Horizon Cloud Pod 的閘道組態中設定 RADIUS 雙因素驗證設定之後,您還必須設定 RADIUS 伺服器的組態,以允許來自特定閘道相關 IP 位址的用戶端要求。閘道的 Unified Access Gateway 執行個體將嘗試與來自特定 IP 位址的 RADIUS 伺服器進行通訊。網路管理員會判斷 RADIUS 伺服器對網繭的 Azure 虛擬網路 (VNet) 和子網路的網路可見度。該網路可見度和網繭閘道類型 (外部或內部) 的組合,會決定您必須在 RADIUS 伺服器組態中設定為允許的用戶端的特定閘道相關 IP 位址。

重要:

請遵循適用於 RADIUS 雙因素驗證系統的說明文件,以查看 RADIUS 系統中使用的特定組態檔的語法,您必須在系統中設定此用戶端資訊。舉例來說,如 FreeRADIUS 用戶端組態的 FreeRADIUS Wiki 中所述,/etc/raddb/clients.conf 檔案包含的 RADIUS 用戶端定義為:

client NAME {
  ipaddr = IPADDRESS
  secret = SECRET
}

本主題說明來自 Horizon Cloud Pod 的資訊,您必須在 RADIUS 伺服器中使用該資訊,才能啟用網繭閘道之間的通訊,並且在每次網繭更新後維持該通訊的復原能力。若要接受嘗試與其連線的用戶端機器的連線,RADIUS 伺服器需要將這些用戶端機器的 IP 登錄為允許的用戶端。在 Horizon Cloud Pod 閘道設定了 RADIUS 雙因素驗證設定的情況下,這些用戶端機器會是該閘道的 Unified Access Gateway 執行個體。通常,您的網路管理員會判斷 RADIUS 伺服器對 VNet 以及連線至所部署網繭的子網路所擁有的網路存取。Unified Access Gateway 執行個體連絡 RADIUS 伺服器時所使用的特定來源 IP 取決於:

  • 閘道組態為內部或外部
  • 您的網路管理員是否已將 RADIUS 伺服器設定為可從網繭 VNet 內存取,或位於 VNet 外部
  • RADIUS 伺服器是否可在網繭的 VNet 內存取,透過該 VNet 中您的網路管理員已設定 RADIUS 伺服器的存取的網繭子網路
內部閘道組態
為內部閘道組態部署的 Unified Access Gateway 執行個體會使用其 NIC 的私人 IP 位址來連絡 RADIUS 伺服器。RADIUS 伺服器會看到要求來自屬於 NIC 私人 IP 位址的來源 IP 位址。您的網路管理員已設定 RADIUS 伺服器是否可供網繭的管理或租用戶子網路的 IP 位址範圍存取。Microsoft Azure 中的內部閘道資源群組有四 (4) 個 NIC 與該子網路對應:兩個 NIC 目前作用中,用於兩個 Unified Access Gateway 執行個體,以及兩個閒置的 NIC,在網繭完成更新後將成為作用中的 NIC。若要同時支援用於進行中網繭作業和每個網繭更新後的閘道與 RADIUS 伺服器之間的通訊連線,您必須將 RADIUS 伺服器設定為允許與具有 RADIUS 伺服器可見度的子網路對應、來自 Microsoft Azure 內部閘道的資源群組中的四個 NIC IP 位址的用戶端連線。請參閱 如何將網繭閘道 NIC 的 IP 位址新增要求允許的用戶端
可在網繭的 VNet 內存取的外部閘道組態和 RADIUS 伺服器
當您的網路管理員將 RADIUS 伺服器設定為可在網繭與網繭相同的 VNet 上存取時, Unified Access Gateway 執行個體會使用其 NIC 的私人 IP 位址來連絡該 RADIUS 伺服器。RADIUS 伺服器會看到要求來自屬於 NIC 私人 IP 位址的來源 IP 位址。您的網路管理員已設定 RADIUS 伺服器是否可供網繭的管理、租用戶或 DMZ 子網路的 IP 位址範圍存取。Microsoft Azure 中的外部閘道資源群組有四 (4) 個 NIC 與該子網路對應:兩個 NIC 目前作用中,用於兩個 Unified Access Gateway 執行個體,以及兩個閒置的 NIC,在網繭完成更新後將成為作用中的 NIC。若要同時支援用於進行中網繭作業和每個網繭更新後的閘道與 RADIUS 伺服器之間的通訊連線,您必須將 RADIUS 伺服器設定為允許與具有 RADIUS 伺服器可見度的子網路對應、來自 Microsoft Azure 外部閘道的資源群組中的四個 NIC IP 位址的用戶端連線。請參閱 如何將網繭閘道 NIC 的 IP 位址新增要求允許的用戶端
外部閘道組態和可在網繭的 VNet 外存取的 RADIUS 伺服器
當您的網路管理員在網繭的 VNet 外設定 RADIUS 伺服器時,外部閘道組態的 Unified Access Gateway 執行個體會使用外部閘道的 Azure 負載平衡器資源的 IP 位址來連絡該 RADIUS 伺服器。您必須設定 RADIUS 伺服器,以允許來自外部閘道負載平衡器資源的 IP 位址的用戶端連線。請參閱 如何將網繭外部閘道的負載平衡器 IP 位址新增為要求允許的用戶端

