Разработка сайта для Вашего бизнеса. Веб дизайн. Дизайн логотипа, фирменного стиля, рекламная фотография . Комплексный рекламный креатив.

Ralex. We do the work.
На рынке с 1999го года. Средняя ценовая категория. Ориентация на эффективность решений.
Ознакомтесь с нашим портфолио
Узнайте больше о услугах
Свяжитесь с нами:
E-mail: [email protected]
Tel: (044) 587 - 84 - 78
Custom web design & дизайн и разработка сайта "под ключ"
Креативный, эффективный дизайн. Система управления сайтом (СУС).
Custom flexible разработка систем электронной коммерции
Система e-commerce разрабатывается под индивидуальные потребности. Гибкая функциональность.
Search Engine Optimzation & оптимизация под поисковые системы (SEO)
Постоянная оптимизация и мониторинг сайта в поисковых системах. Достигаем результата быстро и эффективно
Custom logo design & дизайн логотипа и фирменного стиля
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.
профессиональная рекламная фотография
креативно, смело, качественно
Custom logo design & рекламный креатив. дизайн рекламы
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.

Прозора авторизація на термінальних серверах

  1. Прозора авторизація на термінальних серверах У статті наведено огляд алгоритму роботи технології прозорою авторизації Single Sign-On і постачальника послуг безпеки Credential Security Service Provider (CredSSP). Розглянуто спосіб настройки клієнтської і серверної частин. Dmitry Rudykh Одним з основних незручностей для користувача при запуску віддаленого робочого стола або опублікованого на термінальному сервері додатка є необхідність введення своїх облікових даних. Раніше для вирішення цієї проблеми використовувався механізм збереження облікових даних в налаштуваннях клієнта віддаленого робочого столу. Однак даний спосіб має кілька суттєвих недоліків. Наприклад, при періодичній зміні пароля доводилося змінювати його вручну в налаштуваннях термінального клієнта. У зв'язку з цим, для спрощення роботи з віддаленим робочим столом в Windows Server 2008 з'явилася можливість використання технології прозорою авторизації Single Sign-on (SSO). Завдяки їй користувач при вході на термінальний сервер може використовувати облікові дані, введені їм при логін на свій локальний комп'ютер, з якого відбувається запуск клієнта віддаленого робочого столу. У статті наведено огляд алгоритму роботи технології прозорою авторизації Single Sign-On і постачальника послуг безпеки Credential Security Service Provider (CredSSP). Розглянуто спосіб настройки клієнтської і серверної частин. Також висвітлено низку практичних питань пов'язаних з прозорою авторизацією для служб віддалених робочих столів. теоретична інформація
  2. Налаштування
  3. практична інформація
  4. висновок
  5. додаткові ресурси
  6. Прозора авторизація на термінальних серверах
  7. теоретична інформація
  8. Налаштування
  9. практична інформація
  10. висновок
  11. додаткові ресурси
  12. Прозора авторизація на термінальних серверах
  13. теоретична інформація
  14. Налаштування
  15. практична інформація
  16. висновок
  17. додаткові ресурси

Прозора авторизація на термінальних серверах

У статті наведено огляд алгоритму роботи технології прозорою авторизації Single Sign-On і постачальника послуг безпеки Credential Security Service Provider (CredSSP). Розглянуто спосіб настройки клієнтської і серверної частин.

Dmitry Rudykh

Одним з основних незручностей для користувача при запуску віддаленого робочого стола або опублікованого на термінальному сервері додатка є необхідність введення своїх облікових даних. Раніше для вирішення цієї проблеми використовувався механізм збереження облікових даних в налаштуваннях клієнта віддаленого робочого столу. Однак даний спосіб має кілька суттєвих недоліків. Наприклад, при періодичній зміні пароля доводилося змінювати його вручну в налаштуваннях термінального клієнта.

У зв'язку з цим, для спрощення роботи з віддаленим робочим столом в Windows Server 2008 з'явилася можливість використання технології прозорою авторизації Single Sign-on (SSO). Завдяки їй користувач при вході на термінальний сервер може використовувати облікові дані, введені їм при логін на свій локальний комп'ютер, з якого відбувається запуск клієнта віддаленого робочого столу.

У статті наведено огляд алгоритму роботи технології прозорою авторизації Single Sign-On і постачальника послуг безпеки Credential Security Service Provider (CredSSP). Розглянуто спосіб настройки клієнтської і серверної частин. Також висвітлено низку практичних питань пов'язаних з прозорою авторизацією для служб віддалених робочих столів.

теоретична інформація

Технологія SSO дозволяє збереження облікових даних користувача і автоматичну передачу їх при з'єднанні з термінальним сервером. За допомогою групових політик можна визначити сервера, для яких буде використовуватися даний спосіб авторизації. В цьому випадку, для всіх інших термінальних серверів вхід буде здійснюватися традиційним чином: за допомогою введення логіна і пароля.

Вперше механізми прозорої авторизації з'явилися в Windows Server 2008 і Windows Vista. завдяки новому постачальнику послуг безпеки CredSSP. З його допомогою кешированниє облікові дані передавалися через безпечний канал (використовуючи Transport Layer Security (TLS)). Згодом Microsoft випустила відповідні оновлення для Windows XP SP3.

