Im folgenden Schaubild wird ein typisches Parallels RAS-Szenario mit einem Doppelsprung-Netzwerkparameter gezeigt, in dem Parallels Connection Broker mit einem RADIUS-Server verbunden ist (RADIUS befindet sich im Intranet, aber kann in einer DMZ untergebracht werden).

So konfigurieren Sie RADIUS-Eigenschaften:

1. Navigieren Sie in der Parallels RAS-Konsole zu Verbindung > Multi-Faktor-Authentifizierung.

2. Doppelklicken Sie auf den MFA-Anbieter, den Sie konfigurieren möchten.

Lesen Sie weiter, um zu erfahren, wie Sie RADIUS-Anbietereinstellungen konfigurieren können.

Wenn Ihre RADIUS-Lösung die Konfiguration von Attributen erfordert, klicken Sie auf die Registerkarte Attribute und dann auf Hinzufügen. Wählen Sie in dem sich öffnenden Dialogfeld einen vorkonfigurierten Hersteller und ein Attribut aus.

• Wählen Sie in der Dropdownliste Hersteller einen Hersteller aus.

• Wählen Sie in der Liste der Attribute ein Herstellerattribut aus.

• Geben Sie im Feld Wert einen Wert für den ausgewählten Attributtyp ein (numerisch, Zeichenfolge, IP-Adresse, Datum usw.).

In bestimmten Szenarien müssen Sie möglicherweise Lieferanten und Attribute hinzufügen, die in diesem Dialogfeld nicht aufgeführt sind. Weitere Informationen zum Hinzufügen von Lieferanten und Attributen finden Sie im folgendem Artikel der Wissensdatenbank: https://kb.parallels.com/de/125576.

Klicken Sie auf OK und danach erneut auf OK, um alle Dialogfelder zu schließen.

Bevor Sie sich mit diesem Abschnitt beschäftigen, lesen Sie bitte den folgenden wichtigen Hinweis.

Hinweis: Ab dem 1. Juli 2019 wird Microsoft MFA Server nicht mehr für Neuimplementierungen anbieten. Neukunden, die eine Multi-Faktor-Authentifizierung von ihren Benutzern verlangen möchten, sollten die Cloud-basierte Azure Multi-Faktor-Authentifizierung verwenden. Bestehende Kunden, die MFA Server vor dem 1. Juli aktiviert haben, können die neueste Version und zukünftige Updates herunterladen und wie gewohnt Aktivierungsdaten generieren. https://docs.microsoft.com/de-de/azure/active-directory/authentication/howto-mfaserver-deploy. Für neue Implementierungen wird empfohlen, die Azure NPS-Erweiterung https://docs.microsoft.com/de-de/azure/active-directory/authentication/howto-mfa-nps-extension oder den Azure MFA Service zusammen mit der SAML-Konfiguration in RAS zu verwenden.

Konfigurieren von Azure MFA

Abhängig vom Standort des Benutzers gibt es vier Szenarien für den Cloud-MFA-Service:

Ein Azure-Konto mit der Rolle Global Administrator ist erforderlich, um MFA Server herunterzuladen und zu aktivieren. Die Synchronisierung mit Microsoft Entra ID (über AD Connect) oder einer benutzerdefinierten DNS-Domäne ist nicht erforderlich, um einen MFA Server einzurichten, der ausschließlich vor Ort läuft.

Benutzer müssen in den MFA Server importiert und für die MFA-Authentifizierung konfiguriert werden.

Parallels RAS authentifiziert Benutzer mit MFA Server unter Verwendung des RADIUS Second-Level-Authentifizierungsanbieters. MFA Server muss daher so konfiguriert werden, dass RADIUS-Client-Verbindungen vom RAS-Server aus möglich sind.

Der Authentifizierungsprozess durchläuft die folgenden Schritte:

In Stufe 2 kann der Benutzer entweder über RADIUS oder Windows AD authentifiziert werden. Eine Aufforderung zur doppelten Eingabe der Zugangsdaten (in Stufe 1 und 6) wird vermieden, indem die Option zur Weiterleitung des Passworts aktiviert wird.

Was this topic helpful?

Die Registerkarte Verbindung bietet Ihnen folgende Optionen:

• Anzeigename: Geben Sie den Namen des OCP-Verbindungstyps ein, der auf dem Anmeldebildschirm auf dem Client angezeigt wird. Dies sollte der Name sein, den Ihre Benutzer eindeutig verstehen.

• Primärer Server und Sekundärer Server: Mit diesem beiden Feldern können Sie angeben, ob in der Konfiguration ein oder zwei RADIUS-Server enthalten sein sollen. Wenn Sie zwei Server angeben, können Sie Hochverfügbarkeit für RADIUS-Hosts konfigurieren (siehe unten). Geben Sie einen Server ein, indem Sie seinen Hostnamen oder die IP-Adresse eingeben oder klicken Sie auf die Schaltfläche [...], um einen Server über Active Directory auszuwählen.

