RemoteApp .rdp incorpora i crediti?


11

Server Windows 2008 R2 che esegue Servizi Desktop remoto (ciò che un tempo chiamavamo Servizi terminal ai vecchi tempi) . Questo server è il punto di ingresso in un'applicazione ospitata - suppongo che lo si possa chiamare Software as a Service. Abbiamo client di terze parti che si connettono per usarlo.

Utilizzo di RemoteApp Manager per creare collegamenti .rdp RemoteApp da distribuire alle workstation client. Queste workstation non si trovano nello stesso dominio del server RDS. Non esiste una relazione di fiducia tra i domini (né ci sarà). Esiste un sito strettamente controllato sul sito VPN tra le stazioni di lavoro e il server RDS, siamo abbastanza sicuri di avere accesso al server bloccato.

RemoteApp in esecuzione è un'applicazione ERP con il proprio schema di autenticazione.

Il problema? Sto cercando di evitare la necessità di creare accessi AD per ogni utente finale durante la connessione al server RemoteApp. Infatti, dal momento che stiamo facendo un RemoteApp e hanno per l'autenticazione che app, preferirei non li solo pronta a tutti per creds AD. Non voglio certo che vengano coinvolti nella gestione delle password di AD (e scadenze periodiche) per gli account che usano solo per accedere al loro login ERP.

Tuttavia, non riesco a capire come incorporare i crediti AD in un file .rdp di RemoteApp. Non voglio davvero disattivare tutta l'autenticazione sul server RDS a quel livello.

Qualche buona opzione? Il mio obiettivo è renderlo il più fluido possibile per gli utenti finali.

Le domande di chiarimento sono benvenute.

Risposte:


10

È possibile incorporare una password in un file .rdp, ma la password viene crittografata con il SID dell'account utente locale in modo tale che il file .rdp non sia intercambiabile tra utenti o computer. Questo comportamento è in base alla progettazione: Microsoft non voleva che un intruso fosse in grado di ottenere le chiavi di un server terminal semplicemente rubando un file .rdp dal desktop di qualcuno.

Fortunatamente, esiste una soluzione ragionevolmente ben documentata. Fondamentalmente, è necessario creare il file .rdp "al volo" tramite un file batch o uno script che l'utente esegue invece di invocare mstsc.exedirettamente. Lo script crea il file .rdp appropriato e, nel fare ciò, crittografa la password in modo tale mstsc.exeda accettarla nel contesto dell'utente corrente.

risorse:

Ciascuno degli articoli precedenti include un collegamento a uno strumento che può essere utilizzato per crittografare le password RDP e / o il codice sorgente. Suggerirei di lavorare dal codice sorgente se possibile. (Come sempre, utilizzare i binari compilati da estranei di Internet a proprio rischio.)


Questa sembra la strada da percorrere e grazie per i collegamenti! In modo divertente (OK, non proprio) la lunga "necessità commerciale" per questo è andata via oggi, ma penso che questa sarebbe stata la risposta.
Chris_K,

1

Certificati! Sì, vale la pena esaminarlo. Non ho un server gateway nel mix, ma forse il push dei certificati client potrebbe essere un'opzione? Grazie.
Chris_K,

Il mio motore di ricerca potrebbe essere debole, ma non vedo un'opzione per sostituire utente / passaggio con un certificato per i clienti.
Chris_K,

Pronto per la complessità? Pensavo così! technet.microsoft.com/en-us/library/ff404286(WS.10).aspx (nota: il reindirizzamento delle smart card può verificarsi in qualsiasi client RDP 6.0 + ... e non ho implementato nulla di tutto ciò)
mbrownnyc

... Oh, schifo!
Chris_K,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.