RDS server Single Sign On

Bu məqaləmizdə sizlərə RDS (Terminal) serverdə Single Sign-on (SSO) haqqında məlumat verəcəyik. SSO daxil olma zamanı domain istifadəçisi ilə sistemə daxil olan şəxs RDS Serverə qoşulan zaman yalnız serverin adını daxil edir. Yəni şifrə daxil etməyə ehtiyac duyulmur. İstifadəçi domainə daxil olan zaman şifrə daxil etdiyi üçün artıq onun girişi yoxlanılmış olur. Nəticədə RDC vasitəsilə qoşulan zaman şifrə yazmadan sistemə daxil ola bilirk.

SSO metodundan istifadə etmək üçün tələblər:

  • Bu metoddan Windows Vista və ya daha sonrakı əməliyyat sistemlərindən Windows Server 2008 və ya daha sonrakı əməliyyat sistemlərinə qoşulmaq üçün istifadə edə bilərsiniz.

  • SSO-dan istifafə üçün sazlanma aparılacaq istifadəçi həm klient kompüterə, həm də RDS serverə giriş üçün müvafiq icazələrə malik olmalıdır.

  • Klient kompüter və Server domaində olmalıdır.

  • Giriş üçün parol identifikasiyasından istifadə olunmalıdır. Smart kartla giriş dəstəklənmir.

Bu məqaləmiz üçün RDS serverimiz TechnetRDS, Domainimiz Technet.local kimi qurulub.

İlk əvvəl TechnetRDS serverdə sazlanma aparaq.

TechnetRDS serverdə Start menyusundan Run seçərək tsconfig.msc yazıb ok edirik.  Bununla birlikdə RD Session Host Configuration pəncərəsi açılacaqdır. RDP-Tcp üzərində sağ düyməni tıklayıb properties bölməsinə daxil oluruq. Aşağıdakı şəkildən göründüyü kimi General menyusunda Security layer sahəsində Negotiate (Təhlükəsizlik qatının sistem tərəfindən təyin olunması) və ya SSL(TLS 1.0) (klient və server arasında informasiya mübadiləsini şifrələmək üçün) seçimlərindən birini seçib təsdiq edirik.

rdssso-1

Bundan sonra kənardan TechnetRDS serverinə SSO vasitəsilə qoşulmasını istədiyimiz istifadəçiləri TechnetRDS  serverində Remote Desktop Users qrupuna əlavə edirik. Bunun üçün Start menyusundan Run seçərək lusrmgr.msc yazıb ok edirik və istifadəçi və qruplarla bağlı sazlanma aparmaq üçün pəncərə açılır. Groups bölməsində Remote Desktop Users qrupunu açırıq. Add düyməsini tıklayırıq açılan pəncərədə Advanced düyməsini tıklayıb domain administratorunun parolunu daxil edirik. Location bölməsində domaini dəyişmək mümkündür. Lazım olan istifadəçini seçib əlavə edirik. Bizim nümunəmizdə Kanan.Akparov istifadəçisini  Remote Desktop Users qrupuna əlavə edirik.

rdssso-2

Bununla da RDS serverdə işimizi yekunlaşdırırıq artıq klient kompüterdə sazlanma apara bilərik. Biz klient kompüterlərimizdə bir-bir sazlanma aparmamaq üçün bu sazlanmanı Domain üzərindən Group Policy vasitəsilə aparacağıq.SSO istifadə edəcək klient kompüterlər üçün hazırladığımız GPO üzərində dəyişiklik etməyə başlayaq.

RDSSSO GPO-sunu seçirik və Edit edirik. Computer Configuration > Policies > Administrative Templates > System ardıcıllığından sonra Credentials Delegation seçirik Allow Delegating Default Credentials üzərində 2 dəfə tıklayırıq. Enabled seçirik. Daha sonra Show düyməsini tıklayırıq Show Contents bölməsində  Value sahəsinə termsrv/technetRDS əlavə edirik. Əgər bir neçə RDS server üçün bu sazlanmaları aparacaqsınızsa, digər serverlərin də adını bu siyahıya əlavə etməlisiniz(termsrv/serverin adi formasında əlavə edilməlidir). Sazlanmaları təsdiq edirik.

rdssso-3

Klient kompüterimizdə Kanan.Akparov istifadəçisi ilə gpupdate /force əmrini icra edirik. Artıq klient kompüterdən TechnetRDS-ə şifrə tələb etmədən qoşula bilərik.

Aşağıdakı şəkildə göründüyü kimi Computer sahəsinə TechnetRDS yazdıqda User name bölməsi işarə olunmuş formada görünəcək.

rdssso-4

Connect düyməsini tıkladıqdan sonra TechnetRDS-ə qoşuluruq. Qoşulma zamanı şəkildə işarə olunduğu kimi kilid işarəsinin üzərində tıkladıqda “The identity of the remote computer was verified by using Kerberos” məlumatı ekranda əks olunacaq.

rdssso-5

Səs: +50. Bəyənilsin Zəifdir

Müəllif: Kənan Əkpərov

Şərhlər ( 2 )

    • Kamal / . Dərc edilib:A 30/09/2013 at 8:18 Səhər
      Səs: 0. Bəyənilsin Zəifdir

    Çox sağ ol qardaş.Səhv etmirəmsə bu texnologiyanın əsası Windows ƏS-də reallaşdırılan Token İmpersonation-a əsaslanır?

  1. Ilk öncə məqaləyə görə təşəkkürlər!
    Kamil, məncə hə.Token İmpersonationa`a əsaslanır.
    Bildiyimiz kimi əgər yanılmıramsa, İmpersonation özü 3 leveldən ibarətdir.İdentification, İmpersonation və Delegation.Fikrimcə SSO məhz Delegation levelinə aiddir.Çünki bu leveldə uzaqda yerləşən serverə öz istifadəçi adını və şifrəni istifadə edərək daxil olmaq olur.Daxil olmaq deyərkən yəni yenidən təkrar bunları təsdiqlətmirsən.
    Bu mənim fikirləşdiklərimdir.Yanıla bilərəm. 🙂

Şərh yazın