我的老板让我想出了一个方法来实现RDP访问服务器的双因素authentication。 所以,当我的任何一个pipe理员通过RDP远程login服务器时,他们必须通过某种forms的双因素身份validation。
我们希望第二个因素是存储在pipe理员本地证书存储区中的用户证书(不需要FOB或电话应用程序)。
看起来好像我可以使用现有的NPS服务器完成这项工作,并将RDP网关服务器添加到组合中。
我们以前使用RSA,但根据以往的经验,我宁愿不去那里,如果Windows可以天真地做到这一点,那就是我喜欢去的方式。
任何指南或指导将不胜感激。
更新:所以我在几个方面攻击了这个:
- 我已经build立并configuration了一个RD网关服务器。 我开始只是RD网关和RD Web工作,然后我join了RSA Web客户端。 这种configuration的工作原理和满足我们的需求只有几个缺点:a)我们必须抛弃我们的RD工具(我使用并且喜欢远程桌面pipe理器),因为我们必须通过RD Web来连接到服务器b)RDWeb没有“绕过本地地址”的选项。
- 我一直在与EMC RSA进行沟通,这至less是一个令人沮丧的行为。 此方法的configuration是RDP客户端通过RD网关连接到服务器,并让RD网关对RSA服务器执行半径调用以进行身份validation。 这个设置看起来非常接近,除了当我尝试validationRSAdebugging日志报告时,我几乎可以看到终点线。
Request has invalid syntax (eg invalid, missing or duplicate attributes), Rejecting 。 我现在正在等待第二个RSA技术人员回到我的意思是什么和/或什么参数没有通过NPS到RSA。
- 我也一直在考虑尝试使用用户证书作为身份validation的第二个因素。 我的老板认为,当试图将RDPjoin服务器时,除了用户名和密码之外,存储在本地机器的证书存储中的用户证书将满足他的双因素要求,但是没有安装智能卡读卡器,我无法弄清楚如何将用户证书传递给RD网关。 我已经开始寻求桌面虚拟智能卡(试图通过笔记本电脑使用Windows 8虚拟智能卡function),但是我的脑海里又有一个声音说“必须有一个更好的方法” 。
根据我迄今为止的经验,我一直在尝试放弃RSA,转而使用另一种产品,如Azure现场多因素身份validation选项, DuoSecurity或Wikid,但基于在RSA上投资,我的老板是不愿意改变。
有没有人有任何使用用户证书authentication到RDP的经验?