Прозрачная авторизация на RDS с помощью SSO (Single Sign-On)

Single Sign-On (SSO — технология единого входа) это технология, позволяющая уже аутентифицированному (вошедшему в систему) пользователю получать доступ к другим сервисам без повторной аутентификации. Применительно к технологии терминальных серверов Remote Desktop Service, SSO позволяет избавить пользователя, выполнившего вход на доменном компьютере, от многократного ввода данных своей учетной записи при подключении к RDS серверам или запуске опубликованных приложений RemoteApp.

В этой статье мы опишем особенности настройки прозрачной авторизации (Single Sign-On) пользователей на серверах RDS под управлением Windows Server 2012 R2.

Требования к окружению:

  • Сервер Connection Broker и все RDS сервера должны работать под управлением Windows Server 2012
  • SSO работает только в доменном окружения: должны использоваться учетные записи пользователей Active Directory, а сервера и рабочие станции должны быть в составе домена
  • Требуется версия клиента RDP 8.0 и выше
  • На стороне клиента поддерживаются ОСWindow 7/8/8.1
  • SSO работает с парольной аутентификацией (смарт карты не поддерживаются)

Процедура настройки Single Sign-On состоит из следующих этапов:

  • Необходимо выпустить и назначить SSL сертификат на серверах RD Gateway, RD Web и RD Connection Broker
  • Включить Web SSO на сервере RDWeb
  • Настроить групповую политику делегирования учетных данных
  • Через GPO добавить отпечаток сертификата в доверенные издатели .rdp

Итак, в первую очередь нужно выпустить и назначить SSL сертификат (в EKU сертификата должно обязательно присутствовать Server Authentication). Мы опускаем процедуру получения сертификата, т.к. это она выходит за рамки статьи.

Сертификат назначается в свойствах RDS Deployment в подразделе Certificates.

Установка SSL сертификатов на RDSДалее на всех серверах c ролью Web Access для каталога IIS RDWeb нужно включать “Windows Authentication” и отключить анонимную проверку подлинности (Anonymous Authentication).

RD WEB - включаем аутентфикацию Windows  После сохранения изменений, IIS нужно перезапустить: iisreset /noforce

В том случае, если используется шлюз RD Gateway, убедитесь, что он не используется для подключения внутренних клиентов (должна стоять галка Bypass RD Gateway server for local address).

Bypass RD Gateway server for local addressСледующий этап – настройка политики делегирования учетных данных. Эта политика находится в разделе Computer Configuration -> Policies ->Administrative Templates -> System -> Credential Delegation -> Allow delegation defaults credential. Политика разрешает определенным серверам доступ к учетным данным пользователей Windows.

  • Политику нужно включить (Enabled)
  • А в списке серверов добавить имена RDS серверов, на которых происходит авторизация. Формат добавления сервера: TERMSRV/rd.contoso.com. Если нужно предоставить такое право всем терминальным системам домена (менее безопасно), можно воспользоваться такой конструкцией: TERMSRV/*.contoso.com Политика делегирования учетных данных

Далее, чтобы избежать появления окна с предупреждением о надежности издателя удаленного приложения, нужно с помощью GPO на клиентских компьютерах добавить адрес сервера с ролью Connection Broker в доверенную зону:

User/Computer Configuration -> Administrative Tools -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page-> Site to Zone assignment list

Указываем FQDN имя сервера RDCB и зону 2 (Trusted sites)

Добавить сайт в доверенныеДалее нужно включить политику Logon options в разделе User/Computer Configuration -> Administrative Tools -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security -> Trusted Sites Zone и в выпадающем списке выбрать ‘Automatic logon with current username and password‘.

И, последнее, нужно получить отпечаток сертификата (certificate thumbprint) и добавить его в список доверенных издателей rdp. Для этого на сервере RDS Connection Broker выполните команду PowerShell:

Get-Childitem CERT:\LocalMachine\My

Получить отпечаток сертификатаСкопируйте значение отпечатка сертификата и добавьте его в список отпечатков политики Specify SHA1 thumbprints of certificates representing RDP publishers (Computer Configuration -> Administrative Templates -> Windows Desktop Services -> Remote Desktop Connection Client).

Specify SHA1 thumbprints of certificates representing RDP publishers На этом настройка SSO закончена, и после применения политик, пользователь должен подключатся к ферме RDS по протоколу RDP без повторного ввода пароля.


Предыдущая статья Следующая статья


Комментариев: 3 Оставить комментарий

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)