Azure MFA toepassen op on-premises server - Serversoftware en clouddiensten

woensdag 18 februari 2015 14:56

Acties:

Verwijderd

Topicstarter

Als men inlogt op onze RdWeb willen we de Remote Apps/Remote Desktops beveiligen met Multi-Factor Authentication van Azure. Ik hoop dat er mensen zijn die hierin geslaagd zijn.

De Gateway, NPS en MFA applicatie van Azure zijn geïnstalleerd op 1 server. Bad practice, I know, maar het zou wel moeten werken op deze manier.

De stappen in het onderstaande artikel heb ik nagebootst, zonder succes:

http://www.rdsgurus.com/u...ltifactor-authentication/

- In de MFA applicatie werkt de test wel bij een user, ik krijg keurig een smsje.
- Alle poorten zijn open en genat
- Zodra ik de "Client Friendly Name" in de cirkel gooi in policy "From MFA" is inloggen via de GW niet meer mogelijk.

Error in eventvwr:

The user "XXXXX", on client computer "XXXXX", did not meet connection authorization policy requirements and was therefore not authorized to access the RD Gateway server. The authentication method used was: "NTLM" and connection protocol used: "RPC-HTTP". The following error occurred: "23003".

vrijdag 20 februari 2015 00:22

Acties:

FREAKJAM

"MAXIMUM"

Heb je het draaien op Windows server 2012R2? Windows 2012R2 wordt namelijk nog niet officieel ondersteund. Wij draaien op ons werk ook een pilot met Azure MFA (versie 6.2.2) en dat gaat ook bepaald niet vlekkeloos.

Known Issues:
* Windows Authentication for Terminal Services is still not supported for Windows Server 2012 R2

Vanaf wat voor client probeer je in te loggen via MFA? Windows 8.1 gaat bij ons nog vrij goed, maar Windows 7 met SP1 geeft nog vaak problemen. (Je kunt het beste Windows 7 volledig updaten naar RDP 8.1 met een 6 tal updates dacht ik zo uit mijn hoofd).

Wij gebruiken trouwens MFA alleen extern (via TMG publiceren we dat naar buiten). Gebruik jij het intern of extern?

Verder is het zo dat de gebruiker lid moet zijn van een security group die vervolgens weer is gedefinieerd bij RD CAP settings in je RD Gateway settings. Neem hier anders eens een kijkje.

[ Voor 38% gewijzigd door FREAKJAM op 20-02-2015 00:29 ]

is everything cool?

vrijdag 20 februari 2015 10:10

Acties:

jimbo123

Ah, dus daarom mislukte mijn pilot.
Ik kon idd wel vanaf een 8.1 werkplek inloggen maar niet vanaf een Thin Client.
Er kwam dan wel een SMS maar de reply werd niet verwerkt zo leek het.

Is het niet vreemd dat er eisen aan de client gesteld worden?
Dit zou ook gewoon vanaf de IOS clients etc moeten kunnen werken om succesvol te worden.

vrijdag 20 februari 2015 10:46

Acties:

FREAKJAM

"MAXIMUM"

Vereiste is dacht ik dat je minimaal moet beschikken over Windows 7 SP1 en RDC 8.1. OSX heb ik hier nog niet werkend; de laatste update van Microsoft is een drama. Waarschijnlijk moet ik hiervoor nog sleutelen aan onze TMG server.

The following new features in the RDC 8.1 client update are available when the clients connect to all versions of Windows.

Remote Desktop Gateway pluggable authentication and authorization (PAA) let you use custom authentication routines with Remote Desktop Gateway. Since RDC 8.1, the PAA cookie can be provided as an RDP file property in addition to the existing ActiveX API and Internet Explorer cookie-based methods. This can be used to provide custom two-factor authentication that works seamlessly with Remote Desktop Web Access (RD Web Access) across multiple browsers. This functionality lets you use RDP files to start connections.

Hier het blogje waarin staat welke updates je moet installeren op Windows 7 SP1 clients.

[ Voor 90% gewijzigd door FREAKJAM op 20-02-2015 11:12 ]

is everything cool?

vrijdag 20 februari 2015 14:38

Acties:

Verwijderd

Topicstarter

FREAKJAM schreef op vrijdag 20 februari 2015 @ 00:22:
Heb je het draaien op Windows server 2012R2? Windows 2012R2 wordt namelijk nog niet officieel ondersteund. Wij draaien op ons werk ook een pilot met Azure MFA (versie 6.2.2) en dat gaat ook bepaald niet vlekkeloos.

[...]

Vanaf wat voor client probeer je in te loggen via MFA? Windows 8.1 gaat bij ons nog vrij goed, maar Windows 7 met SP1 geeft nog vaak problemen. (Je kunt het beste Windows 7 volledig updaten naar RDP 8.1 met een 6 tal updates dacht ik zo uit mijn hoofd).

Wij gebruiken trouwens MFA alleen extern (via TMG publiceren we dat naar buiten). Gebruik jij het intern of extern?

Verder is het zo dat de gebruiker lid moet zijn van een security group die vervolgens weer is gedefinieerd bij RD CAP settings in je RD Gateway settings. Neem hier anders eens een kijkje.

Dat Terminal Services niet worden ondersteund had ik ook gelezen op het Azure forum, maar bij het testen op andere niveua's zoals IIS wilde het ook niet lukken.

MFA is alleen voor extern gebruik. Extern logt men in via de GW, maar intern met RDP rechtstreeks naar een RDS server.

RDP Protocol 8.1 is ondersteund, maar ik zal ook ff testen vanaf Windows 8.1 en kijken naar de security groups, thanks!

vrijdag 20 februari 2015 14:42

Acties:

FREAKJAM

"MAXIMUM"

MFA is alleen voor extern gebruik. Extern logt men in via de GW, maar intern met RDP rechtstreeks naar een RDS server.

Hier idem dito.

Vanaf wat voor systeem probeer je nu in te loggen?

is everything cool?

maandag 23 februari 2015 11:49

Acties:

Verwijderd

Topicstarter

FREAKJAM schreef op vrijdag 20 februari 2015 @ 14:42:
[...]

Hier idem dito.

Vanaf wat voor systeem probeer je nu in te loggen?

Security groups staan goed. Daarnaast ook getest vanaf WIndows 8.1. Helaas nog geen resultaat geboekt. Zodra de Client Friendly Name in de condition wordt ingesteld werkt het niet meer.