Сингле Потпиши-Он (ССО - технологија појединачне пријаве) је технологија која кориснику који већ има аутентичност (пријављен) омогућава приступ другим услугама без поновне аутентификације. Примењено на технологији терминалских сервера Даљински Десктоп Услуге, ССО вам омогућава да сачувате корисника који је пријављен на рачунар домене од поновног уношења имена и лозинке његовог рачуна у прозор РДП клијента када се повежете на РДС сервере или покренете објављене РемотеАпп апликације.
У овом чланку описујемо карактеристике постављања транспарентне ауторизације (Сингле Сигн-он) корисника на РДС серверима на којима се налазе Виндовс Сервер 2016 и 2012 Р2.
Захтјеви за заштиту животне средине:
- Цоннецтион Брокер и сви РДС сервери морају имати Виндовс Сервер 2012 или новији;
- ССО ради само у доменском окружењу: Кориснички рачуни Ацтиве Дирецтори морају се користити, а РДС сервери и радне станице корисника морају бити укључени у домен;
- РДП клијенти морају користити РДП клијент верзије 8.0 и новије верзије (неће радити за инсталирање ове верзије РДП клијента у Виндовс КСП);
- На страни клијента подржане су следеће верзије система Виндовс 10 / 8.1 / 7;
- ССО ради с аутентификацијом лозинке (паметне картице нису подржане);
- РДП нивоа сигурности (сигурносни слој) у поставкама везе мора бити постављен на Преговарачки или ССЛ (ТЛС 1.0), а шифрирање Високо или ФИПС компатибилно.
Поступак појединачног подешавања Потпиши-Он састоји се од следећих корака:
- Морате издати и доделити ССЛ сертификат на серверима РД Гатеваи, РД Веб и РД Цоннецтион Брокер;
- Омогућите Веб ССО на РДВеб серверу;
- Успоставити групну политику за делегирање вјеродајница;
- Кроз ГПО додајте отисак сертификата поузданим издавачима .рдп.
Прво, морате да издате и доделите ССЛ сертификат. Сертификат ЕКУ (Енханцед Кеи Усаге) мора да садржи идентификатор Сервер Аутентификација. Пропуштамо поступак добијања сертификата, јер ово је ван досега чланка (можете да генеришете ССЛ сертификат са сопственим потписом, али ћете морати да га додате поверенима на свим клијентима путем ГПО-а).
ССЛ сертификат је везан за својства РДС примена у пододељку Сертификати.
Затим на свим серверима са улогом Веб Аццесс за ИИС РДВеб директоријум морате укључити „Виндовс Аутентификација"И онемогући анонимну аутентификацију (Анонимни Аутентификација).
Након што сачувате измене, ИИС треба да поново покрене: иисресет / нофорце
Ако користите РД Гатеваи, водите рачуна да се не користи за повезивање интерних клијената (требало би да настане зоре Обилазак РД Гатеваи сервер за локални адреса).
Сљедећи корак је успостављање политике вјеродостојног делегирања. Креирајте нови ГПО домене и повежите га за ОУ са корисницима (рачунарима) који морају да омогуће ССО приступ РДС серверима. Ако желите да омогућите ССО за све кориснике домена, дозвољено је уређивање задатих смерница домена.
Ово правило је у одељку ГПО. Компјутер Конфигурација -> Административно Предлошци -> Систем -> Веродостојност Делегација -> Дозволи делегација задане вредности вјеродајница (Конфигурација рачунара -> Административни предлошци -> Пренос акредитива -> Дозвола преноса подразумеваних подешавања). Ова политика омогућава одређеним серверима приступ Виндовс поверљивим подацима..
- Укључите политику (Омогућено);
- На списку сервера морате додати имена РДС сервера на које клијент може аутоматски да пошаље корисничке акредитиве за обављање ССО ауторизације. Формат додавања сервера: ТЕРМСРВ / рд.цонтосо.цом. (имајте на уму да сви знакови ТЕРМСРВ морају бити велика слова). Ако ово право требате да доделите свим терминалним системима у домену (мање безбедан), можете да користите овај дизајн: ТЕРМСРВ / *. Цонтосо.цом .
