Настройка двухфакторной аутентификации на сервере Windows со службой RD Gateway

В статье описывается настройка Windows сервера для включения двухфакторной аутентификации при подключении удаленного рабочего стола (RDP) со службой RD Gateway.

RD Gateway — компонент Windows сервера, позволяющий подключаться к рабочему столу через шлюз, который выполняет функции VPN, а именно создает зашифрованное подключение по протоколу TLS. Кроме того, шлюз позволяет ограничивать таймаут сессии, контролировать доступ пользователей к дискам, USB, буферу обмена, принтеру и сетевым ресурсам.

Применимо к версиям:

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

Возможные способы аутентификации:

  • Telegram
  • Звонок (нужно принять вызов и нажать #)
  • Мобильное приложение (скоро)

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.

Видео-презентация

Схема работы

  1. Пользователь подключается к удаленному рабочему столу через шлюз RD Gateway;
  2. RD Gateway использует настройки доступа Network Policy Server (NPS);
  3. NPS получает запрос от RD Gateway, переадресовывает компоненту MultiFactor Radius Adapter;
  4. Компонент делает обратный вызов NPS для проверки логина и пароля пользователя
  5. NPS получает запрос от компонента, проверяет логин и пароль пользователя, а также политики доступа
  6. Компонент отправляет на телефон пользователя запрос подтверждения входа;
  7. Пользователь подтверждает запрос в телефоне и подключается к VPN.

Установка служб

Вам потребуется Windows Server с установленными компонентами Remote Desktop Gateway и Network Policy and Access Service. Сервер может работать автономно или в домене.

Процесс установки детально описан во множестве источников, воспользуйтесь, к примеру этой исчерпывающей статьей.

Установка сертификата сервера

Для шифрования трафика между клиентом и севером, а также аутентификации сервера, необходим сертификат, выданный публичным удостоверяющем центром сертификации. Вы можете купить такой сертификат или получить бесплатно в Let's Encrypt. Как это сделать за 5 минут — читайте в нашей статье.

Настройка Remote Desktop Gateway

В Server Manager откройте Tools -> Remote Desktop Services -> Remote Desktop Gateway Manager.

Далее в разделе Policies -> Connection Authorization Policies нажмите справа "Configure Central RD CAP".

  1. На вкладке "RD CAP Store" выберите пункт Local Server Running NPS.

  2. На вкладке "SSL Certificate" убедитесь, что установлен валидный сертификат.

  3. Сохраните и закройте

Настройка NPS

RADIUS Proxy

Необходимо создать настройку для проксирования запроса от RD Gateway в MultiFactor Radius Adapter.

  1. Откройте Server Manager -> Tools -> Network Policy Server.
  2. В меню RADIUS Clients and Servers выберите Remote RADIUS Server Groups
  3. Создайте новую группу
    • Название: Radius Adapters
    • Добавьте новый Radius Server
      • Адрес: адрес компонента MultiFactor Radius Adapter
      • Shared secret: из настроек компонента
      • Load Balancing: таймауты по 40 секунд
  4. Сохраните и закройте.

Radius Client

Необходимо описать MultiFactor Radius Adapter в качестве RADIUS клиента, чтоб NPS принимал от него запросы.

  1. В меня RADIUS Clients and Servers выберите RADIUS Clients
  2. Создайте нового клиента:
    • Friendly name: MultiFactor Radius Adapter
    • Address: из настроек компонента
    • Shared Secret: из настроек компонента
  3. Сохраните и закройте.

Политики обработки запросов на подключение

Нужны две политики: одна на прием запросов от RD Gateway и проксирование в компонент MultiFactor Radius Adapter, вторая на прием запросов от компонента и аутентификации в домене.

  1. В разделе Connection Request Policies откройте свойства политики "TS GATEWAY AUTHORIZATION POLICY" — эта политика создается автоматически и отвечает за обработку запросов на подключение от RD Gateway.

    • На вкладке "Settings" -> Authentication выберите пункт "Forward requests to the following remote RADIUS server group for authentication";
    • Сохраните и закройте.

  2. Создайте новую политику для обработки запросов от компонента:

    • Policy name: From Multifactor Radius Adapter;
    • Type of network access server: Remote Desktop Gateway;
    • На следующем шаге добавьте условие:
      • Client Friendly Name — MultiFactor Radius Adapter;
    • Остальные шаги по умолчанию;
    • Сохраните и закройте.

  3. Передвиньте политику "From Multifactor Radius Adapter" на уровень выше чем "TS GATEWAY AUTHORIZATION POLICY"

Настройка Multifactor Radius Adapter

Укажите первый фактор аутентификации — Radius и настройте подключение к NPS

Настройка клиента

  1. Откройте подключение к удаленному рабочему столу (mstsc.exe);
  2. Укажите адрес компьютера к которому надо подключиться;
  3. На вкладке "Дополнительно" нажмите "Параметры";
  4. Укажите адрес шлюза

  1. Запустите подключение, введите логин и пароль с доменом
  2. От Мультифактора придет запрос с подтверждением доступа

Если что-то не работает

  • Проверьте журнал Windows, раздел Custom Views -> Server Roles -> Network Policy And Access Services
  • Проверьте журнал компонента MultiFactor Radius Adapter
  • Проверьте журнал Мультифактора

Смотрите также:

Last updated on 2020-5-1
Настройка Windows VPNНастройка Network Policy Server