RemoteApp .rdp intégrer des crédits?

11

Serveur Windows 2008 R2 exécutant les services Bureau à distance (ce que nous appelions les services Terminal Server dans le passé) . Ce serveur est le point d'entrée dans une application hébergée - vous pouvez l'appeler Software as a Service je suppose. Nous avons des clients tiers qui se connectent pour l'utiliser.

Utilisation de RemoteApp Manager pour créer des raccourcis RemoteApp .rdp à distribuer aux postes de travail clients. Ces postes de travail ne sont pas dans le même domaine que le serveur RDS. Il n'y a pas de relation de confiance entre les domaines (et il n'y en aura pas). Il y a un VPN de site à site étroitement contrôlé entre les postes de travail et le serveur RDS, nous sommes tout à fait confiants d'avoir accès au serveur verrouillé.

La remoteApp en cours d'exécution est une application ERP avec son propre schéma d'authentification.

Le problème? J'essaie d'éviter de créer des connexions AD pour chaque utilisateur final lors de la connexion au serveur RemoteApp. En fait, puisque nous faisons une remoteApp et qu'ils doivent s'authentifier auprès de cette application, je préfère simplement ne pas leur demander du tout de créer des crédits AD. Je ne veux certainement pas qu'ils se retrouvent dans la gestion des mots de passe AD (et des expirations périodiques) pour les comptes qu'ils utilisent uniquement pour accéder à leur connexion ERP.

Cependant, je ne peux pas comprendre comment incorporer des crédits AD dans un fichier RemoteApp .rdp. Je ne veux pas vraiment désactiver toute l'authentification sur le serveur RDS à ce niveau.

Des bonnes options? Mon objectif est de rendre cela aussi transparent que possible pour les utilisateurs finaux.

Les questions de clarification sont les bienvenues.

Chris_K
la source

Réponses:

10

Il est possible d'incorporer un mot de passe dans un fichier .rdp, mais le mot de passe est crypté avec le SID de votre compte d'utilisateur local de telle manière que le fichier .rdp n'est pas interchangeable entre les utilisateurs ou les ordinateurs. Ce comportement est inhérent à la conception: Microsoft ne voulait pas qu'un intrus puisse obtenir les clés d'un serveur Terminal Server simplement en volant un fichier .rdp sur le bureau de quelqu'un.

Heureusement, il existe une solution de contournement raisonnablement bien documentée. Fondamentalement, vous devez créer le fichier .rdp "à la volée" via un fichier batch ou un script que l'utilisateur exécute au lieu d'invoquer mstsc.exedirectement. Votre script crée le fichier .rdp approprié et, ce faisant, il crypte le mot de passe d'une manière qui mstsc.exel'acceptera dans le contexte de l'utilisateur actuel.

Ressources:

Chacun des articles ci-dessus comprend soit un lien vers un outil qui peut être utilisé pour crypter les mots de passe RDP et / ou le code source. Je suggère de travailler à partir du code source si possible. (Comme toujours, utilisez les binaires compilés par des inconnus d'Internet à vos risques et périls.)

Skyhawk
la source
Cela ressemble à la voie à suivre et merci pour les liens! De façon amusante (OK, pas vraiment), le "besoin commercial" de longue date pour cela a disparu aujourd'hui, mais je pense que cela aurait été la réponse.
Chris_K
1

Hum ... intéressant. La première chose qui me vient à l'esprit est d'utiliser la clé / le certificat (comme ssh):

est-ce que cela aide?

mbrownnyc
la source
Certificats! Ouais, ça vaut la peine d'être étudié. Je n'ai pas de serveur de passerelle dans le mélange, mais peut-être que pousser les certificats clients pourrait être une option? Merci.
Chris_K
Mon Search-Fu est peut-être faible, mais je ne vois pas d'option pour remplacer user / pass par un certificat pour les clients.
Chris_K
Prêt pour la complexité? Je le pensais! technet.microsoft.com/en-us/library/ff404286(WS.10).aspx (note: la redirection de carte à puce peut se produire dans n'importe quel client RDP 6.0 + ... et je n'ai implémenté rien de tout cela)
mbrownnyc
... Oh fer beurk!
Chris_K