Vous activez une instance du Serveur de connexion pour l'authentification RSA SecurID ou l'authentification RADIUS en modifiant des paramètres du Serveur de connexion dans Horizon Console.

Conditions préalables

Installez et configurez le logiciel d'authentification à deux facteurs, tel que le logiciel RSA SecurID ou le logiciel RADIUS, sur un serveur de gestionnaires d'authentification.

  • Pour l'authentification RSA SecurID, exportez le fichier sdconf.rec correspondant à l'instance du Serveur de connexion à partir de RSA Authentication Manager. Reportez-vous à la documentation de RSA Authentication Manager.
  • Pour l'authentification RADIUS, suivez la documentation de configuration du fournisseur. Notez le nom d'hôte ou l'adresse IP du serveur RADIUS, le numéro du port sur lequel il écoute l'authentification RADIUS (généralement 1812), le type d'authentification (PAP, CHAP, MS-CHAPv1 ou MS-CHAPv2) et la clé secrète partagée. Vous entrez ces valeurs dans Horizon Console. Vous pouvez entrer des valeurs pour un authentificateur RADIUS principal et secondaire.

Procédure

  1. Dans Horizon Console, accédez à Paramètres > Serveurs.
  2. Dans l'onglet Serveurs de connexion, sélectionnez l'instance du Serveur de connexion et cliquez sur Modifier.
  3. Sous l'onglet Authentification, dans le menu déroulant Authentification à deux facteurs de la section Authentification avancée, sélectionnez RSA SecureID ou RADIUS.
  4. Pour forcer les noms d'utilisateur RSA SecurID ou RADIUS à correspondre aux noms d'utilisateur d'Active Directory, sélectionnez Appliquer la correspondance des noms d'utilisateur SecurID et Windows ou Appliquer la correspondance des noms d'utilisateur à deux facteurs et Windows.
    Si vous sélectionnez cette option, les utilisateurs doivent utiliser le même nom d'utilisateur RSA SecurID ou RADIUS pour l'authentification Active Directory. Si vous ne sélectionnez pas cette option, les noms peuvent être différents.
  5. Pour RSA SecurID, cliquez sur Télécharger un fichier, entrez l'emplacement du fichier sdconf.rec ou cliquez sur Parcourir pour rechercher le fichier.
  6. Pour l'authentification RADIUS, renseignez le reste des champs :
    1. Sélectionnez Utiliser les mêmes nom d'utilisateur et mot de passe pour l'authentification RADIUS et Windows si l'authentification RADIUS initiale fait appel à l'authentification Windows qui déclenche une transmission hors bande d'un code de jeton et si ce code de jeton est ensuite utilisé dans le cadre d'un challenge RADIUS.
      Si vous cochez cette case, les utilisateurs ne seront pas invités à fournir des informations d'identification Windows après l'authentification RADIUS si cette dernière utilise le nom d'utilisateur et le mode passe Windows. Les utilisateurs n'ont pas besoin d'entrer à nouveau le nom d'utilisateur et le mot de passe Windows après l'authentification RADIUS.
    2. Dans le menu déroulant Authentificateur, sélectionnez Créer un authentificateur et renseignez la page.
      • Pour activer les libellés de nom d'utilisateur et de code secret personnalisés qui s'affichent dans la boîte de dialogue d'authentification RADIUS pour les utilisateurs finaux, entrez des libellés personnalisés dans les champs Étiquette du nom d'utilisateur et Étiquette du code secret.
      • Définissez Port de gestion de compte sur 0 sauf si vous souhaitez activer la gestion de compte RADIUS. Définissez ce port sur un numéro différent de zéro uniquement si votre serveur RADIUS prend en charge la collecte de données de gestion de compte. Si le serveur RADIUS ne prend pas en charge les messages de gestion de compte et si vous définissez ce port sur un numéro différent de zéro, les messages sont envoyés et ignorés, puis réessayés un certain nombre de fois, entraînant ainsi un retard d'authentification.

        Les données de gestion de compte peuvent être utilisées pour facturer les utilisateurs en fonction de la durée d'utilisation et des données échangées. Les données de gestion de compte peuvent également être utilisées à des fins statistiques ou pour la surveillance générale du réseau.

      • Si vous spécifiez une chaîne de préfixe de domaine, celle-ci est placée au début du nom d'utilisateur lorsqu'il est envoyé au serveur RADIUS. Par exemple, si le nom d'utilisateur entré dans Horizon Client est jdoe et que le préfixe de domaine DOMAIN-A\ est spécifié, le nom d'utilisateur DOMAIN-A\jdoe est envoyé au serveur RADIUS. De même, si vous utilisez le suffixe de domaine, ou postfix, la chaîne @mycorp.com, le nom d'utilisateur [email protected] est envoyé au serveur RADIUS.
  7. Cliquez sur OK pour enregistrer vos modifications.
    Vous n'avez pas à redémarrer le service Serveur de connexion. Les fichiers de configuration nécessaires sont distribués automatiquement et les paramètres de configuration prennent immédiatement effet.

Résultats

Lorsque les utilisateurs ouvrent Horizon Client et s'authentifient sur le Serveur de connexion, ils sont invités à fournir une authentification à deux facteurs. Pour l'authentification RADIUS, la boîte de dialogue d'ouverture de session affiche des invites qui contiennent l'étiquette du jeton que vous avez spécifié.

Les modifications apportées aux paramètres d'authentification RADIUS affectent les sessions d'applications et de postes de travail distants qui sont démarrées après la modification de la configuration. Les sessions en cours ne sont pas affectées par les modifications apportées aux paramètres d'authentification RADIUS.

Que faire ensuite

Si vous disposez d'un groupe répliqué d'instances du Serveur de connexion et si vous souhaitez également configurer une authentification RADIUS sur celles-ci, vous pouvez réutiliser une configuration d'authentificateur RADIUS existante.