Implantar Acesso Remoto com autenticação OTP
Aplica-se a: Windows Server 2012 R2, Windows Server 2012
O Windows Server 2012 combina a VPN do DirectAccess e do RRAS (Serviço de Roteamento e Acesso Remoto) em uma única função de Acesso Remoto. O Acesso Remoto pode ser implantado em diversos cenários corporativos. Esta visão geral fornece uma introdução para o cenário corporativo de implantação do Windows Server 2012 DirectAccess com a autenticação de usuário OTP (senha de uso único).
Descrição do cenário
Nesse cenário, um servidor de Acesso Remoto com o DirectAccess habilitado está configurado para autenticar os usuários do cliente DirectAccess com a autenticação OTP de dois fatores, além das credenciais padrão do Active Directory.
Pré-requisitos
Antes de começar a implantar este cenário, examine esta lista de requisitos importantes:
- Deploy a Single DirectAccess Server with Advanced Settings deve ser implantado antes de implantar a OTP.
- Os clientes do Windows 7 precisa usar DCA 2.0 para dar suporte a OTP.
- OTP não oferece suporte à alteração de PIN.
Uma infraestrutura de chave pública deve ser implantada.
Para saber mais, veja os tópicos sobre: Minimódulo de guia do laboratório de teste: PKI Básico para Windows Server 2012.
- Não há suporte para alteração de políticas fora do console de gerenciamento do DirectAccess ou dos cmdlets do PowerShell.
Neste cenário
O cenário de autenticação OTP inclui várias etapas:
Deploy a Single DirectAccess Server with Advanced Settings — Um único servidor de Acesso Remoto deve ser implantado antes de configurar a OTP. O planejamento e a implantação de um servidor único incluem projeto e configuração de uma topologia de rede, planejamento e implantação de certificados, configuração de DNS e Active Directory, configuração das definições do servidor de Acesso Remoto, implantação de clientes do DirectAccess e preparação de servidores da intranet.
Plano de acesso remoto com autenticação OTP — Além do planejamento necessário para um único servidor, a OTP exige o planejamento para uma AC (Autoridade de Certificação) da Microsoft e os modelos de certificado da OTP; e um servidor OTP habilitado para RADIUS. O planejamento pode também incluir um requisito para os grupos de segurança isentarem usuários específicos da autenticação forte (OTP ou cartão inteligente). Para obter informações sobre a configuração de OTP em um ambiente de várias floresta, consulte Configurar uma implantação de várias florestas.
Configurar o DirectAccess com autenticação OTP— A implantação da OTP consiste em uma série de etapas de configuração, incluindo a preparação da infraestrutura de autenticação de OTP, configuração do servidor OTP, definição das configurações de OTP no servidor de Acesso Remoto e atualização das configurações do cliente DirectAccess.
Solucionar problemas de uma implantação de OTP— Esta seção solução de problemas descreve alguns dos erros mais comuns que podem ocorrer ao implantar o Acesso Remoto com autenticação OTP.
Aplicações práticas
Aumentar a segurança — usar a OTP aumenta a segurança da implantação do DirectAccess. Um usuário exige as credenciais OTP para obter acesso à rede interna. Um usuário fornece credenciais de OTP por meio das Conexões do Local de Trabalho disponíveis em conexões de rede no computador cliente do Windows 8 ou usando o DCA (Assistente de Conectividade do DirectAccess) em computadores cliente que executam o Windows 7. O processo de autenticação OTP funciona da seguinte maneira:
O cliente DirectAccess insere as credenciais de domínio para acessar os servidores de infraestrutura do DirectAccess (no túnel de infraestrutura). Se nenhuma conexão com a rede interna estiver disponível, devido a uma falha de IKE específica, a Conexão do Local de Trabalho no computador cliente notifica o usuário informando que as credenciais são necessárias. Em computadores cliente que executam o Windows 7, um pop-up é exibido solicitando as credenciais do cartão inteligente.
Depois que as credenciais OTP são inseridas, elas são enviadas por SSL para o servidor de Acesso Remoto, juntamente com uma solicitação de um certificado de logon de cartão inteligente de curto prazo.
O servidor de Acesso Remoto inicia a validação das credenciais OTP com o servidor OTP baseado em RADIUS.
Se for bem-sucedido, o servidor de Acesso Remoto faz a solicitação do certificado usando seu certificado de autoridade de registro e envia de volta para o computador cliente DirectAccess
O computador cliente DirectAccess encaminha a solicitação de certificado à AC o e armazena o certificado registrado para uso pelo Kerberos SSP/AP.
Usando este certificado, o computador cliente executa de forma transparente a autenticação Kerberos de cartão inteligente padrão.
