Implantar Acesso Remoto com autenticação OTP

  • Artigo

 

Aplica-se a: Windows Server 2012 R2, Windows Server 2012

O Windows Server 2012 combina a VPN do DirectAccess e do RRAS (Serviço de Roteamento e Acesso Remoto) em uma única função de Acesso Remoto. O Acesso Remoto pode ser implantado em diversos cenários corporativos. Esta visão geral fornece uma introdução para o cenário corporativo de implantação do Windows Server 2012 DirectAccess com a autenticação de usuário OTP (senha de uso único).

Descrição do cenário

Nesse cenário, um servidor de Acesso Remoto com o DirectAccess habilitado está configurado para autenticar os usuários do cliente DirectAccess com a autenticação OTP de dois fatores, além das credenciais padrão do Active Directory.

Pré-requisitos

Antes de começar a implantar este cenário, examine esta lista de requisitos importantes:

  • Os clientes do Windows 7 precisa usar DCA 2.0 para dar suporte a OTP.
  • OTP não oferece suporte à alteração de PIN.
  • Não há suporte para alteração de políticas fora do console de gerenciamento do DirectAccess ou dos cmdlets do PowerShell.

Neste cenário

O cenário de autenticação OTP inclui várias etapas:

  1. Deploy a Single DirectAccess Server with Advanced Settings — Um único servidor de Acesso Remoto deve ser implantado antes de configurar a OTP. O planejamento e a implantação de um servidor único incluem projeto e configuração de uma topologia de rede, planejamento e implantação de certificados, configuração de DNS e Active Directory, configuração das definições do servidor de Acesso Remoto, implantação de clientes do DirectAccess e preparação de servidores da intranet.

  2. Plano de acesso remoto com autenticação OTP — Além do planejamento necessário para um único servidor, a OTP exige o planejamento para uma AC (Autoridade de Certificação) da Microsoft e os modelos de certificado da OTP; e um servidor OTP habilitado para RADIUS. O planejamento pode também incluir um requisito para os grupos de segurança isentarem usuários específicos da autenticação forte (OTP ou cartão inteligente). Para obter informações sobre a configuração de OTP em um ambiente de várias floresta, consulte Configurar uma implantação de várias florestas.

  3. Configurar o DirectAccess com autenticação OTP— A implantação da OTP consiste em uma série de etapas de configuração, incluindo a preparação da infraestrutura de autenticação de OTP, configuração do servidor OTP, definição das configurações de OTP no servidor de Acesso Remoto e atualização das configurações do cliente DirectAccess.

  4. Solucionar problemas de uma implantação de OTP— Esta seção solução de problemas descreve alguns dos erros mais comuns que podem ocorrer ao implantar o Acesso Remoto com autenticação OTP.

Aplicações práticas

Aumentar a segurança — usar a OTP aumenta a segurança da implantação do DirectAccess. Um usuário exige as credenciais OTP para obter acesso à rede interna. Um usuário fornece credenciais de OTP por meio das Conexões do Local de Trabalho disponíveis em conexões de rede no computador cliente do Windows 8 ou usando o DCA (Assistente de Conectividade do DirectAccess) em computadores cliente que executam o Windows 7. O processo de autenticação OTP funciona da seguinte maneira:

  1. O cliente DirectAccess insere as credenciais de domínio para acessar os servidores de infraestrutura do DirectAccess (no túnel de infraestrutura). Se nenhuma conexão com a rede interna estiver disponível, devido a uma falha de IKE específica, a Conexão do Local de Trabalho no computador cliente notifica o usuário informando que as credenciais são necessárias. Em computadores cliente que executam o Windows 7, um pop-up é exibido solicitando as credenciais do cartão inteligente.

  2. Depois que as credenciais OTP são inseridas, elas são enviadas por SSL para o servidor de Acesso Remoto, juntamente com uma solicitação de um certificado de logon de cartão inteligente de curto prazo.

