У меня есть реализация PhoneFactor, которую я люблю и дорожу для доступа к VPN. PhoneFactor предоставляет нам сервер RADIUS, который проверяет список утвержденных пользователей и нашу реализацию Active Directory, а затем вызывает двухфакторную аутентификацию. Я хочу настроить службы удаленных рабочих столов в Windows Server 2008 R2, чтобы RDP выполнял аутентификацию по RADIUS, а не по самой AD. Есть ли способ добиться этого?
Единственный способ, которым я могу это легко сделать, - это использовать шлюз удаленного рабочего стола. Затем вызов шлюза может перейти на сервер политики сети (NPS), который может отправлять удаленные вызовы RADIUS. Я не знаю ни одного способа отправлять запросы RADIUS для прямого доступа к удаленному рабочему столу, поскольку в этот момент вы уже получили доступ к клиенту, а клиент следует своему обычному маршруту аутентификации.
С помощью шлюза удаленного рабочего стола вы по существу настраиваете среду RDP поверх HTTPS, и сервер выполняет аутентификацию первого прохода, которая может включать вызовы RADIUS. По сути, это перекладывает аутентификацию и авторизацию на локальный или центральный сервер политики сети. Вы можете легко настроить поле NPS так, чтобы оно соответствовало вашему пользовательскому ящику RADIUS. Пройдя мимо сервера, клиент все еще должен пройти аутентификацию с клиентом, но идея состоит в том, что сервер уже выполнил вашу двухфакторную аутентификацию, клиент на самом деле является просто формальностью в этот момент.
Надеюсь, это поможет.