Distribuire Accesso remoto con l'autenticazione OTP

  • Articolo

 

Si applica a: Windows Server 2012 R2, Windows Server 2012

Windows Server 2012 riunisce DirectAccess e la VPN di Routing e Accesso remoto in un unico ruolo Accesso remoto. Accesso remoto può essere distribuito in molti scenari aziendali. Questa panoramica offre un'introduzione allo scenario aziendale per la distribuzione di Windows Server 2012 DirectAccess con autenticazione utente mediante password monouso (OTP, One-Time Password).

Descrizione dello scenario

In questo scenario un server di Accesso remoto con DirectAccess abilitato viene configurato per autenticare gli utenti client DirectAccess con l'autenticazione OTP a due fattori, oltre alle credenziali standard di Active Directory.

Prerequisiti

Prima di affrontare la distribuzione di questo scenario, esaminare l'elenco dei requisiti importanti:

  • I client Windows 7 devono usare DCA 2.0 per supportare OTP.
  • OTP non supporta la modifica del PIN.
  • La modifica dei criteri all'esterno della console di gestione DirectAccess o con cmdlet di PowerShell non è supportata.

In questo scenario

Lo scenario di autenticazione OTP include alcuni passaggi:

  1. Distribuire un server DirectAccess singolo con impostazioni avanzate: è necessario distribuire un singolo server di Accesso remoto prima di configurare OTP. La pianificazione e la distribuzione di un singolo server include la progettazione e la configurazione di una topologia di rete, la pianificazione e la distribuzione di certificati, la configurazione di DNS e Active Directory, la configurazione delle impostazioni del server di Accesso remoto, la distribuzione dei client DirectAccess e la preparazione dei server Intranet.

  2. Piano di accesso remoto con autenticazione OTP: oltre alla pianificazione necessaria per un singolo server, OTP richiede la pianificazione per un'autorità di certificazione (CA, Certification Authority) Microsoft, modelli di certificato per OTP e un server OTP abilitato per RADIUS. La pianificazione può includere anche un requisito affinché i gruppi di sicurezza esentino utenti specifici dall'autenticazione avanzata (OTP o smart card). Per informazioni sulla configurazione di OTP in un ambiente a più foreste, vedere Configurare una distribuzione a più foreste.

  3. Configurare DirectAccess con autenticazione OTP: la distribuzione OTP è costituita da alcuni passaggi di configurazione, inclusi la preparazione dell'infrastruttura per l'autenticazione OTP, la configurazione del server OTP, la configurazione delle impostazioni OTP sul server di Accesso remoto e l'aggiornamento delle impostazioni del client DirectAccess.

  4. Risolvere i problemi relativi a una distribuzione OTP: questa sezione sulla risoluzione dei problemi illustra alcuni degli errori più comuni che si possono verificare quando si distribuisce Accesso remoto con l'autenticazione OTP.

Applicazioni pratiche

Aumentare la sicurezza: l'uso di OTP aumenta la sicurezza della distribuzione DirectAccess. Un utente deve fornire le credenziali OTP per ottenere l'accesso alla rete interna. Un utente fornisce le credenziali OTP tramite le connessioni all'area di lavoro disponibili nelle connessioni di rete sul computer client Windows 8 oppure tramite DirectAccess Connectivity Assistant (DCA) nei computer client che eseguono Windows 7. Il processo di autenticazione OTP funziona nel modo seguente:

  1. Il client DirectAccess immette le credenziali del dominio per accedere ai server dell'infrastruttura DirectAccess tramite il tunnel dell'infrastruttura. Se non sono disponibili connessioni alla rete interna, a causa di un errore IKE specifico, la connessione all'area di lavoro nel computer client indica all'utente che sono necessarie le credenziali. Nei computer client che eseguono Windows 7 viene visualizzata una finestra popup che richiede le credenziali della smart card.

  2. Dopo l'immissione, le credenziali OTP vengono inviate tramite SSL al server di Accesso remoto,insieme a una richiesta per un certificato di accesso tramite smart card a breve termine.