Розглянемо це більш детально. CredSSP може використовуватися в наступних сценаріях:

  • для мережевого рівня аутентифікації (NLA), дозволяючи користувачеві бути впізнаним до повної установки з'єднання;
  • для SSO, зберігаючи облікові дані користувача і передаючи їх на термінальний.

При відновленні сеансу всередині ферми, CredSSP прискорює процес установки з'єднання, тому що термінальний сервер визначає користувача без установки повноцінного з'єднання (за аналогією c NLA).

Процес аутентифікації відбувається за наступним алгоритмом:

  1. Клієнт ініціює установку безпечного канал з сервером, використовуючи TLS. Сервер передає йому свій сертифікат, що містить ім'я, що засвідчує центр і публічний ключ. Сертифікат сервера може бути самоподпісанного.
  2. Між сервером і клієнтом встановлюється сесія. Для неї створюється відповідний ключ, який в подальшому буде брати участь в шифруванні. CredSSP використовує протокол Simple and Protected Negotiate (SPNEGO) для взаємної аутентифікації сервера і клієнта так, щоб кожен з них міг довіряти один одному. Цей механізм дозволяє клієнтові і серверу вибрати механізм аутентифікації (наприклад, Kerberos або NTLM).
  3. Для захисту від перехоплення, клієнт і сервер по черзі шифрують сертифікат сервера, використовуючи ключ сесії, і передають його один одному.
  4. Якщо результати обміну і вихідний сертифікат збігаються, CredSSP на клієнті посилає облікові дані користувача на сервер.

Таким чином, передача облікових даних відбувається по зашифрованому каналу із захистом від перехоплення.

Налаштування

Постачальник послуг безпеки CredSSP є частиною операційної системи і входить до складу Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. Крім того, він може бути встановлений в якості оновлення окремих програмного забезпечення на Windows XP SP3. Цей процес детально описаний в статті « Description of the Credential Security Support Provider (CredSSP) in Windows XP Service Pack 3 ». Для установки і включення CredSSP на Windows XP SP3 необхідно виконати наступні дії.

1. Запустити редактор реєстру regedit і перейти в гілку: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa.

2. Додати значення tspkg до ключу Security Packages (інші значення цього ключа слід залишити незмінними).

3. Перейти в гілку реєстру: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders.

4. Додати значення credssp.dll до ключу SecurityProviders (інші значення цього ключа слід залишити незмінними).

Після того як CredSSP включений, необхідно налаштувати його використання за допомогою групових політик або відповідних їм ключів реєстру. Для настройки SSO на клієнтських комп'ютерах використовуються групові політики з розділу:

Computer Configuration \ Administrative Templates \ System \ Credentials Delegation.

У російськомовних версіях операційних систем це виглядає наступним чином (рис. 1).

1)

Мал. 1. Управління передачею облікових даних за допомогою групових політик

Для використання SSO слід включити політику:

Дозволити передачу облікових даних, встановлених за замовчуванням.

Крім того, після включення, слід встановити для яких саме серверів буде використовуватися даний спосіб авторизації. Для цього необхідно виконати наступні дії.

У вікні редагування політики (рис. 2) натиснути кнопку «Показати»

2) натиснути кнопку «Показати»

Мал. 2. Вікно редагування групової політики

Додати список термінальних серверів (рис. 3).

Мал. 3. Додавання термінального сервера для прозорої авторизації

Рядок додавання сервера має наступний формат:

TERMSRV / ім'я_сервера.

Також можна задати сервера по масці домену. В цьому випадку рядок набуває вигляду:

TERMSRV / *. Ім'я_домена.

Якщо немає можливості використовувати групові політики, відповідні налаштування можна встановити за допомогою редактора реєстру. Наприклад, для налаштування Windows XP Sp3 можна використовувати наступний файл реєстру:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa]

«Security Packages» = hex (7): 6b, 00,65,00,72,00,62,00,65,00,72,00,6f, 00,73,00,00, \

00,6d, 00,73,00,76,00,31,00,5f, 00,30,00,00,00,73,00,63,00,68,00,61,00,6e, 00, \

6e, 00,65,00,6c, 00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74, \

00,73,00,70,00,6b, 00,67,00,00,00,00,00

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders]

«SecurityProviders» = "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ CredentialsDelegation]

«AllowDefaultCredentials» = dword: 00000001

«ConcatenateDefaults_AllowDefault» = dword: 00000001

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ CredentialsDelegation \ AllowDefaultCredentials]

«1» = "termsrv / *. Mydomain.com"

Тут замість mydomain.com слід підставити ім'я домену. В цьому випадку при підключенні до термінальних серверів за повним доменним ім'ям (наприклад, termserver1.mydomain.com) буде використовуватися прозора авторизація.

Для використання технології Single Sign-On на термінальному сервері необхідно виконати наступні дії.

  1. Відкрити консоль налаштування служб терміналів (tsconfig.msc).
  2. У розділі підключення перейти в властивості RDP-Tcp.
  3. На вкладці «Загальні» встановити рівень безпеки «Узгодження» або «SSL (TLS 1.0)» (рис. 4).

