您可以修改 Horizon Administrator 中的連線伺服器設定,來啟用 RSA SecurID 驗證或 RADIUS 驗證的連線伺服器執行個體。

必要條件

在驗證管理員伺服器上安裝與設定雙因素驗證軟體,例如 RSA SecurID 軟體或 RADIUS 軟體。

  • 對於 RSA SecurID 驗證,請從 RSA 驗證管理員匯出連線伺服器執行個體的 sdconf.rec 檔。請參閱 RSA 驗證管理員文件。
  • 對於 RADIUS 驗證,請依照廠商的組態說明文件進行。請記下 RADIUS 伺服器的主機名稱或 IP 位址、用來接聽 RADIUS 驗證的連接埠號碼 (通常為 1812)、驗證類型 (PAP、CHAP、MS-CHAPv1 或 MS-CHAPv2) 及共用的密碼。您會在 Horizon Administrator 中輸入這些值。您可以輸入主要與次要 RADIUS 驗證器的這些值。

程序

  1. 在 Horizon Administrator 中,選取 View 組態 > 伺服器
  2. 連線伺服器索引標籤上選取伺服器,並按一下編輯
  3. 驗證索引標籤上,進階驗證區段的雙因素驗證下拉式清單中,選取 RSA SecureIDRADIUS
  4. 若要強制 RSA SecurID 或 RADIUS 使用者名稱符合 Active Directory 中的使用者名稱,請選取強制執行 SecurID 及 Windows 使用者名稱比對強制執行雙因素及 Windows 使用者名稱比對
    如果您選取此選項,則使用者必須使用相同的 RSA SecurID 或 RADIUS 使用者名稱進行 Active Directory 驗證。如果您未選取此選項,則名稱可以不同。
  5. 對於 RSA SecurID,請按一下上傳檔案,輸入 sdconf.rec 檔的位置,或按一下瀏覽搜尋檔案。
  6. 對於 RADIUS 驗證,請完成其餘的欄位:
    1. 如果初始 RADIUS 驗證使用的 Windows 驗證會觸發 Token 碼的頻外傳輸,且此 Token 碼作為 RADIUS 挑戰的一部分,請選取為 RADIUS 和 Windows 驗證使用相同的使用者名稱和密碼
      如果您選取此核取方塊,若 RADIUS 驗證使用 Windows 使用者名稱與密碼,則在 RADIUS 驗證後不會提示使用者提供 Windows 認證。使用者在 RADIUS 驗證後不必重新輸入 Windows 使用者名稱與密碼。
    2. 驗證器下拉式清單中,選取建立新驗證器並完成該頁面。
      • 帳戶處理連接埠設為 0,但如果您要啟用 RADIUS 帳戶處理則不用如此設定。只有在您的 RADIUS 伺服器支援收集帳戶處理資料時,才將此連接埠設為非零的數字。如果 RADIUS 伺服器不支援帳戶處理訊息,且您將此連接埠設為非零的數字,則系統會傳送並忽略訊息,然後重試數次,造成驗證延遲。

        可使用帳戶處理資料,以便根據使用時間與資料向使用者收費。帳戶處理資料也可用於統計資料及一般網路監控。

      • 如果您指定領域首碼字串,則該字串傳送至 RADIUS 伺服器時會放置在使用者名稱的開頭。例如,如果在 Horizon Client 中輸入的使用者名稱為 jdoe,並指定領域首碼 DOMAIN-A\,則會將使用者名稱 DOMAIN-A\jdoe 傳送至 RADIUS 伺服器。同樣的,如果您使用的領域尾碼 (也就是後置詞) 字串是 @mycorp.com,則會將使用者名稱 [email protected] 傳送至 RADIUS 伺服器。
  7. 按一下確定儲存變更。
    您不需要重新啟動連線伺服器服務。系統會自動散佈必要的組態檔,組態設定會立即生效。

結果

當使用者開啟 Horizon Client 並驗證連線伺服器時,會提示使用者提供雙因素驗證。對於 RADIUS 驗證,登入對話方塊會顯示文字提示,其中包含您所指定的 Token 標籤。

變更 RADIUS 驗證設定會影響在組態變更後啟動的遠端桌面平台和應用程式工作階段。目前工作階段不受 RADIUS 驗證設定變更的影響。

下一步

如果您有複寫的連線伺服器執行個體群組,且您也要在這些執行個體上設定 RADIUS 驗證,則您可以重複使用現有的 RADIUS 驗證器組態。