【应用案例100集】018-Vmware Horizon如何通过ASP身份认证系统增强登录安全性

启用Radius认证是提高VMware Horizon环境安全性的有效方法，特别是在需要满足复杂安全要求的场景中。

启用Radius认证对于VMware Horizon具有以下几个关键优势：

      •增强安全性：Radius认证支持多种认证方法，包括PAP、CHAP、MS-CHAPv1或MS-CHAPv2，以及双因素认证，从而为Horizon环境提供更强的安全性。

      •集中式身份验证：Radius服务器可以实现集中式身份验证，简化用户管理，统一认证管理，避免在多个地方维护用户凭证。

      •灵活的授权管理：Radius服务器可以集中管理不同用户的访问权限，提供更细粒度的控制。

      •审计和监控：Radius服务器可以记录详细的登录尝试和访问信息，有助于安全审计和监控。

     •兼容性：Radius是一个广泛支持的标准协议，可以与多种不同的客户端和服务器软件兼容，包括VMware Horizon。

    •减少依赖：通过使用Radius服务器，可以减少对本地用户数据库的依赖，即使本地服务不可用，用户仍然可以通过Radius服务器进行身份验证。

    •双因素认证：Radius服务器可以实现双因素认证，增加了额外的安全层，因为即使用户密码被泄露，没有第二个认证因素，攻击者也无法登录系统。

    •易于扩展：随着用户数量的增加，Radius服务器可以轻松扩展以满足更大的认证需求，而不需要对现有基础设施进行重大更改。

    •提高可用性：可以配置多个Radius服务器以提供高可用性，确保即使在某个服务器宕机的情况下，认证服务仍然可用。

如何通过安当ASP身份认证系统实现VMware Horizon登录认证，可以遵循以下步骤：

准备工作：

确保已经安装并配置好安当Radius服务器，并确保VMware Horizon系统已经安装并运行。

配置Radius服务器：

在ASP管理后台开启Radius认证服务和OTP认证。 在用户管理中为Radius服务创建用户账户，并为每个用户绑定一个OTP令牌，设置相应的OTP密钥和算法。 配置Radius服务器的策略以支持OTP验证，并设置失败登录尝试的处理方式。

配置VMware Horizon：

在Horizon Console中，修改连接服务器设置，为连接服务器实例启用Radius身份验证。 记录Radius服务器的主机名或IP地址、其侦听Radius身份验证的端口号（通常为1812）、身份验证类型（PAP、CHAP、MS-CHAPv1或MS-CHAPv2）以及共享密码，并在Horizon Console中输入这些值。 如果需要，可以配置辅助Radius身份验证器。

测试连接：

在VMware Horizon上测试与Radius服务器的连接是否成功。 确认OTP认证流程是否按预期工作。

用户登录流程：

用户在客户端输入自己的身份凭证（用户名）和动态密码。 客户端将用户输入的身份凭证和动态密码传输到安当ASP身份认证平台，该平台使用Radius协议与VMware Horizon服务器进行通信。 ASP身份认证平台对用户输入的动态密码进行验证，如果密码正确，则该平台将返回一个验证通过的消息给客户端，客户端将验证通过的消息显示给用户，允许用户登录到云桌面。

故障排除：

如果遇到连接问题，检查网络连接是否正常，确认Radius服务器地址和端口是否正确。 如果认证失败，确认用户名、密码以及OTP是否正确，检查OTP设备的时间同步情况。 查看VMware Horizon和Radius服务器的日志文件以获取错误提示。

通过上述步骤，您可以成功地配置VMware Horizon使用安当ASP身份认证系统进行OTP认证，这将显著提高系统的安全性，防止未经授权的访问，并解决安全痛点。同时，ASP身份认证系统还支持以下各种场景的应用登录认证：

OTP令牌包含以下三种，可供用户灵活选择：O

    •硬件令牌（国际算法）

    •硬件令牌（国密算法）

    •手机令牌（微信小程序、APP）

文章作者：五台

©本文章解释权归安当西安研发中心所有

————————————————