Общие сведения
Компонент Avanpost FAM Windows Logon (Credential Provider) может устанавливаться через GPO для решения следующих задач:
- 2FA/MFA при доступе к рабочей станции;
- 2FA/MFA при удалённом доступе к рабочей станции или серверу по RDP;
- централизованного контроля доступа к рабочей станции или серверу по RDP.
Для установки через механизм GPO (Group Policy) рабочая станция или сервер должны находиться в домене, через который осуществляется управление.
Поддерживаются следующие ОС Windows:
- Microsoft Windows Desktop 7;
- Microsoft Windows Desktop 8;
- Microsoft Windows Desktop 10;
- Microsoft Windows Desktop 11;
- Microsoft Windows Server 2012R2;
- Microsoft Windows Server 2016;
- Microsoft Windows Server 2019;
- Microsoft Windows Server 2022.
Загрузка дистрибутива
Дистрибутив компонента Avanpost FAM Windows Logon (Credential Provider) доступен по ссылке: https://packages.avanpost.ru/.
Компонент Avanpost FAM Windows Logon представляет собой zip-архив, содержащий:
- установочный MSI-файл;
- стандартный конфигурационный файл для MSI-файла.
Установка и настройка
На стороне сервера MS AD
- Создать объект групповой политики, в разделе объекта GPO: Computer Configuration -> Policies -> Software Settings -> Software installation, ЛКМ -> New -> Package.
- Выбрать установочный файл MSI, который должен находиться в каталоге домена SYSVOL вместе с файлом
avanpostcred.ini
, в окне «Deploy Software» - Advanced. - В корневом каталоге c установочным файлом должен находиться ini-файл с именем «avanpostcred.ini» и содержимым, указанным в Приложении А.
- Назначить объект GPO юниту с компьютерами, на которые требуется установить Avanpost FAM Credential Provider.
Если требуется отключение стандартного провайдера Windows, то в разделе созданного объекта GPO: Computer Configuration -> Preferences -> Windows Settings ->Registry создать новый ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{60b78e88-ead8-445c-9cfd-0b87f74ea6cd}:
создать ключ DWORD с именем «Disabled
» и значением «1
»:
Если предполагается использование 2FA/MFA для RDP-подключения к текущей машине, то для корректной работы Avanpost FAM Credential Provider через RDP с включенными Network Layer Authentication и SecurityLayer=3 (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer
) нужно на текущем узле, куда требуется входить с помощью Credential Provider, отключить стандартный провайдер Microsoft: в реестре, по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{60b78e88-ead8-445c-9cfd-0b87f74ea6cd},
создать ключ DWORD с именем «Disabled» и значением «1».
На стороне административной консоли Avanpost FAM Server
- Создать приложение с типом Desktop, имя приложения фиксированное – «CredentialProvider».
Обновление
На стороне сервера MS AD
Для обновления Credential Provider`а в существующей политике по установке в разделе объекта GPO: Computer Configuration -> Policies -> Software Settings -> Software installation, ЛКМ -> New -> Package выбрать новую версию MSI Credential Provider, в окне «Deploy Software» - Advanced и выполнить настройки в соответствии со скриншотом:
В случае обновления в каталоге с файлом MSI должен присутствовать корректный файл
avanpostcred.ini
.Для сохранения предварительно настроенного ini-файла:
1. Скопировать ini-файл из ранее установленной версии Avanpost FAM Credential Provider.
2. Разместить ini-файл в каталоге с файлом MSI.
Проверка после установки или обновления
В режиме доступа к рабочей станции:
- Инициировать вход на рабочую станцию.
- Выбрать Avanpost FAM Credential Provider.
- Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.
В режиме доступа по RDP:
- Инициировать подключение по RDP на рабочую станцию.
- Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.
Приложение А. Пример конфигурационного файла avanpostcred.ini
Конфигурационный файл avanpostcred.ini
, содержащийся в zip-архиве дистрибутива, может быть настроен следующим образом:
[Avanpost] Connect=192.168.10.10:9007 Flags=NOFAMDOMAIN,SHOWALLCP Token=rtPKCS11.dll
где в параметре Connect
указан IP-адрес Avanpost FAM Server и gRPC-порт (стандартный gRPC-порт для Credential Provider – 9007 TCP). Настройка gRPC-порта выполняется на стороне сервера и описана в инструкции по настройке gRPC.
Доступные переменные для параметра Flags
:
NOFAMDOMAIN
- не передавать в FAM префикс домена для поиска пользователя. При использовании доменной аутентификации данный флаг необходимо удалить.CPDEFAULT
- установить провайдер по умолчанию при старте (при работе нескольких провайдеров Credential Provider будет предложен по умолчанию).SHOWALLCP
- показывать все провайдеры при входе. Без данного флага провайдер будет один – Avanpost FAM Credential Provider. Рекомендуется оставить этот флаг для первичной отладки.SHOWLOGONCP
- показывать все провайдеры для LOGON (вход в системы, разблокировка).SHOWCREDUICP
- показывать все провайдеры для CREDUI (приложения запрашивают учетные данные, например RDP).- OFFLINE_ENABLE - установить вход в Систему по паролю учетной записи ОС Windows без проверки аутентификации через сервер FAM в случаях, когда сервер FAM недоступен.
Доступные значения для параметра Token:
rtPKCS11.dll
– для Рутокена;jcPKCS11-2.dll
– для Jakarta.