Надаље, да бисте избегли прозор упозорења о поузданости издавача удаљене апликације, потребно је да користите ГПО на клијентским рачунарима да додате адресу сервера са улогом Цоннецтор Брокер у поуздану зону помоћу политике „Листа додељивања безбедносне зоне за веб локације“ (слично као Како да уклоните сигурносно упозорење приликом отварања датотеке у систему Виндовс):
Корисник/ Компјутер Конфигурација -> Административно Алати -> Виндовс Компоненте -> Интернет Екплорер -> Интернет Контрола Панел -> Сигурност Страница-> Сајт до Зона задатак списак (Конфигурација рачунара -> Административни предлошци -> Компоненте Виндовс -> Интернет Екплорер -> Контролна табла прегледача -> Картица сигурности)
Наведите ФКДН Назив и зона РДЦБ сервера 2 (Поуздане веб локације).
Затим морате да омогућите политику Улаз опције (Опције за пријаву) у Корисник/ Компјутер Конфигурација -> Административно Алати -> Виндовс Компоненте -> Интернет Екплорер -> Интернет Контрола Панел -> Сигурност -> Поуздан Веб локације Зона (Административни предлошци -> Компоненте Виндовс -> Интернет Екплорер -> Контролна табла прегледача -> картица Сигурност -> Зона поузданих веб локација) и на падајућој листи одаберите 'Аутоматски пријава са тренутна корисничко име и лозинку'(Аутоматска пријава на мрежу са тренутним корисничким именом и лозинком).
Након ажурирања смерница на клијенту, приликом покушаја покретања апликације РемотеАпп, захтев за лозинком се неће појавити, али ће се појавити прозор упозорења о поверењу издавачу овог РемотеАпп програма:
Да ли верујете издавачу овог РемотеАпп програма?
Да бисте спречили да се ова порука прикаже сваки пут када се корисник повеже, морате да добијете отисак ССЛ сертификата РД Линк Брокер-а и додајте је на листу поузданих рдп издавача. Да бисте то учинили, покрените наредбу ПоверСхелл на РДС Цоннецтион Брокер серверу:
Гет-Цхилдитем ЦЕРТ: \ ЛоцалМацхине \ Ми
Копирајте вредност отиска прстију сертификата и додајте га на листу отисака полиса Наведите отиске прстију СХА1 цертификата који представљају издаваче РДП (Наведите отиске прстију СХА1 цертификата који представљају поуздане РДП издаваче) у оквиру Конфигурација рачунара -> Административни предлошци -> Компоненте Виндовс -> Услуге Виндовс Десктоп -> Клијент за повезивање са удаљеном радном површином (Административни предлошци -> Компоненте Виндовс -> Услуге удаљене радне површине -> Клијент везе на даљину).
Овим се завршава постављање ССО-а и након примене смерница корисник се мора повезати са РДС фармом путем РДП-а без поновног уношења лозинке.
Сада када покренете мстсц.еке клијент (Даљински Десктоп Веза), ако наведете име РДС сервера, корисничко име у формату (усер@домаин.цом) ће се аутоматски заменити у пољу УсерНаме.
За повезивање ће се користити ваше Виндовс пријаве за пријављивање.
Да бисте користили РД Гатеваи са ССО, морате омогућити Подесите политику Метода за провјеру идентитета пролаза РД (Конфигурација корисника -> Политике -> Административни предлошци -> Компоненте Виндовс -> Услуге удаљене радне површине -> РД Гатеваи) и подесите његову вредност за коришћење Лоцалли Логгед Он-Цредентиалс.
Да бисте користили Веб ССО на РД Веб приступу, имајте на уму да се препоручује коришћење Интернет Екплорер-а са омогућеном Ацтиве Кс подршком за МсРдпЦлиентСхелл (Мицрософт Аццесс Веб Цонтрол Цонтрол).