Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Mit Parallels RAS können Sie die Multi-Faktor-Authentifizierung für die Zugriffskontrolle nutzen. Wenn die Multifaktor-Authentifizierung verwendet wird, müssen die Benutzer in zwei aufeinanderfolgenden Phasen authentifiziert werden, um Zugriff auf die Liste der Anwendungen zu erhalten. Während die erste Ebene immer die native Authentifizierung (Active Directory / LDAP) verwendet, kann die zweite Ebene eine der folgenden Lösungen verwenden:
Azure MFA (RADIUS)
Duo (RADIUS)
FortiAuthenticator (RADIUS)
TekRADIUS
RADIUS
Google Authenticator
Microsoft Authenticator
TOTP (Einmalpasswort)
Die Multi-Faktor-Authentifizierung ist sicherer, weil für die Authentifizierung kein Standard-Benutzername mit einem Kennwort verwendet wird, sondern ein statischer Benutzername und ein von einem Token ausgelöstes, einmaliges Kennwort.
Im Abschnitt MFA-Anbieter hinzufügen erfahren Sie, wie Sie einen MFA-Anbieter hinzufügen.
Siehe auch MFA-Regeln konfigurieren.
Sie können eine Mindestanforderung für Typ und Versionsnummer von Parallels Client für die Verbindung mit der Parallels RAS-Farm oder für das Auflisten veröffentlichter Ressourcen festlegen. Zusätzlich können Sie das Parallels Client Sicherheitspatch-Level festsetzen (später in diesem Abschnitt erörtert).
So legen Sie Parallels Client-Anforderungen fest:
Wählen Sie in der RAS-Konsole die Kategorie Verbindung und klicken Sie auf die Registerkarte Zulässige Geräte.
Die Option Nur Clients mit den neuesten Sicherheitspatches zulassen bestimmt das Parallels Client Sicherheitspatch-Level. Wenn die Option aktiviert ist, dürfen nur Clients mit den neuesten Sicherheitspatches eine Verbindung zu Parallels RAS herstellen. Diese Option muss normalerweise ausgewählt werden, um Ihre Umgebung vor Sicherheitsrisiken zu schützen. Sie sollten sie nur deaktivieren, wenn Sie eine ältere Version von Parallels Client verwenden müssen, auf der keine Sicherheitspatches installiert sind. Weitere Informationen finden Sie im folgenden Artikel der Wissensdatenbank: https://kb.parallels.com/de/125112.
In der Dropdownliste Modus können Sie die folgenden Optionen wählen:
Allen Clients eine Verbindung zum System ermöglichen. Keine Einschränkungen. Alle Typen und Versionen von Parallels Client haben volle Zugriffsberechtigung.
Nur ausgewählten Clients eine Verbindung zum System ermöglichen. Mit dieser Option können Sie Typen und Versionen von Parallels Client festlegen, die berechtigt sind, sich mit der Parallels RAS-Farm zu verbinden. Wählen Sie die gewünschten Typen von Parallels Client in der Liste Clients. Um den Wert für Mind. erforderlicher Build festzulegen, klicken Sie mit der rechten Maustaste auf den Typ des Clients und wählen Sie Bearbeiten. Geben Sie die Versionsnummer direkt in die Spalte Mind. erforderlicher Build ein.
Nur ausgewählten Clients eine Verbindung zum System ermöglichen. Mit dieser Option können Sie Typen und Versionen von Parallels Client festlegen, die veröffentlichte Ressourcen auflisten. Im Vergleich mit der oben genannten Option bewirkt diese Option keine Einschränkung der Verbindung von Parallels Client zu Parallels RAS. Wählen Sie diese Option und danach die gewünschten Typen von Parallels Client in der Liste Clients. Um den Wert für Mind. erforderlicher Build festzulegen, klicken Sie mit der rechten Maustaste auf den Typ des Clients und dann auf Bearbeiten im Kontextmenü. Geben Sie die Versionsnummer direkt in die Spalte Mind. erforderlicher Build ein.
Wenn eine Beschränkung konfiguriert ist und ein Parallels Client aus der Liste ausgeschlossen wird, erhält der Benutzer, der mit diesem Client arbeitet, eine entsprechende Fehlermeldung und wird aufgefordert, den Systemadministrator zu kontaktieren.
Die Registerkarte Einstellungen in der Kategorie Verbindung ermöglicht Ihnen die Konfiguration der folgenden Optionen für Remotesitzungen.
Benutzersitzung als Leerlauf deklarieren nach
Diese Option beeinflusst die Statistiken der Berichterstellung. Eine Sitzung wird nach einem bestimmten Zeitraum der Inaktivität als im Leerlauf“ eingestuft.
FIPS 140-2-Verschlüsselung
Mit der Eigenschaft FIPS 140-2-Verschlüsselung können Sie festlegen, ob FIPS-verschlüsselte Verbindungen auf RAS Secure Gateways erlaubt oder sogar erzwungen werden. Wenn Sie die Verschlüsselung zulassen (oder erzwingen), verwenden die Gateways das Verschlüsselungsmodul FIPS 140-2. Sie können aus den folgenden Optionen auswählen:
Deaktiviert. Die FIPS 140-2-Verschlüsselung ist auf RAS Secure Gateways deaktiviert.
Erlaubt. RAS Secure Gateways akzeptieren sowohl FIPS-verschlüsselte als auch nicht-FIPS-verschlüsselte Verbindungen.
Erzwungen. RAS Secure Gateways akzeptieren FIPS-verschlüsselte Verbindungen und löschen jede nicht FIPS-verschlüsselte Verbindung.
Hinweis: Damit die FIPS 140-2-Verschlüsselung funktioniert, muss auf jedem RAS Secure Gateway ein FIPS-konformes Zertifikat installiert sein.
Wenn Sie die FIPS 140-2-Verschlüsselung aktivieren, wird der Verschlüsselungsstatus auf der Registerkarte Informationen > Site in der RAS-Konsole angezeigt. Suchen Sie nach der Verschlüsselungs-Eigenschaft eines RAS Secure Gateways.
Hinweis: Wenn Sie FIPS verwenden, wird die minimal zulässige Version von TLS automatisch auf 1.2 gesetzt.
FIPS 140-2-Verschlüsselung wird in allen Versionen von Parallels Client unterstützt, mit Ausnahme der folgenden:
Parallels Client für Windows installiert auf Windows 8.1 oder früher
Parallels Client für Android
Parallels Client für iOS:
Web Client
Hinweis: Parallels Client für ARM64 unterstützt FIPS 140-2 nicht.
Bitte beachten Sie auch, dass die FIPS 140-2-Verschlüsselung für alle Benutzer in einer bestimmten Serverfarm gilt, wenn sie erzwungen wird. Wenn es notwendig ist, FIPS für eine Benutzergruppe zu erzwingen und für eine andere nicht, muss zu diesem Zweck eine neue Serverfarm eingerichtet werden.
Automatisches Abmelden einer Clientverbindung im Leerlauf nach
Legt die Zeitdauer fest, nach der eine ruhende Clientverbindung abgemeldet werden muss. Sobald die Verbindung abgemeldet wurde, wird der Benutzer von Parallels RAS getrennt und sieht das Dialogfeld Verbindungen im Parallels Client als Information, dass er abgemeldet wurde. Er kann sich über das Dialogfeld wieder anmelden. Die Parallels Clientverbindung gilt als inaktiv, nachdem die letzte Benutzersitzung getrennt oder abgemeldet wurde.
Zeitüberschreitung für zwischengespeicherte Authentifizierungstoken
Hier geben Sie ein, wie lange eine Sitzung im Cache gehalten wird (eine größere Zeitspanne reduziert Active Directory-Transaktionen).
Zwischengespeicherte Authentifizierungstoken löschen (eine Schaltfläche)
Löscht alle zwischengespeicherten Sitzungsdaten.
Ein Parallels RAS-Administrator kann einstellen, wie die Benutzer eine Verbindung zu Parallels RAS herstellen. In diesem Kapitel werden die Verbindungs- und Authentifizierungseinstellungen beschrieben, die Sie entsprechend Ihren Anforderungen konfigurieren können. Danach wird erläutert, wie Sie mithilfe der Zwei-Faktor-Authentifizierung die Sicherheit erhöhen können.
Die Verbindungseinstellungen für RAS Connection Broker sind über die Kategorie Verbindung zugänglich.
Wählen Sie die Registerkarte Authentifizierung. Wählen Sie im Abschnitt Erlaubte Authentifizierungstypen eine der folgenden Optionen:
Anmeldeinformationen. Die Benutzer-Anmeldeinformationen werden durch das Windows-System validiert, auf dem RAS läuft. Die für die Windows-Authentifizierung benutzten Anmeldedaten werden auch verwendet, um sich bei einer RDP-Sitzung anzumelden.
Smartcard. Smartcard-Authentifizierung. Ähnlich wie bei der Windows-Authentifizierung können Smartcard-Anmeldedaten sowohl von RAS als auch von RDP verwendet werden. Daher müssen Smartcard-Anmeldedaten nur einmal eingegeben werden. Anders als bei der Windows-Authentifizierung muss der Benutzer nur die PIN der Smartcard kennen. Der Benutzername wird automatisch aus der Smartcard bezogen, daher muss der Benutzer ihn nicht eingeben.
Web (SAML). SAML SSO-Authentifizierung.
