Windows Server 2008 - Como habilitar Single Sign-On en Terminal Server

Primero empecemos por describir que es Single Sign-On (SSO). En lo que se refiere a Terminal Services, SSO significa utilizar las credenciales del usuario activo en un equipo remoto. Si se utiliza el mismo nombre de usuario y contraseña en el equipo local y al conectarse al Terminal Server, habilitar SSO permitirá hacerlo de manera transparente, sin tener que reingresar nuevamente la contraseña.

SSO es controlado por Group Policy, con el fin de evitar que cualquier software malicioso (virus, troyano, spyware, etc.) ejecutándose en la sesión del usuario pueda enviar las credenciales a otro equipo de la red. Por tal motivo, solo los Administradores decidirán que servidores se encuentran aptos para SSO.

Como habilitar SSO en general

SSO puede habilitarse desde Local Policies o Domain Policies, en este caso, y dado que como la mayoría de las policies conviene administrarlas de manera centralizada, vamos a tratar su implementación mediante Group Policies.

Nota: Para poder administrar Group Policies en Windows Server 2008, se deberá agregar previamente el feature "Group Policy Management". La GPMC, a diferencia de versiones anteriores de Windows Server, está incluida en el Windows Server 2008, sin embargo, debe ser agregada desde Server Manager.

1. 1. Ejecutar GPMC.MSC.
2. 2. Navegar hasta Group Policy Management\Forest: \Domains\Group Policy Objects.
3. 3. Suponiendo que ya tenemos una GPO creada, vamos a seleccionar la misma y editarla.
4. 4. Navegar hasta Computer Configuration\Administrative Templates\System\Credentials Delegation.

1. 5. Seleccionar la policy "Allow Delegating Default Credentials".
2. 6. Habilitar la policy y luego seleccionar Show para obtener el listado de servidores.
3. 7. Agregar el servidor que corresponda del listado. Pueden agregarse uno o más servidores, y se acepta el uso de Wildcards (como por ejemplo *.MyDomain.com, lo cual agregará a todos los servidores del dominio MyDomain.com).

1. 8. Confirmar los cambios seleccionando OK, hasta retornar a la ventana inicial de Group Policy Object Editor.
2. 9. En línea de comandos, ejecutar gpupdate, para forzar la actualización de las políticas aplicadas en el equipo.
3. 10. Una vez que estas políticas se encuentren aplicadas, el sistema no solicitará nuevamente credenciales al conectarse a los servidores especificados.

Nota: Se asume que la GPO a editar se encuentra linkeada o se linkeará al contenedor que corresponda. En caso contrario esta configuración no tendrá efecto alguno.

Como habilitar Single Sign-On para TS Gateway

1. 1. Ejecutar GPMC.MSC.
2. 2. Expandir User Configuration\Administrative Templates\Windows Components\Terminal Services\TS Gateway, y seleccionar Set TS Gateway server authentication method.
3. 3. Seleccionar Enabled.
4. 4. Seleccionar del combo-box, Use locally logged-on credentials.
5. 5. Si se quiere que los usuarios puedan utilizar otro método de autenticación, se debe seleccionar Allow users to change this setting.
   

1. 6. Confirmar los cambios seleccionando OK.
2. 7. Ejecutar desde línea de comandos, el comando gpupdate, para actualizar las políticas aplicadas en el equipo.
3. 8. Ejecutar el cliente TS y seleccionar Options\Advanced, luego seleccionar Settings sobre Connect from anywhere. Se deberá ver un texto que diga "The credentials of the currently logged on user will be used to connect to ".
   

Limitaciones de SSO

• Disponible únicamente para clientes Windows Vista o Server 2008 que intenten conectarse a un servidor Windows Server 2008.
• Si el servidor destino no puede auntenticar mediante Kerberos o certificados SSL, SSO no funcionará. Esto puede evitarse mediante la habilitación de la política "Allow Default Credentials with NTLM-only Server Authentication", lo cual tampoco es recomendable, ya que de esta forma no se confirma la identidad del servidor.
• Si hay credenciales previamente almacenadas para el equipo destino, estas tomarán precedencia sobre las credenciales actuales.
• Solo funciona al utilizar cuentas de dominio. (en realidad el escenario contrario no está oficialmente soportado).
• Si la conexión de Terminal Server está configurada para pasar a través de un TS Gateway, en algunos casos y dependiendo del escenario, las configuraciones de TS Gateway pueden superponerse a las de la configuración de SSO de Terminal Server.