Развертывание удаленного доступа с проверкой подлинности методом OTP

  • Статья

 

Применимо к:Windows Server 2012 R2, Windows Server 2012

Windows Server 2012 объединяет DirectAccess и VPN службы маршрутизации и удаленного доступа (RRAS) в единую роль удаленного доступа. Развертывание удаленного доступа возможно в нескольких корпоративных сценариях. Данный обзор представляет собой введение в корпоративный сценарий развертывания DirectAccess Windows Server 2012 с проверкой подлинности пользователей с помощью одноразовых паролей (OTP).

Описание сценария

В этом сценарии сервер удаленного доступа с включенным компонентом DirectAccess настроен для проверки подлинности пользователей клиента DirectAccess с помощью двухфакторной проверки подлинности методом OTP в дополнение к стандартным учетным данным Active Directory.

Необходимые компоненты

Перед началом развертывания этого сценария ознакомьтесь со списком важных требований.

  • Для поддержки OTP клиенты Windows 7 должны использовать DCA 2.0.
  • OTP не поддерживает изменение ПИН-кода.
  • Изменение политик вне консоли управления DirectAccess или без помощи командлетов Windows PowerShell не поддерживается.

Содержание сценария

Сценарий проверки подлинности с помощью OTP включает несколько этапов.

  1. Развертывание одного сервера DirectAccess с расширенными параметрами— До настройки проверки подлинности методом OTP необходимо выполнить развертывание одного сервера удаленного доступа. На этапе планирования и развертывания на одном сервере выполняется проектирование и настройка топологии сети, планирование и развертывание сертификатов, установка DNS и Active Directory, настройка параметров сервера удаленного доступа, развертывание клиентов DirectAccess и подготовка серверов интрасети.

  2. Планирование удаленного доступа с проверкой подлинности OTP— Кроме развертывания на одном сервере, необходимо включить в планирование центр сертификации (ЦС) Майкрософт и шаблоны сертификатов для проверки подлинности методом OTP, а также сервер OTP на основе RADIUS. Можно также включить в планирование требование об исключении отдельных пользователей из строгой проверки подлинности (с помощью OTP или смарт-карт) для групп безопасности. Сведения о конфигурации OTP в среде с несколькими лесами см. в разделе Настройка развертывания в конфигурации с несколькими лесами.

  3. Настройка DirectAccess с проверкой подлинности OTP— Развертывание OTP состоит из нескольких этапов настройки, включая подготовку инфраструктуры для проверки подлинности OTP, настройку сервера OTP, настройку параметров OTP на сервере удаленного доступа и обновление параметров клиента DirectAccess.

  4. Устранение неполадок развертывания с OTP— В этом разделе, посвященном устранению неполадок, описываются наиболее распространенные ошибки, которые могут возникать при развертывании удаленного доступа с проверкой подлинности методом OTP.

Практическое применение

Повышение уровня безопасности — применение проверки подлинности с помощью OTP повышает уровень безопасности DirectAccess. Чтобы получить доступ к внутренней сети, пользователь должен предоставить учетные данные OTP. Пользователь предоставляет учетные данные OTP через компонент подключения к рабочему месту, который доступен в сетевых подключениях на клиентском компьютере Windows 8, или с использованием помощника по подключению к DirectAccess (DCA) на клиентских компьютерах под управлением Windows 7. Процесс проверки подлинности с помощью OTP происходит следующим образом.

  1. Клиент DirectAccess предоставляет учетные данные домена для доступа к серверам инфраструктуры DirectAccess (через туннель инфраструктуры). Если в результате сбоя IKE отсутствуют доступные подключения к внутренней сети, компонент подключения к рабочему месту на клиентском компьютере уведомляет пользователя о необходимости предоставить учетные данные. На клиентских компьютерах под управлением Windows 7 появляется всплывающее окно с запросом учетных данных смарт-карты.

  2. Предоставленные пользователем учетные данные OTP передаются через SSL на сервер удаленного доступа вместе с запросом на предоставление краткосрочного сертификата для входа со смарт-картой.