Web und Anmeldeinformationen. Dasselbe gilt für das Web (SAML), aber die Benutzer werden aufgefordert, ihre Anmeldeinformationen einzugeben, wenn sie eine veröffentlichte Anwendung starten.
Beachten Sie: Wenn die Smartcard-Authentifizierung deaktiviert ist, verknüpft RAS Connection Broker den Local Security Authority Subsystem Service (LSASS) nicht. Die Smartcard-Authentifizierung kann in Parallels Client für Windows, Mac und Linux verwendet werden. Beachten Sie auch, dass Smartcards nicht zur Authentifizierung verwendet werden können, wenn der Parallels Client innerhalb einer RDP-Sitzung ausgeführt wird.
Für die Verwendung von Smartcards muss ein gültiges Zertifikat auf einem Endgerät installiert sein. Dazu müssen Sie das Stammzertifikat der Zertifizierungsstelle in den Schlüsselspeicher des Geräts importieren.
Ein Zertifikat muss die folgenden Kriterien erfüllen:
Das Feld „Key Usage“ muss eine digitale Signatur enthalten.
Das Feld „Alternative Antragstellernamen“ (Subject Alternative Name – SAN) muss einen Benutzerhauptnamen („User Principal Name“, UPN) enthalten.
Das Feld „Enhanced Key Usage“ muss die Anmeldung an der Smartcard und die Client-Authentifizierung enthalten.
Wählen Sie eine der folgenden Optionen, um eine Authentifizierungsdomäne festzulegen:
Spezifisch: Wählen Sie diese Option aus und geben Sie einen spezifischen Domänennamen ein.
Alle vertrauenswürdigen Domänen: Wenn die Informationen über Benutzer, die sich mit Parallels RAS verbinden, in verschiedenen Domänen innerhalb eines Server-Forests gespeichert sind, wählen Sie die Option Alle vertrauenswürdigen Domänen, um eine Authentifizierung bei mehreren Domänen vorzunehmen.
Client-Domäne verwenden, falls angegeben: Wählen Sie diese Option, um die Domäne zu verwenden, die in den Eigenschaften der Parallels Clientverbindung festgelegt ist. Wenn auf Seiten des Clients kein Domänenname angegeben ist, wird die Authentifizierung entsprechend den oben angeführten Einstellungen durchgeführt.
Verwendung von NetBIOS-Zugangsdaten für Clients vorgeben: Wenn diese Option ausgewählt ist, ersetzt der Parallels Client den Benutzernamen durch den NetBIOS-Benutzernamen.
Hinweis: Wenn ein Zertifikat auf Ihrer Smartcard den Hauptnamen eines Benutzers (UPN) im Feld „Alternativer Antragstellername“ (Subject Alternative Name – SAN) nicht enthält (oder wenn das Feld „Alternativer Antragstellername“ überhaupt nicht vorhanden ist) müssen Sie die Option Verwendung von NetBIOS-Anmeldeinformationen für Clients vorgeben.
Empfehlung: Nachdem Sie die Domänennamen oder andere Änderungen im Zusammenhang mit der Authentifizierung geändert haben, klicken Sie auf die Schaltfläche Zwischengespeicherte Session-IDs löschen auf der Registerkarte Einstellungen.
Um die Authentifizierung von Benutzersitzungen für Benutzer auf einer eigenständigen Maschine durchzuführen, müssen Sie anstelle des Domänennamens das Format [workgroup_name] / [machine_name] verwenden. Wenn Sie beispielsweise Benutzer anhand einer Liste lokaler Benutzer auf einem Computer namens SERVER1 authentifizieren möchten, der Mitglied der Arbeitsgruppe WORKGROUP ist, lautet der Eintrag im Feld „Domäne“ wie folgt: WORKGROUP/SERVER1.
Sie können Parallels Client so konfigurieren, dass er eine benutzerdefinierte URL zum Ändern von Domain-Passwörtern verwendet.
Damit Parallels Client eine benutzerdefinierte URL zum Ändern von Domain-Passwörtern verwendet:
Wählen Sie die Option Benutzerdefinierten Link für das Feld „Domain-Passwort ändern“.
Den Link in das untenstehende Textfeld eingeben.
Hinweis: Diese Funktion wird auf Parallels Clients vor Version 19 und Parallels Client für Chrome nicht unterstützt. Durch das Erstellen einer Regel für Anmeldezeiten wird die Möglichkeit eingeschränkt, mit diesen Clients eine Verbindung zu veröffentlichten Ressourcen (innerhalb eines Standorts) herzustellen.
Mithilfe von flexiblen, ausdrucksbasierten Regeln, können Sie den Benutzerzugriff auf veröffentlichte Ressourcen während bestimmter Zeiträume einschränken.
Voraussetzungen
Die Zeitzonenumleitung muss auf den Server eingestellt sein, damit die Funktion wie vorgesehen funktioniert.
So aktivieren Sie die Gruppenrichtlinieneinstellung Zeitzonenumleitung zulassen“:
Öffnen Sie auf dem Active Directory-Server die Verwaltungskonsole für Gruppenrichtlinien.
Erweitern Sie Ihre Domäne und Ihre Gruppenrichtlinienobjekte.
Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie für die Gruppenrichtlinieneinstellungen erstellt haben, und wählen Sie Bearbeiten aus.
Navigieren Sie im Editor für die Gruppenrichtlinienverwaltung zu Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotedesktop-Sitzungshost > Geräte- und Ressourcenumleitung.
Aktivieren Sie die Einstellung Zeitzonenumleitung zulassen.
Hinzufügen einer Regel für die Anmeldezeiten
So fügen Sie eine neue Regel für die Anmeldezeiten hinzu:
Navigieren Sie in der RAS-Konsole zu Verbindung und wählen Sie die Registerkarte Anmeldezeiten aus.
Klicken Sie auf Aufgaben > Hinzufügen (oder klicken Sie auf das Symbol [+]).
Geben Sie im Feld Name einen Namen für die Regel ein.
Geben Sie die Beschreibung der Regel in das Feld Beschreibung ein.
Im Abschnitt Kriterien geben Sie die Kriterien für die Regel ein. Folgende Steuerelemente sind verfügbar:
(+): fügt ein neues Kriterium hinzu. Wenn Sie ein Secure Gateway, einen Client-Gerätenamen, ein Client-Gerätebetriebssystem, eine IP-Adresse oder eine Hardware-ID abgleichen möchten, klicken Sie auf (+). Wählen Sie im angezeigten Kontextmenü den Typ des Objekts aus, das Sie abgleichen möchten, und fügen Sie im daraufhin angezeigten Dialogfeld die entsprechenden Objekte hinzu. Das neue Kriterium wird auf der nächsten Zeile angezeigt:
(X): Löscht ein bestimmtes Objekt aus dem Abgleich. Wenn Sie z. B. die IP-Adresse 198.51.100.1 aus dem Abgleich entfernen möchten, klicken Sie daneben auf (X). Dieses Steuerungselement wird angezeigt, wenn mindestens ein Objekt hinzugefügt wurde. Wenn alle Objekte in einem Kriterium gelöscht werden, wird das Kriterium entfernt.
ist und ist nicht: legt fest, ob die Regel für die Anmeldezeiten angewendet werden muss, wenn eine Benutzerverbindung den Kriterien entspricht. Klicken Sie auf den Link, um zwischen den beiden Optionen zu wechseln. Dieses Steuerungselement wird angezeigt, wenn mindestens ein Objekt hinzugefügt wurde.
Konfigurieren: bearbeitet die Liste der abzugleichenden Objekte. Klicken Sie auf diesen Link, um neue Objekte hinzuzufügen oder zu löschen. Beachten Sie, dass für das erste Kriterium (Benutzer oder Gruppe) dieser Link jeder heißt. Es ändert sich in Konfigurieren, sobald Sie Objekte für dieses Kriterium angeben.
Unter Anmeldezeiten geben Sie die Stunden an, zu denen sich Benutzer anmelden dürfen. Um die Anmeldung an einem bestimmten Tag oder in einem bestimmten Zeitraum zu verweigern, wählen Sie diesen Tag oder diesen Zeitraum aus und klicken Sie auf die Schaltfläche Anmeldung verweigert, die sich rechts neben der Tabelle befindet.
Klicken Sie auf OK.
Klicken Sie auf Übernehmen.
Hinweis: Wenn keine Regeln für die Anmeldezeiten festgelegt sind, wird der Zugriff auf veröffentlichte Ressourcen nicht eingeschränkt. Wenn Regeln angegeben sind, die Verbindung des Benutzers aber keiner dieser Regeln entspricht, wird dem Benutzer der Zugang verweigert.
Für eine Anmeldezeitenregel können Sie auch die folgenden Einstellungen festlegen:
Parallels Client nicht erlauben, außerhalb der erlaubten Anmeldezeiten eine Verbindung herzustellen: Wenn diese Option ausgewählt ist, kann ein Parallels Client keine Verbindung zu Ressourcen herstellen, die auf der Site veröffentlicht sind.
Benutzersitzung trennen, wenn die Zeit abgelaufen ist: Wenn diese Option ausgewählt ist, wird den Benutzern eine Meldung angezeigt, dass ihre Sitzungen getrennt werden. Nachdem Sie diese Option ausgewählt haben, können Sie die folgenden Einstellungen vornehmen:
Benutzer vor dem Trennen der Verbindung benachrichtigen: Zeitpunkt, zu dem Parallels RAS den Benutzer benachrichtigt, bevor der Client von der Serverfarm getrennt wird.