Funções e recursos incluídos neste cenário
A tabela a seguir lista funções e recursos necessários para o cenário:
Função/recurso |
Como este cenário tem suporte |
---|---|
Função Gerenciamento de Acesso Remoto |
A função é instalada e desinstalada pelo console Gerenciador do Servidor. Essa função engloba o DirectAccess, que era anteriormente um recurso no Windows Server 2008 R2 e Serviços de Roteamento e Acesso Remoto que eram anteriormente um serviço de função sob a função de servidor de Serviços de Acesso e Política de Rede (NPAS). A função Acesso Remoto consiste em dois componentes:
A função de Acesso Remoto é dependente dos seguintes recursos de servidor:
|
Recurso Ferramentas de Gerenciamento de Acesso Remoto |
Este recurso é instalado da seguinte maneira:
O recurso de Ferramentas de Gerenciamento de Acesso Remoto consiste em:
As dependências incluem:
|
Requisitos de hardware
Os requisitos de hardware para este cenário incluem o seguinte:
Um computador que atenda aos requisitos de hardware do Windows Server 2012.
Para testar o cenário, pelo menos um computador que executa o Windows 8 ou o Windows 7 configurado como um cliente do DirectAccess é necessário.
Um servidor OTP que oferece suporte a PAP sobre RADIUS.
Um token de hardware ou software de OTP.
Requisitos de software
Há diversos requisitos para este cenário:
Requisitos de software para implantação de servidor único. Para obter mais informações, consulte Deploy a Single DirectAccess Server with Advanced Settings.
Além dos requisitos de software para um único servidor, há uma série de requisitos específicos de OTP:
CA para a autenticação IPsec — Em uma implantação OTP, o DirectAccess deve ser implantado usando certificados de máquinas IPsec emitidos por uma autoridade de certificação. A autenticação IPsec usando o servidor de Acesso Remoto como um proxy Kerberos não é aceita em uma implantação OTP. Uma CA interna é necessária.
CA para autenticação OTP — Uma autoridade de certificação corporativa da Microsoft (sendo executada no Windows Server 2003 ou posterior) é necessária para emitir o certificado de cliente OTP. A mesma autoridade de certificação usada para emitir certificados para a autenticação IPsec pode ser usada. Os servidores de AC devem ser acessíveis no primeiro túnel de infraestrutura.
Grupo de segurança — Para isentar os usuários da autenticação forte, um grupo de segurança do Active Directory que contém esses usuários é necessário.
Requisitos do lado do cliente — Para computadores cliente do Windows 8, o serviço NCA (Assistente de Conectividade de Rede) é usado para detectar se as credenciais de OTP são necessárias. Se forem, Gerenciador de Mídia do DirectAccess solicitará credenciais. O NCA está incluído no sistema operacional Windows 8 e nenhuma instalação nem implantação é necessária. Para os computadores cliente do Windows 7, o DCA (Assistente de Conectividade do DirectAccess) 2.0 é necessário. Ele está disponível como um download no Centro de Download da Microsoft.
Observe o seguinte:
A autenticação OTP pode ser usada em paralelo com a autenticação de cartão inteligente e baseada no TPM (Trusted Platform Module). A habilitação de autenticação OTP no console de Gerenciamento de Acesso Remoto também permite o uso da autenticação de cartão inteligente.
Durante a configuração do Acesso Remoto, os usuários em um grupo de segurança especificado podem ser isentos da autenticação de dois fatores e se autenticarem somente com nome de usuário e senha.
Não há suporte para os modos de novo PIN e de próximo código de token
Em uma implantação de vários sites de Acesso Remoto, as configurações OTP são globais e identificam todos os pontos de entrada. Se vários servidores RADIUS ou CA são configurados para a OTP, eles são classificados por cada servidor de Acesso Remoto de acordo com a disponibilidade e a proximidade.
Ao configurar a OTP em um ambiente de várias florestas de Acesso Remoto, as ACs da OTP devem ser somente da floresta de recursos e o registro de certificado entre florestas deve ser configurado. Para mais informações, consulte AD CS: Registro de Certificado Entre Florestas com o Windows Server 2008 R2.
Os usuários que estão usando um token KEY FOB OTP devem inserir o PIN seguido do código de token (sem nenhum separador) na caixa de diálogo OTP do DirectAccess. Os usuários que estão usando o token PIN PAD OTP devem inserir somente o código de token na caixa de diálogo.
Quando o WEBDAV está habilitado, a OTP não deve ser habilitada.
Problemas conhecidos
Os problemas a seguir são conhecidos quando se configura um cenário de OTP:
O Acesso Remoto usa um mecanismo de teste para verificar a conectividade com servidores OTP baseado em RADIUS. Em alguns casos, isso pode causar um erro a ser emitido no servidor de OTP. Para evitar esse problema, faça o seguinte no servidor OTP:
Crie uma conta de usuário que corresponda ao nome de usuário e senha configurados no servidor de Acesso Remoto para o mecanismo de teste. O nome de usuário não deve definir um usuário do Active Directory.
Por padrão, o nome de usuário no servidor de Acesso Remoto é DAProbeUser e a senha é DAProbePass. Essas configurações padrão podem ser modificadas usando os seguintes valores de Registro no servidor de Acesso Remoto:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\RadiusProbeUser
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\ RadiusProbePass
Se você alterar o certificado raiz do IPsec em uma implantação configurada e executando o DirectAccess, o OTP para de funcionar. Para resolver esse problema, em cada servidor do DirectAccess, em uma janela do Usando o Windows PowerShell, execute o comando: iisreset