Habilite una instancia del servidor de conexión para la autenticación RSA SecurID o la autenticación RADIUS modificando la configuración del servidor de conexión en Horizon Console.

Requisitos previos

Instale y configure el software de autenticación en dos fases, como el software RSA SecurID o el software RADIUS en un servidor de administración de autenticación.

  • Para una autenticación RSA SecurID, exporte el archivo sdconf.rec de la instancia del servidor de conexión desde el Administrador de autenticación RSA. Consulte la documentación del Administrador de autenticación de RSA.
  • Para una autenticación RADIUS, siga la documentación sobre la configuración del proveedor. Anote el nombre de host o la dirección IP del servidor de RADIUS, el número de puerto en el que está realizando la escucha de la autenticación RADIUS (generalmente el 1812), el tipo de autenticación (PAP, CHAP, MS-CHAPv1 o MS-CHAPv2) y el secreto compartido. Debe introducir estos valores en Horizon Console. Puede introducir valores para un autenticador RADIUS primario y secundario.

Procedimiento

  1. En Horizon Console, acceda a Configuración > Servidores.
  2. En la pestaña Servidores de conexión, seleccione la instancia del servidor de conexión y haga clic en Editar.
  3. En la pestaña Autenticación, acceda a la lista desplegable Autenticación en dos fases de la sección Autenticación avanzada y seleccione RSA SecurID o RADIUS.
  4. Para forzar que los nombres de usuario de RSA SecurID o RADIUS coincidan con los nombres de usuario en Active Directory, seleccione Exigir que los nombres de usuario de SecurID y Windows coincidan u Obligar a la autenticación en dos fases y la coincidencia de nombre de usuario de Windows.
    Si selecciona esta opción, los usuarios deben usar el mismo nombre de usuario de RSA SecurID o de RADIUS para la autenticación de Active Directory. Si no selecciona esta opción, los nombres pueden ser diferentes.
  5. Para RSA SecurID, haga clic en Cargar archivo, escriba la ubicación de sdconf.rec o haga clic en Examinar para buscar el archivo.
  6. Para una autenticación RADIUS, complete el resto de los campos:
    1. Seleccione Usar el mismo nombre y la misma contraseña para la autenticación RADIUS y Windows si la autenticación RADIUS inicial usa la autenticación Windows que activa una transmisión fuera de banda de un código token y este código se utiliza como parte de una comprobación RADIUS.
      Si selecciona esta casilla, no se solicitarán las credenciales de Windows a los usuarios después de una autenticación RADIUS si esta autenticación usa el nombre de usuario y la contraseña de Windows. Los usuarios no tienen que volver a introducir el nombre de usuario y la contraseña de Windows después de una autenticación RADIUS.
    2. En el menú desplegable Autenticador, seleccione Crear autenticador nuevo y complete la página.
      • Para permitir que las etiquetas personalizadas del nombre de usuario y el código de acceso aparezcan en el cuadro de diálogo de autenticación RADIUS para los usuarios finales, introduzca etiquetas personalizadas en los campos Etiqueta de nombre de usuario y Etiqueta de código de acceso.
      • Establezca el Puerto de contabilidad en 0 a menos que desee habilitar la contabilidad de RADIUS. Establezca este puerto en un número que no sea cero solo si el servidor de RADIUS admite recopilación de datos de contabilidad. Si el servidor de RADIUS no admite mensajes de contabilidad y se configura este puerto en un número que no sea cero, los mensajes se enviarán e ignorarán y, posteriormente, se volverá a intentar el envío una serie de veces que causará un retraso de autenticación.

        Los datos de contabilidad permiten facturar a los usuarios en función de los datos y el tiempo de uso. Los datos de contabilidad también se pueden utilizar con propósitos estadísticos y para monitorización general de la red.

      • Si especifica una cadena de prefijo de territorio, esta se colocará delante del nombre de usuario cuando se envíe al servidor de RADIUS. Por ejemplo, si el nombre de usuario introducido en Horizon Client es jdoe y se especifica el prefijo de territorio DOMAIN-A\, el nombre de usuario DOMAIN-A\jdoe se envía al servidor de RADIUS. De forma similar, si usa el sufijo del dominio kerberos @mycorp.com, el nombre de usuario [email protected] se envía al servidor RADIUS.
  7. Haga clic en Aceptar para guardar los cambios.
    No es necesario reiniciar el servicio del servidor de conexión. Los archivos de configuración necesarios se distribuyen de forma automática y las opciones de configuración se aplican de forma inmediata.

Resultados

Cuando los usuarios abren Horizon Client y se autentican en el servidor de conexión, se les solicita una autenticación en dos fases. Para la autenticación RADIUS, el cuadro de diálogo de inicio de sesión muestra mensajes de texto que contienen la etiqueta del token que especificó.

Los cambios de configuración de la autenticación RADIUS afectan a las sesiones de las aplicaciones y los escritorios remotos que se iniciaron después de cambiar la configuración. Estos cambios no afectan a las sesiones iniciadas en ese momento.

Qué hacer a continuación

Si cuenta con un grupo de instancias del servidor de conexión y desea configurar la autenticación RADIUS en ellas, puede volver a usar una configuración del autenticador RADIUS ya existente.