Dem Benutzer erlauben, die Sitzungszeit zu verlängern: Falls ausgewählt, kann der Benutzer die Sitzung verlängern.
Um diese Einstellungen festzulegen:
Navigieren Sie in der RAS-Konsole zu Verbindung und wählen Sie die Registerkarte Anmeldezeiten aus.
Wählen Sie die Regel an, die Sie konfigurieren möchten.
Klicken Sie auf das Zahnradsymbol links neben dem Menü Aufgabe. Das Dialogfeld Optionen wird geöffnet. Wählen Sie die gewünschten Optionen aus.
Die Registerkarte Verbindung bietet Ihnen folgende Optionen:
Anzeigename: Geben Sie den Namen des OCP-Verbindungstyps ein, der auf dem Anmeldebildschirm auf dem Client angezeigt wird. Dies sollte der Name sein, den Ihre Benutzer eindeutig verstehen.
Primärer Server und Sekundärer Server: Mit diesem beiden Feldern können Sie angeben, ob in der Konfiguration ein oder zwei RADIUS-Server enthalten sein sollen. Wenn Sie zwei Server angeben, können Sie Hochverfügbarkeit für RADIUS-Hosts konfigurieren (siehe unten). Geben Sie einen Server ein, indem Sie seinen Hostnamen oder die IP-Adresse eingeben oder klicken Sie auf die Schaltfläche [...], um einen Server über Active Directory auszuwählen.
Wenn zwei RADIUS-Server angegeben sind, wählen Sie aus der Dropdownliste HA-Modus einen der folgenden Hochverfügbarkeitsmodi aus. Aktiv-aktiv (parallel) bedeutet, dass der Befehl an beide Server zugleich geschickt wird. Es wird der verwendet, der zuerst antwortet. Aktiv-passiv (Failover) bedeutet, dass Failover und Zeitlimit verdoppelt werden und Parallels RAS auf Antwort beider Hosts wartet.
HA-Modus: Weitere Informationen finden Sie unter Primärer Server und Sekundärer Server oben: Wenn nur der Primäre Server angegeben ist, ist dieses Feld deaktiviert.
Port: Geben Sie die Portnummer für den RADIUS-Server ein. Klicken Sie auf die Schaltfläche Standard, um den Standardwert zu verwenden.
Zeitlimit: Geben Sie das Zeitlimit für das Paket in Sekunden an.
Erneute Versuche: Geben Sie die Anzahl der erneuten Versuche für die Herstellung einer Verbindung an.
Geheimer Schlüssel: Geben Sie den geheimen Schlüssel ein.
Passwortverschlüsselung: Wählen Sie PAP (Password Authentication Protocol) oder CHAP (Challenge Handshake Authentication Protocol), je nach den Einstellungen auf Ihrem RADIUS-Server.
Klicken Sie auf die Schaltfläche Verbindung überprüfen, um die Verbindung zu bestätigen. Wenn die Verbindung ordnungsgemäß konfiguriert ist, wird eine Bestätigungsmeldung angezeigt.
Geben Sie ggf. zusätzliche Eigenschaften an:
Eingabeaufforderung: Geben Sie den Text an, den der Benutzer sieht, wenn er zu einem OTP-Dialog aufgefordert wird.
Benutzernamen nur an RADIUS-Server weiterleiten: Wählen Sie ggf. diese Option.
Leiten Sie das erste Passwort an den Windows-Authentifizierungsanbieter weiter: Wählen Sie diese Option, um eine zweimalige Aufforderung zur Eingabe des Passworts (RADIUS und Windows AD) zu vermeiden. Beachten Sie, dass diese Option für den Azure MFA-Server immer aktiviert ist und nicht ausgeschaltet werden kann.
Bitte lesen Sie auch den Hinweis unten im Dialogfeld (falls vorhanden), in dem eine bestimmte Einstellung für die ausgewählte RADIUS-Lösung vorgeschlagen wird.
Wenn Ihre RADIUS-Lösung die Konfiguration von Attributen erfordert, klicken Sie auf die Registerkarte Attribute und dann auf Hinzufügen. Wählen Sie in dem sich öffnenden Dialogfeld einen vorkonfigurierten Hersteller und ein Attribut aus.
Wählen Sie in der Dropdownliste Hersteller einen Hersteller aus.
Wählen Sie in der Liste der Attribute ein Herstellerattribut aus.
Geben Sie im Feld Wert einen Wert für den ausgewählten Attributtyp ein (numerisch, Zeichenfolge, IP-Adresse, Datum usw.).
In bestimmten Szenarien müssen Sie möglicherweise Lieferanten und Attribute hinzufügen, die in diesem Dialogfeld nicht aufgeführt sind. Weitere Informationen zum Hinzufügen von Lieferanten und Attributen finden Sie im folgendem Artikel der Wissensdatenbank: https://kb.parallels.com/de/125576.
Klicken Sie auf OK und danach erneut auf OK, um alle Dialogfelder zu schließen.
Über die Registerkarte Automatisierung im RADIUS-Dialogfeld Eigenschaften können Sie das OTP-Erlebnis für Parallels Client-Nutzer anpassen, indem Sie die Sicherheitsüberprüfungsmethoden und benutzerdefinierte Befehle anpassen, die während des MFA-Anmeldeprozesses an den RADIUS-Server zu senden sind. Verschiedene Sicherheitsüberprüfungsmethoden können mit einer Priorität versehen und so konfiguriert werden, dass sie automatisch verwendet werden können.
Ist diese Funktion konfiguriert, können Benutzer ihre bevorzugte Sicherheitsüberprüfungsmethode aus einer vordefinierten und konfigurierbaren Liste auswählen, einschließlich Push-Benachrichtigungen, Telefonrückruf, SMS, E-Mail und Benutzerdefiniert. Die Methoden erscheinen im OTP-Dialogfeld in Parallels Client als anklickbare Symbole. Klickt ein Benutzer ein Symbol an, wird ein Befehl an den RADIUS-Server gesendet und die entsprechende Überprüfungsmethode wird verwendet.
Um eine Überprüfungsmethode (wird hier und in der Parallels RAS-Konsole auch Aktionen“ genannt) zu konfigurieren, klicken Sie auf der Registerkarte Automatisierung auf Aufgaben > Hinzufügen. Geben Sie im Dialogfeld Aktion hinzufügen die folgenden Eigenschaften an:
Aktion aktivieren: Die Aktion kann damit aktiviert oder deaktiviert werden.
Titel: Der Text, der im Parallels Client auf dem anklickbaren Symbol erscheint (z. B. Push“).
Befehl: Der OTP-Befehl, der verwendet werden muss, wenn das Aktionssymbol im Parallels Client angeklickt wird. Wenden Sie sich für Befehlsspezifikationen an Ihren MFA-Anbieter.
Beschreibung: Auf dem Bildschirm des Benutzers erscheint eine Beschreibung in einer Sprechblase, wenn der Mauszeiger auf ein Aktionssymbol bewegt wird.
Aktionsmeldung: Eine Meldung, die dem Benutzer im Feld für den Verbindungsstatus angezeigt wird.
Bild auswählen: Wählen Sie ein Bild aus der bereitgestellten Galerie aus. Das Bild wird als das Aktionssymbol im OTP-Dialog im Parallels Client verwendet.
Wenn Sie fertig sind, klicken Sie auf OK, um die Aktion zu speichern. Wiederholen Sie die Schritte oben für andere Aktionen.
Hinweis: Sie können bis zu fünf Aktionen erstellen. Wenn alle fünf erstellt sind, wird der Menüpunkt Aufgaben > Hinzufügen deaktiviert.
Sie können die Aktionen auf der Registerkarte Automatisierung nach oben oder nach unten bewegen. Dadurch wird festgesetzt, in welcher Reihenfolge die Aktionssymbole im Parallels Client angezeigt werden.
Automatisch versenden
Es gibt eine weitere Option, die Sie für eine Aktion konfigurieren können. Sie heißt Automatisch versenden. Diese Option kann nur für eine Aktion aktiviert werden, sodass diese zu einer Standardaktion wird, die automatisch und ohne Interaktion des Benutzers verwendet wird.
Um die Option Automatisch versenden zu aktivieren, wählen Sie auf der Registerkarte Automatisierung eine Aktion aus und klicken Sie auf Aufgaben > Automatisch versenden. Um die Option zu deaktivieren, klicken Sie wieder auf denselben Menüpunkt. Wenn Sie Automatisch versenden für eine andere Aktion aktivieren, wird die Option für die vorhergehende Aktion automatisch deaktiviert.
Es gibt es zwei mögliche Methoden, damit eine Aktion in Parallels Client automatisch ausgeführt wird:
Client erhält die Aktionssymbol-Konfiguration zum ersten Mal und für eine der Aktionen ist die Option Automatisch versenden aktiviert.
Oder Sie können die Option Zuletzt verwendete Methode merken unter Richtlinien > Sitzung > Verbindung > Multifaktor-Authentifizierung aktivieren. Wenn die Option aktiviert ist, erhält Parallels Client die Richtlinie, und die letzte Methode, die vom Benutzer erfolgreich verwendet wurde, wird zur standardmäßigen automatischen Methode.
