Avanpost FAM/MFA+ : 4.4.1. Локальная установка FAM Agent в ОС Windows

[ ] [ Общие сведения ] [ Загрузка дистрибутива ] [ Установка и настройка компонента на стороне Avanpost FAM Server ] [ Обычная установка FAM Agent на рабочей станции под управлением ОС Microsoft Windows ] [ "Тихая" установка FAM Agent на рабочей станции под управлением ОС Microsoft Windows ] [ В режиме "тихой" установки компонент будет установлен без взаимодействия с пользователем, и все процессы будут выполнены автоматически. Перед началом установки в подготавливаемом дистрибутиве должен содержаться корректный конфигурационный файл avanpost_fam_agent.dll.config (настройка параметров осуществляется согласно Приложению А). Для установки компонента следует использовать учетную запись, обладающую правами на установку приложений в системе. ] [ Обновление Avanpost FAM Agent ] [ Проверка установки и обновления Avanpost FAM Agent ] [ Миграция на версию FAM Agent 1.5.0 и выше ] [ Приложение А. Пример конфигурационного файла avanpost_fam_agent.dll.config ]

Общие сведения

Компонент Avanpost FAM Agent устанавливается локально для решения следующих задач:

  • осуществления 2FA/MFA в унаследованных десктопных приложениях при использовании механизма аутентификации Enterprise SSO;
  • SSO при переключении между унаследованными десктопными приложениями, подключенными посредством механизма Enterprise SSO.

Локальная установка Avanpost FAM Agent рекомендуется в следующих случаях:

  1. Рабочая станция расположена не в домене (например, если в качестве рабочей станции используется ноутбук, не подключенный к домену, либо домашний компьютер сотрудника).
  2. Сервер расположен не в домене из соображений безопасности.

Если планируется установка Avanpost FAM Agent на большое количество устройств, рекомендуется использовать способ установки через GPO.

Поддерживаются следующие ОС Windows:

  • Microsoft Windows Desktop 7;
  • Microsoft Windows Desktop 8;
  • Microsoft Windows Desktop 10;
  • Microsoft Windows Desktop 11;
  • Microsoft Windows Server 2012R2;
  • Microsoft Windows Server 2016;
  • Microsoft Windows Server 2019;
  • Microsoft Windows Server 2022.

Загрузка дистрибутива 

Перед установкой следует загрузить дистрибутив компонента Avanpost FAM Agent, представляющий собой zip-архив, содержащий:

  • установочный MSI-файл;
  • стандартный конфигурационный файл для MSI-файла.

Установка и настройка компонента на стороне Avanpost FAM Server

Настройка компонента в интерфейсе административной консоли Avanpost FAM Server осуществляется в следующей последовательности: 

  1. Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
  2. На этапе "Основные настройки" требуется ввести наименование и выбрать тип OAuth/Open ID Connect (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление OpenID Connect-приложениями).
  3. На этапе "Настройки интеграции" необходимо установить настройки приложения (более подробно описано в Шаг 2. Настройки интеграции для OIDC-приложения). Обязательно требуется задать значения параметров в графе Secret (произвольный секретный ключ, который будет использоваться для подключения к приложению) и Redirect URIs (URL-адрес, на который пользователь будет перенаправлен после успешной аутентификации).

    Администратор может сменить секретный ключ (например, при компрометации ключа) в профиле созданного приложения во вкладке "Настройки" в разделе "Смена секрета".

    Секретный ключ должен совпадать с тем, который задается в конфигурационном файле/в мастере установки на рабочей станции пользователя.


  4. На этапе "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 3. Настройки аутентификации для OIDC-приложения).

  5. На этапе "Завершение" установить флажок "Сделать приложение активным" и сохранить (более подробно описано в Шаг 4. Завершение для OIDC-приложения).
  6. После создания приложения требуется найти его в режиме "Приложения" и зайти в профиль, нажав на название приложения. Зайти во вкладку "Настройки" и нажать для перехода в режим редактирования.
  7. В режиме редактирования следует задать следующие параметры: 
     – ID synonym - Cиноним идентификатора приложения;
     – Allowed grant types - Перевести переключатель в положение "Активно" () для следующих Grant Types: Refresh token и Password.

