Aiz dubultbruņām. Kā iestatīt attālo piekļuvi, izmantojot RDP Rdp pieteikšanos, izmantojot personīgo sertifikātu

Protams, daudzi no jums jau ir dzirdējuši un redzējuši šo saīsinājumu — tas burtiski tiek tulkots kā attālās darbvirsmas protokols. Ja kādu interesē šī lietojumprogrammas līmeņa protokola darbības tehniskās smalkumus, var palasīt literatūru, sākot ar to pašu Vikipēdiju. Mēs apsvērsim tīri praktiskus aspektus. Proti, tas, ka šis protokols ļauj attālināti izveidot savienojumu ar datoriem zem Windows vadība dažādas versijas, izmantojot iebūvēto Windows rīks"Savienojuma izveide ar attālo darbvirsmu."

Kādi ir LAP protokola lietošanas plusi un mīnusi?

Sāksim ar patīkamo – ar plusiem. Priekšrocība ir tāda, ka šis rīks, ko pareizāk dēvēt par RDP Client, ir pieejams jebkuram Windows lietotājam gan datorā, no kura tiks pārvaldīta tālvadības pults, gan tiem, kuri vēlas atvērt attālo piekļuvi savam datoram.

Izmantojot savienojumu ar attālo darbvirsmu, ir iespējams ne tikai redzēt attālo darbvirsmu un izmantot attālā datora resursus, bet arī izveidot savienojumu ar to vietējie diski, printeri, viedkartes utt. Protams, ja vēlies skatīties video vai klausīties mūziku caur LAP, šis process diez vai sagādās prieku, jo... vairumā gadījumu jūs redzēsit slaidrādi un audio, iespējams, tiks pārtraukts. Taču LAP pakalpojums šiem uzdevumiem netika izstrādāts.

Vēl viena neapšaubāma priekšrocība ir tā, ka pieslēgšanās datoram tiek veikta bez papildu programmām, kuras pārsvarā ir maksas, lai gan tām ir savas priekšrocības. Piekļuves laiku RDP serverim (kas ir jūsu attālais dators) ierobežo tikai jūsu vēlme.

Ir tikai divi mīnusi. Viens ir nozīmīgs, otrs ne tik ļoti. Pirmais un būtisks ir tas, ka, lai strādātu ar RDP, datoram, ar kuru tiek izveidots savienojums, ir jābūt ar baltu (ārēju) IP vai arī jābūt iespējai “pārsūtīt” portu no maršrutētāja uz šo datoru, kam atkal jābūt ārējam IP. Nav nozīmes tam, vai tas ir statisks vai dinamisks, bet tam tā ir jābūt.

Otrs trūkums nav tik būtisks - jaunākās klienta versijas vairs neatbalsta 16 krāsu krāsu shēmu. Minimums - 15 biti. Tas ievērojami palēnina LAP, kad izveidojat savienojumu, izmantojot panīkušu, neaktīvu internetu ar ātrumu, kas nepārsniedz 64 kilobitus sekundē.

Kādiem nolūkiem jūs varat izmantot attālo piekļuvi, izmantojot LAP?

Organizācijas parasti izmanto LAP serverus, lai sadarbību programmā 1C. Un daži pat izvieto tajos lietotāju darbstacijas. Tādējādi lietotājs, īpaši, ja viņam ir ceļojošs darbs, var, ja viņam ir 3G internets vai viesnīcas/kafejnīcas Wi-Fi, attālināti pieslēgties savai darba vietai un atrisināt visus jautājumus.

Dažos gadījumos mājas lietotāji var izmantot attālo piekļuvi saviem mājas dators lai iegūtu dažus datus no mājas resursiem. Principā attālās darbvirsmas pakalpojums ļauj pilnībā strādāt ar tekstu, inženieriju un grafiskās lietojumprogrammas. Iepriekš minēto iemeslu dēļ tas nedarbosies ar video un audio apstrādi, taču tas joprojām ir ļoti nozīmīgs pluss. Resursus, kas ir slēgti ar uzņēmuma politiku, varat apskatīt arī darba vietā, izveidojot savienojumu ar mājas datoru bez anonimizatoriem, VPN vai citiem ļaunajiem gariem.

Interneta sagatavošana

Iepriekšējā sadaļā mēs runājām par to, ka, lai iespējotu attālo piekļuvi, izmantojot RDP, mums ir nepieciešama ārēja IP adrese. Šo pakalpojumu var nodrošināt pakalpojumu sniedzējs, tāpēc mēs zvanām vai rakstām, vai dodamies uz Personīgā zona un organizēt šīs adreses norādīšanu. Ideālā gadījumā tam vajadzētu būt statiskam, bet principā var dzīvot ar dinamiskiem.

Ja kāds nesaprot terminoloģiju, tad statiskā adrese ir nemainīga, un dinamiskā adrese ik pa laikam mainās. Lai pilnvērtīgi strādātu ar dinamiskām IP adresēm, ir izgudroti dažādi servisi, kas nodrošina dinamisku domēna saistīšanu. Kas un kā, par šo tēmu drīzumā būs raksts.

Maršrutētāja sagatavošana

Ja jūsu dators nav savienots tieši ar ISP kabeli ar internetu, bet caur maršrutētāju, mums būs jāveic arī dažas manipulācijas ar šo ierīci. Proti, pārsūtiet servisa portu - 3389. Pretējā gadījumā maršrutētāja NAT vienkārši neļaus jums iekļūt. mājas tīkls. Tas pats attiecas uz LAP servera iestatīšanu organizācijā. Ja nezināt, kā pārsūtīt portu, izlasiet rakstu par portu pārsūtīšanu maršrutētājā (atveras jaunā cilnē), pēc tam atgriezieties šeit.

Datora sagatavošana

Lai izveidotu iespēju attālināti izveidot savienojumu ar datoru, jums ir jādara tieši divas lietas:

Atļaut savienojumu sistēmas rekvizītos;
- iestatīt paroli pašreizējam lietotājam (ja viņam nav paroles) vai izveidot jaunu lietotāju ar paroli, kas ir īpaši paredzēta savienojumam caur LAP.