  3. Сервер удаленного доступа инициирует проверку учетных данных OTP при помощи RADIUS-сервера OTP.

  4. В случае успешной проверки сервер удаленного доступа подписывает запрос на сертификат с использованием своего сертификата центра регистрации и отправляет его обратно на компьютер клиента DirectAccess

  5. Компьютер клиента DirectAccess пересылает этот подписанный запрос на сертификат в ЦС и сохраняет зарегистрированный сертификат для использования в Kerberos SSP/AP.

  6. С помощью этого сертификата клиентский компьютер выполняет проверку подлинности Kerberos с использованием смарт-карты прозрачно для пользователя.

Роли и компоненты, используемые в данном сценарии

В следующей таблице перечислены роли и компоненты, необходимые для сценария.

Роль/компонент

Способ поддержки сценария

Роль управления удаленным доступом

Эта роль устанавливается и удаляется с помощью консоли Диспетчера серверов. Эта роль включает как DirectAccess, который раньше был компонентом Windows Server 2008 R2, так и службы маршрутизации и удаленного доступа, которые были службой роли в рамках роли сервера служб политики сети и доступа (NPAS). Роль удаленного доступа включает два компонента.

  1. DirectAccess и VPN маршрутизации и удаленного доступа (RRAS) — управление DirectAccess и VPN осуществляется через консоль управления удаленным доступом.

  2. Маршрутизация RRAS — управление компонентами маршрутизации RRAS осуществляется через устаревшую консоль маршрутизации и удаленного доступа.

Роль удаленного доступа зависит от следующих компонентов сервера:

  • Веб-сервер Internet Information Services (IIS) — этот компонент необходим для настройки сервера сетевых расположений, использования проверки подлинности методом OTP и настройки веб-пробы по умолчанию.

  • Внутренняя база данных Windows — используется для локального учета на сервере удаленного доступа.

Средства управления удаленным доступом

Этот компонент устанавливается описанным ниже образом.

  • Он устанавливается по умолчанию на сервере удаленного доступа при установке роли удаленного доступа и поддерживает пользовательский интерфейс консоли удаленного управления.

  • При необходимости его также можно установить на сервере, где роль удаленного доступа не установлена. В этом случае компонент используется для удаленного управления компьютером с возможностью удаленного доступа, на котором установлены DirectAccess и VPN.

Средства управления удаленным доступом включают следующие элементы:

  • графический интерфейс пользователя удаленного доступа и программы командной строки;

  • модуль удаленного доступа для Windows PowerShell.

Зависимости включают следующее:

  • Консоль управления групповыми политиками

  • пакет администрирования диспетчера RAS-подключений (CMAK);

  • Windows PowerShell 3.0

  • графические средства управления и инфраструктура.

Требования к оборудованию

Для этого сценария действуют следующие требования к оборудованию.

  • Компьютер, отвечающий минимальным требованиям к оборудованию для Windows Server 2012.

  • Для проверки данного сценария необходим хотя бы один компьютер под управлением Windows 8 или Windows 7, настроенный в качестве клиента DirectAccess.

  • OTP-сервер с поддержкой протокола PAP через RADIUS.

  • Аппаратный или программный OTP-токен.

Требования к программному обеспечению

Для этого сценария действуют следующие требования.

  1. Требования к программному обеспечению для развертывания на одном сервере. Дополнительные сведения см. в разделе Развертывание одного сервера DirectAccess с расширенными параметрами.

  2. Кроме требований к программному обеспечению для развертывания на одном сервере, действуют следующие требования, относящиеся к OTP.

    1. ЦС для проверки подлинности методом IPsec. В сценарии с OTP развертывание DirectAccess должно происходить при помощи сертификатов IPsec для компьютеров, выданных центром сертификации. Проверка подлинности методом IPsec с использованием сервера удаленного доступа в качестве прокси-сервера Kerberos в сценарии развертывания с OTP не поддерживается. Необходим внутренний центр сертификации.

    2. ЦС для проверки подлинности с помощью OTP. Для выдачи сертификата клиента для проверки подлинности OTP необходим центр сертификации Майкрософт предприятия, работающий в Windows 2003 Server или более поздних версий. Можно использовать тот же ЦС, который используется для выдачи сертификатов для проверки подлинности методом IPsec. Сервер ЦС должен быть доступен по первому туннелю инфраструктуры.

    3. Группа безопасности. Чтобы исключить пользователей из строгой проверки подлинности, необходимо создать группу безопасности в Active Directory и включить в нее этих пользователей.

    4. Требования на стороне клиента. На клиентских компьютерах Windows 8 для определения, требуются ли учетные данные OTP, используется служба помощника по подключению к сети (NCA). Если они являются DirectAccess, Media Manager запрашивает учетные данные. Помощник по подключению к сети является компонентом операционной системы Windows 8, поэтому установка или развертывание каких-либо дополнительных компонентов не требуется. Для клиентских компьютеров под управлением Windows 7 необходим помощник по подключению к DirectAccess версии 2.0. Этот компонент можно загрузить в Центре загрузки Майкрософт.

    5. Обратите внимание на следующие рекомендации.

      1. Проверку подлинности с помощью OTP можно применять параллельно с проверкой подлинности с использованием смарт-карт и доверенного платформенного модуля. Включение проверки подлинности методом OTP в консоли управления удаленным доступом также позволяет использовать проверку подлинности с помощью смарт-карты.

      2. В ходе настройки удаленного доступа можно исключить пользователей, входящих в определенную группу безопасности, из двухфакторной проверки подлинности, в результате для них будет применяться только проверка подлинности по имени пользователя и паролю.

      3. Такие режимы OTP, как "новый пин-код" и "следующий код токена", не поддерживаются.

      4. В мультисайтовом сценарии развертывания удаленного доступа параметры OTP являются глобальными и определяются для всех точек входа. Если для OTP настроены несколько RADIUS-серверов или ЦС, то они сортируются каждым сервером удаленного доступа по степени доступности и близости.

      5. При настройке OTP в среде удаленного доступа с несколькими лесами ЦС OTP должны принадлежать только к лесу ресурсов; необходимо также настроить регистрацию сертификатов в отношениях доверия лесов. Дополнительные сведения см. в статье Служба сертификации Active Directory. Регистрация сертификатов между лесами в Windows Server 2008 R2.

      6. Пользователи, использующие OTP-токен KEY FOB, должны вставить последовательно PIN-код и код токена (без каких-либо разделителей) в диалоговое окно проверки подлинности OTP для DirectAccess. Пользователи, использующие OTP-токен PIN PAD, должны вставить в это диалоговое окно только код токена.

      7. Если включен протокол WEBDAV, не следует включать OTP.

Известные проблемы

Ниже приводятся известные проблемы, возникающие при настройке сценария OTP.

  • Удаленный доступ использует механизм пробы для проверки подключения к серверам OTP на основе RADIUS. В некоторых случаях это может привести к возникновению ошибки на сервере OTP. Чтобы избежать этой проблемы, выполните на сервере OTP следующие действия.

    • Создайте для механизма пробы учетную запись пользователя, соответствующую имени пользователя и пароля, настроенным на сервере удаленного доступа. Имя пользователя не должно определять пользователя Active Directory.

      По умолчанию имя пользователя на сервере удаленного доступа — DAProbeUser, а пароль — DAProbePass. Эти параметры по умолчанию можно изменить, используя следующие значения в реестре на сервере удаленного доступа:

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\RadiusProbeUser

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\ RadiusProbePass

  • Если изменить корневой сертификат IPsec в настроенном и работающем развертывании DirectAccess, OTP перестает работать. Чтобы устранить эту проблему, на каждом сервере DirectAccess в окне Windows PowerShell выполните команду: iisreset