Возможна ли полная прозрачная авторизация при web доступе к RemoteApp Windows Server 2008 R2?

Question

[DizZa]

Приветствую всех. RemoteApp уже обыденная штука, но до сих пор, нет четкого ответа, возможна полна прозрачная авторизация через web доступ к RemoteApp с помощью сертификатов? Под полной прозрачной авторизацией, я понимаю отсутствие необходимости ввода пароля на страничке \rdweb (естественно так же предполагается отсутствие необходимости ввода пароля при запуске приложений).

Вроде все говорят можно, но никто не знает как.

Answer 1

[Abrio]

Добрый день. Да, оно действительно возможно. Предварительно хотелось бы понять, почему именно речь идет об аутентификации по сертификатам, есть более легкие и красивые способы сделать сквозную аутентификацию, так зачем городить? Если все же нужны именно сертификаты, то расскажите о вашей инфраструктуре, есть ли в сети УЦ со структурой PKI, аутентификация будет проходить в локальной сети?

Comments

[DizZa]

Уточнил

Answer 2

[DizZa]

Есть необходимость прозрачно запускать не доменных клиентов, находящихся в той же сети, поэтому первое, что пришло в голову, это сертификаты (нежелательно давать логин пароль от домена, желательно пустить пользователя к апсу, совсем без его умственной деятельности).

Центр сертификации есть, автоматическая выдача сертификатов работает.

Принципиально нет никакой разницы, какой способ использовать, но правило одно, максимум ввод одного пароля, идеально, если без паролей вообще.

Answer 3

[Иван Базайченко]

В настройках rdweb указать сертификат выпущенный вашим CA. Клиентам раздать трастет рут серт вашего RCA сервера. По идее будет спрашивать пароль только при логине на rdweb. Только там надо указать enable single sign on. Вот к сожалению я подзабыл, есть ли эта фича в 2008r2. В 2012r2 - это работает.

Comments

[DizZa]

rdweb и так имеет сертификат от нашего СА, клиенты и так имеют сертификаты от СА с полным набором возможностей, включая авторизацию (они через токены и авторизуются по этим сертификатам в домене), если сделать так, то просто будет пускать на страницу авторизации rdweb, если сертификата нет, будет запрет доступа к ресурсу. Пароль это не убирает.

В 2012 есть, есть инструкции по настройке, но на 2008 они не работают. Но есть четкое мнение у комьюнити, что и в 2008 это возможно. Вот я и ломаю голову.