Установка Rohos Logon Key на терминальной ферме
Rohos Logon Key позволяет настроить двух-факторную авторизацию для доступа на удаленный рабочий стол расположенный на Терминальном Сервере в Ферме. Настройки двух-факторной авторизации автоматически копируются на заданные сервера в Терминальной Ферме.
Мы покажем как настроить двух-факторную авторизацию пр помощи Одноразовых паролей на основе Google Authenticator либо SMS.
Примечания к выпуску:
- Данный релиз Rohos Logon Key предполагает ручную настройку каждого пользователя для Google Authenticator. Мы работаем над следующим релизом где будет реализована групповая настройка с уведомлением пользователя по почте или sms о параметрах Одноразового Пароля.
Установка Rohos Management Tools на контроллер домена
- Загрузите и установите Rohos Manaпement Tools на один из контролеров домена.
- Программа предложит создать базу данных Rohos для хранения своих настроек в домене.
- Далее необходимо создать группу для хранения списка пользователей к которым будет применена двух-факторная авторизация (например Rohos как на снимке). Группа создается стандартным средством «Пользователи и Компьютеры».
- Далее необходимо Выбрать тип двух-факторной авторизации — Google Authenticator.
- Нажать Save Settings.
На данном этапе все настройки Rohos сохранены в базе данных Rohos (Application Partition DC=Rohos,DC=Com).
Установка Rohos Logon Key и настройка Одноразовых паролей
Теперь можно приступить к настройке пользователей.
- На этом же контролере домена установите Rohos Logon Key.
- При открытии Rohos Logon Key — появляется предупреждение, что все настройки теперь хранятся в Active Directory. OK.
- Открываем диалог Настроить Ключ Доступа.
— выбрать пользователя
— выбрать опцию Google Authenticator OTP
— если у вас телефон в руках нажмите ссылку Display QR code — для открытия браузера с QR-кодом для настройки в Google Authenticator на смартфоне.
— ссылка Copy code — копирует url для генерации QR-кода в буфер обмена для того чтобы отправить ее по почте сотруднику.
Нажимаем «Enable OTP login» — настройка завершена. Пользователь добавлен в группу 2FA-group.
Теперь для этого пользователя действуют требования двух-факторной авторизации, но только на тех терминальных серверах где будет установленна программ Rohos Logon Key.
Для того чтобы настроить доставку Одноразовых паролей по SMS:
- Открыть Опции в Rohos Logon Key
- Открыть опции для Google Authenticator
- Указать SMS gateway URL либо вписать имя файла скрипта доставки SMS (пример скрипта в папке Rohos).
Установка Rohos Logon Key на терминальные сервера фермы.
Далее необходимо установить Rohos Logon Key на терминальные сервера где необходимо включить двух-факторную авторизацию.
- Программа предложит создать реплику базы данных Rohos на текущем сервере. Отвечаем «Да». Закрываем программу.
(поскольку это Windows Server — необходимо создать реплику раздела DC=Rohos,DC=Com на данном сервере)
Все готово, двух-факторная авторизация включена для данного сервера.
Требование двух-факторной аутентификации при входе на Терминальный Сервер :
- Rohos Logon Key перехватывает данные авторизации клиента и предлагает ввести одноразовый пароль с Google Authenticator. При успешной проверке одноразового пароля Rohos передает далее в систему процесс авторизации.
- Rohos Logon Key обновляет историю OTP паролей а базе данных Rohos, таким образом Одноразовый Пароль больше невозможно использовать для входа на другом терминальном сервере.