  3. O servidor de Acesso Remoto inicia a validação das credenciais OTP com o servidor OTP baseado em RADIUS.

  4. Se for bem-sucedido, o servidor de Acesso Remoto faz a solicitação do certificado usando seu certificado de autoridade de registro e envia de volta para o computador cliente DirectAccess

  5. O computador cliente DirectAccess encaminha a solicitação de certificado à AC o e armazena o certificado registrado para uso pelo Kerberos SSP/AP.

  6. Usando este certificado, o computador cliente executa de forma transparente a autenticação Kerberos de cartão inteligente padrão.

Funções e recursos incluídos neste cenário

A tabela a seguir lista funções e recursos necessários para o cenário:

Função/recurso

Como este cenário tem suporte

Função Gerenciamento de Acesso Remoto

A função é instalada e desinstalada pelo console Gerenciador do Servidor. Essa função engloba o DirectAccess, que era anteriormente um recurso no Windows Server 2008 R2 e Serviços de Roteamento e Acesso Remoto que eram anteriormente um serviço de função sob a função de servidor de Serviços de Acesso e Política de Rede (NPAS). A função Acesso Remoto consiste em dois componentes:

  1. O DirectAccess e VPN de Serviços de Roteamento e Acesso Remoto (RRAS) — O DirectAccess e VPN são gerenciados juntos no console de Gerenciamento de Acesso Remoto.

  2. Roteamento de RRAS — Os recursos de roteamento de RRAS são gerenciados no console de Roteamento e Acesso Remoto legado.

A função de Acesso Remoto é dependente dos seguintes recursos de servidor:

  • Servidor Web de IIS (Serviços de Informações da Internet) – Este recurso é necessário para configurar o servidor de local de rede, utilizar autenticação OTP e configurar a investigação padrão na Web.

  • Banco de Dados Interno do Windows — Utilizado para contabilização local no servidor de acesso remoto.

Recurso Ferramentas de Gerenciamento de Acesso Remoto

Este recurso é instalado da seguinte maneira:

  • Ele é instalado por padrão em um servidor de Acesso Remoto quando a função Acesso Remoto for instalada e suporta a interface de usuário do console de Gerenciamento Remoto.

  • Ele pode ser instalado opcionalmente em um servidor que não esteja executando a função de servidor Acesso Remoto. Neste caso, ele é usado para gerenciamento remoto de um computador de Acesso Remoto que executa o DirectAccess e VPN.

O recurso de Ferramentas de Gerenciamento de Acesso Remoto consiste em:

  • GUI de Acesso Remoto e Ferramentas de Linha de Comando

  • Módulo de Acesso Remoto para o Windows PowerShell

As dependências incluem:

  • Console de gerenciamento de política de grupo

  • Kit de Administração do Gerenciador de Conexões RAS (CMAK)

  • Windows PowerShell 3.0

  • Ferramentas e Infraestrutura de Gerenciamento Gráfico

Requisitos de hardware

Os requisitos de hardware para este cenário incluem o seguinte:

  • Um computador que atenda aos requisitos de hardware do Windows Server 2012.

  • Para testar o cenário, pelo menos um computador que executa o Windows 8 ou o Windows 7 configurado como um cliente do DirectAccess é necessário.

  • Um servidor OTP que oferece suporte a PAP sobre RADIUS.

  • Um token de hardware ou software de OTP.

Requisitos de software

Há diversos requisitos para este cenário:

  1. Requisitos de software para implantação de servidor único. Para obter mais informações, consulte Deploy a Single DirectAccess Server with Advanced Settings.

  2. Além dos requisitos de software para um único servidor, há uma série de requisitos específicos de OTP:

    1. CA para a autenticação IPsec — Em uma implantação OTP, o DirectAccess deve ser implantado usando certificados de máquinas IPsec emitidos por uma autoridade de certificação. A autenticação IPsec usando o servidor de Acesso Remoto como um proxy Kerberos não é aceita em uma implantação OTP. Uma CA interna é necessária.