• Wenn zwei RADIUS-Server angegeben sind, wählen Sie aus der Dropdownliste HA-Modus einen der folgenden Hochverfügbarkeitsmodi aus. Aktiv-aktiv (parallel) bedeutet, dass der Befehl an beide Server zugleich geschickt wird. Es wird der verwendet, der zuerst antwortet. Aktiv-passiv (Failover) bedeutet, dass Failover und Zeitlimit verdoppelt werden und Parallels RAS auf Antwort beider Hosts wartet.

• HA-Modus: Weitere Informationen finden Sie unter Primärer Server und Sekundärer Server oben: Wenn nur der Primäre Server angegeben ist, ist dieses Feld deaktiviert.

• Port: Geben Sie die Portnummer für den RADIUS-Server ein. Klicken Sie auf die Schaltfläche Standard, um den Standardwert zu verwenden.

• Zeitlimit: Geben Sie das Zeitlimit für das Paket in Sekunden an.

• Erneute Versuche: Geben Sie die Anzahl der erneuten Versuche für die Herstellung einer Verbindung an.

• Geheimer Schlüssel: Geben Sie den geheimen Schlüssel ein.

• Passwortverschlüsselung: Wählen Sie PAP (Password Authentication Protocol) oder CHAP (Challenge Handshake Authentication Protocol), je nach den Einstellungen auf Ihrem RADIUS-Server.

Klicken Sie auf die Schaltfläche Verbindung überprüfen, um die Verbindung zu bestätigen. Wenn die Verbindung ordnungsgemäß konfiguriert ist, wird eine Bestätigungsmeldung angezeigt.

Geben Sie ggf. zusätzliche Eigenschaften an:

• Eingabeaufforderung: Geben Sie den Text an, den der Benutzer sieht, wenn er zu einem OTP-Dialog aufgefordert wird.

• Benutzernamen nur an RADIUS-Server weiterleiten: Wählen Sie ggf. diese Option.

• Leiten Sie das erste Passwort an den Windows-Authentifizierungsanbieter weiter: Wählen Sie diese Option, um eine zweimalige Aufforderung zur Eingabe des Passworts (RADIUS und Windows AD) zu vermeiden. Beachten Sie, dass diese Option für den Azure MFA-Server immer aktiviert ist und nicht ausgeschaltet werden kann.

• Bitte lesen Sie auch den Hinweis unten im Dialogfeld (falls vorhanden), in dem eine bestimmte Einstellung für die ausgewählte RADIUS-Lösung vorgeschlagen wird.

Über die Registerkarte Erweitert können Sie die vom RADIUS-Server gesendeten Fehlermeldungen angeben, die von Parallels Client nicht angezeigt werden sollen. Dies kann nützlich sein, wenn eine Fehlermeldung für den Benutzer verwirrend ist oder die Benutzererfahrung stört.

Standardmäßig wird die Meldung „Neue SMS-Passcodes gesendet“ zur Liste der ignorierten Nachrichten für DUO Radius hinzugefügt. Dies geschieht, um die Authentifizierung per SMS für den Benutzer zu erleichtern. Es wird nicht empfohlen, diese Meldung aus der Liste der ignorierten Meldungen zu entfernen.

So fügen Sie eine neue Meldung zur Liste der ignorierten Meldungen hinzu:

1. Auf der Registerkarte Erweitert klicken Sie auf Aufgaben > Hinzufügen (Sie können auch auf das Symbol [+] klicken).

2. Geben Sie den genauen Text der Fehlermeldung ein, die ignoriert werden soll. Bei den Meldungen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Bitte beachten Sie, dass Sie nur den vom RADIUS-Server gesendeten Text angeben müssen. Wenn Parallels Client beispielsweise einen Fehler anzeigt, der lautet: „Code [01/00000003] Anmeldung über RADIUS fehlgeschlagen. Fehler: Neue SMS-Passwörter gesendet.“, müssen Sie „Neue SMS-Passwörter gesendet.“ zur Liste hinzufügen.

Über die Registerkarte Automatisierung im RADIUS-Dialogfeld Eigenschaften können Sie das OTP-Erlebnis für Parallels Client-Nutzer anpassen, indem Sie die Sicherheitsüberprüfungsmethoden und benutzerdefinierte Befehle anpassen, die während des MFA-Anmeldeprozesses an den RADIUS-Server zu senden sind. Verschiedene Sicherheitsüberprüfungsmethoden können mit einer Priorität versehen und so konfiguriert werden, dass sie automatisch verwendet werden können.

Ist diese Funktion konfiguriert, können Benutzer ihre bevorzugte Sicherheitsüberprüfungsmethode aus einer vordefinierten und konfigurierbaren Liste auswählen, einschließlich Push-Benachrichtigungen, Telefonrückruf, SMS, E-Mail und Benutzerdefiniert. Die Methoden erscheinen im OTP-Dialogfeld in Parallels Client als anklickbare Symbole. Klickt ein Benutzer ein Symbol an, wird ein Befehl an den RADIUS-Server gesendet und die entsprechende Überprüfungsmethode wird verwendet.

Um eine Überprüfungsmethode (wird hier und in der Parallels RAS-Konsole auch „Aktionen“ genannt) zu konfigurieren, klicken Sie auf der Registerkarte Automatisierung auf Aufgaben > Hinzufügen. Geben Sie im Dialogfeld Aktion hinzufügen die folgenden Eigenschaften an:

• Aktion aktivieren: Die Aktion kann damit aktiviert oder deaktiviert werden.