如何將網繭閘道 NIC 的 IP 位址新增要求允許的用戶端

部署網繭時,網繭部署工具會在您的 Microsoft Azure 訂閱的閘道資源群組中建立一組 NIC。下列螢幕擷取畫面為內部閘道類型和外部閘道類型的 NIC 範例。即使網繭識別碼在這些螢幕擷取畫面中已經過像素化處理,您也可以查看部署工具為 NIC 命名的模式,在這些名稱中具有 -management-tenant-dmz。如需網繭資源群組的名稱,請參閱為 Microsoft Azure 中部署之網繭建立的資源群組


網繭部署工具為內部閘道組態建立的 NIC 和虛擬機器的螢幕擷取畫面。


網繭部署工具為外部閘道組態建立的 NIC 和虛擬機器的螢幕擷取畫面。

您需要取得已在其上啟用 RADIUS 雙因素驗證、與對 RADIUS 伺服器具有網路可見度的子網路對應的閘道組態上 NIC 的 IP 位址,並在 RADIUS 伺服器組態中將這些 IP 位址指定為允許的用戶端。

重要: 若要避免在更新後您的 RADIUS 伺服器與網繭之間的連線有任何中斷,針對您設定 RADIUS 設定的每個閘道,請確保以下所述的四 (4) 個 NIC 的 IP 位址已在您的 RADIUS 伺服器組態中指定為允許的用戶端。雖然在進行中網繭作業期間僅有半數的 NIC 處於作用中,它們將在網繭更新後進行切換。在網繭更新後,另一半的 NIC 會變成作用中,且更新前的 NIC 會進入閒置狀態,直到下一次網繭更新,然後再次進行切換。如果您尚未將所有 NIC IP 位址 (作用中和閒置) 新增到 RADIUS 伺服器組態,則 RADIUS 伺服器會拒絕來自網繭更新後現在為作用中的這組 NIC 的連線要求,以及使用該閘道之使用者的登入程序將會中斷。

若要取得閘道的 NIC IP 位址以新增至 RADIUS 伺服器組態:

  1. 向您的網路管理員取得對 RADIUS 伺服器具可見性的網繭子網路的相關資訊 (管理、租用戶或 DMZ)。
  2. 登入您的訂閱的 Microsoft Azure 入口網站,並找到閘道的資源群組。
  3. 對於您的網路管理員所述,對 RADIUS 伺服器具有可見度、與子網路對應的 NIC,請按一下每個 NIC 並複製其 IP 位址。
  4. 將這些 NIC IP 位址新增到 RADIUS 伺服器用戶端組態檔,使得這些 NIC 為您在該閘道的設定中設定的 RADIUS 伺服器允許的用戶端。

    以下這行是部分用戶端組態 NIC 行的圖解,具有的 IP 位址在內部閘道的網繭租用戶子網路上,其中的網路管理員已將 RADIUS 伺服器設定在與網繭相同的 VNet 內並具有從網繭租用戶子網路的可存取性。部署此網繭時,已將網繭的租用戶子網路設定為 192.168.25.0/22。當網繭初始部署時,NIC1 和 NIC2 為作用中,且 NIC3 和 NIC4 為閒置。但是會將這四個 NIC 都新增到 RADIUS 伺服器組態,以確保在網繭更新後,當 NIC3 和 NIC4 成為作用中且 NIC1 和 NIC2 進入閒置時,RADIUS 伺服器將繼續接受來自此閘道的連線。您必須對自己的 RADIUS 伺服器使用適當的語法。

    client UAGTENANTNIC1 {
      ipaddr = 192.168.25.5
      secret = myradiussecret
    }
    client UAGTENANTNIC2 {
      ipaddr = 192.168.25.6
      secret = myradiussecret
    }
    client UAGTENANTNIC3 {
      ipaddr = 192.168.25.7
      secret = myradiussecret
    }
    client UAGTENANTNIC4 {
      ipaddr = 192.168.25.8
      secret = myradiussecret
    }

如何將網繭外部閘道的負載平衡器 IP 位址新增為要求允許的用戶端

當 RADIUS 伺服器位於網繭的 VNet 外部,針對您在其上指定 RADIUS 伺服器的外部閘道,您必須將外部閘道的 Azure 負載平衡器資源的公用 IP 位址新增為該 RADIUS 伺服器組態中允許的用戶端。您可以使用 Microsoft Azure 入口網站,並在閘道的資源群組中尋找負載平衡器資源,以取得該負載平衡器的 IP 位址。

  1. 登入您的訂閱的 Microsoft Azure 入口網站,並找到閘道的資源群組。
  2. 在閘道的資源群組中,按一下負載平衡器資源。該名稱的模式為 vmw-hcs-podID-uag-lb。其 IP 位址會列在其概觀資訊中。
  3. 將閘道的負載平衡器 IP 位址新增到您的 RADIUS 伺服器用戶端組態檔,使得閘道的負載平衡器為您在該閘道的設定中設定的 RADIUS 伺服器允許的用戶端。下一行是舉例說明的範例。您必須對自己的 RADIUS 伺服器使用適當的語法。
    client MYPODUAGEXTLBIP {
      ipaddr = 52.191.236.223
      secret = myradiussecret
    }