Parallels Client
Wenn der Benutzer sich bei Parallels RAS über MFA anmeldet, wird das OTP-Dialogfeld in Parallels Client mit den über dem OTP-Feld positionierten Aktionssymbolen angezeigt. Der Benutzer klickt ein Symbol an und die Authentifizierung wird entsprechend der vordefinierten Aktion ausgeführt. Wenn ein Benutzer beispielsweise das Symbol Push“ anklickt, wird an das Mobilgerät des Benutzers eine Push-Benachrichtigung gesendet und er kann einfach Bestätigen“ antippen. Oder es könnte das Symbol Textnachricht senden“ geben, sodass eine Textnachricht mit einem einmaligen Passwort an das Mobiltelefon des Benutzers gesendet wird. Wenn für eine der Aktionen die Option Automatisch versenden aktiviert ist, wird diese Aktion automatisch verwendet.
Wenn ein Benutzer immer dieselbe Authentifizierungsmethode verwendet, kann er sie zur Standardmethode machen. Um das zu tun, aktiviert der Benutzer die Option Zuletzt verwendete Methode merken im Bereich MFA-Authentifizierung der Verbindungseigenschaften. Abhängig von der Plattform finden Sie die Option an den folgenden Orten:
Parallels Client für Windows/Linux: Erweiterte Verbindungseinstellungen > MFA-Authentifizierung
Parallels Client für Mac: Erweitert > MFA-Authentifizierung
Parallels Client für Chrome: Erweiterte Einstellungen
Web Client: Einstellungen
Parallels Client für iOS: Verbindungseinstellungen > MFA-Authentifizierung
Parallels Client für Android: Einstellungen > MFA-Authentifizierung
Wie bereits oben erwähnt, kann die Option Zuletzt verwendete Methode merken auch in den Client-Richtlinien in der RAS-Konsole konfiguriert werden. Diese Option ist standardmäßig aktiviert.
So fügen Sie einen MFA-Anbieter hinzu:
Navigieren Sie in der RAS-Konsole zu Verbindung und wählen Sie die Registerkarte Multi-Faktor-Authentifizierung aus.
Klicken Sie auf Aufgaben > Hinzufügen (oder klicken Sie auf das Symbol [+]).
Wählen Sie Ihren MFA-Anbieter aus. Ein Assistent wird geöffnet.
Geben Sie im Fenster des Assistenten die folgenden Parameter an:
Name: Name des Anbieters.
Beschreibung: Beschreibung des Anbieters.
Wählen Sie in der Tabelle Designs die Designs aus, die diesen MFA-Anbieter verwenden sollen.
Klicken Sie auf Weiter.
Führen Sie einen der folgenden Schritte aus:
Wenn Sie RADIUS verwenden, konfigurieren Sie es wie unter Verbindung beschrieben und klicken Sie dann auf Fertigstellen“.
Wenn Sie Deepnet DualShield verwenden, konfigurieren Sie die Einstellungen so, wie in Konfigurieren von Parallels RAS für die Nutzung der DualShield Authentication Platform beschrieben. Weitere Informationen über das Konfigurieren der Authentifizierungsplattform DualShield finden Sie im Abschnitt Konfigurieren der Authentifizierungsplattform DualShield 5.6+.
Wenn Sie SafeNet verwenden, konfigurieren Sie es wie unter SafeNet konfigurieren beschrieben.
Wenn Sie Google Authenticator verwenden, konfigurieren Sie die Lösung wie unter Google Authenticator konfigurieren beschrieben.
Wenn Sie einen anderen TOTP-Anbieter als Google Authenticator verwenden, konfigurieren Sie die Lösung wie unter TOTP konfigurieren beschrieben.
Über die Registerkarte Erweitert können Sie die vom RADIUS-Server gesendeten Fehlermeldungen angeben, die von Parallels Client nicht angezeigt werden sollen. Dies kann nützlich sein, wenn eine Fehlermeldung für den Benutzer verwirrend ist oder die Benutzererfahrung stört.
Standardmäßig wird die Meldung Neue SMS-Passcodes gesendet“ zur Liste der ignorierten Nachrichten für DUO Radius hinzugefügt. Dies geschieht, um die Authentifizierung per SMS für den Benutzer zu erleichtern. Es wird nicht empfohlen, diese Meldung aus der Liste der ignorierten Meldungen zu entfernen.
So fügen Sie eine neue Meldung zur Liste der ignorierten Meldungen hinzu:
Auf der Registerkarte Erweitert klicken Sie auf Aufgaben > Hinzufügen (Sie können auch auf das Symbol [+] klicken).
Geben Sie den genauen Text der Fehlermeldung ein, die ignoriert werden soll. Bei den Meldungen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Bitte beachten Sie, dass Sie nur den vom RADIUS-Server gesendeten Text angeben müssen. Wenn Parallels Client beispielsweise einen Fehler anzeigt, der lautet: Code [01/00000003] Anmeldung über RADIUS fehlgeschlagen. Fehler: Neue SMS-Passwörter gesendet.“, müssen Sie Neue SMS-Passwörter gesendet.“ zur Liste hinzufügen.
Für Anweisungen zur Konfiguration von Parallels RAS mit Duo RADIUS lesen Sie bitte den folgenden Artikel der Wissensdatenbank von Parallels: https://kb.parallels.com/124429.
So konfigurieren Sie die TOTP-Einstellungen:
Geben Sie Folgendes an:
Anzeigename: Der Standardname ist hier TOTP. Der Name wird im Registrierungsdialog im Parallels Client im folgenden Satz angezeigt: „Installieren Sie die TOTP-App auf Ihrem iOS- oder Android-Gerät“. Wenn Sie den Namen ändern, enthält der Satz den von Ihnen angegebenen Namen, wie z. B. „Installieren Sie \neuer Name\ auf Ihrem iOS- oder Android-Gerät“.
Eingabeaufforderung: Geben Sie den Text an, den der Benutzer sieht, wenn er zu einem OTP-Dialog aufgefordert wird.
Im Abschnitt Benutzerregistrierung können Sie die Benutzerregistrierung bei Bedarf einschränken. Sie können allen Benutzern die Registrierung ohne Einschränkungen erlauben (Option Zulassen), die Registrierung bis zum angegebenen Datum und zur angegebenen Zeit erlauben (Option Zulassen bis) oder die Registrierung vollständig deaktivieren (Option Nicht zulassen). Wenn die Registrierung aufgrund eines abgelaufenen Zeitraums oder der aktivierten Option Nicht zulassen deaktiviert wurde, wird einem Benutzer, der versucht, sich anzumelden, eine Fehlermeldung angezeigt, die besagt, dass die Registrierung deaktiviert ist, und dem Benutzer rät, sich an den Systemadministrator zu wenden. Wenn Sie die Registrierung einschränken oder deaktivieren, kann Google Authenticator oder ein anderer TOTP-Anbieter weiterhin verwendet werden, jedoch mit zusätzlicher Sicherheit, durch die keine weitere Benutzerregistrierung zugelassen wird. Hierbei handelt es sich um eine Sicherheitsmaßnahme, um Benutzer mit kompromittierten Anmeldeinformationen davon abzuhalten, sich bei MFA zu registrieren.
Informationen für nicht registrierte Benutzer anzeigen: Wählen Sie aus, ob nicht registrierten Benutzern der Fehler Der Benutzername oder das Kennwort ist falsch angezeigt werden soll, wenn sie falsche Anmeldeinformationen eingeben:
Nie (sicherste Option): Nicht registrierten Benutzern wird statt des Fehlers eine TOTP-Aufforderung angezeigt.
Falls Registrierung erlaubt ist: Nicht registrierten Benutzern wird der Fehler angezeigt, wenn Benutzerregistrierung erlaubt ist. Falls nicht, wird die TOTP-Aufforderung angezeigt.
Immer: Nicht registrierten Benutzern wird der Fehler immer angezeigt.
Im Abschnitt Authentifizierung können Sie die TOTP-Toleranz konfigurieren. Bei der Verwendung eines zeitbasierten Einmalkennworts (TOTP) muss die Uhrzeit zwischen dem RAS Connection Broker und den Client-Geräten synchronisiert werden. Die Synchronisation muss mit einem globalen NTP-Server (z. B. time.goole.com) durchgeführt werden. Über die Dropdownliste TOTP-Toleranz können Sie eine Zeitdifferenz auswählen, die bei der Authentifizierung toleriert werden soll. Erweitern Sie die Dropdownliste und wählen Sie einen der vordefinierten Werte (Anzahl der Sekunden). Beachten Sie, dass das Ändern der Zeittoleranz mit Vorsicht verwendet werden sollte, weil es Auswirkungen auf die Sicherheit hat, da die zeitliche Gültigkeit eines Sicherheitstokens erhöht werden kann und somit ein größeres Zeitfenster für potenziellen Missbrauch entsteht. Hinweis: Bei der Verwendung von TOTP-Anbietern muss sowohl die Uhrzeit der Connection Broker als auch die der Client-Geräte mit einem globalen NTP-Server (z. B. time.google.com) synchronisiert sein. Durch Hinzufügen der TOTP-Toleranz wird die Gültigkeit des einmaligen Passworts erhöht, was Auswirkungen auf die Sicherheit haben kann.