4)

Мал. 4. Налаштування рівня безпеки на термінальному сервері

На цьому настройку клієнтської і серверної частини можна вважати закінченою.

практична інформація

У цьому розділі розглянемо обмеження на використання технології прозорою авторизації і проблеми, які можуть виникнути під час її застосуванні.

  • Технологія Single Sign-On працює тільки при з'єднанні з комп'ютерів під управлінням операційної системи не Windows XP SP3 і більш старших версій. Як термінального сервера можуть бути використані комп'ютери з операційною системою Windows Vista, Windows Server 2008, Windows 7 і Windows Server 2008 R2.
  • Якщо термінальний сервер, до якого встановлюється з'єднання, не може бути аутентифікований через Kerberos або SSL-сертифікат, SSO працювати не буде. Це обмеження можна обійти за допомогою політики:
    Дозволити делегування облікових даних, встановлених за замовчуванням з перевіркою достовірності сервера «тільки NTLM».
  • Алгоритм включення і налаштування даної групової політики аналогічний представленому вище. Файл реєстру, відповідної даної налаштуванні має такий вигляд.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ CredentialsDelegation]

«AllowDefCredentialsWhenNTLMOnly» = dword: 00000001

«ConcatenateDefaults_AllowDefNTLMOnly» = dword: 00000001

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ CredentialsDelegation \ AllowDefCredentialsWhenNTLMOnly]

«1» = "termsrv / *. Mydomain.com"

Аутентифікація даними способом менш безпечна, ніж при використанні сертифікатів або Kerberos.

  • Якщо для будь-якого сервера збережені облікові дані в налаштуваннях термінального клієнта, то вони мають більш високий пріоритет, ніж поточні облікові дані.
  • Single Sign-On працює тільки при використанні доменних акаунтів.
  • Якщо підключення до термінального сервера йде через TS Gateway, в деяких випадках можливий пріоритет налаштувань сервера TS Gateway над настройками SSO термінального клієнта.
  • Якщо термінальний сервер налаштований кожен раз запитувати облікові дані користувачів, SSO працювати не буде.
  • Технологія прозорою авторизації працює тільки з паролями. У разі використання смарт-карт, вона працювати не буде.

Для коректної роботи SSO на Windows XP SP рекомендується встановити два виправлення з KB953760: « When you enable SSO for a terminal server from a Windows XP SP3-based client computer, you are still prompted for user credentials when you log on to the terminal server ».

У деяких випадках можлива ситуація коли на одному і тому ж термінальному клієнті технологія прозорою авторизації може працювати чи не працювати в залежності від профілю подключающегося користувача. Проблема вирішується перетворенням профілю користувача. Якщо це є занадто трудомістким завданням можна спробувати скористатися порадами з обговорення: « RemoteApp Single Sign On (SSO) from a Windows 7 client »Форумів Microsoft Technet. Зокрема, рекомендується скинути налаштування Internet Explorer або схвалити відповідну надбудову для нього.

Ще одним серйозним обмеженням технології SSO є те, що вона не працює при запуску опублікованих додатків через TS Web Access. При цьому користувач змушений двічі вводити облікові дані: при вході на веб-інтерфейс і при авторизації на термінальному сервері.

У Windows Server 2008 R2 ситуація змінилася в кращу сторону. Більш детальну інформацію про це можна отримати в статті: « Introducing Web Single Sign-On for RemoteApp and Desktop Connections " ».

висновок

У статті розглянута технологія прозорою авторизації на термінальних серверах Single Sign-On. Її використання дозволяє скоротити час, що витрачається користувачем для входу на термінальний сервер і запуск віддалених додатків. Крім того, з її допомогою досить один раз вводити облікові дані при вході на локальний комп'ютер і потім використовувати їх при з'єднанні з термінальними серверами домену. Механізм передачі облікових даних досить безпечний, а настройка серверної і клієнтської частини гранично проста.

додаткові ресурси

Single Sign-On for Terminal Services

How to enable Single Sign-On for my Terminal Server connections

Introducing Web Single Sign-On for RemoteApp and Desktop Connections

Description of the Credential Security Support Provider (CredSSP) in Windows XP Service Pack 3

When you enable SSO for a terminal server from a Windows XP SP3-based client computer, you are still prompted for user credentials when you log on to the terminal server

Прозора авторизація на термінальних серверах

У статті наведено огляд алгоритму роботи технології прозорою авторизації Single Sign-On і постачальника послуг безпеки Credential Security Service Provider (CredSSP). Розглянуто спосіб настройки клієнтської і серверної частин.

Dmitry Rudykh

Одним з основних незручностей для користувача при запуску віддаленого робочого стола або опублікованого на термінальному сервері додатка є необхідність введення своїх облікових даних. Раніше для вирішення цієї проблеми використовувався механізм збереження облікових даних в налаштуваннях клієнта віддаленого робочого столу. Однак даний спосіб має кілька суттєвих недоліків. Наприклад, при періодичній зміні пароля доводилося змінювати його вручну в налаштуваннях термінального клієнта.

