[KB3551] Jak nakonfigurovat server VMware Horizon™ pro použití se službou ESET Secure Authentication?

VMware Horizon™ (s View) verze 6 poskytuje zabezpečený vzdálený přístup k virtualizovaným a vzdáleným desktopům ve firemních sítích. S ESET Secure Authentication (ESA) je 2FA přidáno prostřednictvím RADIUS (bez nutnosti samostatného RADIUS serveru, který by fungoval jako prostředník).

Úvod

Tento článek popisuje konfiguraci serveru VMware Horizon™ verze 6 pro ověřování uživatelů proti serveru ESA. Než budete pokračovat, ověřte, zda máte nainstalovanou komponentu RADIUS Server ESET Secure Authentication a zda máte přístup ke službě RADIUS, která umožňuje externím systémům ověřovat uživatele.

Než bude moci server VMware Horizon™ Connection Server používat server ESA k ověřování uživatelů prostřednictvím protokolu RADIUS, musí být na serveru ESA nastaven jako klient RADIUS. Dále musí být server se službou ESA RADIUS nastaven jako server RADIUS na serveru pro připojení VMware Horizon™. Po zavedení těchto nastavení se klienti mohou začít přihlašovat k serveru VMware Horizon™ pomocí ESA OTP. 

Část I - Konfigurace klienta RADIUS

Aby mohl server VMware Horizon™ komunikovat se serverem ESA, je třeba na serveru ESA nakonfigurovat server VMware Horizon™ jako klienta RADIUS: 

1. Spusťte Konzolu pro správu ESA (najdete ji v části Nástroje pro správu).
    
2. Přejděte do části Servery RADIUS a vyhledejte název hostitele serveru, na kterém běží služba ESA RADIUS.
    
3. Klikněte pravým tlačítkem myši na název hostitele a z kontextové nabídky vyberte možnost Přidat klienta.
    
4. Nakonfigurujte klienta RADIUS (viz obrázek 1-1).

Obrázek 1-1

Všimněte si, že je zaškrtnuto políčko vedle položky Mobilní aplikace. Toto upozornění můžete bez obav ignorovat, protože VMware Horizon™ bude ověřovat uživatele služby AD.

Po konfiguraci systému ESA pro komunikaci se serverem VMware Horizon™ Connection Server nakonfigurujte server VMware Horizon™ Connection Server pro komunikaci se serverem ESA RADIUS pomocí kroků z části II níže.

Část II - Povolení dvoufaktorového ověřování pomocí konzoly pro správu serveru pro připojení VMware Horizon™

Nyní je třeba povolit dvoufaktorové ověřování, aby byli uživatelé nejprve vyzváni k zadání pověření služby Active Directory a poté k zadání přístupového kódu OTP. To by mělo být provedeno prostřednictvím webové konzoly pro správu VMware Horizon™.

1. Přihlaste se do konzoly pro správu VMware Horizon™. Výchozí adresa URL je https://hostname/admin.
    
2. Přejděte na Zobrazit konfiguraci → Servery → Připojovací servery.
    
3. Vyberte server pro připojení, na kterém chcete povolit 2FA, a klikněte na tlačítko Upravit.
    
4. Přejděte na kartu Ověřování . V části Pokročilé ověřování vyberte v rozevírací nabídce Dvoufaktorové ověřování možnost RADIUS a poté v rozevírací nabídce Ověřovatel vyberte možnost Vytvořit nový ověřovatel:

Obrázek 2-1

5. Nastavte preferovaný štítek a popis. Nastavte název/adresu hostitele na název/adresu serveru ESA RADIUS. Zkontrolujte, zda je ověřovací port nastaven na hodnotu 1812.
    
6. Nastavte účetní port na hodnotu 0 ( číslo nula).
    
7. Nastavte typ ověřování na PAP.
    
8. Zadejte sdílený tajný kód, který jste použili při konfiguraci klienta RADIUS (viz část 1, krok 1).
    
9. Nastavte časový limit serveru na 20 sekund.
    
10. Pokud chcete používat automatické převzetí služeb RADIUS , přidejte na kartu sekundárního ověřovacího serveru druhý server RADIUS (upozorňujeme, že na tomto serveru bude nutné nainstalovat ESA RADIUS).

11. Nastavení otestujte spuštěním klienta VMware Horizon View Client a připojením k serveru VMware Horizon. Do pole Uživatelské jméno zadejte uživatele, který byl nakonfigurován pro použití ESET Secure Authentication 2FA. Do pole Přístupový kód zadejte jednorázové heslo (OTP) vygenerované mobilní aplikací uživatele. Pokud je ověření úspěšné, budete vyzváni k zadání hesla služby Active Directory. Nyní jste připraveni nasadit ESET Secure Authentication pro další uživatele ve vaší organizaci.