Das Feld Benutzer zurücksetzen im Abschnitt Benutzerverwaltung wird verwendet, um den Token zurückzusetzen, den ein Benutzer erhalten hat, als er versucht hat, sich zum ersten Mal mit TOTP-Anbieter bei Parallels RAS anzumelden. Wenn Sie einen Benutzer zurücksetzen, muss er das Registrierungsverfahren erneut durchlaufen (Anweisungen für Google Authenticator finden Sie unter Verwendung von Google Authenticator im Parallels Client). Sie können nach bestimmten Benutzern suchen, alle Benutzer zurücksetzen oder die Liste der Benutzer aus einer CSV-Datei importieren.
Klicken Sie auf Fertigstellen.
Beachten Sie auch, dass die verfügbare TOTP-Zeit aus den standardmäßigen 30 Sekunden + x Sekundenanzahl in der Vergangenheit + x Sekundenanzahl in der Zukunft berechnet wird.
Siehe TOTP konfigurieren.
So konfigurieren Sie die Google Authenticator-Einstellungen:
Geben Sie Folgendes an:
Anzeigename: Der Standardname ist hier Google Authenticator. Der Name wird im Registrierungsdialog im Parallels Client im folgenden Satz angezeigt: „Installieren Sie die Google Authenticator-App auf Ihrem iOS- oder Android-Gerät“. Wenn Sie den Namen ändern, enthält der Satz den von Ihnen angegebenen Namen, wie z. B. „Installieren Sie \neuer Name\ auf Ihrem iOS- oder Android-Gerät“. Technisch gesehen können Sie jede beliebige Authentifizierer-Anwendung verwenden (daher die Möglichkeit, den Namen zu ändern), aber zum Zeitpunkt dieses Artikels wird ausschließlich die Google Authenticator-Anwendung offiziell unterstützt.
Eingabeaufforderung: Geben Sie den Text an, den der Benutzer sieht, wenn er zu einem OTP-Dialog aufgefordert wird.
Im Abschnitt Benutzerregistrierung können Sie die Benutzerregistrierung über Google Authenticator bei Bedarf einschränken. Sie können allen Benutzern die Registrierung ohne Einschränkungen erlauben (Option Zulassen), die Registrierung bis zum angegebenen Datum und zur angegebenen Zeit erlauben (Option Zulassen bis) oder die Registrierung vollständig deaktivieren (Option Nicht zulassen). Wenn die Registrierung aufgrund eines abgelaufenen Zeitraums oder der aktivierten Option Nicht zulassen deaktiviert wurde, wird einem Benutzer, der versucht, sich anzumelden, eine Fehlermeldung angezeigt, die besagt, dass die Registrierung deaktiviert ist, und dem Benutzer rät, sich an den Systemadministrator zu wenden. Wenn Sie die Registrierung einschränken oder deaktivieren, kann Google Authenticator oder ein anderer TOTP-Anbieter weiterhin verwendet werden, jedoch mit zusätzlicher Sicherheit, durch die keine weitere Benutzerregistrierung zugelassen wird. Hierbei handelt es sich um eine Sicherheitsmaßnahme, um Benutzer mit kompromittierten Anmeldeinformationen davon abzuhalten, sich bei MFA zu registrieren.
Informationen für nicht registrierte Benutzer anzeigen: Wählen Sie aus, ob nicht registrierten Benutzern der Fehler Der Benutzername oder das Kennwort ist falsch angezeigt werden soll, wenn sie falsche Anmeldeinformationen eingeben:
Nie (sicherste Option): Nicht registrierten Benutzern wird statt des Fehlers eine TOTP-Aufforderung angezeigt.
Falls Registrierung erlaubt ist: Nicht registrierten Benutzern wird der Fehler angezeigt, wenn Benutzerregistrierung erlaubt ist. Falls nicht, wird die TOTP-Aufforderung angezeigt.
Immer: Nicht registrierten Benutzern wird der Fehler immer angezeigt.
Im Abschnitt Authentifizierung können Sie die TOTP-Toleranz konfigurieren. Bei der Verwendung eines zeitbasierten Einmalkennworts (TOTP) muss die Uhrzeit zwischen dem RAS Connection Broker und den Client-Geräten synchronisiert werden. Die Synchronisation muss mit einem globalen NTP-Server (z. B. time.goole.com) durchgeführt werden. Über die Dropdownliste TOTP-Toleranz können Sie eine Zeitdifferenz auswählen, die bei der Authentifizierung toleriert werden soll. Erweitern Sie die Dropdownliste und wählen Sie einen der vordefinierten Werte (Anzahl der Sekunden). Beachten Sie, dass das Ändern der Zeittoleranz mit Vorsicht verwendet werden sollte, weil es Auswirkungen auf die Sicherheit hat, da die zeitliche Gültigkeit eines Sicherheitstokens erhöht werden kann und somit ein größeres Zeitfenster für potenziellen Missbrauch entsteht.
Hinweis: Bei der Verwendung von TOTP-Anbietern (Time-based One-time Passwords, TOTP) muss sowohl die Uhrzeit der Connection Broker als auch die der Client-Geräte mit einem globalen NTP-Server (z. B. time.google.com) synchronisiert sein. Durch Hinzufügen der TOTP-Toleranz wird die Gültigkeit des einmaligen Passworts erhöht, was Auswirkungen auf die Sicherheit haben kann.
Das Feld Benutzer zurücksetzen im Abschnitt Benutzerverwaltung wird verwendet, um den Token zurückzusetzen, den ein Benutzer erhalten hat, als er versucht hat, sich zum ersten Mal mit Google Authenticator bei Parallels RAS anzumelden. Wenn Sie einen Benutzer zurücksetzen, muss er das Registrierungsverfahren erneut durchlaufen (siehe Verwendung von Google Authenticator im Parallels Client unten). Sie können nach bestimmten Benutzern suchen, alle Benutzer zurücksetzen oder die Liste der Benutzer aus einer CSV-Datei importieren.
Klicken Sie auf Fertigstellen.
Beachten Sie auch, dass die verfügbare TOTP-Zeit aus den standardmäßigen 30 Sekunden + x Sekundenanzahl in der Vergangenheit + x Sekundenanzahl in der Zukunft berechnet wird.
Wichtig: Um Google Authenticator oder andere TOTP-Anbieter verwenden zu können, muss die Zeit auf einem Benutzergerät mit der Zeit auf dem RAS Connection Broker-Server synchronisiert sein. Andernfalls schlägt die Google-Authentifizierung fehl.
Google Authenticator wird im Parallels Client unterstützt und läuft auf allen unterstützten Plattformen (mobil, Desktop und Web).
Um Google Authenticator zu verwenden, muss ein Nutzer die Authenticator-App auf seinem iOS- oder Android-Gerät installieren. Besuchen Sie einfach Google Play oder den App Store und installieren Sie die App. Sobald die Authenticator-App installiert ist, kann der Benutzer eine Verbindung zu Parallels RAS mit Zwei-Faktor-Authentifizierung herstellen.
So wird die Verbindung mit Parallels RAS hergestellt:
Der Benutzer öffnet den Parallels Client oder Web Client und meldet sich mit seinen Anmeldedaten an.
Das Multi-Faktor-Authentifizierungsdialogfeld wird geöffnet und zeigt einen Barcode (auch bekannt als QR-Code) und einen geheimen Schlüssel an.
Der Nutzer öffnet die Google Authenticator-App auf seinem mobilen Gerät:
Wenn er es zum ersten Mal benutzt, tippt er auf Beginnen und dann auf Barcode scannen.
Wenn ein Nutzer bereits ein anderes Konto in Google Authenticator hat, tippt er auf das Plus-Zeichen-Symbol und wählt Barcode scannen.
Der Benutzer scannt dann den Barcode, der im Anmeldedialog des Parallels Clients angezeigt wird.
Wenn das Scannen aus irgendeinem Grund nicht funktioniert, wechselt der Benutzer zurück zur App, wählt Enter a provided key (Bereitgestellten Schlüssel eingeben) und gibt dann den Kontonamen und den Schlüssel ein, der im Anmeldedialogfeld des Parallels Clients angezeigt wird.
Der Benutzer tippt dann auf Add account (Konto hinzufügen) in der App, die ein Konto erstellt und ein Einmal-Passwort anzeigt.
Der Benutzer geht zurück zum Parallels Client, klickt auf Weiter und gibt das Einmal-Passwort in das Feld OTP ein.
Bei jeder weiteren Anmeldung muss der Nutzer nur seine Anmeldedaten (oder gar nichts, wenn die Option Passwort speichern ausgewählt wurde) und ein einmaliges Passwort eingeben, das er von der Google Authenticator-App erhält (die Anwendung generiert ständig ein neues Passwort). Wenn ein RAS-Administrator einen Benutzer zurücksetzt (siehe Feldbeschreibung Benutzer zurücksetzen am Anfang dieses Abschnitts), muss der Benutzer den oben beschriebenen Registrierungsvorgang wiederholen. (Bereitgestellten Schlüssel eingeben) und gibt dann den Kontonamen und den Schlüssel ein, der im Anmeldedialogfeld des Parallels Clients angezeigt wird. 5. Der Benutzer tippt dann auf Add account (Konto hinzufügen) in der App, die ein Konto erstellt und ein Einmal-Passwort anzeigt. 6. Der Benutzer geht zurück zum Parallels Client, klickt auf Weiter und gibt das Einmal-Passwort in das Feld OTP ein.
