Après avoir configuré les paramètres d'authentification à deux facteurs RADIUS dans la configuration de passerelle de l'espace Horizon Cloud, vous devez également configurer votre serveur RADIUS pour autoriser les demandes client à partir d'adresses IP spécifiques liées à la passerelle. Les instances d'Unified Access Gateway de la passerelle tenteront de communiquer avec le serveur RADIUS à partir d'adresses IP spécifiques. Votre administrateur réseau détermine la visibilité du réseau du serveur RADIUS sur le réseau virtuel Azure (VNet) et les sous-réseaux de l'espace. La combinaison de la visibilité réseau et du type de passerelle de l'espace, externe ou interne, détermine les adresses IP liées à la passerelle que vous devez configurer comme clients autorisés dans la configuration de votre serveur RADIUS.

Important :

Consultez la documentation appropriée pour votre système d'authentification à deux facteurs RADIUS pour en savoir plus sur la syntaxe du fichier de configuration spécifique utilisée dans votre système RADIUS dans lequel vous devez configurer les informations de ce client. Par exemple, comme décrit dans la section Wiki FreeRADIUS pour la configuration du client FreeRADIUS, le fichier /etc/raddb/clients.conf contient les définitions des clients RADIUS, comme suit :

client NAME {
  ipaddr = IPADDRESS
  secret = SECRET
}

Cette rubrique décrit les informations de votre espace Horizon Cloud que vous devez utiliser dans votre serveur RADIUS pour activer les communications entre la passerelle de l'espace et pour maintenir la résilience des communications après chaque mise à jour de l'espace. Pour accepter les connexions des machines clientes qui essaient de les contacter, les serveurs RADIUS doivent enregistrer les adresses IP de ces machines clientes en tant que clients autorisés. Dans le cas d'une passerelle d'espace Horizon Cloud configurée avec des paramètres d'authentification à deux facteurs RADIUS, ces machines clientes sont les instances d'Unified Access Gateway de la passerelle. En général, votre administrateur réseau détermine l'accès réseau du serveur RADIUS au réseau virtuel et aux sous-réseaux connectés à l'espace déployé. Les adresses IP source spécifiques utilisées par les instances d'Unified Access Gateway lorsqu'elles contactent le serveur RADIUS dépendent de :