  8. Перейти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
  9. На этапе "Основные настройки" ввести наименование и выбрать тип Agent (более подробно описано в разделе Шаг 1. Основные настройки для Enterprise SSO-приложений).
  10. На этапе "Настройки интеграции" в текстовое поле ввести шаблон приложения (более подробно описано в Шаг 2. Настройки интеграции для Enterprise SSO-приложений):

    Шаблон приложения представлен в виде JSON-блока, содержащего параметры, определяющие признаки перехвата окон десктопного приложения, и последовательный набор команд для заполнения и сабмита формы аутентификации десктопного приложения. Шаблон может меняться по мере развития FAM Agent. Разработка шаблона приложения описана в разделе Разработка шаблона Enterprise SSO.

    {
      "authenticateTemplates": [
        {
          "commands": [
            {
              "commandType": "Sleep",
              "sleepTime": 100
            },
            {
              "commandType": "TextEntry",
              "textMessage": "$user"
            },
            {
              "commandType": "KeyPress",
              "code1": "TAB"
            },
            {
              "commandType": "TextEntry",
     
              "textMessage": "$password"
            },
            {
              "commandType": "KeyPress",
              "code1": "RETURN"
            }
          ],
          "grab": [
            {
              "windowName": "Login",
              "processName": "mockauth"         
            },
            {
              "windowName": "Login2",
              "processName": "mockauth",
              "windowClassName": "SomeWindowClassNameIfItNeed"
            }
          ]
        }
      ],
      "changePasswordTemplates": [
        {
          "commands": [
            {
              "commandType": "Sleep",
              "sleepTime": 100
            },
            {
              "commandType": "TextEntry",
              "textMessage": "$user"
            },
            {
              "commandType": "KeyPress",
              "code1": "TAB"
            },
            {
              "commandType": "TextEntry",
              "textMessage": "$password"
            },
            {
              "commandType": "KeyPress",
              "code1": "TAB"
            },
            {
              "commandType": "TextEntry",
              "TextMessage": "$newpassword"
            },
            {
              "commandType": "KeyPress",
              "code1": "RETURN"
            }
          ],
          "grab": [
            {
              "windowName": "ChangePassword",
              "processName": "mockauth"
            }
          ]
        }
      ]
    }
    
    
  11. На этапе "Настройки аутентификации" следует выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно в Шаг 3. Настройки аутентификации для Enterprise SSO-приложений).

  12. На этапе "Завершение" установить флажок "Сделать приложение активным" и сохранить.
  13. Создать новую группу. Для этого необходимо нажать кнопку "Добавить группу" в режиме "Группы" и в открывшейся вкладке ввести запрашиваемые параметры (более подробно в Добавление новых групп).

  14. Добавить в группу пользователей, которые будут аутентифицироваться в настроенных приложениях. Ручное добавление пользователей администратором реализуется в профиле группы. Также доступ пользователя к группам и ролям допускается редактировать в УЗ пользователя

  15. Назначить ранее созданные OAuth/Open ID Connect и Agent-приложения в данную группу. Для этого в профиле группы во вкладке "Приложения" созданной группы установить переключатель в положение "Активно" () напротив созданных приложений.

  16. Для настройки централизованной аутентификации в desktop-приложениях через Avanpost FAM в учетных записях пользователей зайти во вкладку "Приложения" в раздел "Учетные записи" в графу "Приложение" и выбрать в выпадающем списке FAM_Agent.

