En el paso del asistente de implementación de pods para especificar las configuraciones de Unified Access Gateway, también puede especificar el uso de la autenticación en dos fases para el acceso de los usuarios finales a los escritorios y las aplicaciones a través de esas configuraciones de puerta de enlace. Puede especificar estos detalles de autenticación en dos fases después de proporcionar los detalles de configuración de Unified Access Gateway.

Requisitos previos

Compruebe que cumpla los requisitos descritos en Requisitos previos para ejecutar el asistente de implementación de pods.

Para la configuración de Unified Access Gateway externa o interna para la que está especificando los detalles de autenticación en dos fases, compruebe que haya rellenado los campos para la configuración de Unified Access Gateway en el asistente, tal como se describe en Especificar la configuración de puerta de enlace del pod de Horizon Cloud. Al configurar la autenticación en dos fases en un servidor de autenticación local, también se proporciona información en los siguientes campos de modo que las instancias de Unified Access Gateway puedan resolver el enrutamiento a ese servidor local.

Opción Descripción
Direcciones de DNS Especifique una o más direcciones de servidores DNS que puedan resolver el nombre de su servidor de autenticación local.
Rutas Especifique una de varias rutas personalizadas que permitan que las instancias del pod de Unified Access Gateway resuelvan el enrutamiento de red para el servidor de autenticación local.

Por ejemplo, si tiene un servidor RADIUS local que utiliza 10.10.60.20 como dirección IP, use 10.10.60.0/24 y su dirección de puerta de enlace de ruta predeterminada como una ruta personalizada. Obtenga la dirección de puerta de enlace de ruta predeterminada de la configuración de la ruta exprés o de una VPN que utilice para este entorno.

Especifique las rutas personalizadas como una lista separada por comas en el formulario ipv4-network-address/bits ipv4-gateway-address, por ejemplo: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2.

Compruebe que ha usado la siguiente información en la configuración del servidor de autenticación, de modo que pueda incluirla en los campos adecuados del asistente de implementación de pods. Si tiene un servidor principal y uno secundario, obtenga la información de cada uno de ellos.

  • La dirección IP o el nombre DNS del servidor de autenticación.
  • El secreto compartido que se utiliza para cifrar y descifrar los mensajes de protocolo del servidor de autenticación.
  • Los números de puerto de autenticación, por lo general, el puerto UDP 1812.
  • El tipo de protocolo de autenticación. Entre los tipos de autenticación se encuentran PAP (Protocolo de autenticación de contraseña), CHAP (Protocolo de autenticación por desafío mutuo), MSCHAP1 y MSCHAP2 (Protocolo de autenticación por desafío mutuo de Microsoft, versiones 1 y 2).
    Nota: Compruebe la documentación del proveedor RADIUS para el protocolo de autenticación que el proveedor RADIUS recomiende y siga el tipo de protocolo especificado. Las instancias de Unified Access Gateway le permiten al pod admitir la autenticación en dos fases con RADIUS, y Unified Access Gateway es compatible con PAP, CHAP, MSCHAP1 y MSCHAP2. PAP es generalmente menos seguro que MSCHAP2. PAP también es un protocolo más simple que MSCHAP2. Como consecuencia, aunque la mayoría de los proveedores RADIUS es compatible con el protocolo PAP más simple, algunos proveedores RADIUS no son tan compatibles con MSCHAP2 que es más seguro.

Procedimiento

  1. Active la opción Habilitar la autenticación en dos fases.
    Cuando la opción se habilita, el asistente muestra campos de configuración adicionales. Utilice la barra de desplazamiento para acceder a todos los campos.

    La siguiente captura de pantalla es un ejemplo de lo que se muestra después de habilitar la opción en la sección UAG externa.

    Horizon Cloud on Microsoft Azure: campos de autenticación en dos fases RADIUS del asistente de implementación de pods
  2. En la lista desplegable, seleccione el método de autenticación en dos fases.
    En esta versión, se admite la autenticación RADIUS.
  3. En el campo Nombre, escriba un nombre identificativo para esta configuración.
  4. En la sección Propiedades, especifique los detalles relacionados con la interacción de los usuarios finales con la pantalla de inicio de sesión que utilizarán para autenticar el acceso.
    Opción Descripción
    Nombre para mostrar Puede dejar este campo en blanco. A pesar de que este campo está visible en el asistente, solo establece un nombre interno en Unified Access Gateway. Los clientes de Horizon no utilizan este nombre.
    Mostrar sugerencia Si lo desea, escriba una cadena de texto que se mostrará a los usuarios finales en el mensaje en la pantalla de inicio de sesión de cliente de los usuarios finales cuando le solicita al usuario su código de acceso y el nombre de usuario de RADIUS. Aparece la sugerencia especificada para el usuario final como Enter your DisplayHint user name and passcode, donde DisplayHint es el texto que especifique en este campo.