• Titel: Der Text, der im Parallels Client auf dem anklickbaren Symbol erscheint (z. B. „Push“).

• Befehl: Der OTP-Befehl, der verwendet werden muss, wenn das Aktionssymbol im Parallels Client angeklickt wird. Wenden Sie sich für Befehlsspezifikationen an Ihren MFA-Anbieter.

• Beschreibung: Auf dem Bildschirm des Benutzers erscheint eine Beschreibung in einer Sprechblase, wenn der Mauszeiger auf ein Aktionssymbol bewegt wird.

• Aktionsmeldung: Eine Meldung, die dem Benutzer im Feld für den Verbindungsstatus angezeigt wird.

• Bild auswählen: Wählen Sie ein Bild aus der bereitgestellten Galerie aus. Das Bild wird als das Aktionssymbol im OTP-Dialog im Parallels Client verwendet.

Wenn Sie fertig sind, klicken Sie auf OK, um die Aktion zu speichern. Wiederholen Sie die Schritte oben für andere Aktionen.

Hinweis: Sie können bis zu fünf Aktionen erstellen. Wenn alle fünf erstellt sind, wird der Menüpunkt Aufgaben > Hinzufügen deaktiviert.

Sie können die Aktionen auf der Registerkarte Automatisierung nach oben oder nach unten bewegen. Dadurch wird festgesetzt, in welcher Reihenfolge die Aktionssymbole im Parallels Client angezeigt werden.

Automatisch versenden

Es gibt eine weitere Option, die Sie für eine Aktion konfigurieren können. Sie heißt Automatisch versenden. Diese Option kann nur für eine Aktion aktiviert werden, sodass diese zu einer Standardaktion wird, die automatisch und ohne Interaktion des Benutzers verwendet wird.

Um die Option Automatisch versenden zu aktivieren, wählen Sie auf der Registerkarte Automatisierung eine Aktion aus und klicken Sie auf Aufgaben > Automatisch versenden. Um die Option zu deaktivieren, klicken Sie wieder auf denselben Menüpunkt. Wenn Sie Automatisch versenden für eine andere Aktion aktivieren, wird die Option für die vorhergehende Aktion automatisch deaktiviert.

Es gibt es zwei mögliche Methoden, damit eine Aktion in Parallels Client automatisch ausgeführt wird:

• Client erhält die Aktionssymbol-Konfiguration zum ersten Mal und für eine der Aktionen ist die Option Automatisch versenden aktiviert.

• Oder Sie können die Option Zuletzt verwendete Methode merken unter Richtlinien > Sitzung > Verbindung > Multifaktor-Authentifizierung aktivieren. Wenn die Option aktiviert ist, erhält Parallels Client die Richtlinie, und die letzte Methode, die vom Benutzer erfolgreich verwendet wurde, wird zur standardmäßigen automatischen Methode.

Parallels Client

Wenn der Benutzer sich bei Parallels RAS über MFA anmeldet, wird das OTP-Dialogfeld in Parallels Client mit den über dem OTP-Feld positionierten Aktionssymbolen angezeigt. Der Benutzer klickt ein Symbol an und die Authentifizierung wird entsprechend der vordefinierten Aktion ausgeführt. Wenn ein Benutzer beispielsweise das Symbol „Push“ anklickt, wird an das Mobilgerät des Benutzers eine Push-Benachrichtigung gesendet und er kann einfach „Bestätigen“ antippen. Oder es könnte das Symbol „Textnachricht senden“ geben, sodass eine Textnachricht mit einem einmaligen Passwort an das Mobiltelefon des Benutzers gesendet wird. Wenn für eine der Aktionen die Option Automatisch versenden aktiviert ist, wird diese Aktion automatisch verwendet.

Wenn ein Benutzer immer dieselbe Authentifizierungsmethode verwendet, kann er sie zur Standardmethode machen. Um das zu tun, aktiviert der Benutzer die Option Zuletzt verwendete Methode merken im Bereich MFA-Authentifizierung der Verbindungseigenschaften. Abhängig von der Plattform finden Sie die Option an den folgenden Orten:

• Parallels Client für Windows/Linux: Erweiterte Verbindungseinstellungen > MFA-Authentifizierung

• Parallels Client für Mac: Erweitert > MFA-Authentifizierung

• Parallels Client für Chrome: Erweiterte Einstellungen

• Web Client: Einstellungen

• Parallels Client für iOS: Verbindungseinstellungen > MFA-Authentifizierung

• Parallels Client für Android: Einstellungen > MFA-Authentifizierung

Wie bereits oben erwähnt, kann die Option Zuletzt verwendete Methode merken auch in den Client-Richtlinien in der RAS-Konsole konfiguriert werden. Diese Option ist standardmäßig aktiviert.

Für Anweisungen zur Konfiguration von Parallels RAS mit Duo RADIUS lesen Sie bitte den folgenden Artikel der Wissensdatenbank von Parallels: https://kb.parallels.com/124429.