RemoteApp .rdp embed creds?

11

Servidor Windows 2008 R2 executando os Serviços de Área de Trabalho Remota (o que usamos para chamar os Serviços de Terminal nos tempos antigos) . Este servidor é o ponto de entrada em um aplicativo hospedado - você poderia chamá-lo de Software as a Service, suponho. Temos clientes de terceiros se conectando para usá-los.

Usando o RemoteApp Manager para criar atalhos .rdp do RemoteApp para distribuir para as estações de trabalho do cliente. Essas estações de trabalho não estão no mesmo domínio que o servidor RDS. Não há relação de confiança entre domínios (nem haverá). Existe um site bem controlado para a VPN do site entre as estações de trabalho e o servidor RDS, estamos confiantes de que temos acesso ao servidor bloqueado.

O remoteApp que está sendo executado é um aplicativo de ERP com seu próprio esquema de autenticação.

O problema? Estou tentando evitar a necessidade de criar logons do AD para cada usuário final ao se conectar ao servidor RemoteApp. Na verdade, como estamos fazendo um remoteApp e eles precisam se autenticar no aplicativo , prefiro não avisá-los para todos os creds do AD. Eu certamente não quero que eles se envolvam no gerenciamento de senhas de AD (e expirações periódicas) para contas que eles usam apenas para acessar seu login de ERP.

No entanto, não consigo descobrir como incorporar creds AD em um arquivo .rdp do RemoteApp. Eu realmente não quero desligar toda a autenticação no servidor RDS nesse nível.

Alguma boa opção? Meu objetivo é tornar isso o mais simples possível para os usuários finais.

Perguntas esclarecedoras são bem vindas.

    
por Chris_K 02.08.2011 / 20:52

2 respostas

10

É possível incorporar uma senha em um arquivo .rdp, mas a senha é criptografada com o SID de sua conta de usuário local de forma que o arquivo .rdp não seja intercambiável entre usuários ou computadores. Esse comportamento é próprio do projeto: a Microsoft não queria que um intruso conseguisse obter as chaves para um servidor de terminal apenas roubando um arquivo .rdp da área de trabalho de alguém.

Felizmente, há uma solução alternativa razoavelmente bem documentada. Basicamente, você precisa criar o arquivo .rdp "on the fly" através de um arquivo em lotes ou script que o usuário executa em vez de invocar mstsc.exe diretamente. Seu script cria o arquivo .rdp apropriado e, ao fazê-lo, criptografa a senha de tal forma que mstsc.exe a aceitará no contexto do usuário atual.

Recursos:

Cada um dos artigos acima inclui um link para uma ferramenta que pode ser usada para criptografar senhas RDP e / ou código-fonte. Eu sugeriria trabalhar com o código-fonte, se possível. (Como sempre, use binários compilados por estranhos da internet por sua conta e risco.)

    
por 20.03.2012 / 00:04
1

Hum ... interessante. A primeira coisa que vem à mente é usar chave / certificado (como ssh):

Isso ajuda?

    
por 02.08.2011 / 21:12