У зв'язку з цим, для спрощення роботи з віддаленим робочим столом в Windows Server 2008 з'явилася можливість використання технології прозорою авторизації Single Sign-on (SSO). Завдяки їй користувач при вході на термінальний сервер може використовувати облікові дані, введені їм при логін на свій локальний комп'ютер, з якого відбувається запуск клієнта віддаленого робочого столу.

У статті наведено огляд алгоритму роботи технології прозорою авторизації Single Sign-On і постачальника послуг безпеки Credential Security Service Provider (CredSSP). Розглянуто спосіб настройки клієнтської і серверної частин. Також висвітлено низку практичних питань пов'язаних з прозорою авторизацією для служб віддалених робочих столів.

теоретична інформація

Технологія SSO дозволяє збереження облікових даних користувача і автоматичну передачу їх при з'єднанні з термінальним сервером. За допомогою групових політик можна визначити сервера, для яких буде використовуватися даний спосіб авторизації. В цьому випадку, для всіх інших термінальних серверів вхід буде здійснюватися традиційним чином: за допомогою введення логіна і пароля.

Вперше механізми прозорої авторизації з'явилися в Windows Server 2008 і Windows Vista. завдяки новому постачальнику послуг безпеки CredSSP. З його допомогу кешированниє облікові дані передавалися через безпечний канал (використовуючи Transport Layer Security (TLS)). Згодом Microsoft випустила відповідні поновлення для Windows XP SP3.

Розглянемо це більш детально. CredSSP може використовуватися в наступних сценаріях:

  • для мережевого рівня аутентифікації (NLA), дозволяючи користувачеві бути впізнаним до повної установки з'єднання;
  • для SSO, зберігаючи облікові дані користувача і передаючи їх на термінальний.

При відновленні сеансу всередині ферми, CredSSP прискорює процес установки з'єднання, тому що термінальний сервер визначає пользователя без установки повноцінного з'єднання (за аналогією c NLA).

Процес аутентифікації відбувається за наступним алгоритмом:

  1. Клієнт ініціює установку безпечного канал з сервером, використовуючи TLS. Сервер передає йому свій сертифікат, що містить ім'я, що засвідчує центр і публічний ключ. Сертифікат сервера може бути самоподпісанного.
  2. Між сервером і клієнтом встановлюється сесія. Щоб неї створюється відповідний ключ, який в подальшому буде брати участь в шифруванні. CredSSP використовує протокол Simple and Protected Negotiate (SPNEGO) для взаємної аутентифікації сервера і клієнта так, щоб кожен з них міг довіряти один одному. Цей механізм дозволяє клієнтові і серверу вибрати механізм аутентифікації (наприклад, Kerberos або NTLM).
  3. Для захисту від перехоплення, клієнт і сервер по черзі шифрують сертифікат сервера, використовуючи ключ сесії, і передають його один одному.
  4. Якщо результати обміну і вихідний сертифікат збігаються, CredSSP на клієнті посилає облікові дані користувача на сервер.

Таким чином, передача облікових даних відбувається по зашифрованому каналу із захистом від перехоплення.

Налаштування

Постачальник послуг безпеки CredSSP є частиною операційної системи і входить до складу Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. Крім того, він може бути встановлений в якості оновлення окремих програмного забезпечення на Windows XP SP3. Цей процес детально описаний в статті « Description of the Credential Security Support Provider (CredSSP) in Windows XP Service Pack 3 ». Для установки і включення CredSSP на Windows XP SP3 необхідно виконати наступні дії.

1. Запустити редактор реєстру regedit і перейти в гілку: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa.

2. Додати значення tspkg до ключу Security Packages (інші значення цього ключа слід залишити незмінними).

3. Перейти в гілку реєстру: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders.

4. Додати значення credssp.dll до ключу SecurityProviders (інші значення цього ключа слід залишити незмінними).

Після того як CredSSP включений, необхідно налаштувати його використання за допомогою групових політик або відповідних їм ключів реєстру. Для настройки SSO на клієнтських комп'ютерах використовуються групові політики з розділу:

Computer Configuration \ Administrative Templates \ System \ Credentials Delegation.

У російськомовних версіях операційних систем це виглядає наступним чином (рис. 1).

1)

Рис. 1. Управління передачею облікових даних за допомогою групових політик

Для використання SSO слід включити політику:

Дозволити передачу облікових даних, встановлених за замовчуванням.

Крім того, після включення, слід встановити для яких саме серверів буде використовуватися даний спосіб авторизації. Для цього необхідно виконати наступні дії.

У вікні редагування політики (рис. 2) натиснути кнопку «Показати»

2) натиснути кнопку «Показати»

Рис. 2. Вікно редагування групової політики

Додати список термінальних серверів (рис. 3).

Рис. 3. Додавання термінального сервера для прозорої авторизації

Рядок додавання сервера має наступний формат:

TERMSRV / ім'я_сервера.

Також можна задати сервера по масці домену. В цьому випадку рядок набуває вигляду:

TERMSRV / *. Ім'я_домена.

