RDGateway NTLM SSO (с прокси-приложением Azure)

Вопрос или проблема

# Убедитесь, что ваши коннекторы обновлены
$connectorVersion = (Get-ChildItem -Path "C:\Program Files\Microsoft AAD App Proxy Connector\Connector.exe").VersionInfo.FileVersion
if ($connectorVersion -lt "1.5.1975.0") {
    Write-Host "Пожалуйста, обновите ваш коннектор до версии 1.5.1975.0 или выше для поддержки RDWeb."
} else {
    Write-Host "Версия коннектора актуальна."
}

# Настройка прокси-приложения для RDWeb
New-AzureADApplicationProxyApplication -DisplayName "RDWeb App" `
    -ExternalUrl "https://rdweb.contoso.com" `
    -InternalUrl "https://rdweb-internal.contoso.local" `
    -BackendApplicationType "Microsoft-RemoteApp" `
    -PreAuthenticatedMethod "AzureADPreAuthentication" `
    -IsHttpOnlyCookieEnabled $false `
    -IsTranslateUrlHeaderEnabled $false

# Настройка SSO для Azure AD в RDWeb
Set-AzureADApplicationProxyApplicationSingleSignOn -ObjectId <ApplicationObjectId> `
    -SingleSignOnMode "None" # Поскольку задействован NTLM, здесь нельзя использовать Kerberos-based SSO

Ответ или решение

Для решения проблемы настройки одноразовой аутентификации (SSO) между RDGateway и web-клиентом, следующая информация может быть полезна. Вы упомянули, что используете Azure Application Proxy для интеграции с Remote Desktop Services, и столкнулись с трудностями из-за использования NTLM вместо Kerberos.

Текущая ситуация и вызовы

Ваша текущая конфигурация использует Azure Application Proxy для предоставления доступа к RDWeb через HTML5 web-клиент. Вы успешно настроили SSO для RDWeb, но не можете сделать то же самое для RDGateway из-за использования NTLM.

Возможные решения

1. Проанализируйте использование современного протокола аутентификации:

   • NTLM имеет ряд ограничений по сравнению с Kerberos, особенно в контексте безопасности и управления сеансами.
   • Попробуйте реконфигурировать соединение таким образом, чтобы использовался Kerberos. Это может требовать изменений на уровне архитектуры сети и серверных настроек.

2. Azure Application Proxy и поддержка NTLM:

   • Убедитесь, что ваш прокси-сервер поддерживает интеграцию с NTLM. Хотя данное решение не является оптимальным с точки зрения безопасности, Azure Application Proxy может проксировать аутентификацию NTLM при определенных условиях.
   • Восстановите приложения и соответствующие политики, чтобы разрешить NTLM-переадресацию через Azure AD Proxy.

3. Альтернативные методы интеграции:

   • Использование средств сторонних разработчиков, которые могут обеспечить мост между Kerberos и NTLM.
   • Возможная интеграция внешних аутентификационных серверов, которые способны обрабатывать NTLM и преобразовать его в подходящие SSO-запросы.

4. Использование сертификатов:

   • Рассмотрите возможность использования клиентских сертификатов для аутентификации на RDGateway, что может устранить необходимость в NTLM.

Технические рекомендации и шаги

• Убедитесь, что вы следуете полной рекомендации Microsoft на тему интеграции Kerberos и NTLM.
• Регулярно обновляйте ваш Azure Application Proxy Connector до последней версии ввиду появления новых функций и исправлений.

Заключение

Настройка SSO в средах с RDS через Azure Application Proxy может потребовать тщательной конфигурации сети и серверов. В условиях, где NTLM все еще используется, SSO может требовать дополнительных решений или обходных путей. Надеемся, что предоставленные рекомендации помогут вам добиться желаемой функциональности. Не забывайте также проверять свежие обновления документации Microsoft, которые могут предложить новые пути решения данной проблемы.

Обсуждение этой темы может продолжаться, так что открытость к новаторским решениям и адаптации будет полезна для достижения оптимальной конфигурации.