RemoteApp .rdp menanamkan kredibilitas?

11

Server Windows 2008 R2 menjalankan Layanan Desktop Jarak Jauh (apa yang kami sebut Layanan Terminal kembali di masa lalu) . Server ini adalah titik masuk ke aplikasi yang dihosting - Anda dapat menyebutnya Perangkat Lunak sebagai Layanan. Kami memiliki klien pihak ke-3 yang terhubung untuk menggunakannya.

Menggunakan RemoteApp Manager untuk membuat pintasan RemoteApp .rdp untuk didistribusikan ke workstation klien. Workstation ini tidak dalam domain yang sama dengan server RDS. Tidak ada hubungan saling percaya antara domain (juga tidak akan ada). Ada situs yang dikontrol ketat ke VPN situs antara workstation dan server RDS, kami cukup yakin kami memiliki akses ke server terkunci.

RemoteApp yang dijalankan adalah aplikasi ERP dengan skema otentikasi sendiri.

Masalah? Saya mencoba menghindari kebutuhan untuk membuat login AD untuk setiap pengguna akhir saat menghubungkan ke server RemoteApp. Bahkan, karena kita sedang melakukan RemoteApp dan mereka harus mengotentikasi untuk itu aplikasi, saya lebih suka tidak cepat mereka sama sekali untuk creds AD. Saya tentu tidak ingin mereka terjebak dalam mengelola kata sandi AD (dan kedaluwarsa berkala) untuk akun yang hanya mereka gunakan untuk masuk ke login ERP mereka.

Namun, saya tidak tahu bagaimana cara menanamkan kredit AD dalam file .rdp RemoteApp. Saya tidak benar-benar ingin mematikan semua otentikasi pada server RDS di tingkat itu.

Ada pilihan bagus? Tujuan saya adalah membuat ini semulus mungkin bagi pengguna akhir.

Pertanyaan klarifikasi dipersilakan.

Chris_K
sumber

Jawaban:

10

Dimungkinkan untuk menanamkan kata sandi dalam file .rdp, tetapi kata sandi dienkripsi dengan SID akun pengguna lokal Anda sedemikian rupa sehingga file .rdp tidak dapat dipertukarkan antara pengguna atau komputer. Perilaku ini dirancang: Microsoft tidak ingin penyusup bisa mendapatkan kunci ke server terminal hanya dengan mencuri file .rdp dari desktop seseorang.

Untungnya, ada solusi yang cukup terdokumentasi. Pada dasarnya, Anda perlu membuat file .rdp "on the fly" melalui file batch atau skrip yang dijalankan pengguna alih-alih memohon mstsc.exesecara langsung. Skrip Anda membuat file .rdp yang sesuai dan, dengan melakukan hal itu, ia mengenkripsi kata sandi sedemikian rupa sehingga mstsc.exeakan menerimanya dalam konteks pengguna saat ini.

Sumber:

Setiap artikel di atas termasuk tautan ke alat yang dapat digunakan untuk mengenkripsi kata sandi RDP dan / atau kode sumber. Saya akan menyarankan bekerja dari kode sumber jika layak. (Seperti biasa, gunakan binari yang dikompilasi oleh orang asing internet dengan risiko Anda sendiri.)

Skyhawk
sumber
Ini seperti cara untuk pergi dan terima kasih atas tautannya! Yang mengherankan (OK, tidak benar-benar) "kebutuhan bisnis" lama untuk ini hilang hari ini tapi saya pikir ini akan menjadi jawabannya.
Chris_K
1

Hmm menarik. Hal pertama yang terlintas dalam pikiran adalah menggunakan kunci / sertifikat (seperti ssh):

Apakah ini membantu?

mbrownnyc
sumber
Sertifikat! Ya, itu layak untuk dilihat. Saya tidak memiliki server gateway dalam campuran, tetapi mungkin mendorong sertifikat klien mungkin menjadi pilihan? Terima kasih.
Chris_K
Fu pencarian saya mungkin lemah, tapi saya tidak melihat opsi untuk mengganti pengguna / lulus dengan sertifikat untuk klien.
Chris_K
Siap untuk kompleksitas? Berpikir begitu! technet.microsoft.com/en-us/library/ff404286(WS.10).aspx (catatan: pengalihan kartu pintar dapat terjadi di klien RDP 6.0 + ... dan saya belum menerapkan semua ini)
mbrownnyc
... Oh fer yuck!
Chris_K