Meu chefe me pediu para criar uma maneira de implementar a autenticação de fator duplo para o acesso RDP aos servidores. Então, quando qualquer um dos meus colegas administradores logar remotamente em um servidor via RDP, eles devem passar por algum tipo de autenticação de fator duplo.
Preferiríamos que o segundo fator fosse os certificados de usuário armazenados no armazenamento de certificados local dos administradores (sem necessidade de controles ou de um aplicativo de telefone).
Parece que posso conseguir isso usando nosso servidor NPS existente e adicionando um servidor Gateway RDP à mistura.
Já havíamos usado o RSA anteriormente, mas com base na experiência anterior, prefiro não ir lá e, se o Windows conseguir fazer isso ingenuamente, é o jeito que preferiria ir.
Qualquer guia ou orientação seria muito apreciado.
ATUALIZAÇÃO:
Então eu ataquei isso em várias frentes:
- Eu configurei e configurei um servidor Gateway RD completo com o RD Web. Comecei por ter apenas RD Gateway e RD Web funcionando, então adicionei o RSA Web client à mistura. Esta configuração funciona e satisfaz nossas necessidades com apenas alguns inconvenientes a) nós temos que jogar fora nossas ferramentas de RD (eu uso e amo o Remote Desktop Manager) porque nós temos que passar pela RD Web sempre que quisermos fazer uma conexão com um servidor b) o RDWeb não tem uma opção para o "bypass para endereços locais".
- Estou em comunicação com a EMC RSA, que tem sido um exercício frustrante para dizer o mínimo. A configuração dessa abordagem é o cliente RDP conectado ao servidor por meio do Gateway RD e fazendo com que o Gateway RD faça uma chamada radius para o servidor RSA para autenticação. Essa configuração parece tão próxima que quase posso ver a linha de chegada, exceto quando tento autenticar os relatórios de log de depuração RSA
Request has invalid syntax (e.g. invalid, missing or duplicate attributes), Rejecting
. Atualmente, estou aguardando a segunda tecnologia RSA para me informar sobre o que isso significa e / ou quais parâmetros não estão sendo transmitidos do NPS para o RSA.
- Eu também tentei usar certificados de usuário como um segundo fator de autenticação. Meu chefe acha que um certificado de usuário armazenado no armazenamento de certificados da máquina local além de um nome de usuário e senha ao tentar RDP em um servidor satisfaria seu requisito de dois fatores, mas sem instalar leitores de cartão inteligente eu não consegui descobrir como passar o certificado de usuário para o Gateway RD. Eu comecei a olhar para smart cards virtuais para desktops (tentar usar a funcionalidade do cartão inteligente virtual do Windows 8 em laptops), mas novamente há uma voz na parte de trás da minha cabeça dizendo "tem que haver uma maneira melhor" .
Eu tenho tentado, com base em minhas experiências até agora, pressionar por abandonar a RSA em favor de outro produto, como a opção de Autenticação Multifator do site Azure, ou DuoSecurity ou Wikid mas com base no investimento feito na RSA meu chefe não está disposto a mudar.
Alguém aí teve alguma experiência com o uso de certificados de usuário para autenticação no RDP?