No results found
TS Plus è un terminal server alternativo a quello di Microsoft, che supporta sistemi operativi Microsoft VISTA, W7, W8, W10e 2003/2008/2012/2016 e lavora come un sistema Citrix completo. La sua particolarità è che utilizza il protocollo RDP per le sessioni di Desktop Remoto e quindi può utilizzare qualsiasi tipo di client, non solo quello di Microsoft. Inoltre rende possibile gestire tutte le opzioni comunemente utilizzabili con il client RDP di Microsoft, accessi contemporanei e multi-user, mappatura stampanti, mappatura drive, Audio Remoto, Dual Screen, ecc. Funziona con tutti i client RDP ed è ideale anche per sistemi thin client.
TS Plus integra un generatore di client personalizzati che permettono di gestire il servizio terminal a proprio piacimento, introducendo funzioni di remote app, taskbar ecc. È quindi una soluzione per lavorare da remoto con i software normalmente utilizzati in locale e con i gestionali.
Tramite la console Admin Tools di TS Plus è possibile gestire la parte HTML5 della connettività che permette di raggiungere il servizio anche tramite un browser e quindi da sistemi operativi diversi da quelli di Microsoft.
In questo tutorial vedremo come utilizzarlo in applicazioni che richiedono l’autenticazione a due fattori, ma utilizzando un tool esterno chiamato Rohos, invece dell’autenticazione a due fattori nativa di TS Plus.
Ricordiamo che per autenticazione a due fattori (2FA = Two Factors Authentication) si intende quella che richiede l’inserimento di due pasword generate da due diversi sistemi.
TSPlus funziona con una parte server, cioè un'applicazione che è installata sul server che deve pubblicare le varie applicazioni (insomma i vari servizi che dobbiamo andare a distribuire) e tramite la console è possibile gestire tutti i tipi di configurazioni.
Le modalità operative di TS Plus sono le seguenti:
La connessione Desktop Remoto classica è la connessione di rete classica client RDP che ci mostra sullo schermo del client il desktop del server, con i permessi che sono stati dati all'utente creato su quel server.
Il generatore integrato di TS Plus Generator è un generatore di client RDP ed è quello che permette di avere un client di TS Plus creato ad hoc per i vari utenti o per i vari gruppi di utenti, con determinate funzionalità preimpostate. Con il generatore di client RDP è possibile creare connessioni di tipo Client Seamless e Remote App: la differenza fondamentale è nella versione di Windows su cui va ad operare. Comunque, la soluzione permette di avere delle connessioni che non siano la connessione remota RDP classica, nella quale vediamo il desktop del server, ma in cui possiamo utilizzare solo ed esclusivamente determinate applicazioni, la cui visibilità dipende da ciò che intendiamo concedere in uso all'utente. Quindi, che si tratti di un file di Word o di un programma, qualunque esso sia, possiamo renderlo visibile tramite una taskbar dedicata, che può essere un Floating Panel, ossia un pannello flottante che si attiva quando ci passiamo sopra il puntatore del mouse
TSPlus Admin Tool è la console centralizzata per la configurazione del Terminal Server, dalla quale è possibile effettuare tutte le impostazioni e configurazioni per l'uso dell’accesso remoto, la pubblicazione delle applicazioni e l'assegnazione agli utenti dei diritti di accesso, nonché la configurazione del server TSplus e del sistema HTML/HTTPS e HTML5.
Con il Floating Panel o la Remote Taskbar (integrata in TSplus) è possibile assegnare a ciascun utente uno o più programmi al quale avere accesso; ciò significa che l’utente non avrà accesso al desktop intero del server, ma vedrà solo i programmi a lui assegnati. Tale soluzione consente di aumentare la sicurezza del terminal server.
Tali modalità o funzionalità esistono esclusivamente se il client è stato generato con TS Plus, quindi nel momento in cui utilizziamo il client generator di TS Plus e costruiamo il modello, possiamo definire queste due funzioni, le quali permettono di rendere disponibili determinate applicazioni e renderle visibili all'utente quando si deve lavorare, un po’ in una sorta di unity tra le applicazioni che abbiamo sul computer e le applicazioni che abbiamo in remoto: vengono visualizzate allo stesso modo, quindi sembrano sempre presenti sulla stessa macchina.
