Utiliser l'authentification externe - Amazon DCV
Configuration DCV du serveur AmazonUtilisation du jetonExigences relatives au service d'authentification

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser l'authentification externe

Par défaut, l'authentification DCV du client Amazon est déléguée au système d'exploitation sous-jacent. Avec les DCV serveurs Amazon Windows, l'authentification est déléguée à WinLogon. Avec les DCV serveurs Amazon Linux, l'authentification est déléguée à LinuxPAM.

Vous pouvez configurer Amazon DCV pour qu'il utilise un serveur d'authentification externe pour authentifier les clients. Cela vous permet d'utiliser un système d'authentification existant. Avec l'authentification externe, Amazon DCV exploite vos mécanismes de connexion existants et délègue l'authentification à un serveur d'authentification externe.

L'authentification externe valide un utilisateur ayant accès au DCV serveur pour permettre la création de sessions. Il n'authentifiera pas votre utilisateur par rapport au système d'exploitation sous-jacent comme le fait l'authentification système, sauf si vous configurez votre propre authentificateur externe pour le faire.

DCVLe gestionnaire de session est livré avec un authentificateur externe intégré. Pour utiliser cette fonctionnalité, vos DCV serveurs devront définir le auth-token-verifierparamètre avec l'adresse du gestionnaire de session.

Pour utiliser un serveur d'authentification externe, vous devez disposer des éléments suivants :

  • Un mécanisme de connexion : il s'agit du mécanisme frontal que vos utilisateurs utilisent pour se connecter. Il doit être en mesure de vérifier vos utilisateurs en utilisant votre système de vérification des informations d'identification existant et il doit être en mesure de générer un jeton et de le fournir au DCV serveur Amazon. Pour de plus amples informations, veuillez consulter Utilisation du jeton.

  • Un serveur d'authentification : il s'agit du serveur qui authentifie le jeton généré par le mécanisme de connexion. Ce serveur doit être en mesure de recevoir une POST demande HTTP (S) DCV du serveur Amazon incluant le jeton, d'effectuer les authentifications nécessaires, puis de renvoyer la réponse au DCV serveur Amazon. Pour plus d'informations sur la mise en œuvre d'un serveur d'authentification, consultezExigences relatives au service d'authentification.

  • Configuration DCV du serveur Amazon : le DCV serveur Amazon doit être configuré pour utiliser un serveur d'authentification externe. Pour de plus amples informations, veuillez consulter Configuration DCV du serveur Amazon.

Configuration DCV du serveur Amazon

Vous devez configurer le DCV serveur Amazon pour utiliser le service d'authentification externe.

Linux Amazon DCV server
Pour spécifier un serveur d'authentification externe sous Linux

  1. Accédez à /etc/dcv/ et ouvrez dcv.conf avec l'éditeur de texte de votre choix.

  2. Localisez le auth-token-verifier paramètre dans la [security] section, et remplacez la valeur existante par URL celle du serveur d'authentification externe et du port sur lequel communiquer, au format suivant :url:port. Par exemple, si vous utilisez le DcvSimpleExternalAuthenticator, spécifiez ce qui suit : http://127.0.0.1:8444

    S'il n'existe pas de paramètre auth-token-verifier dans la section [security], ajoutez-le manuellement en respectant le format suivant :

    [security] auth-token-verifier=url:port

  3. Enregistrez et fermez le fichier .

Windows Amazon DCV server
Pour spécifier un serveur d'authentification externe sous Windows

  1. Ouvrez l’Éditeur du Registre Windows.

  2. Accédez à la touche HKEY_ USERS /S-1-5-18/Software/ GSettings /com/nicesoftware/dcv/.

  3. Localisez le auth-token-verifierparamètre dans les paramètres de sécurité.

  4. Effectuez l’une des actions suivantes :

    • Pour les données URL de valeur, entrez le nom du serveur d'authentification externe et le port par lequel communiquer, au format suivant :url:port.