Якщо немає можливості використовувати групові політики, відповідні налаштування можна встановити за допомогою редактора реєстру. Наприклад, для налаштування Windows XP Sp3 можна використовувати наступний файл реєстру:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa]

«Security Packages» = hex (7): 6b, 00,65,00,72,00,62,00,65,00,72,00,6f, 00,73,00,00, \

00,6d, 00,73,00,76,00,31,00,5f, 00,30,00,00,00,73,00,63,00,68,00,61,00,6e, 00, \

6e, 00,65,00,6c, 00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74, \

00,73,00,70,00,6b, 00,67,00,00,00,00,00

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders]

«SecurityProviders» = "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ CredentialsDelegation]

"AllowDefaultCredentials» = dword: 00000001

«ConcatenateDefaults_AllowDefault» = dword: 00000001

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ CredentialsDelegation \ AllowDefaultCredentials]

«1» = "termsrv / *. Mydomain.com"

Тут замість mydomain.com слід підставити ім'я домену. В цьому випадку при підключенні до термінальних серверів за повним доменним ім'ям (наприклад, termserver1.mydomain.com) буде використовуватися прозора авторизація.

Для використання технології Single Sign-On на термінальному сервері необхідно виконати наступні дії.

  1. Відкрити консоль налаштування служб терміналів (tsconfig.msc).
  2. У розділі підключення перейти в властивості RDP-Tcp.
  3. На вкладці «Загальні» встановити рівень безпеки «Узгодження» або «SSL (TLS 1.0)» (рис. 4).

4)

Рис. 4. Налаштування рівня безпеки на термінальному сервері

На цьому настройку клієнтської і серверної частини можна вважати закінченою.

практична інформація

У цьому розділі розглянемо обмеження на використання технології прозорою авторизації і проблеми, які можуть виникнути під час її застосуванні.

  • Технологія Single Sign-On працює тільки при з'єднанні з комп'ютерів під управлінням операційної системи не Windows XP SP3 і більш старших версій. Як термінального сервера можуть бути використані комп'ютери з операційною системою Windows Vista, Windows Server 2008, Windows 7 і Windows Server 2008 R2.
  • Якщо термінальний сервер, до якого встановлюється з'єднання, не може бути аутентифікований через Kerberos або SSL-сертифікат, SSO працювати не буде. Це обмеження можна обійти за допомогою політики:
    Дозволити делегування облікових даних, встановлених за замовчуванням з перевіркою достовірності сервера «тільки NTLM».
  • Алгоритм включення і налаштування даної групової політики аналогічний представленому вище. Файл реєстру, відповідної даної налаштуванні має такий вигляд.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ CredentialsDelegation]

«AllowDefCredentialsWhenNTLMOnly» = dword: 00000001

«ConcatenateDefaults_AllowDefNTLMOnly» = dword: 00000001

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ CredentialsDelegation \ AllowDefCredentialsWhenNTLMOnly]

«1» = "termsrv / *. Mydomain.com"

Аутентифікація даними способом менш безпечна, ніж при використанні сертифікатів або Kerberos.

  • Якщо для будь-якого сервера збережені облікові дані в налаштуваннях термінального клієнта, то вони мають більш високий пріоритет, ніж поточні облікові дані.
  • Single Sign-On працює тільки при використанні доменних акаунтів.
  • Якщо підключення до термінального сервера йде через TS Gateway, в деяких випадках можливий пріоритет налаштувань сервера TS Gateway над настройками SSO термінального клієнта.
  • Якщо термінальний сервер налаштований кожен раз запитувати облікові дані користувачів, SSO працювати не буде.
  • Технологія прозорою авторизації працює тільки з паролями. У разі використання смарт-карт, вона працювати не буде.

Для коректної роботи SSO на Windows XP SP рекомендується встановити два виправлення з KB953760: « When you enable SSO for a terminal server from a Windows XP SP3-based client computer, you are still prompted for user credentials when you log on to the terminal server ».

У деяких випадках можлива ситуація коли на одному і тому ж термінальному клієнті технологія прозорою авторизації може працювати чи не працювати в залежності від профілю подключающегося користувача. Проблема вирішується перетворенням профілю користувача. Якщо це є занадто трудомістким завданням можна спробувати скористатися порадами з обговорення: « RemoteApp Single Sign On (SSO) from a Windows 7 client »Форумів Microsoft Technet. Зокрема, рекомендується скинути налаштування Internet Explorer або схвалити відповідну надбудову для нього.

Ще одним серйозним обмеженням технології SSO є те, що вона не працює при запуску опублікованих додатків через TS Web Access. При цьому користувач змушений двічі вводити облікові дані: при вході на веб-інтерфейс і при авторизації на термінальному сервері.

У Windows Server 2008 R2 ситуація змінилася в кращу сторону. Більш детальну інформацію про це можна отримати в статті: « Introducing Web Single Sign-On for RemoteApp and Desktop Connections " ».

висновок

У статті розглянута технологія прозорою авторизації на термінальних серверах Single Sign-On. Її використання дозволяє скоротити час, що витрачається користувачем для входу на термінальний сервер і запуск віддалених додатків. Крім того, з її допомогою досить один раз вводити облікові дані при вході на локальний комп'ютер і потім використовувати їх при з'єднанні з термінальними серверами домену. Механізм передачі облікових даних досить безпечний, а настройка серверної і клієнтської частини гранично проста.