Bei jeder weiteren Anmeldung muss der Nutzer nur seine Anmeldedaten (oder gar nichts, wenn die Option Passwort speichern ausgewählt wurde) und ein einmaliges Passwort eingeben, das er von der Google Authenticator-App erhält (die Anwendung generiert ständig ein neues Passwort). Wenn ein RAS-Administrator einen Benutzer zurücksetzt (siehe Feldbeschreibung Benutzer zurücksetzen am Anfang dieses Abschnitts), muss der Benutzer den oben beschriebenen Registrierungsvorgang wiederholen.
Im folgenden Schaubild wird ein typisches Parallels RAS-Szenario mit einem Doppelsprung-Netzwerkparameter gezeigt, in dem Parallels Connection Broker mit einem RADIUS-Server verbunden ist (RADIUS befindet sich im Intranet, aber kann in einer DMZ untergebracht werden).
So konfigurieren Sie RADIUS-Eigenschaften:
Navigieren Sie in der Parallels RAS-Konsole zu Verbindung > Multi-Faktor-Authentifizierung.
Doppelklicken Sie auf den MFA-Anbieter, den Sie konfigurieren möchten.
Lesen Sie weiter, um zu erfahren, wie Sie RADIUS-Anbietereinstellungen konfigurieren können.
Dieser Abschnitt erklärt, wie Sie TOTP MFA-Provider in Parallels RAS integrieren.
So konfigurieren Sie den Versand von OTPs per E-Mail:
Geben Sie Folgendes an:
Name: Der Name erscheint in der RAS-Konsole.
Beschreibung (optional): Die Beschreibung der MFA.
Designs: Die Schemas, die MFA verwenden.
Anzeigename: Der Name, der im Parallels Client erscheint.
OTP Länge: Die Länge eines OTP. Kann 4 bis 20 Stellen enthalten.
OTP-Gültigkeit: Die Zeitspanne, während derer das OTP gültig bleibt. Kann 30 bis 240 Sekunden umfassen.
Eingabeaufforderung: Geben Sie den Text an, den der Benutzer sieht, wenn er zu einem OTP-Dialog aufgefordert wird.
E-Mail-Betreff: Der Betreff einer E-Mail-Nachricht mit einem OTP.
E-Mail-Inhalt: Der Inhalt einer E-Mail-Nachricht mit einem OTP.
Benutzern erlauben, sich mit externen E-Mail-Adressen anzumelden: Wählen Sie diese Option, wenn Sie möchten, dass sich Benutzer mit externen E-Mail-Adressen registrieren können. Sie können externe E-Mails im RAS-Speicher oder in einem AD-Attribut speichern. Wenn Sie E-Mails in einem benutzerdefinierten Active Directory-Attribut speichern möchten, müssen Sie den Namen des Attributs in dem Feld Benutzerdefiniertes AD-Attribut angeben. Sie können sich vergewissern, dass Sie die erforderliche Berechtigung zum Speichern von E-Mail-Adressen in einem AD-Attribut haben, indem Sie auf Validieren klicken.
Im Abschnitt Benutzerregistrierung können Sie die Benutzerregistrierung bei Bedarf einschränken. Sie können allen Benutzern die Registrierung ohne Einschränkungen erlauben (Option Zulassen), die Registrierung bis zum angegebenen Datum und zur angegebenen Zeit erlauben (Option Zulassen bis) oder die Registrierung vollständig deaktivieren (Option Nicht zulassen). Wenn die Registrierung aufgrund eines abgelaufenen Zeitraums oder der aktivierten Option Nicht zulassen deaktiviert wurde, wird einem Benutzer, der versucht, sich anzumelden, eine Fehlermeldung angezeigt, die besagt, dass die Registrierung deaktiviert ist, und dem Benutzer rät, sich an den Systemadministrator zu wenden. Wenn Sie die Registrierung einschränken oder deaktivieren, kann Google Authenticator oder ein anderer TOTP-Anbieter weiterhin verwendet werden, jedoch mit zusätzlicher Sicherheit, durch die keine weitere Benutzerregistrierung zugelassen wird. Hierbei handelt es sich um eine Sicherheitsmaßnahme, um Benutzer mit kompromittierten Anmeldeinformationen davon abzuhalten, sich bei MFA zu registrieren.
Informationen für nicht registrierte Benutzer anzeigen: Wählen Sie aus, ob nicht registrierten Benutzern der Fehler Der Benutzername oder das Kennwort ist falsch angezeigt werden soll, wenn sie falsche Anmeldeinformationen eingeben:
Nie (sicherste Option): Nicht registrierten Benutzern wird statt des Fehlers eine TOTP-Aufforderung angezeigt.
Falls Registrierung erlaubt ist: Nicht registrierten Benutzern wird der Fehler angezeigt, wenn Benutzerregistrierung erlaubt ist. Falls nicht, wird die TOTP-Aufforderung angezeigt.
Immer: Nicht registrierten Benutzern wird der Fehler immer angezeigt.
Nachfolgend sehen Sie die Liste der Token, die von Parallels RAS unterstützt werden:
MobileID (FlashID ist nicht in MobileID integriert)
QuickID
GridID
SafeID
SecureID (RSA)
DigiPass (Vasco)
Bei der Verwendung von Hardware-Token, wie z. B. SafeID, müssen die Token-Informationen zuerst mittels der bereitgestellten XML-Datei importiert werden. Klicken Sie auf Import (Importieren)“ und suchen Sie nach der bereitgestellten XML-Datei. Nachdem die XML-Datei importiert wurde, muss jeder Hardware-Token einem Benutzer zugewiesen werden.
In diesem Abschnitt wird erläutert, wie die Deepnet DualShield Authentication Platform 5.6 oder höher in Parallels RAS integriert wird.
In diesem Abschnitt:
Weiterführende Informationen finden Sie auch in der folgenden Dokumentation zur DualShield Authentication Platform:
DualShield Authentication Platform – Installation Guide
DualShield Authentication Platform – Quick Start Guide
DualShield Authentication Platform – Administration Guide
Nachdem Sie alle spezifischen Schritte in DualShield Authentication Platform – Installation Guide“ befolgt haben, wird automatisch eine URL in Ihrem Internet-Browser geöffnet (http:// LOCALHOST:8073), über die Sie sich bei der Management Console von DualShield anmelden können.
Melden Sie sich mit den Standard-Anmeldeinformationen (Benutzername: sa, Passwort: sa) bei der DualShield Management Console an. Sie werden aufgefordert, das Standardpasswort zu ändern.
Anwendungen werden so konfiguriert, dass sie eine Verbindung zum Realm herstellen, da der Bereich Domain-Benutzer enthält, die auf die Anwendung zugreifen dürfen.
Das Realm wird so eingerichtet, dass mehrere Domain-Benutzer auf dieselbe Anwendung zugreifen können.
Sie müssen eine Anwendung erstellen, mit der Parallels RAS kommunizieren wird. Klicken Sie auf Authentifizierung > Anwendungsassistent, geben Sie die unten angezeigten Informationen ein und klicken Sie auf Weiter.
Geben Sie die LDAP-Server-Einstellungen wie nachfolgend gezeigt ein und klicken Sie auf Fertigstellen.
Nachdem Sie die Anwendung konfiguriert haben, müssen Sie ein E-Mail- oder SMS-Gateway konfigurieren, die vom DualShield-Server für die Kommunikation mit dem Endbenutzer verwendet werden. In diesem Dokument verwenden wir ein E-Mail-Gateway. Wählen Sie im Menü Konfiguration“ die Option Gateways“.
Konfigurieren Sie Ihr E-Mail-Gateway.
Klicken Sie auf Bearbeiten, um die Informationen für Ihren SMTP-Server einzugeben.
So konfigurieren Sie die Deepnet DualShield-Einstellungen:
Geben Sie Folgendes an:
Server: Hostname des Deepnet-Servers.
SSL aktivieren: Ob SSL verwendet werden soll, wenn eine Verbindung zum Deepnet-Server hergestellt wird.
Port: Der Port, der verwendet werden soll, wenn eine Verbindung zum Deepnet-Server hergestellt wird.
Agent: Der Agent-Name, der während der Registrierung verwendet wird.
Klicken Sie auf die Schaltfläche Verbindung überprüfen, um zu testen, ob der Authentifizierungsserver erreichbar ist, und zu überprüfen, ob die RAS-Konsole als DualShield-Agent registriert ist. Wenn die Meldung DeepNet server not valid“ (Deepnet-Server ungültig) angezeigt wird, könnte dies auf folgende Ursachen zurückzuführen sein:
Die eingegebene Server-Informationen sind ungültig
Sie müssen die automatische Registrierung von Parallels-Komponenten als DualShield-Agent erlauben.
Wenn Sie die automatische Registrierung von Parallels-Komponenten als DualShield-Agent erlauben müssen, führen Sie bitte folgende Schritte durch:
Kehren Sie zur DualShield Management Console zurück und wählen Sie Agent im Menü Authentication (Authentifizierung) wie unten gezeigt.
Wählen Sie Auto Registration (Automatische Registrierung).
Wählen Sie die Option Enabled (Aktiviert) und legen Sie den Datumsbereich fest.
Nachdem die automatische Registrierung des Agent eingerichtet ist, kehren Sie zur RAS-Konsole zurück und wählen Sie Ja. Es sollte jetzt eine Meldung angezeigt werden, in der mitgeteilt wird, dass der DualShield-Agent erfolgreich registriert wurde.
