Puede usar el flujo de trabajo Editar pod para cambiar la configuración de autenticación en dos fases en las puertas de enlace del pod o para deshabilitar por completo la autenticación en dos fases. Cuando cambie la configuración, básicamente debe escribir un nuevo nombre para el conjunto de configuraciones de autenticación en dos fases, introducir la nueva configuración que desee, asegurarse de que el nombre nuevo esté seleccionado para la puerta de enlace específica y guardar los cambios. Utilice el flujo de trabajo Editar pod para cambiar la configuración de autenticación en dos fases.

Requisitos previos

Si va a mantener la autenticación en dos fases habilitada para una de las puertas de enlace, pero desea cambiar la configuración específica, compruebe que tiene la siguiente información:

  • Cuando se trate de un servidor local de autenticación en dos fases, compruebe que dispone de la información relevante para los siguientes campos, de modo que las instancias de Unified Access Gateway para esa puerta de enlace puedan resolver el enrutamiento a ese servidor.
    Opción Descripción
    Direcciones de DNS Especifique una o más direcciones de servidores DNS que puedan resolver el nombre de su servidor de autenticación local.
    Rutas Especifique una de varias rutas personalizadas que permitan que las instancias del pod de Unified Access Gateway resuelvan el enrutamiento de red para el servidor de autenticación local.

    Por ejemplo, si tiene un servidor RADIUS local que utiliza 10.10.60.20 como dirección IP, use 10.10.60.0/24 y su dirección de puerta de enlace de ruta predeterminada como una ruta personalizada. Obtenga la dirección de puerta de enlace de ruta predeterminada de la configuración de la ruta exprés o de una VPN que utilice para este entorno.

    Especifique las rutas personalizadas como una lista separada por comas en el formulario ipv4-network-address/bits ipv4-gateway-address, por ejemplo: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

  • Compruebe que ha usado la siguiente información en la configuración del servidor de autenticación, de modo que pueda incluirla en los campos adecuados del asistente de implementación de pods. Si tiene un servidor principal y uno secundario, obtenga la información de cada uno de ellos.

    • La dirección IP o el nombre DNS del servidor de autenticación.
    • El secreto compartido que se utiliza para cifrar y descifrar los mensajes de protocolo del servidor de autenticación.
    • Los números de puerto de autenticación, por lo general, el puerto UDP 1812.
    • El tipo de protocolo de autenticación. Entre los tipos de autenticación se encuentran PAP (Protocolo de autenticación de contraseña), CHAP (Protocolo de autenticación por desafío mutuo), MSCHAP1 y MSCHAP2 (Protocolo de autenticación por desafío mutuo de Microsoft, versiones 1 y 2).
      Nota: Compruebe la documentación del proveedor RADIUS para el protocolo de autenticación que el proveedor RADIUS recomiende y siga el tipo de protocolo especificado. Las instancias de Unified Access Gateway le permiten al pod admitir la autenticación en dos fases con RADIUS, y Unified Access Gateway es compatible con PAP, CHAP, MSCHAP1 y MSCHAP2. PAP es generalmente menos seguro que MSCHAP2. PAP también es un protocolo más simple que MSCHAP2. Como consecuencia, aunque la mayoría de los proveedores RADIUS es compatible con el protocolo PAP más simple, algunos proveedores RADIUS no son tan compatibles con MSCHAP2 que es más seguro.