Izlemiet pats, ko darīt ar lietotāju. Tomēr ņemiet vērā, ka operētājsistēmas, kas nav servera sistēmas, sākotnēji neatbalsta vairākus pieteikšanos. Tie. ja piesakāties kā pats lokāli (konsole) un pēc tam attālināti piesakāties kā tas pats lietotājs, lokālais ekrāns tiks bloķēts un sesija tajā pašā vietā tiks atvērta attālās darbvirsmas savienojuma logā. Ja ievadīsiet paroli lokāli, neizejot no RDP, jūs tiksiet izslēgts no attālās piekļuves un vietējā monitorā redzēsit pašreizējo ekrānu. Tas pats jūs gaida, ja piesakāties konsolē kā viens lietotājs un attālināti mēģināt pieteikties kā cits. Šādā gadījumā sistēma liks beigt lokālā lietotāja sesiju, kas ne vienmēr var būt ērti.

Tātad, dodieties uz Sākt, ar peles labo pogu noklikšķiniet uz izvēlnes Dators un noklikšķiniet uz Rekvizīti.

Sadaļā Sistēmas rekvizīti atlasiet Papildu iespējas sistēmas

Atvērtajā logā dodieties uz cilni Attālā piekļuve...

...noklikšķiniet uz Vairāk...

Un atzīmējiet vienīgo lodziņu šajā lapā.

Tas ir "mājās gatavots" Windows versija 7 - tiem, kuriem ir Pro un augstāks, būs vairāk izvēles rūtiņu un ir iespējams diferencēt piekļuvi.

Visur noklikšķiniet uz Labi.

Tagad varat doties uz attālās darbvirsmas savienojumu (Sākt> Visas programmas> Piederumi), ievadiet tur datora IP adresi vai nosaukumu, ja vēlaties izveidot savienojumu ar to no sava mājas tīkla un izmantot visus resursus.

Kā šis. Principā viss ir vienkārši. Ja pēkšņi rodas kādi jautājumi vai kaut kas paliek neskaidrs, laipni lūdzam komentāros.

Īsumā: ļauj konfigurēt divu faktoru autentifikāciju, lai piekļūtu termināļa serverim. Izmantojot utilītu MS Remote Desktop Connection vai Remote Desktop Web Connection, varat viegli izveidot savienojumu ar attālo darbvirsmu, izmantojot USB atslēgu (token).

Kā Rohos pieteikšanās atslēga darbojas ar attālo darbvirsmu.

Rohos pieteikšanās atslēga tiek integrēta Windows termināļa pakalpojumu autorizācijas procesā un esošajai sistēmas piekļuves kontroles infrastruktūrai pievieno divu faktoru autentifikācijas slāni. Pēc Rohos pieteikšanās atslēgas iestatīšanas lietotāji varēs pieteikties attālajā darbvirsmā, izmantojot tikai USB atslēgu vai USB atslēgu un paroli.

Termināļa servera aizsardzības priekšrocības.

• Šī metode ļauj ierobežot attālo piekļuvi noteiktiem lietotājiem vai lietotāju sarakstam.
• Šādiem lietotājiem katru reizi ir jāievieto USB atslēga vai jāievada OTP kods.
• Katra atslēga ir unikāla un to nevar viltot
• Iestatīšanas laikā USB atslēga nav jāpievieno tieši serverim.
• Programma nav jāinstalē katrā datorā, no kura piekļūstat*.
• Administratoram tikai iepriekš jākonfigurē un jāizsniedz lietotājam piekļuvei USB atslēga.

Paaugstināta drošība, izmantojot elektronisko USB atslēgu vai vienreizējās paroles:

• Windows+ USB atslēgas parole, piemēram, SafeNet, eToken, iKey, ePass un citi ar PKCS#11 atbalstu.
• Windows parole + USB zibatmiņa pārvadātājs.
• Windows parole + OTP kods, kas nosūtīts īsziņā uz Mobilais telefons lietotājs.
• Logu parole + OTP kods ar Google programmas Lietotāja viedtālrunī instalēts autentifikators.
• Tikai USB atslēgas šifrētā parole.
• elektroniskā USB atslēga + atslēgas PIN kods;
• Elektroniskā USB atslēga + atslēgas PIN + Windows parole;

Pirms Rohos pieteikšanās atslēgas iestatīšanas jums jāizlemj:

• kāda veida USB atslēga tiks izmantota autorizācijai;
• kādu autentifikācijas veidu vēlaties izmantot:
  1) divu faktoru = USB atslēga + Windows parole,
  2) vienfaktors = USB atslēga (tas ietver arī USB atslēgas + PIN atslēgas opciju, ja tāda ir pieejama),
  3) izmantojiet USB atslēgu tikai lokālajā datorā. Šādā gadījumā termināļa serveris nepārbaudīs, vai klientam ir USB atslēga.

Termināļa servera autentifikācijas metode	USB atslēgas veids	Rohos Logon Key programmatūras instalēšana klienta un termināļa serverī
		Windows Vista/7/8 klients	TS Server Windows Server 2008/2012
1) Divu faktoru autentifikācija (USB atslēga un Windows parole).	USB marķieri (PKCS#11) Viedkartes Google autentifikators Yubikey USB zibatmiņas disks*
2) Viena faktora autentifikācija (tikai USB atslēga)	USB zibatmiņas disks USB marķieri (PKCS#11) Viedkartes++3)
3) Ērtības labad tiek izmantota USB atslēga. Termināļa serveris nepārbauda USB atslēgas esamību.	Jebkura veida USB atslēga

* Ja kā piekļuves atslēgu izmantojat USB zibatmiņas disku, klienta datorā ir jāinstalē viena no divām programmām: programma vai . Atslēgas izveides procesā serverī tā tiks kopēta USB diskdzinī, nodrošinot USB diska kā atslēgas izmantošanu savienojumam ar attālo darbvirsmu. Šo pārnēsājamo komponentu var palaist citās darbstacijās, ko izmanto, lai attālināti izveidotu savienojumu ar serveri.

Kad esat izlēmis par USB atslēgas veidu un divu faktoru autentifikācijas metodi, varat sākt Rohos pieteikšanās atslēgas instalēšanu.

USB atslēgu veidi un tehnoloģijas, kas piemērotas autentifikācijai, izmantojot attālo darbvirsmu ar programmu Rohos Logon Key:

Viedkartes, Java kartes (Mifare 1K)

Uz PKCS11 balstīti marķieri. Piemēram, SafeNet eToken, Securetoken ST3/4, senseLock trueToken, RuToken, uaToken, iKey.

Yubikey un OTP marķieri, piemēram, Google Authenticator

USB zibatmiņas diski. Šajā gadījumā pēc atslēgas izveides programmas pārnēsājamais komponents tiks kopēts USB diskdzinī.