  • Si la configuration de la passerelle est interne ou externe
  • Si votre administrateur réseau a configuré le serveur RADIUS pour être accessible de l'intérieur du réseau virtuel de l'espace ou s'il est situé en dehors du réseau virtuel
  • Si le serveur RADIUS est accessible de l'intérieur du réseau virtuel de l'espace, à partir des sous-réseaux de l'espace de ce réseau virtuel pour lesquels l'administrateur réseau a configuré l'accès au serveur RADIUS
Configuration de la passerelle interne
Les instances d' Unified Access Gateway déployées pour une configuration de passerelle interne utilisent les adresses IP privées de leurs cartes réseau pour contacter le serveur RADIUS. Le serveur RADIUS voit les demandes provenant d'adresses IP source qui sont les adresses IP privées des cartes réseau. Votre administrateur réseau a configuré si le serveur RADIUS est accessible pour la plage d'adresses IP du sous-réseau de gestion ou du sous-réseau du locataire de l'espace. Le groupe de ressources de la passerelle interne dans Microsoft Azure comporte quatre (4) cartes réseau qui correspondent à ce sous-réseau : deux qui sont actuellement actives pour les deux instances d' Unified Access Gateway et deux cartes réseau inactives qui deviendront actives après une mise à jour de l'espace. Pour prendre en charge les communications entre la passerelle et le serveur RADIUS pour les opérations d'espace en cours et après chaque mise à jour de l'espace, vous devez configurer le serveur RADIUS pour autoriser les connexions client à partir des adresses IP des quatre cartes réseau dans le groupe de ressources de l'interface interne de la passerelle dans Microsoft Azure qui correspond au sous-réseau qui a une visibilité sur le serveur RADIUS. Reportez-vous à la section Comment ajouter des adresses IP de cartes réseau de passerelle d'espace en tant que clients autorisés pour les demandes.
La configuration de la passerelle externe et le serveur RADIUS sont accessibles dans le réseau virtuel de l'espace
Lorsque votre administrateur réseau a configuré le serveur RADIUS pour qu'il soit accessible sur le même réseau virtuel que l'espace, les instances d' Unified Access Gateway utilisent les adresses IP privées de leurs cartes réseau pour contacter ce serveur RADIUS. Le serveur RADIUS voit les demandes provenant d'adresses IP source qui sont les adresses IP privées des cartes réseau. Votre administrateur réseau a configuré l'accessibilité du serveur RADIUS à partir de la plage d'adresses IP du sous-réseau de gestion, de locataire ou de zone DMZ de l'espace. Le groupe de ressources de la passerelle externe dans Microsoft Azure comporte quatre (4) cartes réseau qui correspondent à ce sous-réseau : deux qui sont actuellement actives pour les deux instances d' Unified Access Gateway et deux cartes réseau inactives qui deviennent actives après une mise à jour de l'espace. Pour prendre en charge les communications entre la passerelle et le serveur RADIUS pour les opérations d'espace en cours et après chaque mise à jour de l'espace, vous devez configurer le serveur RADIUS pour autoriser les connexions client à partir des adresses IP des quatre cartes réseau dans le groupe de ressources de l'interface externe de la passerelle dans Microsoft Azure qui correspond au sous-réseau qui a une visibilité sur le serveur RADIUS. Reportez-vous à la section Comment ajouter des adresses IP de cartes réseau de passerelle d'espace en tant que clients autorisés pour les demandes.
Configuration de la passerelle externe et du serveur RADIUS accessible depuis l'extérieur du réseau virtuel de l'espace
Lorsque votre administrateur réseau a configuré le serveur RADIUS en dehors du réseau virtuel de l'espace, les instances d' Unified Access Gateway de la configuration de la passerelle externe utilisent l'adresse IP de la ressource d'équilibrage de charge Azure de la passerelle externe pour contacter ce serveur RADIUS. Vous devez configurer le serveur RADIUS pour autoriser les connexions client à partir de l'adresse IP de la ressource d'équilibrage de charge de la passerelle externe. Reportez-vous à la section Comment ajouter l'adresse IP de l'équilibrage de charge de la passerelle externe de l'espace en tant que client autorisé pour les demandes.

Comment ajouter des adresses IP de cartes réseau de passerelle d'espace en tant que clients autorisés pour les demandes

Lorsque l'espace est déployé, le système de déploiement de l'espace crée un ensemble de cartes réseau dans le groupe de ressources de la passerelle dans votre abonnement Microsoft Azure. Les captures d'écran suivantes sont des exemples de cartes réseau pour le type de passerelle interne et le type de passerelle externe. Même si l'ID d'espace est pixellisé dans ces captures d'écran, vous pouvez voir le modèle suivi par le système de déploiement pour nommer les cartes réseau, avec -management, -tenant et -dmz dans ces noms. Pour connaître les noms des groupes de ressources de l'espace, reportez-vous à la section Groupes de ressources créés pour un espace déployé dans Microsoft Azure.


Capture d'écran des cartes réseau et des machines virtuelles créées par le système de déploiement d'espace pour une configuration de passerelle interne.


Capture d'écran des cartes réseau et des machines virtuelles que le système de déploiement d'espace crée pour une configuration de passerelle externe.

Vous devez obtenir les adresses IP des cartes réseau pour la configuration de la passerelle sur laquelle vous avez activé l'authentification à deux facteurs RADIUS qui correspond au sous-réseau qui a une visibilité réseau sur le serveur RADIUS et spécifiez ces adresses IP en tant que clients autorisés dans la configuration de votre serveur RADIUS.

Important : Pour éviter toute interruption de la connectivité entre votre serveur RADIUS et l'espace après une mise à jour, pour chaque passerelle que vous avez configurée avec des paramètres RADIUS, assurez-vous que les adresses IP des quatre (4) cartes réseau décrites ci-dessous sont spécifiées en tant que clients autorisés dans la configuration de votre serveur RADIUS. Même si seulement la moitié des cartes réseau sont actives pendant les opérations de l'espace en cours, elles basculent lorsque l'espace est mis à jour. Après la mise à jour d'un espace, l'autre moitié des cartes réseau devient active et les cartes réseau antérieures à la mise à jour sont inactives jusqu'à la prochaine mise à jour de l'espace, lorsqu'elles basculent à nouveau. Si vous n'avez pas ajouté toutes les adresses IP de carte réseau, à la fois actives et inactives, à votre configuration de serveur RADIUS, le serveur RADIUS refuse les demandes de connexion de l'ensemble des cartes réseau désormais actives de l'espace après sa mise à jour, et le processus de connexion pour les utilisateurs finaux utilisant la passerelle s'arrête.

