Настройка 2FA для VMware Horizon View

Общие сведения

Avanpost FAM позволяет обеспечить 2FA для пользователей, выполняющих подключение при помощи клиента VMware Horizon View. В инструкции описывается настройка 2FA для VMware Horizon View с использованием RADIUS-сервера Avanpost FAM и различные сценарии использования 2FA для VMware Horizon View.

Сценарий взаимодействия VMware с Avanpost FAM для аутентификации:

1. Пользователь подключается к VDI, вводит логин и пароль в VMware Horizon View. VMware подключается к VDI-серверу.
2. VMware по протоколу RADIUS подключается к службе RADIUS из состава Avanpost FAM, выполняет проверку логина и пароля по одному из настроенных методов аутентификации в рамках поддерживаемых Avanpost FAM для RADIUS-протокола.
3. Если на стороне Avanpost FAM для VMware настроена проверка дополнительных факторов аутентификации, то VMware запрашивает у пользователя проверку этих факторов в режиме диалога или в фоновом режиме.
4. После успешной проверки аутентификаторов в соответствии с настроенным сценарием аутентификации пользователь успешно подключен к VPN.

Для VMware в качестве второго фактора (2FA) возможно использование следующих методов аутентификации:

• Мобильное приложение Avanpost Authenticator;
• TOTP;
• SMS;
• E-mail;
• Telegram.

Через клиент VMware доступна первичная настройка аутентификаторов для тех пользователей, для которых настройка не была выполнена:

• мобильное приложение Avanpost Authenticator;
• TOTP;
• SMS;
• E-mail.

Для выполнения настройки 2FA в VMware в соответствии с настоящей инструкцией должны быть выполнены следующие предварительные условия:

1. Установлен и доступен в сети VMware Horizon View.
2. Установлен АРМ с клиентом VMware, который может выполнить подключение по VPN через VMware.
3. Установлен в сети компонент Avanpost FAM Server.

Если необходима аутентификация через:

1. Мобильное приложение Avanpost Authenticator, то установить компонент Avanpost FAM Mobile Services.
2. Мобильное приложение SafeTech PayControl, то установить сервер SafeTech PayControl.
3. SMS, то настроить подключение к внешнему SMS-шлюзу, который предоставляет услугу доставки SMS-сообщений.
4. E-mail, то настроить подключение к SMTP-шлюзу, который обеспечивает доставку почтовых сообщений.
5. Telegram, то настроить подключение к Telegram Bot API.

Настройка

На стороне VMware Horizon View

Настроить параметры соединения с RADIUS-сервером в административном веб-интерфейсе UAG (Unified Access Gateway), для этого:

1. Перейти в секцию Authentication Settings → RADIUS.
   
   

2. Установить параметры RADIUS-сервера:

   Атрибут	Значение
   Enable RADIUS	YES
   Authentication Type	PAP
   Shared Secret	Общий секрет (требуется согласовать с администратором SAS NPS-сервера, и далее задать на стороне Avanpost FAM)
   Server Timeout	10 секунд (для работы PUSH – установить значение 60 секунд)
   RADIUS Server Hostname	Имя сервера
   Authentication Port	1812
   Realm Prefix	Префикс Realm'а в соответствии с требованиями инфраструктуры
   Login page passphrase hint	Windows

3. Перейти в секцию Edge Service Settings → Horizon Settings.
   

4. Установить значения атрибутов.

   Атрибут	Значение
   Auth Methods	RADIUS
   Enable Windows SSO	Yes
   Match Windows User Name	Yes

5. Отключить двухфакторную аутентификацию на стороне VMware Connection Server.
   View Configuration → Servers → Connection Servers → Edit → Authentication → Advanced Authentication → 2-factor authentication: Disabled
   

На стороне административной консоли Avanpost FAM

Необходимо выполнить следующие настройки:

1. Создать и настроить приложение с типом RADIUS, указав для него в карточке приложения на вкладке «Настройки»:
   1. Флаг IP-адрес как идентификатор – выключен.
   2. NAS Identifier – NASIDENTIFIER сервера VMware.
   3. Протокол аутентификации – CHAP.
   4. Флаг Поддержка Access-Challenge – выключен.
2. В разделе «Разделяемые секреты RADIUS» создать RADIUS-секрет, указав для него в IP-адрес с маской подсети сервера VMware либо подсеть (диапазон IP-адресов), из которой обращается VMware.
3. Создать и настроить группу доступа, добавив в неё созданное приложение и пользователей, которые должны иметь доступ к приложению.

