RemoteApp .rdp incorporar creds?

11

Servidor Windows 2008 R2 executando os Serviços de Área de Trabalho Remota (o que costumávamos chamar de Serviços de Terminal nos velhos tempos) . Este servidor é o ponto de entrada em um aplicativo hospedado - você poderia chamá-lo de Software como Serviço, suponho. Temos clientes de terceiros conectados para usá-lo.

Usando o RemoteApp Manager para criar atalhos .rdp do RemoteApp para distribuir nas estações de trabalho clientes. Essas estações de trabalho não estão no mesmo domínio que o servidor RDS. Não há relação de confiança entre domínios (nem haverá). Há um site a site fortemente controlado VPN entre estações de trabalho e o servidor RDS, estamos bastante confiantes de que temos acesso ao servidor bloqueado.

O remoteApp em execução é um aplicativo ERP com seu próprio esquema de autenticação.

O problema? Estou tentando evitar a necessidade de criar logins do AD para cada usuário final ao conectar-me ao servidor RemoteApp. De fato, uma vez que estamos fazendo um remoteApp e eles precisam se autenticar nesse aplicativo, prefiro simplesmente não pedir a eles por creds do AD. Eu certamente não os quero envolvidos no gerenciamento de senhas do AD (e expirações periódicas) para contas que eles usam apenas para acessar o login no ERP.

No entanto, não consigo descobrir como incorporar creds do AD em um arquivo .rdp do RemoteApp. Eu realmente não quero desativar toda a autenticação no servidor RDS nesse nível.

Alguma boa opção? Meu objetivo é tornar isso o mais transparente possível para os usuários finais.

Perguntas esclarecedoras são bem-vindas.

Chris_K
fonte

Respostas:

10

É possível incorporar uma senha em um arquivo .rdp, mas a senha é criptografada com o SID da sua conta de usuário local de forma que o arquivo .rdp não seja intercambiável entre usuários ou computadores. Esse comportamento é específico: a Microsoft não queria que um invasor pudesse obter as chaves de um servidor de terminal apenas roubando um arquivo .rdp da área de trabalho de alguém.

Felizmente, há uma solução razoavelmente bem documentada. Basicamente, você precisa criar o arquivo .rdp "on the fly" por meio de um arquivo em lotes ou script que o usuário executa em vez de chamar mstsc.exediretamente. Seu script cria o arquivo .rdp apropriado e, ao fazer isso, criptografa a senha de forma que mstsc.exea aceite no contexto do usuário atual.

Recursos:

Cada um dos artigos acima inclui um link para uma ferramenta que pode ser usada para criptografar senhas RDP e / ou código-fonte. Eu sugeriria trabalhar a partir do código fonte, se possível. (Como sempre, use binários compilados por estranhos da Internet por seu próprio risco.)

Falcão do céu
fonte
Parece o caminho a seguir e obrigado pelos links! Divertidamente (OK, na verdade não) a "necessidade comercial" de longa data desapareceu hoje, mas acho que essa teria sido a resposta.
21312 Chris_K
1

Hmm interessante. A primeira coisa que vem à mente é usar chave / certificado (como ssh):

Isso ajuda?

mbrownnyc
fonte
Certificados! Sim, vale a pena investigar. Eu não tenho um servidor de gateway na mistura, mas talvez enviar certificados de clientes possa ser uma opção? Obrigado.
Chris_K
Minha busca-fu pode estar fraca, mas não vejo uma opção para substituir usuário / aprovação por um certificado para clientes.
Chris_K
Pronto para a complexidade? Pensei isso! technet.microsoft.com/en-us/library/ff404286(WS.10).aspx (nota: o redirecionamento de cartão inteligente pode ocorrer em qualquer cliente RDP 6.0 + ... e eu não implementei nada disso)
mbrownnyc
... Oh, caramba!
Chris_K