssitzungen, die nach dem Ändern der Konfiguration gestartet werden. Aktuelle Sitzungen sind von Änderungen an den RADIUS-Authentifizierungseinstellungen nicht betroffen.

Nächste Maßnahme

Wenn Sie über eine replizierte Gruppe von Verbindungsserver-Instanzen verfügen und auf diesen Instanzen außerdem eine RADIUS-Authentifizierung einrichten möchten, können Sie eine bestehende RADIUS-Authentifikatorkonfiguration verwenden.