додаткові ресурси

Single Sign-On for Terminal Services

How to enable Single Sign-On for my Terminal Server connections

Introducing Web Single Sign-On for RemoteApp and Desktop Connections

Description of the Credential Security Support Provider (CredSSP) in Windows XP Service Pack 3

When you enable SSO for a terminal server from a Windows XP SP3-based client computer, you are still prompted for user credentials when you log on to the terminal server

Прозора авторизація на термінальних серверах

У статті наведено огляд алгоритму роботи технології прозорою авторизації Single Sign-On і постачальника послуг безпеки Credential Security Service Provider (CredSSP). Розглянуто спосіб настройки клієнтської і серверної частин.

Dmitry Rudykh

Одним з основних незручностей для користувача при запуску віддаленого робочого стола або опублікованого на термінальному сервері додатка є необхідність введення своїх облікових даних. Раніше для вирішення цієї проблеми використовувався механізм збереження облікових даних в налаштуваннях клієнта віддаленого робочого столу. Однак даний спосіб має кілька суттєвих недоліків. Наприклад, при періодичній зміні пароля доводилося змінювати його вручну в налаштуваннях термінального клієнта.

У зв'язку з цим, для спрощення роботи з віддаленим робочим столом в Windows Server 2008 з'явилася можливість використання технології прозорою авторизації Single Sign-on (SSO). Завдяки їй користувач при вході на термінальний сервер може використовувати облікові дані, введені їм при логін на свій локальний комп'ютер, з якого відбувається запуск клієнта віддаленого робочого столу.

У статті наведено огляд алгоритму роботи технології прозорою авторизації Single Sign-On і постачальника послуг безпеки Credential Security Service Provider (CredSSP). Розглянуто спосіб настройки клієнтської і серверної частин. Також висвітлено низку практичних питань пов'язаних з прозорою авторизацією для служб віддалених робочих столів.

теоретична інформація

Технологія SSO дозволяє збереження облікових даних користувача і автоматичну передачу їх при з'єднанні з термінальним сервером. За допомогою групових політик можна визначити сервера, для яких буде використовуватися даний спосіб авторизації. В цьому випадку, для всіх інших термінальних серверів вхід буде здійснюватися традиційним чином: за допомогою введення логіна і пароля.

Вперше механізми прозорої авторизації з'явилися в Windows Server 2008 і Windows Vista. завдяки новому постачальнику послуг безпеки CredSSP. З його допомогу кешированниє облікові дані передавалися через безпечний канал (використовуючи Transport Layer Security (TLS)). Згодом Microsoft випустила відповідні поновлення для Windows XP SP3.

Розглянемо це більш детально. CredSSP може використовуватися в наступних сценаріях:

  • для мережевого рівня аутентифікації (NLA), дозволяючи користувачеві бути впізнаним до повної установки з'єднання;
  • для SSO, зберігаючи облікові дані користувача і передаючи їх на термінальний.

При відновленні сеансу всередині ферми, CredSSP прискорює процес установки з'єднання, тому що термінальний сервер визначає пользователя без установки повноцінного з'єднання (за аналогією c NLA).

Процес аутентифікації відбувається за наступним алгоритмом:

  1. Клієнт ініціює установку безпечного канал з сервером, використовуючи TLS. Сервер передає йому свій сертифікат, що містить ім'я, що засвідчує центр і публічний ключ. Сертифікат сервера може бути самоподпісанного.
  2. Між сервером і клієнтом встановлюється сесія. Щоб неї створюється відповідний ключ, який в подальшому буде брати участь в шифруванні. CredSSP використовує протокол Simple and Protected Negotiate (SPNEGO) для взаємної аутентифікації сервера і клієнта так, щоб кожен з них міг довіряти один одному. Цей механізм дозволяє клієнтові і серверу вибрати механізм аутентифікації (наприклад, Kerberos або NTLM).
  3. Для захисту від перехоплення, клієнт і сервер по черзі шифрують сертифікат сервера, використовуючи ключ сесії, і передають його один одному.
  4. Якщо результати обміну і вихідний сертифікат збігаються, CredSSP на клієнті посилає облікові дані користувача на сервер.

Таким чином, передача облікових даних відбувається по зашифрованому каналу із захистом від перехоплення.

Налаштування

Постачальник послуг безпеки CredSSP є частиною операційної системи і входить до складу Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. Крім того, він може бути встановлений в якості оновлення окремих програмного забезпечення на Windows XP SP3. Цей процес детально описаний в статті « Description of the Credential Security Support Provider (CredSSP) in Windows XP Service Pack 3 ». Для установки і включення CredSSP на Windows XP SP3 необхідно виконати наступні дії.

1. Запустити редактор реєстру regedit і перейти в гілку: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa.

2. Додати значення tspkg до ключу Security Packages (інші значення цього ключа слід залишити незмінними).

3. Перейти в гілку реєстру: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders.

4. Додати значення credssp.dll до ключу SecurityProviders (інші значення цього ключа слід залишити незмінними).

