Общие сведения
Компонент Avanpost FAM Windows Logon (Credential Provider) устанавливается через GPO (Group Policy) для решения следующих задач:
- осуществления 2FA/MFA для получения доступа к рабочей станции;
- осуществления 2FA/MFA для удалённого доступа к рабочей станции или серверу через RDP;
- централизованного контроля доступа к рабочей станции или серверу через RDP.
Установка через групповые политики рекомендуется, когда компонент необходимо установить на большое количество устройств. В противном случае рекомендуется устанавливать компонент локально.
Для установки через механизм GPO рабочая станция или сервер должны находиться в домене, через который осуществляется управление.
Компонент поддерживает следующие ОС Windows:
- Microsoft Windows Desktop 7;
- Microsoft Windows Desktop 8;
- Microsoft Windows Desktop 10;
- Microsoft Windows Desktop 11;
- Microsoft Windows Server 2012R2;
- Microsoft Windows Server 2016;
- Microsoft Windows Server 2019;
- Microsoft Windows Server 2022.
Загрузка дистрибутива
Перед установкой следует загрузить дистрибутив компонента Avanpost FAM Agent, представляющий собой zip-архив, содержащий:
- установочный MSI-файл;
- стандартный конфигурационный файл для MSI-файла.
Установка компонента на стороне MS AD
Настройка компонента в интерфейсе сервера MS AD осуществляется в следующей последовательности:
- Распаковать скачанный дистрибутив в формате zip-архива в каталоге домена SYSVOL.
- Войти в консоль управления групповыми политиками (GPMS). Для этого следует открыть командную строку (Win+R), ввести
gpmc.msc
и нажать OK.Консоль управления групповыми политиками (GPMS) доступна, если на контроллер домена установлена роль Active Directory Domain Service (AD DS). Установка ролей осуществляется через Диспетчер серверов. В диспетчере серверов следует войти с стандартное меню "Add roles and features" и выбрать компонент Group Policy Management.
- В консоли управления групповыми политиками необходимо создать пакет (Конфигурация компьютера → Политики → Конфигурация программ → Установка программ, ЛКМ → Создать → Пакет).
- Выбрать установочный MSI-файл, находящийся в каталоге домена SYSVOL вместе с файлом
avanpostcred.ini.
- В открывшемся окне "Развертывание программ" выбрать метод развертывания "Назначенный" и нажать "ОК".
- В корневом каталоге c установочным файлом должен находиться ini-файл с именем «avanpostcred.ini» и содержимым, указанным в Приложении А.
- Отредактировать конфигурационный файл
avanpostcred.ini,
задав значения параметров в соответствии с Приложением А. - Назначить объект GPO юниту с компьютерами, на которые требуется установить Avanpost FAM Credential Provider.
После первичной отладки рекомендуется отключить стандартные провайдеры аутентификации обеспечиваемые ОС Windows. Для этого следует:
- Войти в консоль управления групповыми политиками (GPMS). Для этого следует открыть командную строку (Win+R), ввести
gpmc.msc
и нажать OK. - Перейти в раздел созданного объекта групповой политики (Computer Configuration -> Preferences -> Windows Settings →Registry).
- Создать новый ключа реестра с параметрами:
Hive - HKEY_LOCAL_MACHINE
Key Path - SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{60b78e88-ead8-445c-9cfd-0b87f74ea6cd}
Value name - Disabled
Value type - REG_DWORD
Value data - 1
Если предполагается использование 2FA/MFA для RDP-подключения к текущей машине, то для корректной работы Avanpost FAM Credential Provider через RDP с включенными:
Network Layer Authentication
SecurityLayer=3
(путь к параметру в Редакторе реестра:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer
)
на узле, куда планируется входить с помощью Credential Provider, требуется отключить стандартный провайдер Microsoft. Для этого следует:
- Войти в Редактор реестра. Для этого стоит открыть командную строку (Win+R), ввести
regedit
и нажать OK. - Перейти по следующему пути в Редакторе реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{60b78e88-ead8-445c-9cfd-0b87f74ea6cd}
- Создать ключ DWORD (в контекстном меню нажать "Создать" и выбрать "DWORD 32 бита") с именем «Disabled» и значением «1».
