Общие сведения
Avanpost FAM позволяет обеспечить 2FA для пользователей, выполняющих подключение при помощи клиента VMware Horizon View. В инструкции описывается настройка 2FA для VMware Horizon View с использованием RADIUS-сервера Avanpost FAM и различные сценарии использования 2FA для VMware Horizon View.
Сценарий взаимодействия VMware с Avanpost FAM для аутентификации:
- Пользователь подключается к VDI, вводит логин и пароль в VMware Horizon View. VMware подключается к VDI-серверу.
- VMware по протоколу RADIUS подключается к службе RADIUS из состава Avanpost FAM, выполняет проверку логина и пароля по одному из настроенных методов аутентификации в рамках поддерживаемых Avanpost FAM для RADIUS-протокола.
- Если на стороне Avanpost FAM для VMware настроена проверка дополнительных факторов аутентификации, то VMware запрашивает у пользователя проверку этих факторов в режиме диалога или в фоновом режиме.
- После успешной проверки аутентификаторов в соответствии с настроенным сценарием аутентификации пользователь успешно подключен к VPN.
Для VMware в качестве второго фактора (2FA) возможно использование следующих методов аутентификации:
Через клиент VMware доступна первичная настройка аутентификаторов для тех пользователей, для которых настройка не была выполнена:
- мобильное приложение Avanpost Authenticator;
- TOTP;
- SMS;
- E-mail.
Для выполнения настройки 2FA в VMware в соответствии с настоящей инструкцией должны быть выполнены следующие предварительные условия:
- Установлен и доступен в сети VMware Horizon View.
- Установлен АРМ с клиентом VMware, который может выполнить подключение по VPN через VMware.
- Установлен в сети компонент Avanpost FAM Server.
Если необходима аутентификация через:
- Мобильное приложение Avanpost Authenticator, то установить компонент Avanpost FAM Mobile Services.
- Мобильное приложение SafeTech PayControl, то установить сервер SafeTech PayControl.
- SMS, то настроить подключение к внешнему SMS-шлюзу, который предоставляет услугу доставки SMS-сообщений.
- E-mail, то настроить подключение к SMTP-шлюзу, который обеспечивает доставку почтовых сообщений.
- Telegram, то настроить подключение к Telegram Bot API.
Настройка
На стороне VMware Horizon View
Настроить параметры соединения с RADIUS-сервером в административном веб-интерфейсе UAG (Unified Access Gateway), для этого:
- Перейти в секцию Authentication Settings → RADIUS.
Установить параметры RADIUS-сервера:
Атрибут Значение Enable RADIUS YES Authentication Type PAP Shared Secret Общий секрет (требуется согласовать с администратором SAS NPS-сервера, и далее задать на стороне Avanpost FAM) Server Timeout 10 секунд (для работы PUSH – установить значение 60 секунд) RADIUS Server Hostname Имя сервера Authentication Port 1812 Realm Prefix Префикс Realm'а в соответствии с требованиями инфраструктуры Login page passphrase hint Windows - Перейти в секцию Edge Service Settings → Horizon Settings.
Установить значения атрибутов.
Атрибут Значение Auth Methods RADIUS Enable Windows SSO Yes Match Windows User Name Yes - Отключить двухфакторную аутентификацию на стороне VMware Connection Server.
View Configuration → Servers → Connection Servers → Edit → Authentication → Advanced Authentication → 2-factor authentication: Disabled
На стороне административной консоли Avanpost FAM
Необходимо выполнить следующие настройки:
- Создать и настроить приложение с типом RADIUS, указав для него в карточке приложения на вкладке «Настройки»:
- Флаг IP-адрес как идентификатор – выключен.
- NAS Identifier – NASIDENTIFIER сервера VMware.
- Протокол аутентификации – CHAP.
- Флаг Поддержка Access-Challenge – выключен.
- В разделе «Разделяемые секреты RADIUS» создать RADIUS-секрет, указав для него в IP-адрес с маской подсети сервера VMware либо подсеть (диапазон IP-адресов), из которой обращается VMware.