Після того як CredSSP включений, необхідно налаштувати його використання за допомогою групових політик або відповідних їм ключів реєстру. Для настройки SSO на клієнтських комп'ютерах використовуються групові політики з розділу:

Computer Configuration \ Administrative Templates \ System \ Credentials Delegation.

У російськомовних версіях операційних систем це виглядає наступним чином (рис. 1).

1)

Рис. 1. Управління передачею облікових даних за допомогою групових політик

Для використання SSO слід включити політику:

Дозволити передачу облікових даних, встановлених за замовчуванням.

Крім того, після включення, слід встановити для яких саме серверів буде використовуватися даний спосіб авторизації. Для цього необхідно виконати наступні дії.

У вікні редагування політики (рис. 2) натиснути кнопку «Показати»

2) натиснути кнопку «Показати»

Рис. 2. Вікно редагування групової політики

Додати список термінальних серверів (рис. 3).

Рис. 3. Додавання термінального сервера для прозорої авторизації

Рядок додавання сервера має наступний формат:

TERMSRV / ім'я_сервера.

Також можна задати сервера по масці домену. В цьому випадку рядок набуває вигляду:

TERMSRV / *. Ім'я_домена.

Якщо немає можливості використовувати групові політики, відповідні налаштування можна встановити за допомогою редактора реєстру. Наприклад, для налаштування Windows XP Sp3 можна використовувати наступний файл реєстру:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa]

«Security Packages» = hex (7): 6b, 00,65,00,72,00,62,00,65,00,72,00,6f, 00,73,00,00, \

00,6d, 00,73,00,76,00,31,00,5f, 00,30,00,00,00,73,00,63,00,68,00,61,00,6e, 00, \

6e, 00,65,00,6c, 00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74, \

00,73,00,70,00,6b, 00,67,00,00,00,00,00

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders]

«SecurityProviders» = "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ CredentialsDelegation]

"AllowDefaultCredentials» = dword: 00000001

«ConcatenateDefaults_AllowDefault» = dword: 00000001

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ CredentialsDelegation \ AllowDefaultCredentials]

«1» = "termsrv / *. Mydomain.com"

Тут замість mydomain.com слід підставити ім'я домену. В цьому випадку при підключенні до термінальних серверів за повним доменним ім'ям (наприклад, termserver1.mydomain.com) буде використовуватися прозора авторизація.

Для використання технології Single Sign-On на термінальному сервері необхідно виконати наступні дії.

  1. Відкрити консоль налаштування служб терміналів (tsconfig.msc).
  2. У розділі підключення перейти в властивості RDP-Tcp.
  3. На вкладці «Загальні» встановити рівень безпеки «Узгодження» або «SSL (TLS 1.0)» (рис. 4).

4)

Рис. 4. Налаштування рівня безпеки на термінальному сервері

На цьому настройку клієнтської і серверної частини можна вважати закінченою.

практична інформація

У цьому розділі розглянемо обмеження на використання технології прозорою авторизації і проблеми, які можуть виникнути під час її застосуванні.

  • Технологія Single Sign-On працює тільки при з'єднанні з комп'ютерів під управлінням операційної системи не Windows XP SP3 і більш старших версій. Як термінального сервера можуть бути використані комп'ютери з операційною системою Windows Vista, Windows Server 2008, Windows 7 і Windows Server 2008 R2.
  • Якщо термінальний сервер, до якого встановлюється з'єднання, не може бути аутентифікований через Kerberos або SSL-сертифікат, SSO працювати не буде. Це обмеження можна обійти за допомогою політики:
    Дозволити делегування облікових даних, встановлених за замовчуванням з перевіркою достовірності сервера «тільки NTLM».
  • Алгоритм включення і налаштування даної групової політики аналогічний представленому вище. Файл реєстру, відповідної даної налаштуванні має такий вигляд.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ CredentialsDelegation]

«AllowDefCredentialsWhenNTLMOnly» = dword: 00000001

«ConcatenateDefaults_AllowDefNTLMOnly» = dword: 00000001

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ CredentialsDelegation \ AllowDefCredentialsWhenNTLMOnly]

«1» = "termsrv / *. Mydomain.com"

Аутентифікація даними способом менш безпечна, ніж при використанні сертифікатів або Kerberos.

  • Якщо для будь-якого сервера збережені облікові дані в налаштуваннях термінального клієнта, то вони мають більш високий пріоритет, ніж поточні облікові дані.
  • Single Sign-On працює тільки при використанні доменних акаунтів.
  • Якщо підключення до термінального сервера йде через TS Gateway, в деяких випадках можливий пріоритет налаштувань сервера TS Gateway над настройками SSO термінального клієнта.
  • Якщо термінальний сервер налаштований кожен раз запитувати облікові дані користувачів, SSO працювати не буде.
  • Технологія прозорою авторизації працює тільки з паролями. У разі використання смарт-карт, вона працювати не буде.

Для коректної роботи SSO на Windows XP SP рекомендується встановити два виправлення з KB953760: « When you enable SSO for a terminal server from a Windows XP SP3-based client computer, you are still prompted for user credentials when you log on to the terminal server ».