Pour obtenir les adresses IP des cartes réseau de la passerelle à ajouter à la configuration du serveur RADIUS :

  1. Obtenez auprès de votre administrateur réseau les informations sur les sous-réseaux de l'espace disposant d'une visibilité réseau sur le serveur RADIUS (gestion, locataire ou zone DMZ).
  2. Connectez-vous au portail Microsoft Azure pour votre abonnement et recherchez le groupe de ressources de la passerelle.
  3. Pour les cartes réseau qui correspondent au sous-réseau que votre administrateur réseau a configuré pour avoir une visibilité sur le serveur RADIUS, cliquez sur chaque carte réseau et copiez son adresse IP.
  4. Ajoutez ces adresses IP de carte réseau à votre fichier de configuration de client du serveur RADIUS afin que ces cartes réseau soient des clients autorisés pour le serveur RADIUS que vous avez configuré dans les paramètres de cette passerelle.

    La ligne suivante est une illustration de la partie des lignes de configuration du client pour les cartes réseau avec des adresses IP sur le sous-réseau de locataire de l'espace pour une passerelle interne dans laquelle l'administrateur réseau a configuré le serveur RADIUS à l'intérieur du même réseau virtuel que l'espace et avec une accessibilité à partir du sous-réseau de locataire de l'espace. Le sous-réseau de locataire de l'espace a été configuré avec l'adresse 192.168.25.0/22 lors du déploiement de cet espace. Lors du déploiement initial de l'espace, les cartes réseau NIC1 et NIC2 sont actives, et les cartes réseau NIC3 et NIC4 sont inactives. Toutefois, ces quatre cartes réseau sont ajoutées à la configuration du serveur RADIUS pour garantir qu'après la mise à jour de l'espace, lorsque NIC3 et NIC4 deviennent actives et que NIC1 et NIC2 sont inactives, le serveur RADIUS continue d'accepter les connexions de cette passerelle. Vous devez utiliser la syntaxe appropriée à votre propre serveur RADIUS.

    client UAGTENANTNIC1 {
      ipaddr = 192.168.25.5
      secret = myradiussecret
    }
    client UAGTENANTNIC2 {
      ipaddr = 192.168.25.6
      secret = myradiussecret
    }
    client UAGTENANTNIC3 {
      ipaddr = 192.168.25.7
      secret = myradiussecret
    }
    client UAGTENANTNIC4 {
      ipaddr = 192.168.25.8
      secret = myradiussecret
    }

Comment ajouter l'adresse IP de l'équilibrage de charge de la passerelle externe de l'espace en tant que client autorisé pour les demandes

Lorsque le serveur RADIUS est situé en dehors du réseau virtuel de l'espace, pour la passerelle externe sur laquelle vous avez spécifié ce serveur RADIUS, vous devez ajouter l'adresse IP publique de la ressource d'équilibrage de charge Azure de la passerelle externe en tant que client autorisé dans la configuration du serveur RADIUS. Vous pouvez obtenir cette adresse IP d'équilibrage de charge à l'aide du portail Microsoft Azure, en localisant la ressource d'équilibrage de charge dans le groupe de ressources de la passerelle.

  1. Connectez-vous au portail Microsoft Azure pour votre abonnement et recherchez le groupe de ressources de la passerelle.
  2. Dans le groupe de ressources de la passerelle, cliquez sur la ressource d'équilibrage de charge. Elle porte un nom semblable à vmw-hcs-podID-uag-lb. Son adresse IP est répertoriée dans les informations de présentation.
  3. Ajoutez l'adresse IP de l'équilibrage de charge de la passerelle à votre fichier de configuration de client du serveur RADIUS afin que l'équilibrage de charge de la passerelle soit un client autorisé pour le serveur RADIUS que vous avez configuré dans les paramètres de cette passerelle. La ligne suivante illustre cela à titre d'exemple. Vous devez utiliser la syntaxe appropriée à votre propre serveur RADIUS.
    client MYPODUAGEXTLBIP {
      ipaddr = 52.191.236.223
      secret = myradiussecret
    }