Terminal Server (Remote Desktop Services) üzerinde Single Sign-On nasıl etkinleştirilir?

  • Article

 

Single Sign-On (SSO) nedir?

Basitçe Single Sign-On Terminal Servislerine (Remote Desktop Services) uygulandiginda, o anda logon olmus olan kullanicinin kullanici adini ve parolasini tekrar girmeden uzaktaki bilgisayara ayni kullanici adi ve parola ile logon olup, oradaki kaynaklari tekrar kullanici adi ve parola girmesine gerek kalmadan kullanabilmesidir.

Single Sign-On nasil etkinlestirilir?

Asagidaki group policy’i local veya domain bazinda enable etmeliyiz:

1- Administrator olarak logon olalim.

2- “gpedit.msc” ile Group Policy Editor’u baslatalim.

3- "Computer Configuration\Administrative Templates\System\Credentials Delegation" alanina gidelim:

image

4- "Allow Delegating Default Credentials" policy’sini çift tiklayalim.

5- Policy’i enable edelim ve server listesini almak için “Show” tusuna basalim:

image

6- “TERMSRV/<Server Adi>” seklinde SSO etkin olmasini istedigimiz Terminal Server’larimizi ekleyelim. Bu listeye birden çok server ekleyebilirsiniz, wildcard kullanabilirsiniz ama sadece 1 adet wildcard’a izin verecektrir:

image

7- “OK” ile çikalim ve “gpupdate /force” ile policy’leri refresh edelim.

8- Policy etkin oldugunda listelenen server’lar için size tekrar kullanici adi ve parola sorulmayacaktir.

Single Sign-On için limitler nelerdir?

- SSO sadece Windows XP SP3 sonrasi sistemlerden Windows Vista ve sonrasi sistemlere baglanirken çalisir.

Windows XP Service Pack 3'de kimlik bilgileri güvenlik destegi saglayicisi (CredSSP) açiklamasi

https://support.microsoft.com/kb/951608/tr-tr

- Baglanilacak server’a kerberos ya da SSL ile authenticate olunamiyor ise SSO çalismayacaktir.

- Baglanilacak server için daha önce kullanici adi ve parola kaydettiyseniz, bu kaydetmis oldugunuz bilgiler kullanilir.

- SSO domain user hesaplari ile çalisir.

- Terminal Server’lara TS Gateway üzerinden baglaniliyor ise TS Gateway üzerinde set edilmis ayarlar SSO ayarlarindan baskin çikabilir.

- Terminal Server, “Always Prompt” a set edilmis ise ya da RDP dosyasinda “Always Prompt” kullaniliyor ise SSO çalismaz.

- SSO sadece password’ler ile çalisir, SmartCard’lar ile çalismaz.

SSO neden Group Policy ile kontrol ediliyor?

Logon isleminin bir parçasi olarak TS istemcisi mevcut kullanici adi ve parolasini server’a gönderir. SSO eger normal bir user ile enable edilebilseydi, zararli yazilimlar da bu yetenegi kullanarak kullanici adi ve parolayi networkteki diger makinalara gönderebilirlerdi. Bunun için SSO enable edilmek için güvenli serverlari sadece administrator’lar belirlemelidir ve bu GPO ile set etmelidir. Ve yine bunun için SSO sadece domain’e join olmus makinalar için etkinlestirilebilir.

SSO’yu etkinlestirdim ama farkli kullanici adi ve parolasi kullanmak istiyor isem ne yaparim?

RDP client üzerinden “Options” tusuna basip “Always ask for credentials” kutusunu isaretleyelim. Tekrar logon olmak istendiginde kullanici adi ve parolasi sorulacaktir:

image

RD Gateway (TS Gateway) Server için SSO nasil etkinlestirilir?

1- Administrator olarak logon olalim.

2- “gpedit.msc” ile Group Policy Editor’u baslatalim.

3- "User Configuration", "Administrative Templates", "Windows Components", "Remote Desktop Services", "RD Gateway" and select the "Set RD Gateway server authentication method" setting alanina gidelim:

image

4- Policy’i çift tiklayip Enable durumuna getirelim.

5- Combo-box’tan “Use locally logged-on credentials” seçenegini seçelim:

image

6- OK ile kapatalim.

7- “gpupdate /force” ile policy refresh yapalim.

8- RDP Client içinde “Options/Advanced/Connect from anywhere” altindaki “Settings” tusuna bastigimizda "Your Windows logon credentials will be used to connect to this RD Gateway server". ibaresini görüyor olmamiz gerekiyor:

image 

9- Artik bu client RD Gateway Server’a logon olmus kullanici bilgilerini kullanarak baglanacaktir. Farkli kullanici bilgileri girilmesi gereken bir senaryo olursa da üstteki group policy içerisinde "Allow users to change this setting" kutusunu isaretleyebilirsiniz.

Domain’e join olmamis bir client’tan baglaniyor isem ne olacak?

Domain’e join olmadigi için GPO set edilemez ve SSO kullanilamaz. Bu durumda RD Gateway üzerinden baglanilacaksa, RDP dosyasi içerisinde kullanilmasi gereken seçenek “Use my RD Gateway credentials with remote server option” olmalidir ya da RDP client içerisinde “Use my RD Gateway credentials with remote computer” seçilmelidir.

SmartCard ile logon oluyorsam SSO’dan faydalanabilir miyim?

SmartCard ile SSO kullanilamaz.

Ozan KÖKSAL