L’immagine seguente propone un esempio di Remote Taskbar, dove vediamo una taskbar verticale che è quella del nostro TS Plus e quella orizzontale che è la classica del client (in questo caso basato su sistema operativo Windows 10).
Quanto al Floating Panel, un esempio è proposto nell’immagine seguente; si chiama “floating” perché possiamo spostarlo nello schermo a piacimento e anche nasconderlo.
Si tratta quindi di una finestrella che possiamo aprire ed anche nascondere (appare, in questo caso, portando il puntatore del mouse sul bordo dello schermo.
Come la tasksbar, comunichiamo dal client TS Plus con il nostro server e possiamo anche aprire le applicazioni di nostro interesse.
Con il ‘’RemoteApp client ’’ o il ‘’Seamless client’’ è possibile eseguire sul computer dell’utente solo le applicazioni che gli sono state preventivamente autorizzate, mantenendo separate le sessioni TSplus con le applicazioni locali.
Ciò permette di scegliere quali applicazioni installare sul server e quali farle eseguire solo in locale, risparmiando i costi di licenza per le applicazioni lato server.
La differenza tra RemoteApp e Seameless Client è che quest’ultimo funziona su tutte le versioni di Windows, mentre il primo, lavorando come le Microsoft RemoteApp, richiede un sistema operativo client in versione da Windows 7 Enterprise in avanti; quindi quando con il generatore di client di TS Plus costruiamo il nostro client, se dobbiamo mandarlo in esecuzione su macchine con sistema operativo fino a Windows 7 lo creeremo come Seamless Client, mentre se abbiamo ad esempio Windows 10, costruiamo un client Remote App.
L’immagine seguente propone la finestra di Remote App.
Il Seameless Client ha alcune funzionalità in meno rispetto a Remote App, però in ambiente Windows è l'unico modo per visualizzare in modalità Unity le applicazioni che vengono eseguite in remoto sul server.
Il fatto di avere il client TS Plus permette di scegliere quelle che sono le applicazioni che desideriamo eseguire il locale: infatti c'è la possibilità di avere nella stessa sessione sia applicazioni che vengono eseguite in locale, quindi software installati sul PC dell'utente e non sul server, sia applicazioni remote.
Prendiamo un esempio classico: se abbiamo Office OEM installato sul PC locale, non è necessario installare l'applicazione Office sul server terminal, dove sarebbe necessario pagare licenze a Microsoft, ma possiamo utilizzare il client locale per aprire file di rete in modalità remota. In questo caso il client esegue file presenti sul server terminal, ma lo fa utilizzando l'applicazione locale
L’immagine seguente mostra come vengono visualizzate sullo schermo del PC dell’utente l'applicazione locale e quella remota: notate che la grafica delle finestre è differente, allo scopodi distinguere se sta lavorando con un’applicazione software del PC o del server.
L’immagine seguente mostra l’interfaccia tramite la quale accediamo, mediante il protocollo HTML 5, al nostro terminal server con TS Plus.
Nella finestra inseriamo le credenziali di accesso e specifichiamo, tramite i due pulsanti di opzione, se vogliamo la modalità HTML5 o Remote App; questo, se il client è di tipo Remote App, altrimenti non è prevista tale scelta. Abbiamo quindi due modalità di accesso.
L’immagine seguente propone quello che vediamo nella finestra del browser optando per la modalità HTML5: nel browser possiamo aprire le applicazioni tramite le icone, come fossimo nel desktop di un PC locale; riusciamo quindi a lavorare come se avessimo un Client RDP. Le icone si trovano raggruppate in un’apposita finestra.
Quindi TSplus offre la possibilità di visualizzare direttamente nel browser attraverso una pagina web i programmi assegnati all’utente, rendendo disponibile l'icona del programma stesso in un’apposita finestra.
La visualizzazione proposta nell’immagine che segue è relativa all’accesso in modalità Remote App ed è simile a quella di Citrix Application Portal.
Quanto alle versioni, TS Plus ne prevede quattro (chiamate Edition) e descritte qui di seguito.
La prima è la versione base, se vogliamo: si chiama Core Features e contiene gli elementi base, che sono:
- TSplus Admin Tool
- Multiuser Connection
- SingleApp- & MultiApp-Publishing
- Remote Desktop
- Remote Taskbar
- Floating Panel
- RDP-Client Generator
- Seamless client
- Remoteapp Client
- Printer- Port- e Diskmapping
- Sound bidirezionale
- Dual Screen Mode
- Workgroup e Active Directory
- Apertura files Office sul PC locale
La seconda è la Universal printer e permette di stampare documenti presenti sul server direttamente su una stampante collegata al client. È in pratica una stampante virtuale PDF che consente di stampare documenti presenti sul server su qualsiasi stampante locale sul client senza l'installazione di driver sul server.
La terza è la Web Access e consente l’accesso al server RDP tramite internet browser in modalità HTTP, HTTPS oppure HTML5.
La quarta ed ultima è la Enterprise Functions, che contiene gli add-on che consentono di avere a disposizione le funzioni avanzate, vale a dire di trasformare TS Plus in TS Plus Enterprise Edition. Le funzioni cui ci riferiamo sono:
- Web logon portal
- Application Panel
- Load Balancing
- Failover
TS Plus può essere abbinato a Rohos, il quale è un applicativo che viene utilizzato per consentire la doppia autenticazione; ciò significa che oltre che inserire username e password, quando ci si collega al server tramite il desktop remoto viene chiesto anche l'inserimento di un ulteriore parametro di sicurezza, che può essere una chiavetta, un token o comunque una password OTP inviata tramite SMS da connessione cellulare, se il server è stato configurato per inviare SMS.
Il metodo più utilizzato è quello del codice OTP che viene generalmente gestito da applicativi come Google Authenticator, Yubikey, Secure ID e quant'altro; quindi Rohos è un software che non si limita semplicemente a mandarci OTP ma apporta diverse funzionalità.
Quello che spiegheremo in questo tutorial è l’autenticazione a due fattori a TSPlus mediante Google Authenticator, perché è la più veloce e semplice e non comporta particolari implementazioni.
Rohos è l’ideale per implementare l’autenticazione a due fattori in combinazione con TSPlus; va detto che l’ultima release di TS Plus include in realtà la possibilità di attivare l’autenticazione a due fattori, tuttavia quello che fa la differenza tra l’autenticazione a due fattori con la funzionalità che ingloba TS Plus e Rohos e la semplicità di gestione offerta da quest’ultimo rispetto all'altra.
Non che l’autenticazione a due fattori di TS Plus non funzioni bene, anzi va benissimo, però anch’essa si basa su un’applicazione di terze parti che nello specifico si chiama SAS/PAS e che comporta una configurazione del server su cui la si va ad installare, che si basa su IAS.
Quindi dobbiamo attivare IAS a livello server, dobbiamo configurare IAS in modo che gestisca un portale per la gestione delle autenticazioni aggiuntive tramite SAS/PAS e una volta fatto questo tipo di configurazione sul server possiamo attivare l'autenticazione a due fattori sulla console di TS Plus e linkarla a SAS/PAS. Quindi è molto più complicato.
La questione in Rohos è molto più semplice, perché basta installare l’applicazione sul server, definire il tipo di autenticazione aggiuntiva, quali sono gli utenti che devono essere oggetto di questa autenticazione e a quel punto siamo già operativi.
Inoltre Rohos funziona anche in integrazione con Active Directory, perciò se abbiamo un Domain Controller installiamo la versione di Rohos per Domain Controller, definiamo sempre a livello di applicativo Rohos quali sono gli utenti che potranno avere accesso all’autenticazione a due fattori e questo automaticamente permette, nel momento in cui stabiliamo una connessione RDP dal client al server con le credenziali di dominio, automaticamente è lo stesso dominio che ci propone di fare l’autenticazione a due fattori sulla base delle impostazioni registrate per l’utente corrispondente sulla console Rohos.
Questo proposto dall’immagine seguente è un piccolo screenshot dell’autenticazione tramite Rohos e l’app Authenticator di Google installata su uno smartphone.
Adesso andiamo a vedere come funziona l’autenticazione a due fattori con Rohos su un server dove c'è TS Plus installato; notare che l’applicazione si lancia cliccando sulla relativa icona Rohos Logon Key (ha la forma di una Pen Drive…) che viene creata sul desktop a fine installazione.
Diamo subito uno sguardo all’interfaccia utente di Rohos, proposta dall’immagine seguente, nella quale si può vedere che è già configurato un utente (Administrator); sotto l’utente si trovano quattro comandi, ognuno dei quali apre una finestra di dialogo.
I comandi sono:
Qui, la prima operazione che dobbiamo compiere è definire che tipo di autenticazione da utilizzare tra quelle proposte nell’interfaccia utente e l’utente cui abbinarla; nell’immagine seguente vedete la finestra di dialogo che si apre scegliendo Imposta la chiavetta USB.
Qui, scegliendo dal menu a tendina l’opzione USB flash drive si apre la finestra di dialogo proposta nell’immagine seguente, dove cliccando su Seleziona utente andiamo a definire a quale utente verrà abbinata l’autenticazione a due fattori mediante USB flash drive.
Cliccando su Seleziona utente si apre una finestra tipo quella mostrata nell’immagine seguente, dalla quale è possibile scegliere l’utente cui applicare l’autenticazione con Rohos.
Tenete presente che l’immagine si riferisce a una macchina che non è in un dominio, quindi ha degli utenti che sono utenti locali, più due utenti RDP (rdp01 e rdp02). Se si fosse trattato di una macchina inserita in un dominio vedremmo gli utenti che sono associati e a questo punto si potrebbe operare sul discorso degli utenti di dominio.
Quindi una volta definiti la tipologia di autenticazione a due fattori e l’utente cui applicarla, impostiamo la chiavetta USB e la configuriamo.
Spostiamoci ora sulla parte Setup OTP token e cliccando sulla voce coprrispondente apriamo la finestra di dialogo per le impostazioni del caso, visibile nell’immagine seguente. Faremo quindi un esempio basato sul token generato dal servizio Google Authenticator ed allo scopo cliccheremo sull’opzione corrispondente. La finestra prevede comunque vari tipi di autenticazione OTP in alternativa.
Effettuiamo la selezione dell’utente cui abbinarla: clicchiamo quindi su Select user e accediamo alla finestra di dialogo riepilogante gli utenti (è quella già vista due immagini indietro) e da questa selezioniamo, cliccandovi sopra, rdp01, quindi confermiamo cliccando sul pulsante OK.
Torniamo così alla finestra Setup OTP token, dove possiamo inserire una password Windows aggiuntiva, nel senso che c’è la possibilità di avere una password di Windows dell’utente, tuttavia bisogna ricordare che in tal caso, se l’utente cambia la password, il sistema di autenticazione non funziona più.
Notare che cliccando sulla voce in blu OTP Impostazioni… si accede alla finestra mostrata nell’immagine seguente, la quale propone gli OTP impostati con le relative impostazioni, come ad esempio gli utenti correlati, il tipo di OTP (Type of OTP or phone number) e la validità temporale (OTP validity timeout) espressa in secondi.
Infatti le password OTP devono avere una validità, per elevare la sicurezza e l’affidabilità dell’autenticazione; la durata può essere impostata a scelta scrivendola nella casella corrispondente.
Bene, una volta definito l’utente e la tipologia di autenticazione da utilizzare, bisogna cliccare su Display QR code e verrà generato il link per il download del QR code; aprendo il collegamento e il file scaricato apparirà il QR code da fotografare con lo smartphone e utilizzare per l’autorizzazione.
Per abilitare l’OTP su questo utente basta cliccare sul pulsante Enable OTP login e apparirà a video una finestra di notifica che dice che la chiavetta USB è stata abilitata e può essere utilizzata per la login di Windows per sbloccare il Desktop. Con OK si accetta la notifica e a questo punto l'utente è attivo.
