Después de configurar las opciones de autenticación en dos fases RADIUS en la configuración de puerta de enlace del pod de Horizon Cloud, también debe configurar las opciones del servidor RADIUS para permitir las solicitudes de clientes desde direcciones IP específicas relacionadas con la puerta de enlace. Las instancias de Unified Access Gateway de la puerta de enlace intentarán comunicarse con el servidor RADIUS desde direcciones IP específicas. El administrador de red determina la visibilidad de red sobre el servidor RADIUS en la VNet de Azure y las subredes del pod. La combinación de la visibilidad de red y el tipo de puerta de enlace del pod (externa o interna) determina las direcciones IP específicas relacionadas con la puerta de enlace que debe configurar como clientes permitidos en la configuración del servidor RADIUS.

Importante:

Siga la documentación correspondiente al sistema de autenticación en dos fases RADIUS para ver la sintaxis del archivo de configuración específico que se utiliza en el sistema RADIUS, en el que debe configurar la información de los clientes. Por ejemplo, como se describe en el wiki de FreeRADIUS para la configuración de cliente FreeRADIUS, el archivo /etc/raddb/clients.conf contiene definiciones de clientes RADIUS como:

client NAME {
  ipaddr = IPADDRESS
  secret = SECRET
}

En este tema, se describe la información del pod de Horizon Cloud que debe usar en el servidor RADIUS para habilitar la comunicación entre la puerta de enlace del pod y para mantener la resistencia de esa comunicación después de cada actualización del pod. Para aceptar conexiones de máquinas cliente que intentan acceder a la puerta de enlace, los servidores RADIUS deben registrar las IP de esas máquinas como clientes permitidos. En el caso de una puerta de enlace del pod de Horizon Cloud configurada con las opciones de autenticación en dos fases RADIUS, esas máquinas cliente son las instancias de Unified Access Gateway de la puerta de enlace. Por lo general, el administrador de red determina el acceso de red que tiene el servidor RADIUS a la VNet y a las subredes conectadas al pod implementado. Las direcciones IP de origen específicas que utilizan las instancias de Unified Access Gateway al ponerse en contacto con el servidor RADIUS dependen de lo siguiente:

  • Si la configuración de la puerta de enlace es interna o externa.
  • Si el administrador de red determinó que se puede acceder al servidor RADIUS dentro de la VNet del pod o fuera de la VNet.
  • La subred del pod en la VNet desde la cual el administrador de red configuró el acceso al servidor RADIUS, si se puede acceder al servidor RADIUS dentro de la VNet del pod.
Configuración de puerta de enlace interna
Las instancias de Unified Access Gateway implementadas para una configuración de puerta de enlace interna utilizan las direcciones IP privadas de sus NIC para ponerse en contacto con ese servidor RADIUS. El servidor RADIUS ve las solicitudes procedentes de las direcciones IP de origen que son direcciones IP privadas de las NIC. El administrador de red determina si se puede acceder al servidor RADIUS mediante el rango de direcciones IP de la subred de administración o tenant del pod. El grupo de recursos de la puerta de enlace interna en Microsoft Azure tiene cuatro (4) NIC que se ajustan a esa subred: dos actualmente activas para las dos instancias de Unified Access Gateway y dos inactivas que se convertirán en activas después de que el pod pase por una actualización. Para admitir la conectividad de comunicación entre la puerta de enlace y el servidor RADIUS en las operaciones del pod en curso y posteriores a cada actualización del pod, debe configurar el servidor RADIUS a fin de permitir las conexiones de cliente desde las direcciones IP de las cuatro NIC en el grupo de recursos de la puerta de enlace interna de Microsoft Azure que corresponden a la subred con visibilidad sobre el servidor RADIUS. Consulte Cómo agregar las direcciones IP de las NIC de puerta de enlace del pod como clientes permitidos para las solicitudes.
La configuración de puerta de enlace es externa y se puede acceder al servidor RADIUS dentro de la VNet del pod
Cuando el administrador de red configura el servidor RADIUS para que se pueda acceder a él en la misma VNet que el pod, las instancias de Unified Access Gateway utilizan las direcciones IP privadas de sus NIC para ponerse en contacto con ese servidor RADIUS. El servidor RADIUS ve las solicitudes procedentes de las direcciones IP de origen que son direcciones IP privadas de las NIC. El administrador de red determina si se puede acceder al servidor RADIUS mediante el rango de direcciones IP de la subred de administración, tenant o DMZ del pod. El grupo de recursos de la puerta de enlace externa en Microsoft Azure tiene cuatro (4) NIC que corresponden a esa subred: dos actualmente activas para las dos instancias de Unified Access Gateway y dos inactivas que se convertirán en activas después de que el pod pase por una actualización. Para admitir la conectividad de comunicación entre la puerta de enlace y el servidor RADIUS en las operaciones del pod en curso y posteriores a cada actualización del pod, debe configurar el servidor RADIUS a fin de permitir las conexiones de cliente desde las direcciones IP de las cuatro NIC en el grupo de recursos de la puerta de enlace externa de Microsoft Azure que corresponden a la subred con visibilidad sobre el servidor RADIUS. Consulte Cómo agregar las direcciones IP de las NIC de puerta de enlace del pod como clientes permitidos para las solicitudes.
La configuración de puerta de enlace es externa y se puede acceder al servidor RADIUS fuera de la VNet del pod
Cuando el administrador de red configura el servidor RADIUS fuera de la VNet del pod, las instancias de Unified Access Gateway de la configuración de puerta de enlace externa usan la dirección IP del recurso de equilibrador de carga de Azure de la puerta de enlace externa para ponerse en contacto con ese servidor RADIUS. Debe configurar el servidor RADIUS para permitir las conexiones de cliente desde la dirección IP del recurso de equilibrador de carga de la puerta de enlace externa. Consulte Cómo agregar la dirección IP del equilibrador de carga de la puerta de enlace externa del pod como un cliente permitido para las solicitudes.

Cómo agregar las direcciones IP de las NIC de puerta de enlace del pod como clientes permitidos para las solicitudes

Cuando se implementa el pod, el implementador de pods crea un conjunto de NIC en el grupo de recursos de la puerta de enlace en la suscripción de Microsoft Azure. Las siguientes capturas de pantalla son ejemplos de NIC para el tipo de puerta de enlace interna y el tipo de puerta de enlace externa. A pesar de que el identificador del pod se muestra pixelado en estas capturas de pantalla, se puede ver el patrón con el que el implementador nombra a las NIC, incluidos -management, -tenant y -dmz en esos nombres. Para conocer los nombres de los grupos de recursos del pod, consulte Grupos de recursos creados para un pod implementado en Microsoft Azure.


Captura de pantalla de las NIC y las máquinas virtuales que el implementador de pods crea para una configuración de puerta de enlace interna.


Captura de pantalla de las NIC y las máquinas virtuales que el implementador de pods crea para una configuración de puerta de enlace externa.

Debe obtener las direcciones IP de las NIC para la configuración de puerta de enlace en la que habilitó la autenticación en dos fases RADIUS que corresponden a la subred con visibilidad de red sobre el servidor RADIUS; además, debe especificar esas direcciones IP como clientes permitidos en la configuración del servidor RADIUS.

Importante: Para evitar una interrupción de conectividad entre el servidor RADIUS y el pod después de una actualización, en cada puerta de enlace que configuró con las opciones de RADIUS, asegúrese de que las direcciones IP de las cuatro (4) NIC descritas a continuación se especifiquen como clientes permitidos en la configuración del servidor RADIUS. Si bien solo la mitad de las NIC se encuentran activas durante las operaciones del pod en curso, su estado cambia cuando se actualiza el pod. Después de una actualización del pod, la otra mitad de las NIC se activa y las NIC previas a la actualización quedan inactivas hasta la próxima actualización del pod, cuando su estado vuelve a cambiar. Si no agrega todas las direcciones IP de las NIC, tanto las activas como las inactivas, a la configuración del servidor RADIUS, este servidor rechazará las solicitudes de conexión del conjunto de NIC posteriores a la actualización del pod y ahora activas; además, se interrumpirá el proceso de inicio de sesión para los usuarios finales que utilizan esa puerta de enlace.