У деяких випадках можлива ситуація коли на одному і тому ж термінальному клієнті технологія прозорою авторизації може працювати чи не працювати в залежності від профілю подключающегося користувача. Проблема вирішується перетворенням профілю користувача. Якщо це є занадто трудомістким завданням можна спробувати скористатися порадами з обговорення: « RemoteApp Single Sign On (SSO) from a Windows 7 client »Форумів Microsoft Technet. Зокрема, рекомендується скинути налаштування Internet Explorer або схвалити відповідну надбудову для нього.

Ще одним серйозним обмеженням технології SSO є те, що вона не працює при запуску опублікованих додатків через TS Web Access. При цьому користувач змушений двічі вводити облікові дані: при вході на веб-інтерфейс і при авторизації на термінальному сервері.

У Windows Server 2008 R2 ситуація змінилася в кращу сторону. Більш детальну інформацію про це можна отримати в статті: « Introducing Web Single Sign-On for RemoteApp and Desktop Connections " ».

висновок

У статті розглянута технологія прозорою авторизації на термінальних серверах Single Sign-On. Її використання дозволяє скоротити час, що витрачається користувачем для входу на термінальний сервер і запуск віддалених додатків. Крім того, з її допомогою досить один раз вводити облікові дані при вході на локальний комп'ютер і потім використовувати їх при з'єднанні з термінальними серверами домену. Механізм передачі облікових даних досить безпечний, а настройка серверної і клієнтської частини гранично проста.

додаткові ресурси

Single Sign-On for Terminal Services

How to enable Single Sign-On for my Terminal Server connections

Introducing Web Single Sign-On for RemoteApp and Desktop Connections

Description of the Credential Security Support Provider (CredSSP) in Windows XP Service Pack 3

When you enable SSO for a terminal server from a Windows XP SP3-based client computer, you are still prompted for user credentials when you log on to the terminal server

Категории
  • Биология
  • Математика
  • Краеведению
  • Лечебная
  • Наука
  • Физике
  • Природоведение
  • Информатика
  • Новости

  • Новости
    Подготовка к ЕГЭ по математике
    Статьи Опубликовано: 05.10.2017 Подготовка к ЕГЭ по МАТЕМАТИКЕ. 1 часть. Эффективный курс подготовки. Вы находитесь на сайте www.ege-ok.ru - Подготовка к ЕГЭ по математике. Меня зовут Инна Владимировна

    Куда поступить с обществознанием, русским и математикой
    Статьи Опубликовано: 06.10.2017 Сдача ЕГЭ. Куда поступать? Обществознание считается одним из самых популярных предметов, которые выпускники сдают на ЕГЭ. Ввиду высокого рейтинга дисциплины Рособрнадзор

    Сайт Майер Елены - ЕГЭ по математике
    Планируется проведение двух отдельных экзаменов – базового и профильного. Кому сдавать базовый ЕГЭ по математике? Базовый ЕГЭ организуется для выпускников, изучающих математику для общего развития

    ГДЗ решебник по математике 4 класс
    Извините, тут пока ничего нет ((( Решебник по математике 4 класс (Истомина Н.Б.) – не просто возможность быстро выполнить домашнее задание для учащегося, но и способ разобраться в труднорешаемых задачах.

    ГДЗ по математике 1 класс Самсонова самостоятельные работы
    Решебник по математике за 1 класс автора Самсоновой Л.Ю. 2012 года издания. Данное пособие предлагает готовые решения на разнообразные упражнения, направленные на активизацию всего учебного процесса. Здесь

    Для этой работы нужна математика
    Слотов: 956 Рулеток: 7 Лицензия: Pragmatic Play, Microgaming, ELK, Yggdrasil, Habanero, Amatic, Isoftbet, Netent, Rival, Igrosoft, Quickspin. Игры: Автоматы, Покер, Рулетки. Всего 963 Отдача: 98% Бонус

    Веселые задачи по математике 2 класс
    Во время занятий для того, чтобы немного переключить внимание школьников, но при этом не уйти от предмета, можно давать шутливые задачи на сообразительность. Буду пополнять коллекцию таких задач. Дополнительная

    Функция экспонента в Excel
    Одной из самых известных показательных функций в математике является экспонента. Она представляет собой число Эйлера, возведенное в указанную степень. В Экселе существует отдельный оператор, позволяющий

    ЕГЭ по математике 2018
    ЕГЭ по математике, наравне с русским языком , – обязательный экзамен для сдачи выпускниками 11-х классов. По статистике он самый сложный. Мы предлагаем ознакомиться с общей информацией об экзамене и

    Секреты эффективной и быстрой подготовки ко второй части ОГЭ по математике.
    Уважаемые девятиклассники, настоящие или будущие! Часто от вас приходится слышать следующие вопросы. Легко ли подготовиться к заданиям второй части ОГЭ по математике? Сколько для этого понадобится


    Наши клиенты
    Клиенты

    Быстрая связь

    Тел.: (044) 587-84-78
    E-mail: [email protected]

    Имя:
    E-mail:
    Телефон:
    Вопрос\Комментарий: