启用Radius认证是提高VMware Horizon环境安全性的有效方法,特别是在需要满足复杂安全要求的场景中。
启用Radius认证对于VMware Horizon具有以下几个关键优势:
- 增强安全性:Radius认证支持多种认证方法,包括PAP、CHAP、MS-CHAPv1或MS-CHAPv2,以及双因素认证,从而为Horizon环境提供更强的安全性。
- 集中式身份验证:Radius服务器可以实现集中式身份验证,简化用户管理,统一认证管理,避免在多个地方维护用户凭证。
- 灵活的授权管理:Radius服务器可以集中管理不同用户的访问权限,提供更细粒度的控制。
- 审计和监控:Radius服务器可以记录详细的登录尝试和访问信息,有助于安全审计和监控。
- 兼容性:Radius是一个广泛支持的标准协议,可以与多种不同的客户端和服务器软件兼容,包括VMware Horizon。
- 减少依赖:通过使用Radius服务器,可以减少对本地用户数据库的依赖,即使本地服务不可用,用户仍然可以通过Radius服务器进行身份验证。
- 双因素认证:Radius服务器可以实现双因素认证,增加了额外的安全层,因为即使用户密码被泄露,没有第二个认证因素,攻击者也无法登录系统。
- 易于扩展:随着用户数量的增加,Radius服务器可以轻松扩展以满足更大的认证需求,而不需要对现有基础设施进行重大更改。
- 提高可用性:可以配置多个Radius服务器以提供高可用性,确保即使在某个服务器宕机的情况下,认证服务仍然可用。
如何通过安当ASP身份认证系统实现VMware Horizon登录认证,可以遵循以下步骤:
准备工作:
确保已经安装并配置好安当Radius服务器,并确保VMware Horizon系统已经安装并运行。
配置Radius服务器:
在安当ASP管理后台开启Radius认证服务和OTP认证。 在用户管理中为Radius服务创建用户账户,并为每个用户绑定一个OTP令牌,设置相应的OTP密钥和算法。 配置Radius服务器的策略以支持OTP验证,并设置失败登录尝试的处理方式。
配置VMware Horizon:
在Horizon Console中,修改连接服务器设置,为连接服务器实例启用Radius身份验证。 记录Radius服务器的主机名或IP地址、其侦听Radius身份验证的端口号(通常为1812)、身份验证类型(PAP、CHAP、MS-CHAPv1或MS-CHAPv2)以及共享密码,并在Horizon Console中输入这些值。 如果需要,可以配置辅助Radius身份验证器。
测试连接:
在VMware Horizon上测试与Radius服务器的连接是否成功。 确认OTP认证流程是否按预期工作。
用户登录流程:
用户在客户端输入自己的身份凭证(用户名)和动态密码。 客户端将用户输入的身份凭证和动态密码传输到安当ASP身份认证平台,该平台使用Radius协议与VMware Horizon服务器进行通信。 安当ASP身份认证平台对用户输入的动态密码进行验证,如果密码正确,则该平台将返回一个验证通过的消息给客户端,客户端将验证通过的消息显示给用户,允许用户登录到云桌面。
故障排除:
如果遇到连接问题,检查网络连接是否正常,确认Radius服务器地址和端口是否正确。 如果认证失败,确认用户名、密码以及OTP是否正确,检查OTP设备的时间同步情况。 查看VMware Horizon和Radius服务器的日志文件以获取错误提示。
通过上述步骤,您可以成功地配置VMware Horizon使用安当ASP身份认证系统进行OTP认证,这将显著提高系统的安全性,防止未经授权的访问,并解决安全痛点。同时,安当ASP身份认证系统还支持以下各种场景的应用登录认证:
安当OTP令牌包含以下三种,可供用户灵活选择:
- 硬件令牌(国际算法)
- 硬件令牌(国密算法)
- 手机令牌(微信小程序、APP)
文章作者:五台
©本文章解释权归安当西安研发中心所有