Savienojuma sagatavošanas posmi, izmantojot programmu Rohos Logon Key:

1. Instalējiet Rohos pieteikšanās atslēgas programmu termināļa serverī. Programmas iestatījumos norādiet USB atslēgas veidu.

2. Instalējiet Rohos Management Tools pakotni datorā, no kura piekļūsit attālajai darbvirsmai, lai izveidotu atslēgas.

3. Atslēgu izveide piekļuvei, izmantojot RDC:

Pievienojiet savu nākamo USB atslēgu vietējam datoram. Izveidojiet savienojumu ar termināļa serveri, izmantojot RDC. Programmas Remote Desktop iestatījumos norādiet, kuri vietējie resursi ( USB diskdziņi vai viedkartes) ir jānodrošina attālajam datoram.

Termināļa serverī palaidiet programmu Rohos pieteikšanās atslēga. Izmantojiet komandu Setup a key, norādiet lietotāju, kuram veidojat atslēgu, un, ja nepieciešams, ievadiet tā paroli.

Piezīme: daži USB veidi Atslēgas var izveidot USB atslēgu pārvaldnieka programmā no Rohos Managment rīku pakotnes. Šī pakotne ir instalēta administratora datorā. Pēc visu atslēgu izveides šajā programmā jums ir jāeksportē to saraksts uz termināļa serveri. . Tajā pašā programmā ir poga, kas kopē uz USB diskdzinis programmas.

4. Rohos pieteikšanās atslēgas iestatīšana termināļa serverī:

Pēc visu atslēgu izveides varat stiprināt servera drošību, aizliedzot dažiem lietotājiem piekļūt tai bez USB atslēgas. Atveriet Rohos pieteikšanās atslēgas programmas iestatījumus, Atļaut piekļuvi, tikai izmantojot USB atslēgu sarakstu.

Iespējas:

• Nav
  Visi lietotāji var pieteikties, izmantojot paroli vai izmantojot USB taustiņu Šī konfigurācija nav ieteicama termināļa serverim.
• Jebkuram lietotājam
  Šī opcija ir līdzīga vecajai opcijai Atļaut pieteikšanos tikai ar USB atslēgu. Visiem lietotājiem ir jāizmanto USB atslēga, lai pieteiktos vai atbloķētu Windows.
• Uzskaitītajiem lietotājiem
  Lai pieteiktos, USB atslēga ir jāizmanto tikai sarakstā iekļautajiem lietotājiem. Visi pārējie lietotāji var pieteikties, izmantojot paroli. Saraksts tiek izveidots automātiski, kad lietotājam tiek izveidota USB atslēga. Lietotājvārds no USB atslēgas tiek pievienots šim sarakstam. Turklāt lietotāju sarakstu un atslēgas var importēt no cita datora. Protams, to var izdarīt tikai administrators.
• Rohos lietotāju grupai Active Directory
  Katram lietotājam no rohos grupas ir jāizmanto USB atslēga.
  Uzmanību: rohos lietotāju grupa ir jāizveido Active Directory administratoram.
• Pieteikšanās attālajai darbvirsmai
  Vietējie lietotāji var pieteikties ar vai bez USB atslēgas. Attālā pieteikšanās iespējama tikai ar USB atslēgu. Šī opcija ir ideāli piemērota termināļa servera drošības stiprināšanai.
• Attālās darbvirsmas pieteikšanās ārpus LAN
  Lietotāji iekšā lokālais tīkls var pieteikties termināļa serverī bez atslēgas. USB atslēgas ir jāizmanto tikai tiem lietotājiem, kuri piesakās, izmantojot iezvanpieeju, DSL savienojumus vai citus tīklus.

Attālās darbvirsmas savienojums

Kad būs izveidots savienojums, mēs redzēsim šo tīkla identifikācijas dialoglodziņu.

Jums jāizvēlas lietotājvārds un jāievada parole konts uz TS.

Ja paroles autentifikācija ir veiksmīga, tiek izveidots savienojums ar attālo darbvirsmu. Šajā posmā Rohos pieteikšanās atslēga pārbauda, ​​vai nav lietotāja USB atslēgas.

Rohos pieteikšanās atslēga var apturēt piekļuvi, ja USB atslēga nav pievienota:

Ja tiek izmantots marķieris ar vienreizēju paroli, parādīsies logs tās ievadīšanai.

Pārnēsājama Rohos pieteikšanās atslēga

Programma jums palīdzēs, ja izmantojat USB zibatmiņas disku, bet nevarat vai nevēlaties to instalēt lokālais dators ne Rohos pieteikšanās atslēgas, ne Rohos pārvaldības rīki. Šis komponents tiek automātiski kopēts USB zibatmiņas diskā atslēgas izveides laikā termināļa serverī. Alternatīvi, to var iegūt, skrienot USB programma atslēgu pārvaldnieka Pro licence - piekļuvei caur Remote desktop tīkla datoram (nevis termināļa serverim), kā arī lietošanai domēnā.

Servera licence — īpaši paredzēta termināļa serverim (Windows 2003, 2008, 2012 ar piekļuvi, izmantojot attālo darbvirsmu)

Izmēģiniet Rohos pieteikšanās atslēgu 15 dienas bez maksas. Rohos pieteikšanās atslēga.

Pēc šī perioda programma arī darbosies, taču atgādinās reģistrēties.

Ja vienīgais šķērslis piekļuvei jūsu datiem ir parole, jūs esat pakļauts lielam riskam. Piespēli var uzlauzt, pārtvert, nozagt Trojas zirgs vai izķert, izmantojot sociālo inženieriju. Divfaktoru autentifikācijas neizmantošana šajā situācijā ir gandrīz noziegums.

Mēs jau vairāk nekā vienu reizi esam runājuši par vienreizējām atslēgām. Nozīme ir ļoti vienkārša. Ja uzbrucējam kaut kādā veidā izdodas iegūt jūsu pieteikšanās paroli, viņš var viegli piekļūt jūsu e-pastam vai izveidot savienojumu ar to attālais serveris. Bet, ja tā ceļā ir kāds papildu faktors, piemēram, vienreizēja atslēga (saukta arī par OTP atslēgu), tad nekas nedarbosies. Pat ja šāda atslēga nonāks uzbrucēja rokās, to vairs nevarēs izmantot, jo tā ir derīga tikai vienu reizi. Šis otrs faktors varētu būt papildu zvans, kods, kas saņemts ar SMS, atslēga, kas ģenerēta tālrunī, izmantojot noteiktus algoritmus, pamatojoties uz pašreizējo laiku (laiks ir veids, kā sinhronizēt algoritmu klientā un serverī). Tas pats Google jau jau sen ir ieteicis saviem lietotājiem iespējot divu faktoru autentifikāciju (pāris klikšķi konta iestatījumos). Tagad ir pienācis laiks saviem pakalpojumiem pievienot šādu aizsardzības līmeni!

