Single Sign On for RDP
O intrebare destul de uzuala este cum sa faci SSO pentru RDP si de multe ori raspunsul este ca nu se poate insa este gresit. Se poate face, chiar foarte simplu, dar raspunsul este ascuns prin setarile din GPO si cam greu de descoperit.
Primul hint vi l-am dat, este vorba de GPO. Al doilea este ca acest GPO in care vom face setarea se va aplica pe clienti si nu pe serverele de RDP. Asta pentru ca noi vom configura “credentials delegation” si astfel clientul de RDP va avea permisiunea sa trimita mai departe credentialele pe care eu le-am folosit sa ma loghez pe statie. Iar setarea se afla in Computer Configuration\Administrative Templates\System\Credential Delegation:
Dupa cum vedeti exista optiunea Add servers to the list, unde trebuie sa specificam catre cine putem trimite mai departe credentialele:
De dragul exercitiului am specificat TERMSRV/* ceea ce inseamna ca pot trimite credentialele mai departe catre orice server de RDP. Recomandat este sa specificam fiecare server in parte, gen TERMSRV/server1 sau TERMSRV/server1.winadmin.local sau chiar TERMSRV/*.winadmin.local. Atentie la numele specificate (Netbios sau FQDN) pentru ca trebuie sa se potriveasca exact cu ce folositi in clientul de RDP pentru conectare.
Si dupa cum vedeti clientul de RDP va trimite mai departe credentialele folosite pentru logon pe statie:
Iar mai departe conexiunea se va realiza fara ca userul sa mai introduca user si parola din nou.
Nota: Nu va functiona daca folositi adresa IP pentru conectare pentru ca nu exista SPN definit pe serverul destinatie cu adresa IP. Si merge de la Vista in sus (uitati de XP si 2003).
2 Responses to “Single Sign On for RDP”
Pingback from RDP 8.1 Restricted Admin mode – security feature or not? » RO Windows Administrators Weblog
Time January 16, 2014 at 12:08 pm
[…] SSO pentru RDP on Single Sign On for RDP […]
Pingback from SSO pentru RDP
Time November 25, 2013 at 1:10 pm
[…] http://www.winadmin.ro/2013/11/25/single-sign-on-for-rdp/ […]