Para obtener las direcciones IP de las NIC de la puerta de enlace que se deben agregar a la configuración del servidor RADIUS:

  1. Solicite a su administrador de red la información sobre cuál de las subredes del pod tiene visibilidad de red sobre el servidor RADIUS (administración, tenant o DMZ).
  2. Inicie sesión en el portal de Microsoft Azure para buscar su suscripción y localice el grupo de recursos de la puerta de enlace.
  3. Para las NIC correspondientes a la subred que, según el administrador de red, tiene visibilidad sobre el servidor RADIUS, haga clic en cada NIC y copie su dirección IP.
  4. Agregue las direcciones IP de las NIC al archivo de configuración de cliente del servidor RADIUS de modo que esas NIC sean clientes permitidos para el servidor RADIUS que configuró en las opciones de la puerta de enlace.

    La siguiente línea ilustra una parte de las líneas de configuración de cliente de las NIC con direcciones IP en la subred de tenant del pod para una puerta de enlace interna en la que el administrador de red configuró el servidor RADIUS dentro de la misma VNet que el pod y habilitó la accesibilidad desde la subred de tenant del pod. La subred de tenant del pod se configuró como 192.168.25.0/22 cuando se implementó este pod. Cuando se implementa inicialmente el pod, NIC1 y NIC2 se encuentran activas, y NIC3 y NIC4 se encuentran inactivas. Sin embargo, se agregan las cuatro NIC a la configuración del servidor RADIUS para garantizar que, después de la actualización del pod, cuando NIC3 y NIC4 se activen, y NIC1 y NIC2 queden inactivas, el servidor RADIUS siga aceptando conexiones de esta puerta de enlace. Debe utilizar la sintaxis adecuada para su propio servidor RADIUS.

    client UAGTENANTNIC1 {
      ipaddr = 192.168.25.5
      secret = myradiussecret
    }
    client UAGTENANTNIC2 {
      ipaddr = 192.168.25.6
      secret = myradiussecret
    }
    client UAGTENANTNIC3 {
      ipaddr = 192.168.25.7
      secret = myradiussecret
    }
    client UAGTENANTNIC4 {
      ipaddr = 192.168.25.8
      secret = myradiussecret
    }

Cómo agregar la dirección IP del equilibrador de carga de la puerta de enlace externa del pod como un cliente permitido para las solicitudes

Cuando el servidor RADIUS se encuentra fuera de la VNet del pod, para la puerta de enlace externa en la que especificó ese servidor RADIUS, debe agregar la dirección IP pública del recurso de equilibrador de carga de Azure de la puerta de enlace externa como cliente permitido en esa configuración del servidor RADIUS. Para obtener la dirección IP del equilibrador de carga, en el portal de Microsoft Azure, busque el recurso de equilibrador de carga en el grupo de recursos de la puerta de enlace.

  1. Inicie sesión en el portal de Microsoft Azure para buscar su suscripción y localice el grupo de recursos de la puerta de enlace.
  2. En el grupo de recursos de la puerta de enlace, haga clic en el recurso de equilibrador de carga. Tiene un nombre con el patrón vmw-hcs-podID-uag-lb. Su dirección IP se muestra en la información general.
  3. Agregue la dirección IP del equilibrador de carga de la puerta de enlace al archivo de configuración de cliente del servidor RADIUS de modo que el equilibrador de carga de la puerta de enlace sea un cliente permitido en el servidor RADIUS que configuró en las opciones de la puerta de enlace. La siguiente línea es un ejemplo ilustrativo. Debe utilizar la sintaxis adecuada para su propio servidor RADIUS.
    client MYPODUAGEXTLBIP {
      ipaddr = 52.191.236.223
      secret = myradiussecret
    }