Ko piedāvā Duo Security?

Triviāls piemērs. Manam datoram ir RDP ports, kas ir atvērts “ārpus”, lai veiktu attālo savienojumu ar darbvirsmu. Ja pieteikšanās parole tiek nopludināta, uzbrucējs to nekavējoties saņems pilna piekļuve uz mašīnu. Līdz ar to par OTP paroles aizsardzības pastiprināšanu nebija jautājumu – tas vienkārši bija jādara. Bija stulbi izgudrot riteni no jauna un mēģināt visu īstenot paša spēkiem, tāpēc es tikai paskatījos uz tirgū esošajiem risinājumiem. Lielākā daļa izrādījās komerciāli (sīkāka informācija sānjoslā), bet nelielam lietotāju skaitam tos var izmantot bez maksas. Tieši tas, kas nepieciešams jūsu mājām. Viens no veiksmīgākajiem pakalpojumiem, kas ļauj organizēt divu faktoru autentifikāciju burtiski jebkam (ieskaitot VPN, SSH un RDP), izrādījās Duo Security (www.duosecurity.com). Projekta pievilcību palielināja fakts, ka projekta izstrādātājs un dibinātājs ir Džons Oberheids, pazīstamais speciālists informācijas drošība. Piemēram, viņš izšķīra protokolu Google komunikācija ar Android viedtālruņi, ar kuru varat instalēt vai noņemt patvaļīgas lietojumprogrammas. Šī bāze liek par sevi manīt: lai parādītu divu faktoru autentifikācijas nozīmi, puiši palaida VPN pakalpojums Hunter (www.vpnhunter.com), kas var ātri atrast uzņēmuma neslēptos VPN serverus (un tajā pašā laikā noteikt aprīkojuma veidu, kurā tie darbojas), attālās piekļuves pakalpojumus (OpenVPN, RDP, SSH) un citus infrastruktūras elementus, kas ļauj uzbrucējam piekļūt iekšējam tīklam, vienkārši zinot pieteikumvārdu un paroli. Smieklīgi, ka servisa oficiālajā Twitter īpašnieki sāka publicēt ikdienas atskaites par pazīstamu uzņēmumu skenēšanu, pēc kā konts tika aizliegts :). Pakalpojums Duo Security, protams, galvenokārt ir vērsts uz divu faktoru autentifikācijas ieviešanu uzņēmumos ar lielu lietotāju skaitu. Par laimi mums ir iespēja izveidot bezmaksas Personīgo kontu, kas ļauj bez maksas organizēt divu faktoru autentifikāciju desmit lietotājiem.

Kāds varētu būt otrais faktors?

Tālāk mēs apskatīsim, kā burtiski desmit minūšu laikā stiprināt attālās darbvirsmas savienojuma un SSH drošību serverī. Bet vispirms es vēlos runāt par papildu soli, ko Duo Security ievieš kā otro autorizācijas faktoru. Ir vairākas iespējas: telefona zvans, SMS ar piekļuves kodiem, Duo Mobile piekļuves kodi, Duo Push, elektroniskā atslēga. Nedaudz vairāk par katru.

Cik ilgi es varu to izmantot bez maksas?

Kā jau minēts, Duo Security piedāvā īpašu tarifu plāns"Personisks". Tas ir pilnīgi bez maksas, taču lietotāju skaits nedrīkst pārsniegt desmit. Atbalsta neierobežota skaita integrāciju pievienošanu, visas pieejamās autentifikācijas metodes. Nodrošina tūkstošiem bezmaksas kredītu telefonijas pakalpojumiem. Kredīts ir kā iekšējā valūta, kas tiek norakstīta no jūsu konta ikreiz, kad tiek veikta autentifikācija, izmantojot zvanu vai SMS. Konta iestatījumos varat iestatīt, lai, sasniedzot noteiktu kredītu skaitu, saņemtu paziņojumu un būtu laiks papildināt savu bilanci. Tūkstoš kredītu maksā tikai 30 dolārus. Cena par zvaniem un SMS par dažādas valstis ir savādāka. Krievijai zvans maksās no 5 līdz 20 kredītiem, SMS - 5 kredīti. Tomēr nekas netiek iekasēts par zvanu, kas tiek veikts autentifikācijas laikā Duo Security vietnē. Par kredītiem varat pilnībā aizmirst, ja autentifikācijai izmantojat Duo Mobile aplikāciju – par to nekas netiek iekasēts.

Viegla reģistrācija

Lai aizsargātu savu serveri, izmantojot Duo Security, jums ir jālejupielādē un jāinstalē īpašs klients, kas mijiedarbosies ar Duo Security autentifikācijas serveri un nodrošinās otru aizsardzības līmeni. Attiecīgi šis klients katrā situācijā būs atšķirīgs: atkarībā no tā, kur tieši nepieciešams ieviest divu faktoru autentifikāciju. Par to mēs runāsim tālāk. Pirmā lieta, kas jums jādara, ir reģistrēties sistēmā un iegūt kontu. Tāpēc mēs atveram mājas lapa tīmekļa vietnē noklikšķiniet uz “Bezmaksas izmēģinājuma versija”, atvērtajā lapā zem Personiskā konta veida noklikšķiniet uz pogas “Reģistrēties”. Pēc tam mums tiek lūgts ievadīt savu vārdu, uzvārdu, e-pasta adresi un uzņēmuma nosaukumu. Jums vajadzētu saņemt e-pastu ar saiti, lai apstiprinātu reģistrāciju. Šādā gadījumā sistēma automātiski sastādīs norādīto tālruņa numuru: lai aktivizētu savu kontu, jums jāatbild uz zvanu un jānospiež tālruņa poga #. Pēc tam konts būs aktīvs, un jūs varat sākt cīņas testēšanu.

LAP aizsardzība

Iepriekš teicu, ka sāku ar lielu vēlmi nodrošināt attālos savienojumus ar savu darbvirsmu. Tāpēc kā pirmo piemēru aprakstīšu, kā stiprināt LAP drošību.

