해당 Unified Access Gateway 구성을 지정하기 위한 포드 배포 마법사 단계에서 최종 사용자가 해당 게이트웨이 구성을 통해 데스크톱 및 애플리케이션에 액세스하기 위해 2단계 인증을 사용하도록 지정할 수도 있습니다. Unified Access Gateway 구성 세부 정보를 제공한 후 다음 2단계 인증 세부 정보를 지정할 수 있습니다.

사전 요구 사항

2단계 인증 세부 정보를 입력하는 외부 또는 내부 Unified Access Gateway 구성에 대해 Horizon Cloud 포드의 게이트웨이 구성 지정에 설명된 대로 마법사의 Unified Access Gateway 구성에 대한 필드를 작성했는지 확인합니다. 온 프레미스 인증 서버에 대해 2단계 인증을 구성하는 경우 Unified Access Gateway 인스턴스가 해당 온 프레미스 서버로의 라우팅을 확인할 수 있도록 다음 필드의 정보도 제공합니다.

옵션 설명
DNS 주소 온 프레미스 인증 서버 이름을 확인할 수 있는 DNS 서버 주소를 하나 이상 지정합니다.
경로 포드의 Unified Access Gateway 인스턴스가 온-프레미스 인증 서버에 대한 네트워크 라우팅을 확인할 수 있도록 하는 여러 사용자 지정 경로 중 하나를 지정합니다.

예를 들어, 10.10.60.20을 IP 주소로 사용하는 온 프레미스 RADIUS 서버가 있는 경우 10.10.60.0/24 및 기본 경로 게이트웨이 주소를 사용자 지정 경로로 사용합니다. 이 환경에 사용하려는 Express Route 또는 VPN 구성에서 기본 경로 게이트웨이 주소를 가져옵니다.

ipv4-network-address/bits ipv4-gateway-address 형태의 사용자 지정 경로를 쉼표로 구분된 목록(예: 192.168.1.0/24 192.168.0.1, 192.168.2.0/24 192.168.0.2)으로 지정합니다.

포드 배포 마법사에서 해당 필드에 제공할 수 있도록 인증 서버 구성에서 사용되는 다음과 같은 정보가 있는지 확인합니다. 기본 및 보조 서버가 둘 다 있으면 각각에 대한 정보를 가져옵니다.

  • 인증 서버의 IP 주소 또는 DNS 이름
  • 인증 서버의 프로토콜 메시지에서 암호화 및 암호 해독에 사용되는 공유 암호
  • 인증 포트 번호(일반적으로 1812 UDP 포트)
  • 인증 프로토콜 유형. 인증 유형에는 PAP(Password Authentication Protocol), CHAP(Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2(Microsoft Challenge Handshake Authentication Protocol, 버전 1 및 2)가 포함됩니다.
    참고: RADIUS 벤더에서 권장하는 인증 프로토콜을 RADIUS 벤더의 설명서에서 확인하고 지시된 프로토콜 유형을 따르십시오. RADIUS와 함께 2단계 인증을 지원하는 포드의 기능이 Unified Access Gateway 인스턴스에서 제공되며, Unified Access Gateway는 PAP, CHAP, MSCHAP1 및 MSCHAP2를 지원합니다. PAP는 일반적으로 MSCHAP2보다 덜 안전합니다. 또한 PAP는 MSCHAP2보다 더 간단한 프로토콜입니다. 결과적으로, 대부분의 RADIUS 벤더는 좀 더 간단한 PAP 프로토콜과 호환되지만, 일부 RADIUS 벤더의 경우 좀 더 안전한 MSCHAP2와 호환되지 않게 됩니다.

프로시저

  1. 2단계 인증 사용 토글을 켭니다.
    이 토글을 사용하도록 설정하면 마법사에 추가 구성 필드가 표시됩니다. 스크롤 막대를 사용하여 모든 필드에 액세스합니다.

    다음 스크린샷은 외부 UAG 섹션에서 토글을 켠 후에 표시되는 내용의 예입니다.

    Horizon Cloud on Microsoft Azure: 포드 배포 마법사의 2단계 RADIUS 인증 필드
  2. 드롭다운 목록에서 2단계 인증 방법을 선택합니다.
    이 릴리스에서는 RADIUS 인증이 지원됩니다.
  3. 이름 필드에 이 구성을 식별하는 이름을 입력합니다.
  4. [속성] 섹션에서 최종 사용자가 액세스를 위해 인증을 받는 데 사용할 로그인 화면에 대한 최종 사용자의 상호 작용과 관련된 세부 정보를 지정합니다.
    옵션 설명
    표시 이름 이 필드는 비워둘 수 있습니다. 마법사에는 이 필드가 표시되더라도 Unified Access Gateway에서는 내부 이름만 설정됩니다. 이 이름은 Horizon 클라이언트에서 사용되지 않습니다.
    힌트 표시 선택적으로 RADIUS 사용자 이름과 암호를 묻는 메시지가 표시될 때 최종 사용자 클라이언트 로그인 화면의 메시지에 표시되는 텍스트 문자열을 입력합니다. 지정된 힌트는 최종 사용자에게 Enter your DisplayHint user name and passcode로 표시됩니다. 여기서 DisplayHint는 사용자가 이 필드에 지정하는 텍스트입니다.