- Создать и настроить группу доступа, добавив в неё созданное приложение и пользователей, которые должны иметь доступ к приложению.
Проверка настройки
- Открыть в браузере VMware Horizon View.
- Указать логин и пароль.
Если требуется - выполнить дополнительную аутентификацию в соответствии с настроенным сценарием аутентификации.
- Если требуется - выполнить привязку аутентификатора в соответствии с настроенным сценарием.
В результате пользователь должен быть успешно подключен к VMWare Horizon View.
Сценарии использования
Загрузка пользователей VMware из домена (LDAP)
Чтобы пользователи из домена смогли проходить 2FA при подключении к VMware, необходимо использовать встроенную в Avanpost FAM функциональность интеграции с LDAP-каталогами (Microsoft Active Directory, FreeIPA, 389Directory, openldap и т. д.). В рамках этой функции можно настроить LDAP-фильтры, которые позволят обеспечить загрузку в Avanpost FAM только тех пользователей, которые будут использовать VMware. Таким образом можно подключить несколько доменов.
Контроль попыток аутентификации пользователей к VMware через Avanpost FAM
Для контроля попыток аутентификации необходимо использовать журнал событий безопасности, доступный в административном интерфейсе системы и посредством syslog.
Управление доступом пользователей к VMware через Avanpost FAM
Для предоставления доступа пользователю его необходимо включить в группу, которая имеет доступ к созданному приложению. Также можно реализовать автоматическое включение/исключение пользователя из группы в рамках синхронизации с LDAP-каталогом.
Для отзыва доступа у пользователя необходимо исключить его из группы, которая имеет доступ к созданному приложению.
Управление доступом пользователей к VMware через домен (LDAP)
Avanpost FAM в рамках интеграции с LDAP-каталогом (Microsoft Active Directory, FreeIPA, 389Directory, openldap и т. д.) обеспечивает автоматизацию управления членством пользователей в группах Avanpost FAM путём синхронизации членства пользователей в группах Avanpost FAM на основе членства пользователей домена в доменных группах.
Управление вторым фактором (2FA) для VMware через Avanpost FAM
Для настройки второго фактора, который будет использоваться для приложения VMware, необходимо перейти в административной консоли в карточку приложения на вкладку «MFA». В качестве первого шага аутентификации необходимо указать метод – Password
. В качестве второго шага можно выбрать один из следующих факторов:
- Мобильное приложение Avanpost Authenticator;
- Мобильное приложение SafeTech PayControl (не поддерживает привязку в режиме диалога);
- TOTP;
- SMS;
- E-mail;
- Telegram.
Управление вторым фактором (2FA) для отдельных групп сотрудников, подключающихся к VMware, через Avanpost FAM
Необходимо в административной консоли Avanpost FAM перейти в карточку группы на вкладку «MFA» и настроить дополнительный сценарий аутентификации. Пользователи, входящие в указанную группу, будут проходить аутентификацию с использованием второго фактора, заданного на указанной вкладке. Таким образом можно определить специфический сценарий 2FA для администраторов и других привилегированных пользователей, подключающихся к VMware.
Аутентификация в VMware пользователя без настроенного второго фактора (2FA)
Если у пользователя не привязан аутентификатор, обязательный для подключения к VMware, то система предложит выполнение привязки в рамках диалога для следующих аутентификаторов:
- Мобильное приложение Avanpost Authenticator;
- TOTP;
- SMS;
- E-mail.
По результатам выполнения привязки аутентификатора система запросит у пользователя аутентификацию с использованием этого же аутентификатора.
Изменение метода проверки пароля в рамках RADIUS для VMware
Для VMware доступны следующие RADIUS-методы проверки пароля RADIUS-сервера Avanpost FAM:
- PAP;
- CHAP;
- MSCHAPv2.
Метод проверки пароля MSCHAPv2 требует наличия включенного на стороне VMware флага Microsoft CHAPv2 Capable.