Quindi abbiamo attivato sull’utente il tipo di autenticazione desiderato e acquisito il QR code; adesso dobbiamo tornare all’interfaccia utente (schermata principale) di Rohos e cliccando su Opzioni, accedere alla finestra di dialogo mostrata nell’immagine seguente allo scopo di impostare le policy di autenticazione. Per esempio vedete spuntata la voce Write log file for authentification events che imposta la creazione di un file di log per ogni autenticazione avvenuta o fallita.
Cliccando nella casella Permetti il login solo utilizzando la chiavetta USB si apre il menu a tendina da cui scegliere a quali utenti associare tale modalità di autenticazione; selezionando For listed users stabiliamo che ciò varrà per gli utenti inseriti nella lista già vista e accessibile dal comando Seleziona utente. Quindi l'autenticazione a due fattori verrà richiesta solamente per utenti elencati all'interno di tale lista. Volendo disattivare l’autenticazione a due fattori, dal menu a tendina occorrerà scegliere la voce None.
Se dal menu a tendina si sceglie l’opzione For user group in Active Directory è necessario avere installato Active Directory sul server di dominio.
Attenzione a non impostare l’autenticazione a due fattori per l’utente Administrator, perché se qualcosa va storto non si riesce più a operare sulla macchina; si può farlo a condizione di impostare un logon di emergenza, cosa che verrà spiegata più avanti in questo tutorial e che si esegue cliccando, nella finestra di dialogo Opzioni Rohos proposta dall’immagine precedente, sulla voce in blu Configura logon di emergenza.
A questo punto la configurazione è terminata; almeno per quel che riguarda il server cui i computer client punteranno per l’accesso remoto.
Ora vediamo su un client che cosa avviene al momento dell’accesso da desktop remoto, ipotizzando di avere già configurato un un accesso remoto. Lanciando il Remote Desktop dall’apposita icona sul desktop del computer client, appare la schermata di login Remote Access nella quale inseriamo username e password, quindi confermiamo cliccando sul pulsante Connect e nel giro di qualche istante apparirà la schermata Remote App. Cliccando su Mostra dettagli la finestra si estende e appare l’immagine seguente.
Nell’apposita casella inseriamo la password OTP ricevuta sullo smartphone e generata da Google Authenticator e confermiamo con Invio, quindi si apre la schermata della connessione e il sistema carica le impostazioni dell’utente con il relativo desktop remoto, il floating panel ecc.
Lo stesso discorso vale se si accede tramite client RDP: anche in questo caso viene indicato nella casella della password di inserire la OTP.
L’applicazione permette di configurare un logon di emergenza, ossia una modalità per accedere nel caso vada smarrita la password normale o per qualche ragione non si riesca ad ottenere la OTP, ovvero la stessa non sia riconosciuta. L’impostazione del caso si esegue cliccando, nella finestra di dialogo Opzioni Rohos, sulla voce in blu Configura logon di emergenza , allorché si apre la relativa finestra di dialogo (immagine seguente).
In essa è possibile impostare un certo numero di domande (da una a quattro) che il sistema proporrà all’utente al momento dell’autenticazione e le risposte corrispondenti; è anche possibile definire il numero massimo di tentativi superato il quale l’accesso verrà negato.
Le impostazioni effettuate divengono operative cliccando su OK; resta inteso che è possibile eseguirle distintamente per ciascun utente, ovvero per le categorie cui, dalla solita finestra di dialogo Opzioni Rohos, si applica l’autenticazione a due fattori.
Al logon di emergenza si accede dopo aver inserito le credenziali nella finestra Remote Access o del client RDP, quindi una volta che la macchina client si è connessa al server e questo propone la finestra di autenticazione di TS Plus, che può essere quella proposta nell’immagine seguente.
Quindi per fare un logon di emergenza è necessario essere collegati con l’utente corrispondente e e, una volta apparsa la schermata di richiesta autenticazione dell’accesso remoto, cliccare sulla voce Logon di Emergenza; poco dopo lo schermo proporrà la domanda segreta o le domande cui l’utente dovrà rispondere in maniera esatta evitando di sbagliare oltre i tentativi ammessi.