    이 힌트는 사용자가 올바른 RADIUS 암호를 입력하도록 안내합니다. 예를 들어, 예제 회사 사용자 이름 및 도메인 암호와 같은 구문을 지정하면 Enter your Example Company user name and domain password below for user name and passcode라는 프롬프트가 표시됩니다.

    이름 ID 접미사 이 설정은 포드가 Single Sign-On에 TrueSSO를 사용하도록 구성되는 SAML 시나리오에서 사용됩니다. 필요에 따라 시스템이 브로커에 전송되는 SAML 어설션 사용자 이름에 추가하는 문자열을 제공합니다. 예를 들어, 로그인 화면에서 사용자 이름이 user1으로 입력되고 여기에 이름 ID 접미사 @example.com이 지정되면 시스템은 브로커에 user1@example.com의 SAML 어설션 사용자 이름을 전송합니다.
    반복 횟수 사용자가 이 RADIUS 시스템을 사용하여 로그인하려고 할 때 허용되는 실패한 인증 시도의 최대 횟수를 입력합니다.
    사용자 이름 유지 Horizon Cloud에서 인증되는 동안 사용자의 RADIUS 사용자 이름을 유지하려면 이 토글을 사용하도록 설정합니다. 사용하도록 설정하는 경우:
    • 사용자는 RADIUS에 대해서도 Horizon Cloud에 대한 Active Directory 인증의 경우와 동일한 사용자 이름 자격 증명이 있어야 합니다.
    • 사용자는 로그인 화면에서 사용자 이름을 변경할 수 없습니다.

    이 토글을 사용하지 않도록 설정하는 경우 사용자는 로그인 화면에서 다른 사용자 이름을 입력할 수 있습니다.

    참고: Horizon Cloud에서 사용자 이름 유지를 설정하는 경우와 도메인 보안 설정을 지정하는 경우 간 관계에 대해서는 [일반 설정] 페이지의 도메인 보안 설정 항목을 참조하십시오.
  5. [기본 서버] 섹션에서 인증 서버에 대한 세부 정보를 지정합니다.
    옵션 설명
    호스트 이름/IP 주소 인증 서버의 DNS 이름 또는 IP 주소를 입력합니다.
    공유 암호 인증 서버와 통신하기 위한 암호를 입력합니다. 값은 서버에 구성된 값과 동일해야 합니다.
    인증 포트 인증 트래픽을 송수신하기 위해 인증 서버에 구성된 UDP 포트를 지정합니다. 기본값은 1812입니다.
    계정 포트 필요에 따라 계정 트래픽을 송수신하기 위해 인증 서버에 구성된 UDP 포트를 지정합니다. 기본값은 1813입니다.
    메커니즘 지정된 인증 서버에서 지원되고 배포된 포드에서 사용하게 하려는 인증 프로토콜을 선택합니다.
    서버 시간 초과 포드가 인증 서버의 응답을 대기해야 하는 시간(초)을 지정합니다. 이 시간(초)이 지난 후에 서버가 응답하지 않을 경우 재시도가 전송됩니다.
    최대 재시도 횟수 포드가 인증 서버에 대해 실패한 요청을 다시 시도하는 최대 횟수를 지정합니다.
    영역 접두사 필요에 따라 사용자 이름이 인증 서버에 전송될 때 시스템이 이름 맨 앞에 추가하는 문자열을 제공합니다. 사용자 계정 위치를 영역이라고 합니다.

    예를 들어, 로그인 화면에서 사용자 이름이 user1로 입력되고 여기에 영역 접두사 DOMAIN-A\가 지정되면 시스템은 인증 서버에 DOMAIN-A\user1을 전송합니다. 영역 접두사를 지정하지 않으면 입력한 사용자 이름만 전송됩니다.

    영역 접미사 필요에 따라 사용자 이름이 인증 서버에 전송될 때 시스템이 이름에 추가하는 문자열을 제공합니다. 예를 들어, 로그인 화면에서 사용자 이름이 user1로 입력되고 여기에 영역 접미사 @example.com이 지정되면 시스템은 인증 서버에 user1@example.com을 전송합니다.
  6. (선택 사항) [보조 서버] 섹션에서 필요에 따라 보조 인증 서버에 대한 세부 정보를 지정합니다.
    보조 인증 서버가 고가용성을 제공하도록 구성할 수 있습니다. 보조 서버 토글을 사용하도록 설정하고 단계 5에 설명된 대로 필드를 완료합니다.