      Par exemple, si vous utilisez le DcvSimpleExternalAuthenticator, spécifiez ce qui suit : http://127.0.0.1:8444

    • S'il n'y a aucun auth-token-verifierparamètre dans la section de sécurité, ajoutez-le dans le PowerShell. Reportez-vous à la section Modification des paramètres de configuration.

  5. Ouvrez l'éditeur de Registre Windows.

  6. Arrêtez et redémarrez le DCV serveur Amazon.

Utilisation du jeton

Une fois que vous avez généré le jeton, vous devez être en mesure de l'envoyer au DCV serveur Amazon. Avec le client de navigateur Web, ajoutez le jeton à la connexion URL comme suit :

https://server_hostname_or_IP:port/?authToken=token#session_id

Par exemple :

https://my-dcv-server.com:8443/?authToken=1234567890abcdef#my-session

Exigences relatives au service d'authentification

Votre service d'authentification personnalisé peut être exécuté sur le même hôte que le DCV serveur Amazon ou sur un hôte distinct. Le service d'authentification doit écouter les HTTP (S) POST requêtes du DCV serveur Amazon.

Ce qui suit montre le format de POST demande utilisé par le DCV serveur Amazon.

POST / HTTP/1.1
Content-Type: application/x-www-form-urlencoded
sessionId=session_id&authenticationToken=token&clientAddress=client_address

Votre service d'authentification est chargé de déterminer si le jeton fourni est valide.

Une fois le jeton validé, le serveur d'authentification doit renvoyer la réponse au DCV serveur Amazon. Le corps de la réponse doit inclure l'un des éléments suivants, en fonction du résultat du processus d'authentification :

  • Si l'authentification est réussie, le service d'authentification renvoie un résultat yes et un identifiant utilisateur. Par exemple :

    <auth result="yes"><username>username</username></auth>

  • Si l'authentification échoue, le service d'authentification renvoie le résultat deno. Par exemple :

    <auth result="no"><message>message</message></auth>

DcvSimpleExternalAuthenticator

Amazon est DCV livré avec un serveur d'authentification externe de référence appelé,DcvSimpleExternalAuthenticator. DcvSimpleExternalAuthenticator est un script Python unique que vous pouvez utiliser comme point de départ pour créer votre propre serveur d'authentification personnalisé.

DcvSimpleExternalAuthenticator le serveur prend en charge HTTP etHTTPS, et il doit fonctionner sur le même serveur sur lequel le DCV serveur Amazon est installé. Par défaut, il DcvSimpleExternalAuthenticator écoute les demandes sur le port8444. Vous pouvez modifier le port, si nécessaire. Pour ce faire, ouvrez /etc/dcv/simpleextauth.conf avec votre éditeur de texte préféré, recherchez le EXTAUTH_PORT paramètre et remplacez la valeur existante par le numéro de port requis.

Pour l'utiliser DcvSimpleExternalAuthenticator, vous devez installer le nice-dcv-simple-external-authenticator package. Pour de plus amples informations, veuillez consulter Installation du DCV serveur Amazon.

Utilisation de l'authentificateur externe simple

  1. Accédez à votre répertoire d'authentification.

    sudo mkdir -p /var/run/dcvsimpleextauth

  2. Générez votre jeton d'authentification.

    Dans cet exemple, 123456 il s'agit de l'exemple de jeton d'authentification, session-123 de l'exemple d'ID de session et de l'usernameutilisateur.

    echo "123456" | sudo dcvsimpleextauth add-user —session session-123 --auth-dir /var/run/dcvsimpleextauth/ --user username -append

  3. Démarrez votre serveur.

    sudo dcvsimpleextauth --port 8444 --auth-dir /var/run/dcvsimpleextauth/ start-server

  4. Une fois le serveur en cours d'exécution, testez la configuration pour la validation.

    Encore une fois, en utilisant cet exemple, le test se déroulerait comme suit :

    curl -k http://localhost:8444 -d sessionId=session-123 -d authenticationToken=123456

    En cas de succès, vous recevrez un résultat d'authentification deyes.