Проверка настройки

1. Открыть в браузере VMware Horizon View.
2. Указать логин и пароль.

3. Если требуется - выполнить дополнительную аутентификацию в соответствии с настроенным сценарием аутентификации.

4. Если требуется - выполнить привязку аутентификатора в соответствии с настроенным сценарием.

В результате пользователь должен быть успешно подключен к VMWare Horizon View.

Сценарии использования

Загрузка пользователей VMware из домена (LDAP)

Чтобы пользователи из домена смогли проходить 2FA при подключении к VMware, необходимо использовать встроенную в Avanpost FAM функциональность интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, 389Directory, openldap и т. д.). В рамках этой функции можно настроить LDAP-фильтры, которые позволят обеспечить загрузку в Avanpost FAM только тех пользователей, которые будут использовать VMware. Таким образом можно подключить несколько доменов.

Контроль попыток аутентификации пользователей к VMware через Avanpost FAM

Для контроля попыток аутентификации необходимо использовать журнал событий безопасности, доступный в административном интерфейсе системы и посредством syslog.

Управление доступом пользователей к VMware через Avanpost FAM

Для предоставления доступа пользователю его необходимо включить в группу, которая имеет доступ к созданному приложению. Также можно реализовать автоматическое включение/исключение пользователя из группы в рамках синхронизации с LDAP-каталогом.

Для отзыва доступа у пользователя необходимо исключить его из группы, которая имеет доступ к созданному приложению.

Управление доступом пользователей к VMware через домен (LDAP)

Avanpost FAM в рамках интеграции с LDAP-каталогом (Microsoft Active Directory, FreeIPA, 389Directory, openldap и т. д.) обеспечивает автоматизацию управления членством пользователей в группах Avanpost FAM путём синхронизации членства пользователей в группах Avanpost FAM на основе членства пользователей домена в доменных группах.

Управление вторым фактором (2FA) для VMware через Avanpost FAM

Для настройки второго фактора, который будет использоваться для приложения VMware, необходимо перейти в административной консоли в карточку приложения на вкладку «MFA». В качестве первого шага аутентификации необходимо указать метод – Password. В качестве второго шага можно выбрать один из следующих факторов:

• Мобильное приложение Avanpost Authenticator;
• Мобильное приложение SafeTech PayControl (не поддерживает привязку в режиме диалога);
• TOTP;
• SMS;
• E-mail;
• Telegram.

Управление вторым фактором (2FA) для отдельных групп сотрудников, подключающихся к VMware, через Avanpost FAM

Необходимо в административной консоли Avanpost FAM перейти в карточку группы на вкладку «MFA» и настроить дополнительный сценарий аутентификации. Пользователи, входящие в указанную группу, будут проходить аутентификацию с использованием второго фактора, заданного на указанной вкладке. Таким образом можно определить специфический сценарий 2FA для администраторов и других привилегированных пользователей, подключающихся к VMware.

Аутентификация в VMware пользователя без настроенного второго фактора (2FA)

Если у пользователя не привязан аутентификатор, обязательный для подключения к VMware, то система предложит выполнение привязки в рамках диалога для следующих аутентификаторов:

• Мобильное приложение Avanpost Authenticator;
• TOTP;
• SMS;
• E-mail.

По результатам выполнения привязки аутентификатора система запросит у пользователя аутентификацию с использованием этого же аутентификатора.

Изменение метода проверки пароля в рамках RADIUS для VMware

Для VMware доступны следующие RADIUS-методы проверки пароля RADIUS-сервера Avanpost FAM:

• PAP;
• CHAP;
• MSCHAPv2.

Метод проверки пароля MSCHAPv2 требует наличия включенного на стороне VMware флага Microsoft CHAPv2 Capable.