Обычная установка FAM Agent на рабочей станции под управлением ОС Microsoft Windows

Установка Avanpost FAM Agent осуществляется пошагово при помощи мастера установки. В процессе установки у пользователя есть возможность отменить установку нажатием кнопки "Отмена" или вернутся на предыдущий шаг нажатием кнопки ""Назад". Установка осуществляется в следующей последовательности:

  1. Распаковать скачанный дистрибутив в формате zip-архива в любой каталог на рабочей станции.
  2. Запустить установку MSI-пакета из каталога, где был распакован zip-архив.
  3. В приветственном окне мастера установки нажать "Далее" и перейти в окно конфигурации агента Avanpost FAM Agent:
  4. В окне конфигурации агента заполнить поля с настройкой конфигурации Avanpost FAM Agent согласно таблице и нажать "Далее".
    ПараметрЗначение
    Адрес (хост:порт) gRPC-интерфейса FAMАдрес (хост и порт) gRPC-интерфейса (по умолчанию указывается avanpost.fam.local:9007).
    Адрес сервера FAMАдрес сервера, на котором развернут Avanpost FAM, используемый организацией (по умолчанию используется https://avanpost.fam.local).
    Адрес OpenID Connect Discovery FAMURL-адрес файла конфигурации OpenID-сервера, который используется для аутентификации.
    Client ID Агента на сервере FAMУказывается ID synonym или ID OIDC-приложения, созданного на шагах 1 - 5 данной инструкции.
    Secret Агента на сервере FAMВводится секрет OIDC-приложения, созданного на шагах 1 - 5 данной инструкции.
    Использовать TLS

    Установить флажок в чекбокс:

    • при установленном флажке используется TLS-шифрование, настраиваемое в "Сертификат сервера" и "CN сертификат сервера";
    • при выключенном флажке TLS-шифрование не используется.
    Сертификат сервера

    Путь к файлу сертификата cerf.pem, подписанного центром сертификации. Файл передается администратором FAM Server и сохраняется на устройстве с развернутым. Avanpost FAM Agent. Допускается выбрать файл сертификата в диалоговом окне, нажав "Browse".

    CN сертификата сервера

    Домен, на который был выдан сертификат.

    Администратор может посмотреть, кому выдан сертификат, изменив расширение файла cerf.pem на .crt и открыв его. Значение CN будет отображено в строке "Кому выдан".

  5. Указать путь, куда будут установлен Avanpost FAM Agent (нажать кнопку "Изменить" и задать путь или оставить путь по умолчанию) и нажать "Далее".
  6. Нажать кнопку "Установить", чтобы начать установку компонента.
  7. Дождавшись окончания установки, нажать кнопку "Готово".

"Тихая" установка FAM Agent на рабочей станции под управлением ОС Microsoft Windows

В режиме "тихой" установки компонент будет установлен без взаимодействия с пользователем, и все процессы будут выполнены автоматически. Перед началом установки в подготавливаемом дистрибутиве должен содержаться корректный конфигурационный файл avanpost_fam_agent.dll.config (настройка параметров осуществляется согласно Приложению А). Для установки компонента следует использовать учетную запись, обладающую правами на установку приложений в системе.

Установка с использованием удаленного рабочего стола осуществляется следующим образом:

  1. Открыть командную строку от имени администратора, нажав комбинацию клавиш Win+R. Ввести cmd и нажать OK.
  2. Перейти в каталог с установочными файлами (c:\>cd Диск:\Адрес_директории\).
  3. Выполнить следующую команду:
avanpost_fam_agent.msi /qn /quiet /norestart

Если учетная запись, используемая при установке, не обладает правами администратора, то при вводе команды используются следующие параметры: [-u пользователь [-p пароль]], в которых указав имя  и пароль от учетной записи соответственно. Учетная запись, используемая при установке, должна обладать правами для установки приложений. 

Локальная установка на рабочей станции осуществляется следующим образом:

  1. Открыть  командную строку от имени администратора, нажав комбинацию клавиш Win+R, ввести cmd и нажать OK.

  2. Перейти в каталог с установочными файлами (c:\>cd Диск:\Адрес_директории\).