    Esta sugerencia puede servir de orientación a los usuarios para introducir el código de acceso de RADIUS correcto. Por ejemplo, especificar una frase como Nombre de usuario de la empresa y contraseña de dominio de ejemplo a continuación derivaría en una solicitud para el usuario final con el texto Enter your Example Company user name and domain password below for user name and passcode.

    Sufijo de ID de nombre Esta opción se usa en los escenarios de SAML, donde el pod está configurado a fin de usar TrueSSO para Single Sign-On. De forma opcional, proporcione una cadena que el sistema anexará al nombre de usuario de confirmación de SAML que se envía al agente. Por ejemplo, si el nombre de usuario introducido es user1 en la pantalla de inicio de sesión y se especifica aquí el sufijo de identificador de @example.com, el sistema envía al agente el nombre de usuario de confirmación de SAML user1@example.com.
    Número de iteraciones Introduzca el número máximo de intentos erróneos de autenticación que se permiten para el usuario al intentar iniciar sesión con el sistema RADIUS.
    Mantener nombre de usuario Habilite esta opción para mantener el nombre de usuario de RADIUS durante la autenticación en Horizon Cloud. Cuando está habilitada:
    • El usuario debe tener las mismas credenciales de nombre de usuario para RADIUS que para su autenticación de Active Directory para Horizon Cloud.
    • El usuario no puede cambiar el nombre de usuario en la pantalla de inicio de sesión.

    Si se desactiva esta opción, el usuario puede escribir otro nombre de usuario en la pantalla de inicio de sesión.

    Nota: En relación con la relación entre la habilitación de Mantener nombre de usuario y la configuración de seguridad del dominio en Horizon Cloud, consulte el tema Configuración de seguridad del dominio en la página Configuración general de la Guía de administración de Horizon Cloud.
  5. En la sección Servidor principal, especifique los detalles del servidor de autenticación.
    Opción Descripción
    Nombre de host/dirección IP Introduzca el nombre DNS o la dirección IP del servidor de autenticación.
    Secreto compartido Escriba el secreto para la comunicación con el servidor de autenticación. El valor debe ser idéntico al valor configurado por el servidor.
    Puerto de autenticación Especifique el puerto UDP configurado en el servidor de autenticación para enviar o recibir tráfico de autenticación. El valor predeterminado es 1812.
    Puerto de cuentas De forma opcional, especifique el puerto UDP configurado en el servidor de autenticación para enviar o recibir tráfico de contabilidad. El valor predeterminado es 1813.
    Mecanismo Seleccione el protocolo de autenticación compatible con el servidor de autenticación especificado y que desea que use el pod implementado.
    Tiempo de espera del servidor Especifique el número de segundos que el pod debe esperar para recibir una respuesta del servidor de autenticación. Después de este periodo de tiempo, se enviará un reintento si el servidor no responde.
    Número máximo de reintentos Especifique el número máximo de veces que el pod debe volver a reenviar las solicitudes fallidas al servidor de autenticación.
    Prefijo del dominio kerberos De forma opcional, proporcione una cadena que el sistema colocará delante del nombre de usuario cuando este se envíe al servidor de autenticación. La ubicación de la cuenta de usuario se denomina dominio kerberos.

    Por ejemplo, si el nombre de usuario introducido es user1 en la pantalla de inicio de sesión y se ha especificado el prefijo de dominio kerberos DOMAIN-A\ aquí, el sistema enviará DOMAIN-A\user1 al servidor de autenticación. Si no especifica ningún prefijo de dominio kerberos, solo se enviará el nombre de usuario.

    Sufijo del dominio kerberos De forma opcional, proporcione una cadena que el sistema anexará al nombre de usuario cuando este se envíe al servidor de autenticación. Por ejemplo, si el nombre de usuario introducido es user1 en la pantalla de inicio de sesión y se ha especificado el sufijo de dominio kerberos @example.com aquí, el sistema enviará user1@example.com al servidor de autenticación.
  6. (opcional) En la sección Servidor secundario, especifique opcionalmente los detalles de un servidor de autenticación auxiliar.
    Puede configurar un servidor de autenticación secundario para proporcionar alta disponibilidad. Habilite la opción Servidor auxiliar y rellene los campos tal como se describe en la Paso 5.