На стороне административной консоли Avanpost FAM Server
Настройка компонента в интерфейсе административной консоли Avanpost FAM Server осуществляется в следующей последовательности:
- Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
- На этапе "Основные настройки" требуется ввести наименование и выбрать тип Windows Logon (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление Windows Logon-приложениями). В качестве названия приложения необходимо использовать "CredentialProvider".
На вкладке "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 2. Настройки аутентификации для Windows Logon-приложения).
На первом шаге рекомендуется установить вход по паролю: установить переключатель в строке Password в положение "Активно" ().
Для беспарольной аутентификации по QR-коду через мобильное приложение Avanpost Authenticator на первом шаге аутентификации следует перевести переключатель "Вход по QR-коду" в положение "Активно" (). Первичный вход в Систему будет осуществлен по паролю, затем будет использоваться QR-код. Для обеспечения беспарольного входа в Систему предусмотрено сохранение до трех учетных записей пользователя.
На последующих шагах установить дополнительные факторы аутентификации.
Данные о настройке аутентификации по смарт-карте даны в разделе Настройка фактора Смарт-карта.
На этапе завершения настройки установить флажок "Сделать приложение активным" и сохранить (более подробно описано в Шаг 3. Завершение для Windows Logon-приложения).
Обновление компонента
Обновление Avanpost FAM Windows Logon (Credential Provider) осуществляется на стороне сервера MS AD.
Для сохранения предварительно настроенного ini-файла:
1. Скопировать ini-файл из ранее установленной версии Avanpost FAM Credential Provider.
2. Разместить ini-файл в каталоге с файлом MSI.
Стандартное обновление осуществляется следующим образом:
- Войти в консоль управления групповыми политиками (GPMS). Для этого следует открыть командную строку (Win+R), ввести
gpmc.msc
и нажать OK. - Зайти в раздел объекта GPO (Computer Configuration -> Policies -> Software Settings -> Software installation, ЛКМ -> New -> Package).
- Выбрать установочный MSI-файл новой версии Credential Provider.
При обновлении в каталоге с файлом MSI должен присутствовать корректный файл
avanpostcred.ini
. - В окне Deploy Software нажать "Advanced".
- В окне Avanpost FAM Credential Provider Properties во разделе "Upgrades" нажать "Add" и установить значения параметров:
-
Choose a package from - Current Group Policy Object (GPO)
; -
Uninstall the existing package, then install the upgrade package
.
-
- Нажать ОК и дождаться завершения обновления.
Проверка после установки или обновления
В режиме доступа к рабочей станции:
- Инициировать вход на рабочую станцию.
- Выбрать Avanpost FAM Credential Provider.
- Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.
В режиме доступа по RDP:
- Инициировать подключение по RDP на рабочую станцию.
- Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.
Приложение А. Параметры конфигурационного файла avanpostcred.ini
Конфигурационный файл avanpostcred.ini
обладает следующими параметрами.
Параметр | Описание |
---|---|
Connect | IP-адрес Avanpost FAM Server и gRPC-порт (стандартный gRPC-порт для Credential Provider – 9007 TCP). Настройка gRPC-порта выполняется на стороне сервера и описана в инструкции по настройке gRPC. |
Flags | Доступные переменные для параметра Flags:
|
Token | Указывает библиотеку для используемых токенов. Доступные значения для параметра Token:
|
Model | Определяет модели используемых токенов. Пример моделей для JaCard:
|
QR | Позволяет провайдеру изменить основную иконку на QR-код заданной ссылки. |
IconFile | Позволяет задать пользовательский логотип иконки провайдера (брендирование) с помощью указанного файла в формате BMP. |
Tile | Задает количество сохраненных логинов в дополнение к основным:
|
LOG | Указывает адрес, по которому будет сохраняться файл с логами. Формат: путь + имя файла логирования. |
SslTargetName | Указывает при необходимости поддержки TLS-шифрования имя хоста сервера, которое совпадает с именем из сертификата. |
CA | Указывает при необходимости поддержки TLS-шифрования на расположение сертификата, параметр необходимо указать в формате: путь + имя файла сертификата. |
Конфигурационный файл avanpostcred.ini
, содержащийся в zip-архиве дистрибутива, может быть настроен следующим образом.
[Avanpost] Connect=192.168.10.10:9007 Flags=NOFAMDOMAIN,SHOWALLCP Token=rtPKCS11.dll LogLevel=INFO