  3. Il server di Accesso remoto avvia la convalida delle credenziali OTP con il server OTP basato su RADIUS.

  4. Se l'operazione ha esito positivo, il server di Accesso remoto firma la richiesta di certificato usando il rispettivo certificato dell'autorità di registrazione, quindi lo restituisce al computer client DirectAccess.

  5. Il computer client DirectAccess inoltra la richiesta di certificato firmato all'autorità di certificazione e archivia il certificato registrato per l'uso da parte di Kerberos SSP/AP.

  6. Usando questo certificato, il computer client esegue in modo trasparente l'autenticazione Kerberos tramite smart card standard.

Ruoli e funzionalità inclusi nello scenario

Nella tabella seguente sono elencati i ruoli e le funzionalità richiesti per lo scenario.

Ruolo/funzionalità

Modalità di supporto dello scenario

Ruolo Gestione accesso remoto

Il ruolo viene installato e disinstallato tramite la console di Server Manager. Questo ruolo comprende DirectAccess, una funzionalità precedentemente inclusa in Windows Server 2008 R2, e il servizio Routing e Accesso remoto che in precedenza era un servizio ruolo nel ruolo server Servizi di accesso e criteri di rete (NPAS). Il ruolo Accesso remoto è costituito da due componenti:

  1. DirectAccess e VPN Servizio Routing e Accesso remoto (RRAS). DirectAccess e VPN vengono gestiti insieme nella console Gestione Accesso remoto.

  2. Routing RRAS. Le funzionalità di routing RRAS sono gestite tramite la console di routing e Accesso remoto legacy.

Il ruolo Accesso remoto dipende dalle funzionalità server seguenti:

  • Server Web Internet Information Services (IIS): questa funzionalità è necessaria per configurare il server dei percorsi di rete, utilizzare l'autenticazione OTP e configurare il probe Web predefinito.

  • Database interno di Windows. Utilizzato per l'accounting locale sul server di Accesso remoto.

Funzionalità Strumenti di Gestione Accesso remoto

Questa funzionalità viene installata come segue:

  • Viene installata per impostazione predefinita su un server di Accesso remoto all'installazione del ruolo Accesso remoto e supporta l'interfaccia utente della console di gestione remota.

  • Può essere installata facoltativamente su un server che non esegue il ruolo server Accesso remoto. In questo caso viene utilizzata per la gestione remota di un computer di Accesso remoto che esegue DirectAccess e VPN.

La funzionalità Strumenti di Gestione Accesso remoto è costituita dai seguenti elementi:

  • Interfaccia utente grafica di Accesso remoto e strumenti da riga di comando

  • Modulo Accesso remoto per Windows PowerShell

Le dipendenze includono:

  • Console Gestione Criteri di gruppo

  • Connection Manager Administration Kit (CMAK) RAS

  • Windows PowerShell 3.0

  • Strumenti di gestione e infrastruttura grafica

Requisiti hardware

I requisiti hardware per questo scenario includono i seguenti.

  • Un computer che soddisfi i requisiti hardware per Windows Server 2012.

  • Per testare lo scenario, è necessario almeno un computer che esegue Windows 8 o Windows 7 configurato come client DirectAccess.

  • Un server OTP che supporta PAP su RADIUS.

  • Un token hardware o software OTP.

Requisiti software

Per questo scenario sono presenti numerosi requisiti.

  1. Requisiti software per una distribuzione a server singolo. Per altre informazioni, vedere Distribuire un server DirectAccess singolo con impostazioni avanzate.

  2. Oltre ai requisiti software per un server singolo, esistono alcuni requisiti specifici per OTP:

    1. Autorità di certificazione per l'autenticazione IPsec: in una distribuzione OTP è necessario che DirectAccess venga distribuito tramite certificati di computer IPsec emessi da un'autorità di certificazione. L'autenticazione IPsec tramite il server di Accesso remoto come proxy Kerberos non è supportata in una distribuzione OTP. È necessaria un'autorità di certificazione interna.

