Udostępnij za pośrednictwem

Wdrażanie dostępu zdalnego z uwierzytelnianiem OTP

  • Artykuł

 

Dotyczy: Windows Server 2012 R2, Windows Server 2012

W systemie Windows Server 2012 funkcja DirectAccess oraz funkcja sieci VPN usługi Routing i dostęp zdalny zostały połączone w jedną rolę dostępu zdalnego. Dostęp zdalny można wdrożyć w różnych scenariuszach dla przedsiębiorstw. To omówienie stanowi wprowadzenie do scenariusza wdrażania funkcji DirectAccess systemu Windows Server 2012 z uwierzytelnianiem użytkowników za pomocą hasła jednorazowego (OTP) w przedsiębiorstwie.

Opis scenariusza

W tym scenariuszu serwer dostępu zdalnego z włączoną funkcją DirectAccess jest skonfigurowany tak, aby uwierzytelniać użytkowników klientów funkcji DirectAccess za pomocą uwierzytelniania dwuskładnikowego OTP oprócz standardowych poświadczeń usługi Active Directory.

Wymagania wstępne

Zanim rozpoczniesz wdrażanie tego scenariusza, zapoznaj się z tą listą ważnych wymagań:

  • Klienci z systemem Windows 7 muszą używać programu DCA 2.0 w celu obsługi uwierzytelniania OTP.
  • Uwierzytelnianie OTP nie obsługuje zmieniania numeru PIN.
  • Nie jest obsługiwana zmiana zasad poza konsolą zarządzania funkcji DirectAccess lub poleceniami cmdlet środowiska PowerShell.

W tym scenariuszu

Scenariusz uwierzytelniania OTP obejmuje kilka kroków:

  1. Wdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi — Przed skonfigurowaniem uwierzytelniania OTP należy wdrożyć pojedynczy serwer dostępu zdalnego. Planowanie i wdrażanie pojedynczego serwera obejmuje projektowanie i konfigurowanie topologii sieci, planowanie i wdrażanie certyfikatów, konfigurowanie usług DNS i Active Directory, konfigurowanie ustawień serwera dostępu zdalnego, wdrażanie klientów funkcji DirectAccess oraz przygotowywanie serwerów intranetowych.

  2. Plan dostępu zdalnego z uwierzytelnianiem OTP — Oprócz planowania związanego z pojedynczym serwerem uwierzytelnianie OTP wymaga zaplanowania urzędu certyfikacji (CA) firmy Microsoft i szablonów certyfikatów dla uwierzytelniania OTP, jak również serwera OTP z obsługą usługi RADIUS. Planowanie może również obejmować wymagania dotyczące grup zabezpieczeń mające na celu wykluczenie określonych użytkowników z silnego uwierzytelniania (OTP lub przy użyciu karty inteligentnej). Aby uzyskać informacje na temat konfigurowania uwierzytelniania OTP w środowisku wielu lasów, zobacz Konfigurowanie wdrożenia obejmującego wiele lasów.

  3. Skonfiguruj uwierzytelnianie OTP DirectAccess — Wdrożenie uwierzytelniania OTP składa się z szeregu kroków konfiguracji, obejmujących przygotowanie infrastruktury do uwierzytelniania OTP, skonfigurowanie serwera OTP, skonfigurowanie ustawień OTP na serwerze dostępu zdalnego oraz zaktualizowanie ustawień klientów funkcji DirectAccess.

  4. Rozwiązywanie problemów z wdrożenia OTP — W tej sekcji dotyczącej rozwiązywania problemów opisano różne typowe błędy, które mogą wystąpić podczas wdrażania dostępu zdalnego z uwierzytelnianiem OTP.

Zastosowania praktyczne

Zwiększenie bezpieczeństwa — Użycie uwierzytelniania OTP zwiększa bezpieczeństwo wdrożenia funkcji DirectAccess. W celu uzyskania dostępu do sieci wewnętrznej przez użytkownika wymagane są poświadczenia OTP. Użytkownik wprowadza poświadczenia OTP za pomocą połączeń z miejscem pracy dostępnych w połączeniach sieciowych na komputerze klienckim z systemem Windows 8 lub przy użyciu programu DirectAccess Connectivity Assistant (DCA) na komputerach klienckich z systemem Windows 7. Proces uwierzytelniania OTP działa w następujący sposób:

  1. Klient funkcji DirectAccess wprowadza poświadczenia domeny w celu uzyskania dostępu do serwerów infrastruktury funkcji DirectAccess (za pośrednictwem tunelu infrastruktury). Jeśli żadne połączenie z siecią wewnętrzną nie jest dostępne ze względu na określony błąd IKE, funkcja połączenia z miejscem pracy na komputerze klienckim informuje użytkownika, że są wymagane poświadczenia. Na komputerach klienckich z systemem Windows 7 jest wyświetlane wyskakujące okienko z prośbą o wprowadzenie poświadczeń karty inteligentnej.