Jebkura divu faktoru autentifikācijas ieviešana sākas ar vienkāršu darbību: izveido tā saukto integrāciju Duo Security profilā. Dodieties uz sadaļu “Integrācijas  Jauna integrācija”, norādiet integrācijas nosaukumu (piemēram, “Mājas RDP”), atlasiet tās veidu “Microsoft RDP” un noklikšķiniet uz “Pievienot integrāciju”.

Parādītajā logā tiek parādīti integrācijas parametri: integrācijas atslēga, slepenā atslēga, API saimniekdatora nosaukums. Mums tie būs nepieciešami vēlāk, kad konfigurēsim klienta daļu. Ir svarīgi saprast: neviens tos nedrīkst zināt.

Tālāk aizsargātajā mašīnā jāinstalē īpašs klients, kas Windows sistēmā instalēs visu nepieciešamo. To var lejupielādēt no oficiālās vietnes vai ņemt no mūsu diska. Visa tā iestatīšana ir saistīta ar faktu, ka instalēšanas procesa laikā jums būs jāievada iepriekš minētā integrācijas atslēga, slepenā atslēga, API resursdatora nosaukums.

Tas arī viss, patiesībā. Tagad, nākamreiz, kad pieteiksieties serverī, izmantojot RDP, ekrānā būs trīs lauki: lietotājvārds, parole un Duo vienreizējā atslēga. Attiecīgi vairs nav iespējams pieteikties sistēmā tikai ar pieteikumvārdu un paroli.

Pirmo reizi, kad jauns lietotājs mēģinās pieteikties, viņam vienu reizi būs jāveic Duo drošības verifikācijas process. Pakalpojums viņam piešķirs īpašu saiti, pēc kuras viņam jāievada savs tālruņa numurs un jāgaida verifikācijas zvans. Lai iegūtu papildu atslēgas (vai saņemtu tās pirmo reizi), varat ievadīt atslēgvārdu “sms”. Ja vēlaties autentificēties, izmantojot tālruņa zvanu, ievadiet “phone”, ja izmantojat Duo Push, ievadiet “push”. Visu savienojuma mēģinājumu (gan veiksmīgo, gan neveiksmīgo) ar serveri vēsturi var apskatīt savā kontā Duo Security vietnē, vispirms izvēloties vajadzīgo integrāciju un pārejot uz tās “Autentifikācijas žurnālu”.

Pievienojiet Duo Security jebkur!

Izmantojot divu faktoru autentifikāciju, varat aizsargāt ne tikai RDP vai SSH, bet arī VPN, RADIUS serverus un jebkurus tīmekļa pakalpojumus. Piemēram, ir gatavi klienti, kas populārajiem dzinējiem Drupal un WordPress pievieno papildu autentifikācijas slāni. Ja nav gatava klienta, nebēdājiet: jūs vienmēr varat pievienot divu faktoru autentifikāciju savai lietojumprogrammai vai vietnei, izmantojot sistēmas nodrošināto API. Darbības ar API loģika ir vienkārša – jūs veicat pieprasījumu konkrētas metodes URL un parsējat atgriezto atbildi, kas var būt JSON formātā (vai BSON, XML). Pilnīga Duo REST API dokumentācija ir pieejama oficiālajā vietnē. Teikšu vien, ka ir metodes ping, check, preauth, auth, status, pēc kuru nosaukuma var viegli uzminēt, kam tās paredzētas.

SSH aizsardzība

Apskatīsim citu integrācijas veidu - "UNIX integrāciju", lai ieviestu drošu autentifikāciju. Mēs pievienojam vēl vienu integrāciju savam Duo Security profilam un turpinām klienta instalēšanu sistēmā.

Pēdējā avota kodu varat lejupielādēt vietnē bit.ly/IcGgk0 vai ņemt to no mūsu diska. ES izmantoju jaunākā versija- 1.8. Starp citu, klients darbojas lielākajā daļā nix platformu, tāpēc to var viegli instalēt uz FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX un AIX. Būvēšanas process ir standarta — konfigurējiet && make && sudo make install. Vienīgais, ko es ieteiktu, ir izmantot configure ar opciju --prefix=/usr, pretējā gadījumā klients startējot var neatrast vajadzīgās bibliotēkas. Pēc veiksmīgas instalēšanas dodieties uz konfigurācijas faila /etc/duo/login_duo.conf rediģēšanu. Tas jādara no saknes. Visas izmaiņas, kas jāveic veiksmīgai darbībai, ir iestatīt integrācijas atslēgas, slepenās atslēgas, API resursdatora nosaukuma vērtības, kuras var atrast integrācijas lapā.

; Duo integrācijas atslēgas atslēga = INTEGRATION_KEY; Duo slepenā atslēga = SECRET_KEY; Duo API saimniekdatora nosaukums — API_HOSTNAME

Lai piespiestu visus lietotājus, kas piesakās jūsu serverī, izmantojot SSH, izmantot divu faktoru autentifikāciju, vienkārši pievienojiet šo rindiņu failam /etc/ssh/sshd_config:

> ForceCommand /usr/local/sbin/login_duo

Ir iespējams arī organizēt divu faktoru autentifikāciju tikai atsevišķiem lietotājiem, apvienojot tos grupā un norādot šo grupu login_duo.conf failā:

> grupa = ritenis

Lai izmaiņas stātos spēkā, viss, kas jums jādara, ir restartēt ssh dēmonu. Turpmāk pēc veiksmīgas pieteikšanās paroles ievadīšanas lietotājam tiks piedāvāts veikt papildu autentifikāciju. Atsevišķi jāatzīmē viens smalkums ssh iestatījumi- Ir ļoti ieteicams konfigurācijas failā atspējot opcijas PermitTunnel un AllowTcpForwarding, jo dēmons tās lieto pirms otrā autentifikācijas posma sākšanas. Tādējādi, ja uzbrucējs ievada paroli pareizi, viņš var piekļūt iekšējam tīklam, pirms ir pabeigts otrais autentifikācijas posms, pateicoties portu pāradresācijai. Lai izvairītos no šī efekta, sshd_config pievienojiet šādas opcijas:

PermitTunnel noAllowTcpForwarding Nr

Tagad jūsu serveris atrodas aiz dubultās sienas, un uzbrucējam ir daudz grūtāk tajā iekļūt.