    2. CA para autenticação OTP — Uma autoridade de certificação corporativa da Microsoft (sendo executada no Windows Server 2003 ou posterior) é necessária para emitir o certificado de cliente OTP. A mesma autoridade de certificação usada para emitir certificados para a autenticação IPsec pode ser usada. Os servidores de AC devem ser acessíveis no primeiro túnel de infraestrutura.

    3. Grupo de segurança — Para isentar os usuários da autenticação forte, um grupo de segurança do Active Directory que contém esses usuários é necessário.

    4. Requisitos do lado do cliente — Para computadores cliente do Windows 8, o serviço NCA (Assistente de Conectividade de Rede) é usado para detectar se as credenciais de OTP são necessárias. Se forem, Gerenciador de Mídia do DirectAccess solicitará credenciais. O NCA está incluído no sistema operacional Windows 8 e nenhuma instalação nem implantação é necessária. Para os computadores cliente do Windows 7, o DCA (Assistente de Conectividade do DirectAccess) 2.0 é necessário. Ele está disponível como um download no Centro de Download da Microsoft.

    5. Observe o seguinte:

      1. A autenticação OTP pode ser usada em paralelo com a autenticação de cartão inteligente e baseada no TPM (Trusted Platform Module). A habilitação de autenticação OTP no console de Gerenciamento de Acesso Remoto também permite o uso da autenticação de cartão inteligente.

      2. Durante a configuração do Acesso Remoto, os usuários em um grupo de segurança especificado podem ser isentos da autenticação de dois fatores e se autenticarem somente com nome de usuário e senha.

      3. Não há suporte para os modos de novo PIN e de próximo código de token

      4. Em uma implantação de vários sites de Acesso Remoto, as configurações OTP são globais e identificam todos os pontos de entrada. Se vários servidores RADIUS ou CA são configurados para a OTP, eles são classificados por cada servidor de Acesso Remoto de acordo com a disponibilidade e a proximidade.

      5. Ao configurar a OTP em um ambiente de várias florestas de Acesso Remoto, as ACs da OTP devem ser somente da floresta de recursos e o registro de certificado entre florestas deve ser configurado. Para mais informações, consulte AD CS: Registro de Certificado Entre Florestas com o Windows Server 2008 R2.

      6. Os usuários que estão usando um token KEY FOB OTP devem inserir o PIN seguido do código de token (sem nenhum separador) na caixa de diálogo OTP do DirectAccess. Os usuários que estão usando o token PIN PAD OTP devem inserir somente o código de token na caixa de diálogo.

      7. Quando o WEBDAV está habilitado, a OTP não deve ser habilitada.

Problemas conhecidos

Os problemas a seguir são conhecidos quando se configura um cenário de OTP:

  • O Acesso Remoto usa um mecanismo de teste para verificar a conectividade com servidores OTP baseado em RADIUS. Em alguns casos, isso pode causar um erro a ser emitido no servidor de OTP. Para evitar esse problema, faça o seguinte no servidor OTP:

    • Crie uma conta de usuário que corresponda ao nome de usuário e senha configurados no servidor de Acesso Remoto para o mecanismo de teste. O nome de usuário não deve definir um usuário do Active Directory.

      Por padrão, o nome de usuário no servidor de Acesso Remoto é DAProbeUser e a senha é DAProbePass. Essas configurações padrão podem ser modificadas usando os seguintes valores de Registro no servidor de Acesso Remoto:

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\RadiusProbeUser

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\ RadiusProbePass

  • Se você alterar o certificado raiz do IPsec em uma implantação configurada e executando o DirectAccess, o OTP para de funcionar. Para resolver esse problema, em cada servidor do DirectAccess, em uma janela do Usando o Windows PowerShell, execute o comando: iisreset