    Если учетная запись, используемая при установке, не обладает правами администратора, то при вводе команды используются следующие параметры: [-u пользователь [-p пароль]], в которых указав имя  и пароль от учетной записи соответственно. Учетная запись, используемая при установке, должна обладать правами для установки приложений. 

  3. Выполнить следующую команду:

avanpost_fam_agent.msi /qn /quiet /norestart

Чтобы проверить корректность установки приложения, нужно убедиться, что после завершения установки получен ответ "exited on имя_пользовательской_машины with error code 0".

Обновление Avanpost FAM Agent

Стандартная процедура обновления включает в себя следующие действия: 

  1. Распаковать скачанный дистрибутив в формате zip-архива в любой каталог.
  2. Запустить установку MSI-пакета из каталога, где был распакован zip-архив.
  3. Мастер установки предложит выполнить обновление Avanpost FAM Agent (перенос настроек конфигурации в обновленную версию осуществляется автоматически).
  4. Дождавшись завершения обновления, перезагрузить устройство, на котором было произведено обновление Avanpost FAM Agent.

Проверка установки и обновления Avanpost FAM Agent

В режиме доступа к рабочей станции совершить следующие действия:

  1. Инициировать вход на рабочую станцию.
  2. Выбрать Avanpost FAM Agent в качестве способа аутентификации.
  3. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

В режиме доступа по RDP совершить следующие действия:

  1. Инициировать подключение по RDP на рабочую станцию.
  2. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

Миграция на версию FAM Agent 1.5.0 и выше

При миграции на версию FAM Agent 1.5.0 и выше требуется провести дополнительную настройку аутентификации посредством Kerberos. Для этого в конфигурационном файле avanpost_fam_agent.dll.config необходимо прописать строку:

<add key="serviceAccountName" value="HTTP/localhost"/>

Параметр value соответствует параметру serviceName/Principal, который указывается при настройке Kerberos.

Дальнейшая миграция осуществляется бесшовно.

Приложение А. Пример конфигурационного файла avanpost_fam_agent.dll.config

Конфигурационный файл "avanpost_fam_agent.dll.config", содержащийся в zip-архиве дистрибутива, может быть настроен следующим образом:

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <appSettings>
    <add key="gRPCServerAddress" value="10.10.161.81:9007" />
    <add key="FAMServerUrl" value="https://apidp.ru" />
    <add key="OpenIDConfigurationUrl" value="https://apidp.ru/.well-known/openid-configuration" />
    <add key="OpenIDClientId" value="d9212935-1380-41ca-b100-dba7412827cf" />
    <add key="OpenIDSecret" value="d9212935" />
    <add key="ServerCertificatePath" />
    <add key="SSLTargetName" />
    <add key="TemplateRefreshTimerMinutes" value="125" />
    <add key="DefaultLanguage" value="ru-RU" />
    <add key="IgnoreFaultyCertificate" value="False" />
  </appSettings>
</configuration>

Таблица 1 – Значения ключей конфигурационного файла



gRPCServerAddress

IP-адрес Avanpost FAM Server 

FAMServerUrl

URL-адрес сервера FAM

OpenIDConfigurationUrl

URL-адрес файла конфигурации OpenID-сервера, который используется для аутентификации

OpenIDClientId

Client ID приложения в системе FAM

OpenIDSecret

Cекретный ключ клиента OpenID. Задается вручную.

ServerCertificatePath

Путь к сертификату сервера, который будет использоваться для безопасного подключения

SSLTargetName

Имя, используемое для проверки подлинности сертификата SSL/TLS-сервера при установлении безопасного соединения

TemplateRefreshTimerMinutes

Интервал обновления шаблонов в минутах

DefaultLanguageЯзык по умолчанию
IgnoreFaultyCertificate

Указывает, игнорировать ли ошибки с ошибочным сертификатом при безопасном подключении (True - игнорировать, False - не игнорировать).


Обсуждение