Horizon Console で Connection Server の設定を変更して、Connection Server インスタンスで RSA SecurID 認証または RADIUS 認証を有効にします。

前提条件

RSA SecurID ソフトウェアや RADIUS ソフトウェアなどの 2 要素認証ソフトウェアを、認証マネージャのサーバにインストールして構成します。

  • RSA SecurID 認証の場合、sdconf.rec ファイルを RSA Authentication Manager から Connection Server インスタンスにエクスポートします。RSA Authentication Manager のドキュメントを参照してください。
  • RADIUS 認証の場合、ベンダーの構成に関するドキュメントに従ってください。RADIUS サーバのホスト名または IP アドレス、RADIUS 認証をリスンしているポート番号(通常は 1812)、認証タイプ(PAP、CHAP、MS-CHAPv1 または MS-CHAPv2)、および共有シークレットを書き留めておきます。これらの値は、Horizon Console で入力します。値をプライマリおよびセカンダリ RADIUS 認証子に入力できます。

手順

  1. Horizon Console で、[設定] > [サーバ] の順に移動します。
  2. [Connection Server] タブで、Connection Server インスタンスを選択して [編集] をクリックします。
  3. [認証] タブで、[高度な認証] セクションの [2 要素認証] ドロップダウン メニューから、[RSA SecureID] または [RADIUS] を選択します。
  4. RSA SecurID ユーザー名または RADIUS ユーザー名を Active Directory 内のユーザー名と強制的に一致させるには、[SecurID と Windows のユーザー名を強制的に一致させる] または [2 要素認証と Windows ユーザー名の一致の確認を強制します] を選択します。
    このオプションを選択した場合、ユーザーは Active Directory 認証にも同じ RSA SecurID ユーザー名または RADIUS ユーザー名を使用する必要があります。このオプションを選択しない場合は、名前が異なってもかまいません。
  5. RSA SecurID の場合、[ファイルのアップロード] をクリックして sdconf.rec ファイルの場所を入力するか、[参照] をクリックしてファイルを検索します。
  6. RADIUS 認証の場合、残りのフィールドを入力します。
    1. 最初の RADIUS 認証が、トークン コードのアウトオブバンド伝送をトリガする Windows 認証を使用し、このトークン コードが RADIUS のチャレンジの一部として使用される場合、[RADIUS と Windows 認証には同じユーザー名とパスワードを使用します] を選択します。
      このチェックボックスを選択すると、RADIUS 認証で Windows のユーザー名およびパスワードを使用している場合、RADIUS 認証後にユーザーは Windows 認証情報の入力を求められません。ユーザーは RADIUS 認証後、Windows ユーザー名およびパスワードを再入力する必要はありません。
    2. [認証子] ドロップダウン メニューから、[新しい認証子の作成] を選択し、ページのすべての項目に入力します。
      • エンド ユーザーの RADIUS 認証ダイアログにカスタムのユーザー名とパスコードのラベルを表示するには、[ユーザー名ラベル][パスコード ラベル] フィールドにカスタム ラベルを入力します。
      • RADIUS アカウンティングを有効にする必要がない限り、[アカウンティング ポート][0] に設定します。RADIUS サーバがアカウンティング データの収集をサポートする場合に限り、このポートをゼロ以外の数字に設定します。RADIUS サーバがアカウンティング メッセージをサポートせず、このポートをゼロ以外の数字に設定すると、メッセージが送信されて無視され、何度も再試行された結果、認証が遅延します。

        アカウンティング データは、利用時間およびデータに基づいた、ユーザーへの請求に使用できます。アカウンティング データは、統計目的および一般的なネットワーク監視にも使用することができます。

      • レルムのプリフィックス文字列を指定すると、RADIUS サーバに送られるときに、その文字列がユーザー名の先頭に配置されます。たとえば、Horizon Client に入力されたユーザー名が jdoe で、レルムのプリフィックス DOMAIN-A\ が指定された場合、ユーザー名 DOMAIN-A\jdoe が RADIUS サーバに送信されます。同様に、レルムのサフィックスまたはポストフィックスに文字列 @mycorp.com を使用する場合、ユーザー名 [email protected] が RADIUS サーバに送信されます。
  7. [OK] をクリックして変更を保存します。
    Connection Server サービスの再起動は不要です。必要な構成ファイルが自動的に配布され、構成の設定がすぐに有効になります。

結果

ユーザーが Horizon Client を開き、Connection Server へ認証する場合、2 要素認証が求められます。RADIUS 認証の場合、ログイン ダイアログ ボックスに、指定したトークンのラベルを含むテキスト プロンプトが表示されます。

RADIUS 認証設定への変更は、構成が変更された後で開始されるリモート デスクトップおよびアプリケーション セッションに影響を及ぼします。RADIUS 認証設定を変更しても、現在のセッションには影響ありません。

次のタスク

Connection Server インスタンスの複製されたグループがあり、そこでも RADIUS 認証を設定する場合、既存の RADIUS 認証子の構成を再利用することができます。