Beachten Sie, dass alle RAS Connection Broker beim Deepnet DualShield-Server registriert werden müssen. Wenn Sie sekundäre Connection Broker verwenden, müssen Sie alle offenen Fenster schließen, bis Sie in der RAS-Konsole auf Übernehmen klicken können. Dadurch werden alle Agents angewiesen, sich als DualShield-Agents zu registrieren.
Kehren Sie zur RAS-Konsole zurück und klicken Sie auf Weiter.
Geben Sie Folgendes an:
Anwendung: Name der Anwendung, der in Konfigurieren der Authentifizierungsplattform DualShield 5.6+ angegeben wurde.
Standarddomäne: Die Domäne, die verwendet wird, wenn die Domäne nicht vom Benutzer, in den Themeneigenschaften oder in den Verbindungseinstellungen angegeben wurde.
Wählen Sie in der Dropdownliste Modus den Modus, mit dem Ihre Benutzer authentifiziert werden sollen:
Erforderlich für alle Benutzer bedeutet, dass sich jeder Benutzer, der das System benutzt, mit der Zwei-Faktor-Authentifizierung anmelden muss.
Mit Token für authentifizierte Benutzer der Domäne erstellen kann Parallels RAS automatisch Software-Token für authentifizierte Benutzer der Domäne erstellen. Wählen Sie in der Dropdown-Liste ein Token aus. Beachten Sie, dass diese Option nur mit Software-Token, wie QuickID und MobileID, funktioniert.
Mit Nur für Benutzer mit einem DualShield-Konto verwenden können Benutzer, die kein DualShield-Konto besitzen, das System verwenden, ohne sich mit der Zwei-Faktor-Authentifizierung anmelden zu müssen.
Im Abschnitt Übertragung per wählen Sie die Kanäle aus, die verwendet werden, um OTPs an die Benutzer zu senden.
Klicken Sie auf Fertigstellen.
Parallels Client
Nachdem DualShield aktiviert wurde, müssen die Benutzer die Zwei-Faktor-Authentifizierung verwenden. Bei der Verwendung von Software-Token, wie QuickID, muss der Administrator nicht für jeden Benutzer einen Token erstellen. RAS Connection Broker erstellt den Token automatisch, wenn der Benutzer zum ersten Mal versucht, sich anzumelden.
Wenn ein Benutzer versucht, von Parallels Client auf eine RAS-Verbindung zuzugreifen, wird er aufgefordert, den Windows-Benutzernamen und das Passwort einzugeben. Wenn die Anmeldeinformationen akzeptiert werden, kommuniziert RAS Connection Broker mit dem DualShield-Server, um für diesen Benutzer einen eindeutigen Token zu erstellen.
Bei Verwendung von MobileID oder QuickID wird eine E-Mail mit Informationen dazu, wo die entsprechende Software heruntergeladen werden kann, an den Benutzer gesendet.
Wenn QuickID-Token verwendet werden, fragt die Anwendung nach einem einmaligen Passwort, das per E-Mail oder SMS versendet wurde.
Geben Sie bei Aufforderung das einmalige Passwort ein, um sich beim Parallels Application Server XG Gateway anzumelden.
Das SafeNet Token Management System bietet einen hohen Schutzwert durch sichere Token, was es zu einem perfekten Werkzeug für die Second-Level-Authentifizierung in Parallels RAS macht.
In diesem Abschnitt:
So konfigurieren Sie die SafeNet-Einstellungen:
Geben Sie auf der Registerkarte Verbindung in das Feld OTP-Webservice-URL die gültige URL ein. Um zu überprüfen, ob die Verbindung mit dem OTP-Webservice hergestellt werden kann, klicken Sie auf die Schaltfläche Verbindung überprüfen.
Hinweis: RAS Connection Broker kommuniziert mit dem SafeNet Token Management System Server. Aus Sicherheitsgründen wird dringend empfohlen, dass hierbei eine Firewall vorgeschaltet ist.
Klicken Sie auf die Registerkarte Authentifizierung.
Wählen Sie in der Dropdownliste Modus den Modus, mit dem Ihre Benutzer authentifiziert werden sollen:
Es sind folgende Modi verfügbar:
Erforderlich für alle Benutzer: Jeder Benutzer, der das System benutzt, muss sich mit der Zwei-Faktor-Authentifizierung anmelden.
Token für authentifizierte Benutzer der Domäne erstellen: Parallels RAS kann automatisch Software-Token für authentifizierte Benutzer der Domäne erstellen. Wählen Sie in der Dropdown-Liste ein Token aus. Beachten Sie, dass diese Option nur mit Software-Token funktioniert.
Nur für Benutzer mit einem SafeNet-Konto verwenden: Mit dieser Option können Benutzer, die kein SafeNet-Konto besitzen, das System verwenden, ohne sich mit der Zwei-Faktor-Authentifizierung anmelden zu müssen.
Geben Sie im Feld TMS Web API URL den Ort der SafeNet API URL ein.
Geben Sie im Feld Benutzer-Repository das Ziel des Benutzer-Repositorys ein.
Klicken Sie auf Fertigstellen.
Parallels Client
Im Dialogfeld Parallels Client – Neues Konto:
Geben Sie vier Ziffern in das Zahlenfeld OTP Pin ein (diese Ziffern werden später im Verfahren benötigt).
Geben Sie Ihre E-Mail-Adresse ein und klicken Sie dann auf OK.
Melden Sie sich bei Ihrem E-Mail-Konto an und rufen Sie die E-Mail mit den Informationen ab, die Sie benötigen, um Ihre SafeNet-Authentifizierung zu aktivieren. Ein Beispiel für diese E-Mail wird nachstehend gezeigt.
Aktivierungsschlüssel: YZQHoczZWw3cBCNo
Token-Seriennummer: 4F214C507612A26A
Laden Sie den MobilePASS-Client mit folgendem Link herunter: http://localhost:80/TMSService/ClientDownload/MobilePASSWin.exe
*Anmelden mit Domänen-Anmeldedaten.
*Speichern Sie die beigelegte Seed-Datei in demselben Ordner wie den MobilePASS-Client.
Geben Sie das einmalige Passwort ein, um sich bei der RD-Sitzungshost-Verbindung anzumelden.
Anwendungs-PIN: 4089
Laden Sie den MobilePASS-Client von der URL herunter, die in der E-Mail angegeben wurde.
Geben Sie den Aktivierungsschlüssel ein, der mit der SafeNet-E-Mail verschickt wurde.
Als Nächstes geben Sie im Feld MobilePass PIN die Anwendungs-PIN ein, die Sie mit der E-Mail erhalten haben.
Klicken Sie auf Generieren, um die eToken-Nummer zu generieren, und danach auf Kopieren.
Kombinieren Sie die OTP PIN und den eToken in dieser Reihenfolge: OTP + eToken.
Geben Sie diesen Wert im Parallels Client ein und klicken Sie auf OK, um sich anzumelden.
Bevor Sie sich mit diesem Abschnitt beschäftigen, lesen Sie bitte den folgenden wichtigen Hinweis.
Hinweis: Ab dem 1. Juli 2019 wird Microsoft MFA Server nicht mehr für Neuimplementierungen anbieten. Neukunden, die eine Multi-Faktor-Authentifizierung von ihren Benutzern verlangen möchten, sollten die Cloud-basierte Azure Multi-Faktor-Authentifizierung verwenden. Bestehende Kunden, die MFA Server vor dem 1. Juli aktiviert haben, können die neueste Version und zukünftige Updates herunterladen und wie gewohnt Aktivierungsdaten generieren. https://docs.microsoft.com/de-de/azure/active-directory/authentication/howto-mfaserver-deploy. Für neue Implementierungen wird empfohlen, die Azure NPS-Erweiterung https://docs.microsoft.com/de-de/azure/active-directory/authentication/howto-mfa-nps-extension oder den Azure MFA Service zusammen mit der SAML-Konfiguration in RAS zu verwenden.
Konfigurieren von Azure MFA
Abhängig vom Standort des Benutzers gibt es vier Szenarien für den Cloud-MFA-Service:
Ein Azure-Konto mit der Rolle Global Administrator ist erforderlich, um MFA Server herunterzuladen und zu aktivieren. Die Synchronisierung mit Microsoft Entra ID (über AD Connect) oder einer benutzerdefinierten DNS-Domäne ist nicht erforderlich, um einen MFA Server einzurichten, der ausschließlich vor Ort läuft.
Benutzer müssen in den MFA Server importiert und für die MFA-Authentifizierung konfiguriert werden.
Parallels RAS authentifiziert Benutzer mit MFA Server unter Verwendung des RADIUS Second-Level-Authentifizierungsanbieters. MFA Server muss daher so konfiguriert werden, dass RADIUS-Client-Verbindungen vom RAS-Server aus möglich sind.
Der Authentifizierungsprozess durchläuft die folgenden Schritte:
In Stufe 2 kann der Benutzer entweder über RADIUS oder Windows AD authentifiziert werden. Eine Aufforderung zur doppelten Eingabe der Zugangsdaten (in Stufe 1 und 6) wird vermieden, indem die Option zur Weiterleitung des Passworts aktiviert wird.
Was this topic helpful?
