Сетевая схема

Примечания

1. В данном примере компоненты Индид Облако (docker-контейнеры) установлены на одном сервере в едином экземпляре без отказоустойчивости.
2. В данной инструкции сервер RDGW не опубликован в сеть Интернет.
3. В качестве дополнительного фактора поддерживаются только push-уведомления в мобильное приложение Indeed Key или Telegram. Это связано с ограничениями со стороны RDGW и протокола RADIUS, реализованного на его стороне.

Предварительные условия

1. Установленный и настроенный сервер RDGW. Указаны группы пользователей, которым можно подключаться и группы ресурсов, к которым можно подключаться пользователям.
2. Установленные и настроенные компоненты Индид Облако в инфраструктуре (docker-контейнеры): FRA(RADIUS-сервер), LSA(синхронизация с каталогом MS AD).

Настройка на сервере RDGW

На сервере с установленной службой RDGW необходимо настроить пересылку всех RADIUS-запросов на сторонний сервер. В данном случае это будет docker-контейнер с RADIUS-сервером, установленный в инфраструктуре.

1. В оснастке Remote Desktop Gateway Manager на сервере RDGW необходимо зайти в свойства (Properties).
   
   Рисунок 1. Окно настроек RDGW
   
   
2. В открывшемся окне необходимо открыть вкладку “RD CAP Store”, выбрать параметр “Central server running NPS”. Ввести адрес сервера, где расположен docker-контейнер с RADIUS-сервером Индид Облако, в поле ввести его адрес или DNS-имя. Далее нажать кнопку “Add”.
   
   Рисунок 2. Настройки RD CAP Store. Добавление RADIUS-сервера.
   
   
3. В появившемся окне ввести секрет и подтвердить, который в дальнейшем понадобится нам в настройках docker-контейнера с RADIUS-сервером. Данный секрет лучше сделать стойким, так как от него зависит безопасность передачи данных по RADIUS.
   
   Рисунок 3. Общий секрет для RADIUS.
   
   
4. Подтверждаем настройки в основном окне.
   
   Рисунок 4. Настроенная пересылка на RADIUS-сервер.
   
   
5. Далее перейдём к настройке в оснастке Network Policy Server на сервере RDGW. Открываем оснастку и переходим в раздел “RADIUS Clients and Servers”, в папке переходим к “Remote RADIUS Server Groups”. Необходимо открыть свойства (Properties).
   
   Рисунок 5. Вход в оснастку Network Policy Server на сервере RDGW.
   
   
   Рисунок 6. Раздел “Remote RADIUS Servers” в оснастке Network Policy Server.
   
   
6. В появившемся окне необходимо выбрать RADIUS-сервер и нажать кнопку “Edit…”.
   
   Рисунок 7. Настройки RADIUS-сервера, куда будут пересылаться запросы аутентификации.
   
   
7. В появившемся окне перейти в раздел “Load Balancing”. Необходимо отредактировать следующий значения: Number of seconds without response before request is considered dropped: 30 Number of seconds between request when server is identified as unavailable: 35
   
   Рисунок 8. Настройки в разделе Load Balancing.
   
   
8. Далее переходим в настройку политик (Policy) в консоли Network Policy Server на сервере RDGW. Необходимо раскрыть раздел “Policy”, далее выбрать политику “TS GATEWAY AUTHORIZATION POLICY” и открыть свойства (Properties).
   
   Рисунок 9. Раздел политик Network Policy Server.
   
9. В открывшемся окне перейти во вкладку “Settings”, открыть раздел “Authentication” и выбрать значение “Forward request to the following remote RADIUS server group for authentication”.
   
   Рисунок 10. Настройка политик подключений.
   
   
10. На этом настройка на стороне сервера RDGW и службы Network Policy Server завершена.

Настройка docker-контейнера с RADIUS-сервером.

1. Перейдем к серверу, где установлены docker-контейнер с RADIUS-сервером. В данной инструкции не рассматривается базовая настройка контейнера (уже настроено подключение к облаку), она описана в документации.
   
   
2. Прежде всего нам необходимо добавить RADIUS-клиента в конфигурационный файл “clients.conf”, который по умолчанию есть в комплекте поставки компонента RADIUS-сервера Индид Облако. Открываем его текстовым редактором в директории, где он располагается на вашем сервере: “nano clients.conf”.
   
   Рисунок 11. Команда открытия конфигурационного файла, содержащего RADIUS-клиентов.
   
3. В файле в свободном месте создадим RADIUS-клиента. Необходимо придерживаться форматирования, представленного на рисунке 12. В значение “ipaddr” после знака “=” укажите адрес сервера RDGW, в значение “secret” после знака “=” укажите секрет, заданный ранее в консоли сервера RDGW (рисунок 3).
   