Procedimiento

  1. Para abrir la ventana Editar pod desde la página de detalles del pod, haga clic en Editar.
  2. En la ventana Editar pod, haga clic en Siguiente para continuar con el paso Configuración de puerta de enlace.
    Este paso tiene una sección para la configuración de puerta de enlace externa y una sección para la configuración de puerta de enlace interna. La interfaz de usuario refleja la configuración actual del pod y la configuración de puerta de enlace que ya tiene.
  3. Coloque la ventana en el tipo de puerta de enlace para el que desea cambiar la autenticación en dos fases, ya sea externo o interno.
  4. Para deshabilitar la autenticación en dos fases en la puerta de enlace, desactive la opción Habilitar la autenticación en dos fases y, a continuación, vaya al Paso 10 para guardar los cambios.
    Si la otra puerta de enlace también tiene habilitada la autenticación en dos fases y desea deshabilitarla, desactive la opción en la sección correspondiente a la otra puerta de enlace.
  5. Para cambiar la configuración de autenticación en dos fases específica que se establece en la puerta de enlace, continúe con los siguientes pasos.
    Debe crear un nuevo nombre para el nuevo conjunto de configuraciones de autenticación en dos fases y guardar la configuración con ese nuevo nombre seleccionado para dicha sección de puerta de enlace en la ventana.
  6. En el campo Nombre, escriba un nombre identificativo para esta configuración.
  7. En la sección Propiedades, especifique los detalles relacionados con la interacción de los usuarios finales con la pantalla de inicio de sesión que utilizarán para autenticar el acceso.
    Opción Descripción
    Nombre para mostrar Puede dejar este campo en blanco. A pesar de que este campo está visible en el asistente, solo establece un nombre interno en Unified Access Gateway. Los clientes de Horizon no utilizan este nombre.
    Mostrar sugerencia Si lo desea, escriba una cadena de texto que se mostrará a los usuarios finales en el mensaje en la pantalla de inicio de sesión de cliente de los usuarios finales cuando le solicita al usuario su código de acceso y el nombre de usuario de RADIUS. Aparece la sugerencia especificada para el usuario final como Enter your DisplayHint user name and passcode, donde DisplayHint es el texto que especifique en este campo.

    Esta sugerencia puede servir de orientación a los usuarios para introducir el código de acceso de RADIUS correcto. Por ejemplo, especificar una frase como Nombre de usuario de la empresa y contraseña de dominio de ejemplo a continuación derivaría en una solicitud para el usuario final con el texto Enter your Example Company user name and domain password below for user name and passcode.

    Sufijo de ID de nombre Esta opción se usa en los escenarios de SAML, donde el pod está configurado a fin de usar TrueSSO para Single Sign-On. De forma opcional, proporcione una cadena que el sistema anexará al nombre de usuario de confirmación de SAML que se envía al agente. Por ejemplo, si el nombre de usuario introducido es user1 en la pantalla de inicio de sesión y se especifica aquí el sufijo de identificador de @example.com, el sistema envía al agente el nombre de usuario de confirmación de SAML user1@example.com.
    Número de iteraciones Introduzca el número máximo de intentos erróneos de autenticación que se permiten para el usuario al intentar iniciar sesión con el sistema RADIUS.
    Mantener nombre de usuario Habilite esta opción para mantener el nombre de usuario de RADIUS durante la autenticación en Horizon Cloud. Cuando está habilitada:
    • El usuario debe tener las mismas credenciales de nombre de usuario para RADIUS que para su autenticación de Active Directory para Horizon Cloud.
    • El usuario no puede cambiar el nombre de usuario en la pantalla de inicio de sesión.

    Si se desactiva esta opción, el usuario puede escribir otro nombre de usuario en la pantalla de inicio de sesión.

    Nota: Para conocer más sobre la relación entre la habilitación de Mantener nombre de usuario y la configuración de seguridad del dominio en Horizon Cloud, consulte el tema Configuración de seguridad del dominio en la página Configuración general.
  8. En la sección Servidor principal, especifique los detalles del servidor de autenticación.
    Opción Descripción
    Nombre de host/dirección IP Introduzca el nombre DNS o la dirección IP del servidor de autenticación.
    Secreto compartido Escriba el secreto para la comunicación con el servidor de autenticación. El valor debe ser idéntico al valor configurado por el servidor.
    Puerto de autenticación Especifique el puerto UDP configurado en el servidor de autenticación para enviar o recibir tráfico de autenticación. El valor predeterminado es 1812.
    Puerto de cuentas De forma opcional, especifique el puerto UDP configurado en el servidor de autenticación para enviar o recibir tráfico de contabilidad. El valor predeterminado es 1813.
    Mecanismo Seleccione el protocolo de autenticación compatible con el servidor de autenticación especificado y que desea que use el pod implementado.
    Tiempo de espera del servidor Especifique el número de segundos que el pod debe esperar para recibir una respuesta del servidor de autenticación. Después de este periodo de tiempo, se enviará un reintento si el servidor no responde.
    Número máximo de reintentos Especifique el número máximo de veces que el pod debe volver a reenviar las solicitudes fallidas al servidor de autenticación.
    Prefijo del dominio kerberos De forma opcional, proporcione una cadena que el sistema colocará delante del nombre de usuario cuando este se envíe al servidor de autenticación. La ubicación de la cuenta de usuario se denomina dominio kerberos.