Benutzerstandort
MFA in der Cloud
MFA-Server
Microsoft Entra ID
Ja
Microsoft Entra ID und On-Premises-AD mit AD FS (wird für SSO benötigt)
Ja
Ja
Microsoft Entra ID und lokale AD mit DirSync, Azure AD Sync, Azure AD Connect – ohne Passwortsynchronisierung
Ja
Ja
Microsoft Entra ID und On-Premises AD mit DirSync, Azure AD Sync, Azure AD Connect – mit Passwortsynchronisierung
Ja
Lokales Active Directory
Ja
Benutzer können ihr Domain-Passwort direkt von Parallels Client aus ändern. In manchen Fällen kann ein Benutzer gezwungen sein, sein Domain-Passwort zu ändern (z. B. wenn das Passwort bald abläuft). Beim Ändern eines Passworts muss ein Benutzername im UPN-Format angegeben werden (z. B. user@domain.com).
Übergabe des Domänennamens an Parallels Client
Da Benutzer den Namen ihrer Domäne möglicherweise nicht kennen, können Sie Parallels RAS so konfigurieren, dass er automatisch an die Client-Seite weitergegeben wird, sodass die Benutzer ihn nicht eingeben müssen.
Der Domänenname kann in der RAS-Konsole an den folgenden Stellen angegeben werden:
Registerkarte Verbindung > Zwei-Faktor-Authentifizierung. Die Registerkarte wird weiter oben in diesem Abschnitt beschrieben. Um einen Domänennamen auf der Client-Seite zu erzwingen, wählen Sie die Option Spezifisch und geben Sie einen Domänennamen an.
Im Dialogfeld Schemaeigenschaften. Schemas werden weiter unten in diesem Handbuch im Abschnitt Schemas konfigurieren beschrieben. Beachten Sie, dass die Angabe eines Domänennamens für ein Schema den auf der Registerkarte Authentifizierung angegebenen Domänennamen überschreibt (siehe oben). Um einen Domänennamen für ein Schema festzulegen, öffnen Sie das Dialogfeld Schemaeigenschaften“. Wählen Sie die Kategorie Allgemein, wählen Sie dann die Option Domäne für Authentifizierung überschreiben und geben Sie einen Domänennamen an.
Wenn Parallels Client eine Verbindung zu Parallels RAS herstellt, wird der Domänenname, der wie oben beschrieben angegeben wurde, an ihn zurückgegeben. Wenn der Benutzer in Parallels Client ein Dialogfeld öffnet, um sein Domain-Passwort zu ändern, wird der Domänenname automatisch zum Benutzernamen hinzugefügt und das Feld für den Benutzernamen ist ausgegraut. Auf diese Weise muss der Benutzer den Domänennamen nicht angeben.
Verwendung eines benutzerdefinierten Links zum Ändern von Domain-Passworts
Wenn sich Ihre Benutzer mit Azure Active Directory Domain Services oder einem IdP eines Drittanbieters mit Parallels RAS verbinden, sollten Sie das Ändern von Domain-Passwörtern über einen eigenen Link konfigurieren. Der Link sollte auf die Seite verweisen, die es erlaubt, das Passwort in Ihrem Dienst zu ändern.
So geben Sie den benutzerdefinierten Link für die Änderung des Domain-Passworts an:
Navigieren Sie zu Verbindung > Authentifizierung > Domain-Passwort ändern.
Wählen Sie Benutzerdefinierten Link für die Option Domain-Passwort ändern“ verwenden.
Geben Sie im Textfeld darunter den benutzerdefinierten Link für die Domainänderung an.
Sie können den Benutzern erlauben, sich mit ihren E-Mail-Adressen bei den RAS -Serverfarmen anzumelden. Auf diese Weise können Benutzer auf die in einer Serverfarm veröffentlichten Anwendungen und Desktops zugreifen, ohne die Serveradresse oder den Hostnamen zu kennen. Alle nativen Parallels Clients unterstützen jetzt die Suche nach Parallels RAS-Serverfarmen durch Eingabe einer E-Mail-Adresse.
Alle nativen Parallels-Clients unterstützen die Suche nach Parallels RAS-Serverfarmen durch Eingabe einer E-Mail-Adresse. Wie dies genau geschieht, hängt von der Konfiguration des DNS-Servers ab.
Die Syntax des TXT-Datensatzes lautet wie folgt:
Host: _prlsclient
Text: hostname:port/theme;connmode=X;authmode=X
Die folgenden Parameter sind für das Textfeld verfügbar:
hostname
: Hostname des Servers, auf dem sich das Secure Gateway befindet. Dieser Parameter ist obligatorisch.
port:
Port, an dem das Secure Gateway auf eingehende Verbindungen wartet. Dieser Parameter ist optional.
theme
: Design. Dieser Parameter ist optional.
connmode
: Verbindungsmodus. Dieser Parameter ist optional. Mögliche Werte sind 0
, 1
, 2
, 3
, wobei:
0
: Gateway-Modus
1
: Direktverbindung
2
: Gateway-SSL
3
:Direct SSL
authmode
: Authentifizierungstyp. Dieser Parameter ist optional. Mögliche Werte sind 0
, 1
, 2
, 3
, wobei:
0
: Zugangsdaten
1
: SSO
2
: Smartcard
3
: SAML
Beispiele für den Textwert:
hostname:
hostname:port
hostname:port/theme
hostname;connmode=2;authmode=1
Nachdem der DNS-Eintrag konfiguriert ist, können sich die Benutzer mit ihren E-Mail-Adressen anmelden. Informationen dazu, wie Sie dies auf bestimmten Clients tun können, finden Sie in den Benutzerhandbüchern für Parallels Client.
Die Multifaktor-Authentifizierung (MFA) kann für alle Benutzerverbindungen aktiviert oder deaktiviert werden, aber Sie können für bestimmte Verbindungen auch komplexe Regeln konfigurieren. Diese Funktion erlaubt es Ihnen, MFA für denselben Benutzer zu aktivieren oder zu deaktivieren, je nachdem, von wo und von welchem Gerät aus sich der Benutzer verbindet. Jeder MFA-Anbieter hat eine Regel, die aus einem oder mehreren Kriterien für den Abgleich mit Benutzer-Verbindungen besteht. Jedes Kriterium besteht wiederum aus einem oder mehreren spezifischen Objekten, die abgeglichen werden können.
Sie können die folgenden Objekte abgleichen:
Benutzer, eine Gruppe, zu der der Benutzer gehört, oder der Computer, von dem aus der Benutzer eine Verbindung herstellt.
Das Secure Gateway, mit dem sich der Benutzer verbindet.
Name des Client-Geräts.
Betriebssystem des Client-Geräts.
IP-Adresse.
Hardware-ID. Das Format einer Hardware-ID hängt vom Betriebssystem des Clients ab.
Beachten Sie bitte folgende Hinweise zu den Regeln:
Kriterien und Objekte werden mit dem OR-Operator verknüpft. Wenn eine Regel beispielsweise ein Kriterium enthält, das auf bestimmte IP-Adressen zutrifft, und ein Kriterium, das auf die Betriebssysteme der Client-Geräte zutrifft, wird die Regel angewendet, wenn eine Benutzer-Verbindung mit einer der IP-Adressen ODER einem der Client-Betriebssysteme übereinstimmt.
So konfigurieren Sie eine Regel:
Navigieren Sie in der RAS-Konsole zu Verbindung und wählen Sie die Registerkarte Multi-Faktor-Authentifizierung aus.
Klicken Sie auf den Anbieter, für den Sie die Regel erstellen möchten.
Wählen Sie die Registerkarte Einschränkungen aus.
Geben Sie die Kriterien für die Regel an. Folgende Steuerelemente sind verfügbar:
MFA deaktivieren, wenn und MFA deaktivieren, wenn: gibt an, ob der MFA-Anbieter aktiviert werden muss, wenn eine Benutzerverbindung allen Kriterien entspricht. Klicken Sie auf den Link, um zwischen den beiden Optionen zu wechseln.
(+): fügt ein neues Kriterium hinzu. Wenn Sie ein Secure Gateway, einen Client-Gerätenamen, ein Client-Gerätebetriebssystem, eine IP-Adresse oder eine Hardware-ID abgleichen möchten, klicken Sie auf (+). Wählen Sie im angezeigten Kontextmenü den Typ des Objekts aus, das Sie abgleichen möchten, und fügen Sie im daraufhin angezeigten Dialogfeld die entsprechenden Objekte hinzu. Das neue Kriterium wird auf der nächsten Zeile angezeigt:
(X): Löscht ein bestimmtes Objekt aus dem Abgleich. Wenn Sie z. B. die IP-Adresse 198.51.100.1 aus dem Abgleich entfernen möchten, klicken Sie daneben auf (X). Dieses Steuerungselement wird angezeigt, wenn mindestens ein Objekt hinzugefügt wurde. Wenn alle Objekte in einem Kriterium gelöscht werden, wird das Kriterium entfernt.
ist und ist nicht: gibt an, ob der MFA-Anbieter aktiviert werden muss, wenn eine Benutzerverbindung allen Kriterien entspricht. Klicken Sie auf den Link, um zwischen den beiden Optionen zu wechseln. Dieses Steuerungselement wird angezeigt, wenn mindestens ein Objekt hinzugefügt wurde.
Konfigurieren: bearbeitet die Liste der abzugleichenden Objekte. Klicken Sie auf diesen Link, um neue Objekte hinzuzufügen oder zu löschen. Beachten Sie, dass für das erste Kriterium (Benutzer oder Gruppe) dieser Link jeder heißt. Es ändert sich in Konfigurieren, sobald Sie Objekte für dieses Kriterium angeben.