   Рисунок 13. RADIUS-клиент в конфигурационном файле.
   
   
4. Далее перейдём к настройке самого RADIUS-сервера с помощью конфигурационного файла “config.ini”. В первую очередь убедитесь, что в данном конфигурационном файле настроена интеграция с MS AD и включен параметр “LDAP-enable”. Более подробно о настройке в документации.
   
   Рисунок 14. Раздел конфигурационного файла “config.ini” RADIUS-сервера, отвечающий за интеграцию с LDAP-каталогом.
   
   
5. Перейдем к настройке аутентификации и политики запросов дополнительного фактора. За это отвечает раздел “preauth” в конфигурационном файле “config.ini”. В данном разделе необходимо включить данный функционал: “enable = yes”.
   
   Рисунок 15. Включение правил аутентификации на RADIUS-сервере.
   
   
6. Переходим к настройке самих правил аутентификации в разделе “preauth” конфигурационного файла. Закомментированные строки показывают примеры написания правил. Необходимо раскомментировать пример правила аутентификации и настроить его согласно вашей корпоративной политики. В примере на картинке указано правило, которое:
   a. Не ограничивает узлы, с которых принимать запросы на аутентификацию.
   b. Не указывает конкретные группы пользователей, а позволяет аутентифицироваться всем синхронизированным пользователям каталога.
   c. В качестве 2 фактора при входе запрашивать push-уведомление в Telegram.
   d. Все запросы на аутентификацию пересылать в инфраструктуру Облака.
   
   Рисунок 16. Пример правила в конфигурационном файле RADIUS-сервера.
   
   
7. Также в данном конфигурационном файле есть настройки, которые убирают префикс и имя домена из учетной записи пользователя при аутентификации (пример: “INDEED\”, “indeed@cloud”). Формат УЗ будет приравнен к “sAMAccountName”. Необходимо убедиться, что данные настройки включены (после знака = “yes”).
   
   Рисунок 17. Настройки отправки логина без префикса и реалма в конфигурационном файле RADIUS-сервера.
   
   
8. На этом настройка контейнера завершена. Для применения настроек выполните команду: “docker restart “имя контейнера с RADIUS-сервером””.

Настройка в консоли Администратора Индид Облако

1. Необходимо добавить узел аутентификации в разделе настройки. Для этого откроем этот раздел и перейдём к строке “Узлы аутентификации”. Здесь необходимо добавить узел со следующими параметрами:
   a. Задать произвольное имя узла
   b. Указать внешний “белый” IP-адрес вашей корпоративной сети, откуда
   ожидать запросы RADIUS-сервера, так как RADIUS-сервер остаётся за NAT.
   
   Рисунок 18. Настройка узла аутентификации в консоли администратора Индид Облако.
   
   
2. На этом настройка в консоли завершена.

Проверка работоспособности

1. Откроем приложение mstsc (удаленный доступ) на машине, с которой будем осуществлять подключение. Перейдём в раздел advanced. Откроем настройку “Connect from anywhere” кнопкой “Settings”.
   
   Рисунок 19. Раздел дополнительные настройки в приложении mstsc.
   
   
2. В открывшихся настройках выберем переключателем “User these RD Gateway Server settings”. В поле укажем имя нашего RDGW сервера. Если подключение осуществляется из локальной сети, то необходимо отключить настройку “Bypass RD Gateway server for local addresses”. В разделе “Logon Settings” включить настройку “User my RD Gateway credentials for the remote computer”, она позволит дважды не вводить учетные данные при подключении с помощью RDGW. Подтверждаем кнопкой “OK”.
   
   Рисунок 20. Настройки подключения с использованием RDGW.
   
   
3. В приложении mstsc перейдем во вкладку “General”. Укажем адрес машины, к которой мы собираемся осуществить подключение и нашу учетную запись пользователя. После этого нажимаем “Connect”.
   
   Рисунок 21. Раздел “general”, адрес подключения и учетная запись.
   
   
4. При подключении система запрашивает у нас доменный пароль. Введем его в форму.
   
   Рисунок 22. Форма ввода доменного пароля при подключении по RDP.
   
   
5. После ввода пароля мы должны получить и подтвердить push-уведомление. В данной инструкции используется Telegram-push в телеграм бота. Подробная настройка в документации.
   
   Рисунок 24. Подтверждение push-уведомления.
   
   
6. После этого у нас должно успешно открыться RDP-сессия.
   
   Рисунок 25. Успешное подключение с использованием RDGW до искомой рабочей станции.