Общие сведения
Avanpost FAM позволяет обеспечить 2FA для пользователей, выполняющих подключение при помощи RDP к локальной RDS-службе. В инструкции описывается настройка 2FA для Windows Desktop/Windows Server с использованием устанавливаемого клиентского компонента Avanpost FAM Windows Logon (Credential Provider).
Загрузка дистрибутива
Дистрибутив компонента Avanpost FAM Windows Logon доступен по ссылке: https://packages.avanpost.ru/.
Компонент Avanpost FAM Windows Logon представляет собой zip-архив, содержащий:
- установочный MSI-файл;
- стандартный конфигурационный файл для MSI-файла.
Установка и настройка
На стороне рабочей станции под управлением ОС Microsoft Windows
- Распаковать дистрибутив в формате zip-архива в любой каталог.
- Отредактировать конфигурационный файл
avanpostcred.ini (находится после установки по пути C:\windows\avanpostcred.ini), указав значение параметраConnect,равным адресу gRPC-интерфейса Avanpost FAM Server (см. Приложение А). - Запустить установку MSI-пакета. Установщик предложит выполнить установку.
- После завершения установки перезагрузить машину.
Если предполагается использование 2FA/MFA для RDP-подключения к текущей машине, то для корректной работы Avanpost FAM Credential Provider через RDP с включенными Network Layer Authentication и SecurityLayer=3 (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer) необходимо на текущем узле, куда требуется входить с помощью Avanpost FAM Credential Provider, отключить стандартный провайдер Microsoft: в реестре, по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{60b78e88-ead8-445c-9cfd-0b87f74ea6cd}, создать ключ DWORD с именем «Disabled» и значением «1».
На стороне административной консоли Avanpost FAM Server
- Создать приложение с типом Desktop, имя фиксированное – «CredentialProvider», оставив пустым шаблон.
На вкладке "Настройки аутентификации"(MFA) задать факторы аутентификации приложения:
– на первом шаге: Password (Рисунок);
Для беспарольной аутентификации по QR-коду через Avanpost Authenticator на этом же шаге аутентификации перевести переключатель "Вход по QR-коду" в положение "Активно" (Рисунок).
Первичный вход в Систему производится по паролю, далее – по QR-коду.
Для обеспечения беспарольного входа в Систему предусмотрено сохранение до трех учетных записей пользователя.
– на следующем шаге: установить второй фактор аутентификации.- На этапе завершения настройки установить флажок "Сделать приложение активным" и сохранить. Для настройки аутентификации по смарт-карте см. Настройка фактора Смарт-карта
- Убедитесь также, что настройках LDAP провайдера установлено верное доменное имя, которое должно быть равно NETBIOS имени, иначе при подключении будет ошибка "Отказано в доступе".
Проверить и найти его можно с помощью Powershell команды "Get-AdDomain".
Настройка TLS-шифрования передаваемых данных в рамках gRPC-интерфейса
Для включения режима TLS-шифрования в файле настроек (конфигурационный файл avanpostcred.ini) необходимо задать параметры:
CA=< имя файла сертификата сервера с полным путем > SslTargetName=< имя хоста сервера, которое совпадает с именем в сертификате >
Обновление
На стороне сервера MS AD
При обновлении необходимо предпринять дополнительные шаги, чтобы сохранить предварительно настроенный ini-файл.
1. Скопировать ini-файл из ранее установленной версии Avanpost FAM Credential Provider.
2. Удалить ini-файл из нового распакованного дистрибутива.
3. Вернуть предварительно настроенный ini-файл в новую директорию дистрибутива.
Для стандартного обновления:
- Распаковать дистрибутив в формате zip-архива в любой каталог.
- Отредактировать конфигурационный файл
avanpostcred.iniв дистрибутиве, указав значение параметраConnect,равным адресу gRPC-интерфейса Avanpost FAM Server (пример конфигурационного файла приведен в Приложении А).
- Запустить установку MSI-пакета. Установщик предложит выполнить обновление.
- После завершения обновления перезагрузить машину, на которой было произведено обновление Avanpost FAM Credential Provider.
Проверка установки или обновления
В режиме доступа к рабочей станции:
- Инициировать вход на рабочую станцию.
- Выбрать Avanpost FAM Credential Provider.
- Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.
В режиме доступа по RDP:
- Инициировать подключение по RDP на рабочую станцию.
- Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.
Приложение А. Пример настроенного конфигурационного файла avanpostcred.ini
Конфигурационный файл avanpostcred.ini, содержащийся в zip-архиве дистрибутива, может быть настроен следующим образом:
[Avanpost] Connect=192.168.10.10:9007 Flags=NOFAMDOMAIN,SHOWALLCP Token=rtPKCS11.dll
где в параметре Connect указан IP-адрес Avanpost FAM Server и gRPC-порт (стандартный gRPC-порт для Credential Provider – 9007 TCP). Настройка gRPC-порта выполняется на стороне сервера и описана в инструкции по настройке gRPC.
Доступные переменные для параметра Flags:
NOFAMDOMAIN- не передавать в FAM префикс домена для поиска пользователя. При использовании доменной аутентификации этот флаг необходимо удалить.CPDEFAULT- установить провайдер по умолчанию при старте (при работе нескольких провайдеров Credential Provider будет предложен по умолчанию).SHOWALLCP- показывать все провайдеры при входе. Без данного флага провайдер будет один – Avanpost FAM Credential Provider. Рекомендуется оставить этот флаг для первичной отладки.SHOWLOGONCP- показывать все провайдеры для LOGON (вход в системы, разблокировка).SHOWCREDUICP- показывать все провайдеры для CREDUI (приложения запрашивают учетные данные, например RDP).- OFFLINE_ENABLE – установить вход в Систему по паролю учетной записи ОС Windows без проверки аутентификации через сервер FAM в случаях, когда сервер FAM недоступен.
Доступные значения для параметра Token:
rtPKCS11.dll– для Рутокена;jcPKCS11-2.dll– для Jakarta.