Avanpost FAM/MFA+ : Настройка MFA для RDS Windows Desktop/Server при подключении по RDP

Настройка MFA для RDS Windows Desktop/Server при подключении по RDP

Общие сведения

Avanpost FAM обеспечивает 2FA для пользователей, выполняющих подключение при помощи RDP к локальной RDS-службе. В инструкции описывается настройка 2FA для Windows Desktop/Windows Server с использованием устанавливаемого клиентского компонента Avanpost FAM Windows Logon (Credential Provider).

Загрузка дистрибутива

Дистрибутив компонента Avanpost FAM Windows Logon доступен по ссылке: https://packages.avanpost.ru/.

Компонент Avanpost FAM Windows Logon представляет собой zip-архив, содержащий:

  • установочный MSI-файл;
  • стандартный конфигурационный файл для MSI-файла.

Установка и настройка

На стороне рабочей станции под управлением ОС Microsoft Windows

  1. Распаковать дистрибутив в формате zip-архива в любой каталог.
  2. Отредактировать конфигурационный файл avanpostcred.ini (находится после установки по пути C:\windows\avanpostcred.ini), указав значение параметра Connect, равным адресу gRPC-интерфейса Avanpost FAM Server (см. Приложение А).
  3. Запустить установку MSI-пакета. Установщик предложит выполнить установку.
  4. После завершения установки перезагрузить машину.

На стороне административной консоли Avanpost FAM Server

  1. Создать приложение с типом Desktop, имя фиксированное – «CredentialProvider», оставив пустым шаблон.
  2. На вкладке "Настройки аутентификации"(MFA) задать факторы аутентификации приложения:

     – на первом шаге: Password (Рисунок);



    Для беспарольной аутентификации по QR-коду через Avanpost Authenticator на этом же шаге аутентификации перевести переключатель "Вход по QR-коду" в положение "Активно" (Рисунок).

    Первичный вход в Систему производится по паролю, далее – по QR-коду.

    Для обеспечения беспарольного входа в Систему предусмотрено сохранение до трех учетных записей пользователя.


    – на следующем шаге: установить второй фактор аутентификации.

  3. На этапе завершения настройки установить флажок "Сделать приложение активным" и сохранить. Для настройки аутентификации по смарт-карте см. Настройка фактора Смарт-карта.
  4. Убедитесь также, что настройках LDAP провайдера установлено верное доменное имя, которое должно быть равно NETBIOS имени, иначе при подключении будет ошибка "Отказано в доступе".

Проверить и найти его можно с помощью PowerShell команды "Get-AdDomain".

Настройка TLS-шифрования передаваемых данных в рамках gRPC-интерфейса 

Для включения режима TLS-шифрования в файле настроек (конфигурационный файл avanpostcred.ini) необходимо задать параметры:

CA=< имя файла сертификата сервера с полным путем >
SslTargetName=< имя хоста сервера, которое совпадает с именем в сертификате >

Обновление

На стороне сервера MS AD

При обновлении необходимо предпринять дополнительные шаги, чтобы сохранить предварительно настроенный ini-файл.

1. Скопировать ini-файл из ранее установленной версии Avanpost FAM Credential Provider.

2. Удалить ini-файл из нового распакованного дистрибутива.

3. Вернуть предварительно настроенный ini-файл в новую директорию дистрибутива.

Для стандартного обновления:

  1. Распаковать дистрибутив в формате zip-архива в любой каталог.
  2. Отредактировать конфигурационный файл avanpostcred.ini в дистрибутиве, указав значение параметра Connect, равным адресу gRPC-интерфейса Avanpost FAM Server (пример конфигурационного файла приведен в Приложении А).
  3. Запустить установку MSI-пакета. Установщик предложит выполнить обновление.
  4. После завершения обновления перезагрузить машину, на которой было произведено обновление Avanpost FAM Credential Provider.

Проверка установки или обновления

В режиме доступа к рабочей станции:

  1. Инициировать вход на рабочую станцию.
  2. Выбрать Avanpost FAM Credential Provider.
  3. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

В режиме доступа по RDP:

  1. Инициировать подключение по RDP на рабочую станцию.
  2. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

Приложение А. Пример настроенного конфигурационного файла avanpostcred.ini

Конфигурационный файл avanpostcred.ini, содержащийся в zip-архиве дистрибутива, может быть настроен следующим образом:

[Avanpost]
Connect=192.168.10.10:9007
Flags=NOFAMDOMAIN,SHOWALLCP
Token=rtPKCS11.dll

где в параметре Connect указан IP-адрес Avanpost FAM Server и gRPC-порт (стандартный gRPC-порт для Credential Provider – 9007 TCP). Настройка gRPC-порта выполняется на стороне сервера и описана в инструкции по настройке gRPC.

Доступные переменные для параметра Flags:

  • NOFAMDOMAIN - не передавать в FAM префикс домена для поиска пользователя. При использовании доменной аутентификации этот флаг необходимо удалить.
  • CPDEFAULT - установить провайдер  по умолчанию при старте (при работе нескольких провайдеров Credential Provider будет предложен по умолчанию).
  • SHOWALLCP - показывать все провайдеры при входе. Без данного флага провайдер будет один – Avanpost FAM Credential Provider. Рекомендуется оставить этот флаг для первичной отладки.
  • SHOWLOGONCP - показывать все провайдеры для LOGON (вход в системы, разблокировка).
  • SHOWCREDUICP -  показывать все провайдеры для CREDUI (приложения запрашивают учетные данные, например RDP).
  • OFFLINE_ENABLE – установить вход в Систему по паролю учетной записи ОС Windows без проверки аутентификации через сервер FAM в случаях, когда сервер FAM недоступен. 

Доступные значения для параметра Token:

  • rtPKCS11.dll – для Рутокена;
  • jcPKCS11-2.dll – для Jakarta.

Обсуждение