Установка Rohos Logon Key на терминальной ферме

/в /от

Rohos Logon Key позволяет настроить двух-факторную авторизацию для доступа на удаленный рабочий стол расположенный на Терминальном Сервере в Ферме. Настройки двух-факторной авторизации автоматически копируются на заданные сервера в Терминальной Ферме.

Мы покажем как настроить двух-факторную авторизацию пр помощи Одноразовых паролей на основе Google Authenticator либо SMS.

Примечания к выпуску:

  • Данный релиз Rohos Logon Key предполагает ручную настройку каждого пользователя для Google Authenticator. Мы работаем над следующим релизом где будет реализована групповая настройка с уведомлением пользователя по почте или sms о параметрах Одноразового Пароля.

Установка Rohos Management Tools на контроллер домена

  • Загрузите и установите Rohos Manaпement Tools на один из контролеров домена.
  • Программа предложит создать базу данных Rohos для хранения своих настроек в домене.
  • Далее необходимо создать группу для хранения списка пользователей к которым будет применена двух-факторная авторизация (например Rohos как на снимке). Группа создается стандартным средством «Пользователи и Компьютеры».
  • Далее необходимо Выбрать тип двух-факторной авторизации — Google Authenticator.
  • Нажать Save Settings.

 

rohos-remote-config

На данном этапе все настройки Rohos сохранены в базе данных Rohos (Application Partition DC=Rohos,DC=Com).

Установка Rohos Logon Key и настройка Одноразовых паролей

Теперь можно приступить к настройке пользователей.

  • На этом же контролере домена установите Rohos Logon Key.
  • При открытии Rohos Logon Key — появляется предупреждение, что все настройки теперь хранятся в Active Directory. OK.
  • Открываем диалог Настроить Ключ Доступа.
    — выбрать пользователя
    — выбрать опцию Google Authenticator OTP
    — если у вас телефон в руках нажмите ссылку Display QR code — для открытия браузера с QR-кодом для настройки в Google Authenticator на смартфоне.
    — ссылка Copy code — копирует url для генерации QR-кода в буфер обмена для того чтобы отправить ее по почте сотруднику.
    Нажимаем «Enable OTP login» — настройка завершена. Пользователь добавлен в группу 2FA-group.

Теперь для этого пользователя действуют требования двух-факторной авторизации, но только на тех терминальных серверах где будет установленна программ Rohos Logon Key.

google-authenticator-otp-setup

Для того чтобы настроить доставку Одноразовых паролей по SMS:

  • Открыть Опции в Rohos Logon Key
  • Открыть опции для Google Authenticator
  • Указать SMS gateway URL либо вписать имя файла скрипта доставки SMS (пример скрипта в папке Rohos).

Установка Rohos Logon Key на терминальные сервера фермы.

Далее необходимо установить Rohos Logon Key на терминальные сервера где необходимо включить двух-факторную авторизацию.

  • Программа предложит создать реплику базы данных Rohos на текущем сервере. Отвечаем «Да». Закрываем программу.
    (поскольку это Windows Server — необходимо создать реплику раздела DC=Rohos,DC=Com на данном сервере)

Все готово, двух-факторная авторизация включена для данного сервера.

 

rohos-create-replica-warning

 

Требование двух-факторной аутентификации при входе на Терминальный Сервер :

  • Rohos Logon Key перехватывает данные авторизации клиента и предлагает ввести одноразовый пароль с Google Authenticator. При успешной проверке одноразового пароля Rohos передает далее в систему процесс авторизации.
  • Rohos Logon Key обновляет историю OTP паролей а базе данных Rohos, таким образом Одноразовый Пароль больше невозможно использовать для входа на другом терминальном сервере.

 

windows-remote-desktop-terminal-server-otp-google-auth