    2. Autorità di certificazione per l'autenticazione OTP: una CA globale (enterprise) Microsoft (in esecuzione su Windows 2003 Server o versioni successive) è necessaria per l'emissione del certificato client OTP. È possibile usare la stessa autorità di certificazione con cui sono stati emessi i certificati per l'autenticazione IPsec. Il server dell'autorità di certificazione devono essere disponibili sul primo tunnel dell'infrastruttura.

    3. Gruppo di sicurezza: per esentare gli utenti dall'autenticazione avanzata, è necessario un gruppo di sicurezza di Active Directory contenente questi utenti.

    4. Requisiti lato client: per i computer client Windows 8 viene usato il servizio Assistente connettività di rete per rilevare se sono necessarie le credenziali OTP. Se sono necessarie, Gestione supporti DirectAccess richiederà le credenziali. Il servizio Assistente connettività di rete è incluso nel sistema operativo Windows 8 e non sono necessarie operazioni di installazione o distribuzione. Per i computer client Windows 7 è necessario DirectAccess Connectivity Assistant (DCA) 2.0, disponibile nell'Area download Microsoft.

    5. Tenere presente quanto segue:

      1. L'autenticazione OTP può essere usata in parallelo con l'autenticazione basata su smart card e Trusted Platform Module (TPM). Se si abilita l'autenticazione OTP nella console di gestione Accesso remoto, verrà abilitato anche l'uso dell'autenticazione tramite smart card.

      2. Durante la configurazione di Accesso remoto è possibile esentare gli utenti di un gruppo di sicurezza specificato dall'autenticazione a due fattori, consentendo quindi l'autenticazione solo tramite nome utente/password.

      3. Le modalità tramite OTP, nuovo PIN e codice token successivo non sono supportate.

      4. In una distribuzione multisito di Accesso remoto le impostazioni OTP sono globali e consentono l'identificazione per tutti i punti di ingresso. Se vengono configurati più server RADIUS o dell'autorità di certificazione per OTP, i server verranno ordinati da ogni server di Accesso remoto in base alla disponibilità e alla prossimità.

      5. Quando si configura OTP in un ambiente a più foreste di Accesso remoto, le autorità di certificazione OTP devono provenire solo dalla foresta delle risorse e la registrazione dei certificati deve essere configurata in tutti i trust tra foreste. Per altre informazioni, vedere Servizi certificati Active Directory: Registrazione di certificati tra foreste con Windows Server 2008 R2.

      6. Gli utenti che usano il token OTP KEY FOB devono inserire il PIN seguito dal codice token (senza separatori) nella finestra di dialogo OTP di DirectAccess. Gli utenti che usano il token OTP PIN PAD devono inserire solo il codice token nella finestra di dialogo.

      7. Se WEBDAV è abilitato, non sarà necessario abilitare OTP.

Problemi noti

Di seguito sono riportati alcuni problemi noti durante la configurazione di uno scenario OTP:

  • Accesso remoto usa un meccanismo di tipo probe per verificare la connettività con i server OTP basati su RADIUS. In alcuni casi è possibile che si verifichi un errore sul server OTP. Per evitare questo problema, eseguire le operazioni seguenti nel server OTP:

    • Creare un account utente corrispondente al nome utente e alla password configurati sul server di Accesso remoto per il meccanismo di tipo probe. Il nome utente non deve definire un utente di Active Directory.

      Per impostazione predefinita, il nome utente sul server di Accesso remoto è DAProbeUser e la password è DAProbePass. Queste impostazioni predefinite possono essere modificate tramite i valori seguenti nel Registro di sistema sul server di Accesso remoto:

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\RadiusProbeUser

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\ RadiusProbePass

  • Se si modifica il certificato radice IPsec in una distribuzione DirectAccess configurata e in esecuzione, OTP smetterà di funzionare. Per risolvere questo problema, in una finestra di Windows PowerShell in ogni server DirectAccess server eseguire il comando seguente: iisreset