Papildu iestatījumi

Ja piesakāties savā Duo Security kontā un atverat sadaļu “Iestatījumi”, varat pielāgot dažus iestatījumus, lai tie būtu piemēroti jums. Pirmā svarīga sadaļa ir “Tālruņa zvani”. Tas norāda parametrus, kas būs spēkā, kad autentifikācijas apstiprināšanai tiek izmantots tālruņa zvans. Vienums “Balss atzvanīšanas taustiņi” ļauj norādīt, kurš tālruņa taustiņš būs jānospiež, lai apstiprinātu autentifikāciju. Pēc noklusējuma vērtība ir “Nospiediet jebkuru taustiņu, lai autentificētos” - tas ir, jūs varat nospiest jebkuru. Ja iestatāt vērtību “Nospiediet dažādus taustiņus, lai autentificētos vai ziņotu par krāpšanu”, jums būs jāiestata divas atslēgas: noklikšķinot uz pirmās, tiek apstiprināta autentifikācija (Autentifikācijas atslēga), noklikšķinot uz otrās (Taustiņa, lai ziņotu par krāpšanu), tas nozīmē, ka mēs neuzsāka autentifikācijas procesu , tas ir, kāds ir saņēmis mūsu paroli un mēģina pieteikties serverī, izmantojot to. Vienums “SMS piekļuves kodi” ļauj iestatīt piekļuves kodu skaitu, ko satur viena SMS, un to kalpošanas laiku (derīgumu). Parametrs “Lokauts un krāpšana” ļauj iestatīt e-pasta adresi, uz kuru tiks nosūtīts paziņojums noteikta skaita neveiksmīgu mēģinājumu pierakstīšanās gadījumā serverī.

Lieto to!

Pārsteidzoši, daudzi cilvēki joprojām ignorē divu faktoru autentifikāciju. Nesaprotu, kāpēc. Tas patiešām ievērojami uzlabo drošību. To var ieviest gandrīz jebko, un pienācīgi risinājumi ir pieejami bez maksas. Tad kāpēc? No slinkuma vai neuzmanības.

Analogie pakalpojumi

• Signify (www.signify.net) Pakalpojums nodrošina trīs iespējas divu faktoru autentifikācijas organizēšanai. Pirmais ir elektronisko atslēgu izmantošana. Otrā metode ir izmantot piekļuves atslēgas, kas tiek nosūtītas uz lietotāja tālruni ar SMS vai nosūtītas uz e-pasts. Trešais variants - mobilā lietotne Priekš Android tālruņi, iPhone, BlackBerry, kas ģenerē vienreizējas paroles (būtībā Duo Mobile analogs). Pakalpojums ir paredzēts lielie uzņēmumi, tāpēc pilnībā samaksāts.
• SecurEnvoy (www.securenvoy.com) arī ļauj izmantot mobilo tālruni kā otro drošības līmeni. Ieejas atslēgas tiek nosūtītas lietotājam, izmantojot SMS vai e-pastu. Katrs ziņojums satur trīs piekļuves atslēgas, tas ir, lietotājs var pieteikties trīs reizes pirms jaunas daļas pieprasīšanas. Pakalpojums ir arī maksas, bet nodrošina bezmaksas 30 dienu periodu. Būtiska priekšrocība ir lielais gan vietējo, gan trešo pušu integrāciju skaits.
• PhoneFactor (www.phonefactor.com) Šis pakalpojums ļauj organizēt bezmaksas divu faktoru autentifikāciju līdz 25 lietotājiem, nodrošinot 500 bezmaksas autentifikācijas mēnesī. Lai organizētu aizsardzību, jums būs nepieciešams lejupielādēt un instalēt īpašu klientu. Ja vietnei ir jāpievieno divu faktoru autentifikācija, varat izmantot oficiālo SDK, kas nodrošina detalizētu dokumentāciju un piemērus šādām programmēšanas valodām: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.

Windows OS servera versijās ir lieliska iespēja savienojumiem izmantot akreditācijas datus, ko lietotājs ievadījis agrāk, piesakoties datorā. Tādā veidā viņiem nav jāievada savs lietotājvārds un parole ikreiz, kad viņi palaiž publicētu lietojumprogrammu vai tikai attālo darbvirsmu. Šo lietu sauc par vienreizēju pierakstīšanos, izmantojot tehnoloģiju CredSSP(Akreditācijas datu drošības pakalpojumu sniedzējs).

Apraksts

Lai tas darbotos, ir jāievēro šādi nosacījumi:

• Termināļa serverim un klientam, kas ar to izveido savienojumu, ir jāatrodas domēnā.
• Termināļa serverim jābūt konfigurētam operētājsistēmā Windows Server 2008, Windows Server 2008 R2 vai jaunāka versija.
• Klienta datorā jābūt instalētai šādai operētājsistēmai: Windows XP SP3, Windows Vista, Windows Server 2008, Windows 7, Windows 8 vai Windows Server 2008 R2.

Operētājsistēmai Windows XP SP3 būs jāveic papildu darbības. Ir nepieciešams instalēt labojumu, kas ļaus konfigurēt Windows XP SP3 iestatījumus, izmantojot grupas politikas.
Šo labojumu (MicrosoftFixit50588.msi) var lejupielādēt gan no mūsu vietnes, gan no tās:

Vispirms iestatiet termināļa servera drošības līmeni uz režīmu “Sarunas”:

Tajā mēs konfigurējam 2 parametrus: Atļaut noklusējuma akreditācijas datu pārsūtīšanu un Atļaut noklusējuma akreditācijas datu deleģēšanu ar servera autentifikāciju “tikai NTLM”.

Atļaut noklusējuma akreditācijas datu deleģēšanu, izmantojot tikai NTLM servera autentifikāciju — tas ir jākonfigurē tikai tad, ja termināļa serveris nav autentificēts, izmantojot Kerberos vai SSL sertifikātu.

Mēs tur ievadām serveri(s), kuram(-iem) vēlamies ļaut lietotājiem piekļūt, atkārtoti neievadot savu pieteikumvārdu un paroli. Jūs varat tos ievadīt ar masku vai atsevišķi. Palīdzība to saka sīki.

Pēc tam mēs piemērojam politiku vajadzīgajam(-iem) datoram(-iem) un pārbaudām, vai lietotājiem ir atļauts piekļūt termināļa serveriem, kas norādīti iepriekš minētajās politikās, neievadot pieteikumvārdu un paroli.

Aleksandrs Antipovs

Rakstā sniegts pārskats par vienreizējās pierakstīšanās caurspīdīgās autorizācijas tehnoloģijas un drošības pakalpojumu sniedzēja Credential Security Service Provider (CredSSP) darbības algoritmu. Tiek apskatīta klienta un servera daļu iestatīšanas metode.

Viena no galvenajām lietotāja neērtībām, palaižot attālo darbvirsmu vai termināļa serverī publicētu lietojumprogrammu, ir nepieciešamība ievadīt savus akreditācijas datus. Iepriekš šīs problēmas risināšanai tika izmantots mehānisms akreditācijas datu saglabāšanai attālās darbvirsmas klienta iestatījumos. Tomēr šī metode ir vairāki būtiski trūkumi. Piemēram, periodiski mainot paroli, tā bija jāmaina manuāli termināļa klienta iestatījumos.

Šajā sakarā, lai vienkāršotu darbu ar attālo darbvirsmu operētājsistēmā Windows Server 2008, kļuva iespējams izmantot Single Sign-on (SSO) caurspīdīgās autorizācijas tehnoloģiju. Pateicoties tam, lietotājs, piesakoties termināļa serverī, var izmantot akreditācijas datus, ko viņš ievadījis, piesakoties savā lokālajā datorā, no kura tiek palaists attālās darbvirsmas klients.

Rakstā sniegts pārskats par vienreizējās pierakstīšanās caurspīdīgās autorizācijas tehnoloģijas un drošības pakalpojumu sniedzēja Credential Security Service Provider (CredSSP) darbības algoritmu. Tiek apskatīta klienta un servera daļu iestatīšanas metode. Ir apskatīti arī vairāki praktiski jautājumi, kas saistīti ar attālās darbvirsmas pakalpojumu pārredzamu autorizāciju.

Teorētiskā informācija

SSO tehnoloģija ļauj saglabāt lietotāja akreditācijas datus un automātiski pārsūtīt tos, kad tiek izveidots savienojums ar termināļa serveri. Izmantojot grupas politikas, varat definēt serverus, kuriem tiks izmantota šī autorizācijas metode. Šajā gadījumā visiem pārējiem termināļa serveriem pieteikšanās tiks veikta tradicionālā veidā: ievadot pieteikumvārdu un paroli.

Caurspīdīgi autorizācijas mehānismi pirmo reizi parādījās operētājsistēmās Windows Server 2008 un Windows Vista. pateicoties jaunajam drošības nodrošinātājam CredSSP. Tas ļāva pārsūtīt kešatmiņā saglabātos akreditācijas datus pa drošu kanālu (izmantojot transporta slāņa drošību (TLS)). Pēc tam Microsoft izlaida atbilstošos Windows XP SP3 atjauninājumus.

Apskatīsim to sīkāk. CredSSP var izmantot šādos gadījumos:

• Priekš tīkla slānis autentifikāciju (NLA), kas ļauj atpazīt lietotāju iepriekš pilnīga uzstādīšana savienojumi;
• SSO, saglabājot lietotāja akreditācijas datus un nododot tos terminālim.

Atjaunojot sesiju fermā, CredSSP paātrina savienojuma izveides procesu, jo termināļa serveris nosaka lietotāju, neizveidojot pilnu savienojumu (līdzīgi kā NLA).

Autentifikācijas process notiek pēc šāda algoritma:

Klients uzsāk droša kanāla izveidi ar serveri, izmantojot TLS. Serveris piešķir tai sertifikātu, kurā ir nosaukums, sertifikācijas iestāde un publiskā atslēga. Servera sertifikāts var būt pašparakstīts.

Starp serveri un klientu tiek izveidota sesija. Tam tiek izveidota atbilstoša atslēga, kas vēlāk piedalīsies šifrēšanā. CredSSP izmanto SPNEGO (Simple and Protected Negotiate) protokolu, lai savstarpēji autentificētu serveri un klientu, lai katrs varētu uzticēties viens otram. Šis mehānisms ļauj klientam un serverim izvēlēties autentifikācijas mehānismu (piemēram, Kerberos vai NTLM).

Lai aizsargātu pret pārtveršanu, klients un serveris pārmaiņus šifrē servera sertifikātu, izmantojot sesijas atslēgu, un pārsūta to viens otram.

Ja apmaiņas un sākotnējā sertifikāta rezultāti sakrīt, klienta CredSSP nosūta lietotāja akreditācijas datus serverim.

Tādējādi akreditācijas datu pārsūtīšana notiek pa šifrētu kanālu ar aizsardzību pret pārtveršanu.

Iestatījumi

Drošības pakalpojumu sniedzējs CredSSP ir daļa no operētājsistēmas un ir iekļauts operētājsistēmās Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. Turklāt to var instalēt kā atsevišķu Windows XP SP3 atjauninājumu. Šis process ir detalizēti aprakstīts rakstā “Akreditācijas datu drošības atbalsta nodrošinātāja (CredSSP) apraksts operētājsistēmā Windows XP 3. servisa pakotne." Lai instalētu un iespējotu CredSSP operētājsistēmā Windows XP SP3, veiciet šīs darbības.

1. Palaidiet reģistra redaktoru regedit un dodieties uz filiāli: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

2. Pievienojiet tspkg vērtību drošības pakotņu atslēgai

3. Dodieties uz reģistra filiāli: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders.

4. Pievienojiet credssp.dll vērtību SecurityProviders atslēgai (pārējās šīs atslēgas vērtības ir jāatstāj nemainīgas).

Kad CredSSP ir iespējots, jums ir jākonfigurē tā lietošana, izmantojot grupas politikas vai atbilstošās reģistra atslēgas. Lai konfigurētu SSO klientu datoros, izmantojiet grupas politikas no sadaļas:

Datora konfigurācija\Administratīvās veidnes\Sistēma\Akreditācijas datu deleģēšana .

Operētājsistēmu krievu valodas versijās tas izskatās šādi (1. att.).

Rīsi. 1. Akreditācijas datu pārsūtīšanas pārvaldība, izmantojot grupas politikas

Lai izmantotu SSO, ir jāiespējo politika:

Atļaut noklusējuma akreditācijas datu pārsūtīšanu.

Turklāt pēc iespējošanas ir jānosaka, kuriem serveriem šī autorizācijas metode tiks izmantota. Lai to izdarītu, jums jāveic šādas darbības.

Politikas rediģēšanas logā (2. att.) noklikšķiniet uz pogas “Rādīt”.

Rīsi. 2. Grupas politikas rediģēšanas logs

Pievienojiet termināļa serveru sarakstu (3. att.).

Rīsi. 3. Termināļa servera pievienošana caurspīdīgai autorizācijai

Servera pievienošanas rindai ir šāds formāts:

TERMSRV/servera_nosaukums .

Serverus var norādīt arī pēc domēna maskas. Šajā gadījumā rindai ir šāda forma:

TERMSRV/*.domēna_nosaukums .

Ja nav iespējams izmantot grupas politikas, atbilstošos iestatījumus var iestatīt, izmantojot reģistra redaktoru. Piemēram, priekš Windows iestatījumi XP Sp3 varat izmantot šādu reģistra failu:

Windows reģistra redaktora versija 5.00

"Drošības pakotnes"=hex (7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\

00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00, \

6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74, \

00,73,00,70,00,6b,00,67,00,00,00,00,00

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"

"AllowDefaultCredentials"=dword:00000001

"ConcatenateDefaults_AllowDefault"=dword:00000001

"1"="termsrv/*.mydomain.com"

Šeit, nevis mydomain.com, jums vajadzētu aizstāt domēna nosaukumu. Šajā gadījumā, veidojot savienojumu ar termināļa serveriem, domēna vārds(piemēram, termsserver1.mydomain.com) tiks izmantota caurspīdīga autorizācija.

Lai termināļa serverī izmantotu vienreizējās pierakstīšanās tehnoloģiju, jāveic šādas darbības.

Atveriet termināļa pakalpojumu konfigurācijas konsoli (tsconfig.msc).

Savienojuma sadaļā dodieties uz RDP-Tcp rekvizīti.

Cilnē “Vispārīgi” iestatiet drošības līmeni uz “Sarunas” vai “SSL (TLS 1.0)” (4. att.).

Rīsi. 4. Drošības līmeņa iestatīšana termināļa serverī

Šajā brīdī klienta un servera daļu iestatīšanu var uzskatīt par pabeigtu.

Praktiska informācija

Šajā sadaļā mēs apskatīsim caurspīdīgas autorizācijas tehnoloģijas izmantošanas ierobežojumus un problēmas, kas var rasties, to lietojot.

• Vienotās pierakstīšanās tehnoloģija darbojas tikai tad, ja tiek izveidots savienojums no datoriem, kuros darbojas operētājsistēmas, kas nav Windows XP SP3 un vecākas versijas. Datori ar operētājsistēma Windows Vista, Windows Server 2008, Windows 7 un Windows Server 2008 R2.
• Ja termināļa serveri, ar kuru tiek izveidots savienojums, nevar autentificēt, izmantojot Kerberos vai SSL sertifikātu, SSO nedarbosies. Šo ierobežojumu var apiet, izmantojot šādu politiku:
  Atļaut deleģēt akreditācijas datus, kas iestatīti uz noklusējuma servera autentifikāciju “tikai NTLM”.
• Šīs grupas politikas iespējošanas un konfigurēšanas algoritms ir līdzīgs iepriekš parādītajam. Šim iestatījumam atbilstošais reģistra fails izskatās šādi.

"AllowDefCredentialsWhenNTLMOnly"=dword:00000001

"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001

"1"="termsrv/*.mydomain.com"

Autentifikācija, izmantojot šo metodi, ir mazāk droša nekā sertifikātu vai Kerberos izmantošana.

• Ja servera akreditācijas dati ir saglabāti termināļa klienta iestatījumos, tiem ir augstāka prioritāte nekā pašreizējiem akreditācijas datiem.
• Vienotā pierakstīšanās darbojas tikai tad, ja tiek izmantoti domēna konti.
• Ja savienojums ar termināļa serveri tiek izveidots, izmantojot TS Gateway, dažos gadījumos TS Gateway servera iestatījumiem var būt prioritāte pār termināļa klienta SSO iestatījumiem.
• Ja termināļa serveris ir konfigurēts tā, lai katru reizi prasītu lietotāja akreditācijas datus, SSO nedarbosies.
• Caurspīdīga autorizācijas tehnoloģija darbojas tikai ar parolēm. Ja izmantojat viedkartes, tas nedarbosies.

Lai SSO darbotos pareizi operētājsistēmā Windows XP SP, ieteicams instalēt divus labojumus no KB953760: “Kad iespējojat SSO termināļa serverim no klienta datora, kura pamatā ir Windows XP SP3, piesakoties joprojām tiek prasīts ievadīt lietotāja akreditācijas datus. uz termināļa serveri ».

Dažos gadījumos ir iespējams, ka caurspīdīga autorizācijas tehnoloģija var darboties vai nedarboties tajā pašā termināļa klientā, atkarībā no savienojošā lietotāja profila. Problēma tiek atrisināta, atkārtoti izveidojot lietotāja profilu. Ja tas ir pārāk laikietilpīgs uzdevums, varat mēģināt izmantot diskusijā sniegtos padomus: “RemoteApp Single Sign On (SSO) no Windows 7 klienta» Microsoft Technet forumi. Īpaši ieteicams atiestatīt iestatījumus Internet Explorer vai apstipriniet tam atbilstošu papildinājumu.

Vēl viens būtisks SSO tehnoloģijas ierobežojums ir tas, ka tā nedarbojas, palaižot publicētās lietojumprogrammas, izmantojot TS Web Access. Šajā gadījumā lietotājs ir spiests ievadīt akreditācijas datus divreiz: piesakoties tīmekļa saskarnē un autorizējot termināļa serverī.

Operētājsistēmā Windows Server 2008 R2 situācija ir mainījusies uz labo pusi. Vairāk Detalizēta informācija to var atrast rakstā: “Introducing Web Single Sign-On for RemoteApp and Desktop Connections” ».

Secinājums

Rakstā apskatīta caurspīdīgas autorizācijas tehnoloģija vienreizējās pierakstīšanās termināļa serveros. Tās izmantošana ļauj samazināt laiku, ko lietotājs pavada, lai pieteiktos termināļa serverī un palaistu attālās lietojumprogrammas. Turklāt ar tās palīdzību pietiek vienreiz ievadīt savus akreditācijas datus, piesakoties lokālajā datorā, un pēc tam tos izmantot, pieslēdzoties termināļa serveri domēns. Akreditācijas datu pārsūtīšanas mehānisms ir diezgan drošs, un servera un klienta daļu iestatīšana ir ārkārtīgi vienkārša.