Реализация формы стука порта + Фактор телефона = 2 Фактор аутентификации для RDP?
Я изучал способы защиты общедоступной конечной точки RDP и хочу внедрить наш сервер RADIUS с двухфакторной аутентификацией PhoneFactor. Я хотел бы реализовать следующий процесс:
- Пользователь открывает веб-приложение в браузере
- В веб-приложении пользователь вводит имя пользователя + пароль, запускает аутентификацию RADIUS
- Телефонный фактор вызывает пользователя для завершения аутентификации
- После аутентификации пользователя порт 3389 открывается по IP-адресу пользователя.
pfSenseбрандмауэр. - Через некоторое время правило брандмауэра удаляется для этого IP
Я хотел бы знать следующее:
- Это типичная установка? Если это плохая идея, пожалуйста, объясните, почему.
- Если это возможно, есть ли пакеты, которые помогают с этим? В частности, третий шаг, где необходимо добавить соответствующее правило брандмауэра...
Изменить: я знаю о TS Web Gateway, но я хочу, чтобы пользователи могли использовать традиционный клиент RDP...
1 ответ
Вы хотите посмотреть на настройку сервера политики сети (NPS).
Сервер политики сети (NPS) позволяет создавать и применять политики сетевого доступа в масштабах всей организации для обеспечения работоспособности клиента, проверки подлинности запросов на подключение и авторизации запросов на подключение. Кроме того, вы можете использовать NPS в качестве прокси-сервера удаленной аутентификации (RADIUS) для перенаправления запросов на соединение на сервер с NPS или на другие RADIUS-серверы, которые вы настраиваете в группах удаленных RADIUS-серверов.
Он в значительной степени делает именно то, что вы ищете, просто подключите сервер RADIUS (PhoneFactor) к серверу NPS, а затем Remote Desktop использует NPS для авторизации удаленных подключений.
Вам также понадобится настроить шлюз удаленных рабочих столов, но я думаю, что вы используете неправильный термин в вашем OP, и вы не имеете в виду нежелание устанавливать шлюз RD, но вместо этого ссылаетесь на RD Web Access.