  2. Po wprowadzeniu poświadczeń OTP są one wysyłane za pośrednictwem protokołu SSL do serwera dostępu zdalnego wraz z żądaniem krótkoterminowego certyfikatu logowania karty inteligentnej.

  3. Serwer dostępu zdalnego inicjuje weryfikację poświadczeń OTP przy użyciu serwera OTP opartego na usłudze RADIUS.

  4. W przypadku powodzenia operacji serwer dostępu zdalnego podpisuje żądanie certyfikatu przy użyciu własnego certyfikatu urzędu certyfikacji i wysyła je z powrotem do komputera klienckiego funkcji DirectAccess.

  5. Komputer kliencki funkcji DirectAccess przesyła dalej żądanie z podpisanym certyfikatem do urzędu certyfikacji i przechowuje zarejestrowany certyfikat do użytku przez protokół Kerberos SSP/AP.

  6. Używając tego certyfikatu, komputer kliencki niewidocznie przeprowadza standardowe uwierzytelnianie Kerberos za pomocą karty inteligentnej.

Role i funkcje uwzględnione w tym scenariuszu

W poniższej tabeli wymieniono role i funkcje, które są wymagane dla tego scenariusza:

Rola/funkcja

Znaczenie w tym scenariuszu

Rola zarządzania dostępem zdalnym

Ta rola jest instalowana i odinstalowywana przy użyciu konsoli Menedżera serwera. Obejmuje ona funkcję DirectAccess, która była wcześniej funkcją systemu Windows Server 2008 R2, oraz usługi Routing i dostęp zdalny, które były wcześniej usługą roli w ramach roli serwera usług zasad sieciowych i dostępu sieciowego (NPAS). Rola dostępu zdalnego zawiera dwa składniki:

  1. Funkcja DirectAccess oraz funkcja sieci VPN usługi Routing i dostęp zdalny (RRAS) — Funkcja DirectAccess i sieć VPN są zarządzane wspólnie w konsoli zarządzania dostępem zdalnym.

  2. Routing RRAS — Funkcje routingu RRAS są zarządzane w starszej wersji konsoli Routing i dostęp zdalny.

Rola dostępu zdalnego jest zależna od następujących funkcji serwera:

  • Serwer sieci Web programu Internet Information Services (IIS) — Ta funkcja jest wymagana do skonfigurowania serwera lokalizacji sieciowej, korzystania z uwierzytelniania OTP i skonfigurowania domyślnego badania sieci Web.

  • Wewnętrzna baza danych systemu Windows — Służy do lokalnego ewidencjonowania aktywności na serwerze dostępu zdalnego.

Funkcja narzędzi do zarządzania dostępem zdalnym

Ta funkcja jest instalowana w następujący sposób:

  • Jest instalowana domyślnie na serwerze dostępu zdalnego, gdy instalowana jest rola dostępu zdalnego, i obsługuje interfejs użytkownika konsoli zarządzania zdalnego.

  • Opcjonalnie można ją zainstalować na serwerze, na którym nie jest uruchomiona rola serwera dostępu zdalnego. W takim przypadku jest ona używana do zdalnego zarządzania komputerem dostępu zdalnego z funkcją DirectAccess i siecią VPN.

Funkcja narzędzi do zarządzania dostępem zdalnym zawiera następujące składniki:

  • Graficzny interfejs użytkownika i narzędzia wiersza polecenia dostępu zdalnego

  • Moduł dostępu zdalnego dla programu Windows PowerShell

Występują następujące zależności:

  • Konsola zarządzania zasadami grupy

  • Zestaw administracyjny menedżera połączeń RAS

  • Środowisko Windows PowerShell 3.0.

  • Infrastruktura i narzędzia do zarządzania w trybie graficznym

Wymagania sprzętowe

Ten scenariusz ma następujące wymagania sprzętowe:

  • Komputer spełniający wymagania sprzętowe systemu Windows Server 2012.

  • Do przetestowania tego scenariusza wymagany jest co najmniej jeden komputer z systemem Windows 8 lub Windows 7 skonfigurowany jako klient funkcji DirectAccess.

  • Serwer OTP z obsługą protokołu PAP za pośrednictwem usługi RADIUS.

  • Sprzętowy lub programowy token OTP.

Wymagania dotyczące oprogramowania

Istnieje szereg wymagań dotyczących tego scenariusza:

  1. Wymagania dotyczące oprogramowania dla wdrożenia pojedynczego serwera. Aby uzyskać więcej informacji, zobacz Wdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi.

  2. Oprócz wymagań dotyczących oprogramowania dla pojedynczego serwera istnieje szereg wymagań związanych z uwierzytelnianiem OTP:

    1. Urząd certyfikacji dla uwierzytelniania IPsec — We wdrożeniu uwierzytelniania OTP należy wdrożyć funkcję DirectAccess, stosując certyfikaty IPsec komputerów wystawione przez urząd certyfikacji. Uwierzytelnianie IPsec przy użyciu serwera dostępu zdalnego jako serwera proxy protokołu Kerberos nie jest obsługiwane we wdrożeniu uwierzytelniania OTP. Wymagany jest wewnętrzny urząd certyfikacji.

    2. Urząd certyfikacji dla uwierzytelniania OTP — Urząd certyfikacji przedsiębiorstwa firmy Microsoft (uruchomiony na komputerze z systemem Windows Server 2003 lub nowszym) jest wymagany w celu wystawienia certyfikatu klienta OTP. Można użyć tego samego urzędu certyfikacji, który jest używany do wystawiania certyfikatów dla uwierzytelniania IPsec. Serwer urzędu certyfikacji musi być dostępny za pośrednictwem pierwszego tunelu infrastruktury.

    3. Grupa zabezpieczeń — W celu wykluczenia użytkowników z silnego uwierzytelniania wymagana jest grupa zabezpieczeń usługi Active Directory zawierająca tych użytkowników.

    4. Wymagania po stronie klienta — W przypadku komputerów klienckich z systemem Windows 8 usługa Asystent łączności sieciowej (NCA) jest używana do wykrywania, czy są wymagane poświadczenia OTP. Jeśli są wymagane, Menedżer nośników funkcji DirectAccess wyświetla monit o podanie poświadczeń. Asystent łączności sieciowej jest dołączony do systemu operacyjnego Windows 8 i nie wymaga instalacji ani wdrożenia. W przypadku komputerów klienckich z systemem Windows 7 wymagany jest asystent łączności funkcji DirectAccess 2.0. Można go pobrać z Centrum pobierania Microsoft.

    5. Uwagi:

      1. Uwierzytelniania OTP można używać równolegle z uwierzytelnianiem za pomocą kart inteligentnych i modułu TPM. Włączenie uwierzytelniania OTP w konsoli zarządzania dostępem zdalnym umożliwia także korzystanie z uwierzytelniania za pomocą kart inteligentnych.

      2. Podczas konfigurowania dostępu zdalnego użytkownicy w określonej grupie zabezpieczeń mogą zostać wykluczeni z uwierzytelniania dwuskładnikowego, tak aby byli uwierzytelniani tylko za pomocą nazwy użytkownika i hasła.

      3. Tryby nowego numeru PIN i następnego kodu tokenu uwierzytelniania OTP nie są obsługiwane.

      4. W przypadku wdrożenia dostępu zdalnego w wielu lokacjach ustawienia OTP są globalne i zapewniają identyfikację dla wszystkich punktów wejścia. Jeśli dla uwierzytelniania OTP skonfigurowano wiele serwerów usługi RADIUS lub urzędów certyfikacji, są one sortowane przez każdy serwer dostępu zdalnego zależnie od dostępności i odległości.

      5. W przypadku konfigurowania uwierzytelniania OTP w środowisku dostępu zdalnego z wieloma lasami urzędy certyfikacji OTP powinny należeć tylko do lasu zasobów, a rejestrowanie certyfikatów powinno być skonfigurowane w ramach relacji zaufania lasów. Aby uzyskać więcej informacji, zobacz temat AD CS: rejestrowanie certyfikatów między lasami w systemie Windows Server 2008 R2.

      6. Użytkownicy korzystający z tokenu KEY FOB OTP powinni wprowadzać numer PIN oraz kod tokenu (bez żadnych separatorów) w oknie dialogowym uwierzytelniania OTP funkcji DirectAccess. Użytkownicy korzystający z tokenu PIN PAD OTP powinni wprowadzać w tym oknie dialogowym tylko kod tokenu.

      7. Nie należy włączać uwierzytelniania OTP, jeśli funkcja WEBDAV jest włączona.

Znane problemy

Poniżej przedstawiono znane problemy występujące podczas konfigurowania scenariusza OTP:

  • Dostęp zdalny używa mechanizmu sondowania w celu weryfikacji łączności z serwerami OTP opartymi na usłudze RADIUS. W niektórych przypadkach może to spowodować wystąpienie błędu na serwerze OTP. Aby uniknąć tego problemu, wykonaj następujące czynności na serwerze OTP:

    • Dla mechanizmu sondowania utwórz konto użytkownika, którego nazwa użytkownika i hasło są zgodne ze skonfigurowanymi na serwerze dostępu zdalnego. Nazwa użytkownika nie powinna definiować użytkownika usługi Active Directory.

      Domyślnie nazwa użytkownika na serwerze dostępu zdalnego to DAProbeUser, a hasło to DAProbePass. Te ustawienia domyślne można zmodyfikować na serwerze dostępu zdalnego przy użyciu następujących wartości w rejestrze:

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\RadiusProbeUser

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\RadiusProbePass

  • Jeśli certyfikat główny IPsec w skonfigurowanym i uruchomionym wdrożeniu funkcji DirectAccess zostanie zmieniony, uwierzytelnianie OTP przestanie działać. Aby rozwiązać ten problem, na każdym serwerze funkcji DirectAccess w oknie programu Windows PowerShell uruchom polecenie: iisreset