    Por ejemplo, si el nombre de usuario introducido es user1 en la pantalla de inicio de sesión y se ha especificado el prefijo de dominio kerberos DOMAIN-A\ aquí, el sistema enviará DOMAIN-A\user1 al servidor de autenticación. Si no especifica ningún prefijo de dominio kerberos, solo se enviará el nombre de usuario.

    Sufijo del dominio kerberos De forma opcional, proporcione una cadena que el sistema anexará al nombre de usuario cuando este se envíe al servidor de autenticación. Por ejemplo, si el nombre de usuario introducido es user1 en la pantalla de inicio de sesión y se ha especificado el sufijo de dominio kerberos @example.com aquí, el sistema enviará user1@example.com al servidor de autenticación.
  9. (opcional) En la sección Servidor secundario, especifique opcionalmente los detalles de un servidor de autenticación auxiliar.
    Puede configurar un servidor de autenticación secundario para proporcionar alta disponibilidad. Habilite la opción Servidor auxiliar y rellene los campos tal como se describe en la sección Servidor principal.
  10. Cuando haya establecido todas las configuraciones que desee, haga clic en Guardar y salir.
    Aparece un mensaje de confirmación que le pide que confirme el inicio del flujo de trabajo.
  11. Haga clic en para iniciar el flujo de trabajo.

Resultados

Hasta que el sistema termine de implementar la nueva configuración en el pod, se mostrará el estado Pendiente en la sección de la página de resumen del pod correspondiente a la puerta de enlace en la que agregó la autenticación en dos fases.

Cuando se complete el flujo de trabajo, el estado se mostrará como Listo y la configuración de la autenticación en dos fases se mostrará en la página.

Nota: Al ejecutar este flujo de trabajo para un pod de Microsoft Azure China, el proceso puede tardar más de una hora en completarse. El proceso está sujeto a problemas de red geográficos que pueden provocar bajas velocidades de descarga dado que los archivos binarios se descargan desde el plano de control de nube.

Qué hacer a continuación

Importante: Cuando se cambian los valores de la configuración de autenticación en dos fases de una puerta de enlace por otros valores nuevos, antes de que los usuarios finales vuelvan a utilizar la puerta de enlace que tiene estos nuevos valores, se deben completar las siguientes tareas.
  • Si configuró una puerta de enlace externa con la configuración de RADIUS y no se puede acceder a ese servidor RADIUS en la misma VNet que utiliza el pod, o dentro de la topología de VNet emparejada si implementó la puerta de enlace externa en su propia VNet, compruebe que el servidor RADIUS que especificó en la configuración de la puerta de enlace permita las conexiones de cliente desde la dirección IP del equilibrador de carga de la puerta de enlace externa. En una configuración de puerta de enlace externa, las instancias de Unified Access Gateway intentan ponerse en contacto con el servidor RADIUS mediante la dirección del equilibrador de carga. Para permitir estas conexiones, asegúrese de que la dirección IP del recurso del equilibrador de carga que se encuentra en el grupo de recursos de la puerta de enlace externa esté especificada como un cliente en la configuración del servidor RADIUS.
  • Si configuró una puerta de enlace interna, o una puerta de enlace externa, y se puede acceder al servidor RADIUS en la misma VNet que utiliza el pod, compruebe que el servidor RADIUS esté configurado para permitir las conexiones desde las NIC correspondientes que se crearon en el grupo de recursos de la puerta de enlace en Microsoft Azure. El administrador de red determina la visibilidad de red del servidor RADIUS en las subredes y la red virtual de Azure del pod. El servidor RADIUS debe permitir conexiones de cliente desde las direcciones IP de las NIC de puerta de enlace que correspondan a la subred para la cual el administrador de red haya otorgado visibilidad de red en el servidor RADIUS. El grupo de recursos de la puerta de enlace en Microsoft Azure tiene cuatro NIC que corresponden a esa subred: dos que están activas actualmente para las dos instancias de Unified Access Gateway, y dos que están inactivas y se convertirán en las instancias activas después de que se actualice el pod. Si desea permitir la conectividad entre la puerta de enlace y el servidor RADIUS para las operaciones del pod en curso y después de cada actualización del pod, asegúrese de que las direcciones IP de esas cuatro NIC estén especificadas como clientes en la configuración del servidor RADIUS.

Para obtener información sobre cómo obtener esas direcciones IP, consulte Actualizar el sistema RADIUS con la información requerida de puerta de enlace del pod de Horizon Cloud.