Avanpost FAM/MFA+ : 4.4.5. Установка FAM Windows Logon (Credential Provider) в ОС Windows локально

Общие сведения

Компонент Avanpost FAM Windows Logon (Credential Provider) устанавливается локально на устройство пользователя для следующих задач:

  • осуществления 2FA/MFA для получения доступа к рабочей станции;
  • осуществления 2FA/MFA для удалённого доступа к рабочей станции или серверу через RDP;
  • централизованного контроля доступа к рабочей станции или серверу через RDP.

Локальная установка Avanpost FAM Windows Logon рекомендуется в следующих случаях:

  • Рабочая станция расположена не в домене (например, если в качестве рабочей станции используется ноутбук, не подключенный к домену, либо домашний компьютер сотрудника).
  • Сервер расположен не в домене из соображений безопасности.

Если планируется установка Avanpost FAM Windows Logon на большое количество устройств, рекомендуется использовать способ установки через GPO.

Компонент поддерживает следующие ОС Windows:

  • Microsoft Windows Desktop 7 (до 2024);
  • Microsoft Windows Desktop 8.1;
  • Microsoft Windows Desktop 10;
  • Microsoft Windows Desktop 11;
  • Microsoft Windows Server 2012R2 (до 2024);
  • Microsoft Windows Server 2016;
  • Microsoft Windows Server 2019;
  • Microsoft Windows Server 2022.

Загрузка дистрибутива

Перед установкой следует загрузить дистрибутив компонента Avanpost FAM Agent, представляющий собой zip-архив, содержащий:

  • установочный MSI-файл;
  • стандартный конфигурационный файл для MSI-файла.

Установка компонента на рабочей станции под управлением ОС Microsoft Windows

Установка Avanpost FAM Windows Logon (Credential Provider) осуществляется пошагово при помощи мастера установки. В процессе установки у пользователя есть возможность отменить установку нажатием кнопки "Отмена" или вернутся на предыдущий шаг нажатием кнопки ""Назад". Установка осуществляется в следующей последовательности:

  1. Распаковать скачанный дистрибутив в формате zip-архива в произвольный каталог каталог на устройстве пользователя.
  2. Отредактировать конфигурационный файл avanpostcred.ini(после установки конфигурационный файл можно найти для редактирования параметров по пути C:\windows\avanpostcred.ini), указав в качестве значения параметра Connect адрес gRPC-интерфейса Avanpost FAM Server (см. Приложение А).
  3. Запустить установку MSI-пакета из каталога, где был распакован zip-архив.
  4. В приветственном окне нажать "Далее".
  5. В окне подтверждения установки нажать "Далее".
  6. Дождаться окончания установки и перезагрузить устройство.

Важно

Начиная с версии 1.0-20 FAM Windows Logon использует пакет vcredist 2019, который должен быть установлен в ОС.

Установка и настройка компонента на стороне Avanpost FAM Server

Настройка компонента в интерфейсе административной консоли Avanpost FAM Server осуществляется в следующей последовательности: 

  1. Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
  2. На этапе "Основные настройки" требуется ввести наименование и выбрать тип Windows Logon (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление Windows Logon-приложениями). В качестве названия приложения необходимо использовать "CredentialProvider".
  3. На вкладке "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 2. Настройки аутентификации для Windows Logon-приложения).

    1. На первом шаге рекомендуется установить вход по паролю: установить переключатель в строке Password в положение "Активно" ().

      Для беспарольной аутентификации по QR-коду через мобильное приложение Avanpost Authenticator на первом шаге аутентификации следует перевести переключатель "Вход по QR-коду" в положение "Активно" ()Первичный вход в Систему будет осуществлен по паролю, затем будет использоваться QR-код. Для обеспечения беспарольного входа в Систему предусмотрено сохранение до трех учетных записей пользователя.

    2. На последующих шагах установить дополнительные факторы аутентификации.

      Данные о настройке аутентификации по смарт-карте даны в разделе Настройка фактора Смарт-карта.

  4. На этапе завершения настройки установить флажок "Сделать приложение активным" и сохранить (более подробно описано в Шаг 3. Завершение для Windows Logon-приложения)

Настройка TLS-шифрования передаваемых данных в рамках gRPC-интерфейса 

Для включения режима TLS-шифрования в файле настроек (конфигурационный файл avanpostcred.ini) необходимо задать параметры:

CA=< имя файла сертификата сервера с полным путем >
SslTargetName=< имя хоста сервера, которое совпадает с именем в сертификате >

Обновление компонента

Обновление Avanpost FAM Windows Logon (Credential Provider) осуществляется на стороне рабочей станции пользователя.

При обновлении необходимо предпринять дополнительные шаги, чтобы сохранить предварительно настроенный ini-файл.

1. Скопировать ini-файл из ранее установленной версии Avanpost FAM Credential Provider.

2. Удалить ini-файл из нового распакованного дистрибутива.

3. Вернуть предварительно настроенный ini-файл в новую директорию дистрибутива.

Стандартное обновление осуществляется следующим образом:

  1. Распаковать дистрибутив в формате zip-архива в произвольный каталог.
  2. Отредактировать конфигурационный файл avanpostcred.ini в дистрибутиве, указав в качестве значения параметра Connect адрес gRPC-интерфейса Avanpost FAM Server (пример конфигурационного файла приведен в Приложении А).
  3. Запустить установку MSI-пакета.
  4. Когда мастер установки предложит выполнить обновление, согласиться и нажать "Далее".
  5. Дождаться завершения обновления и перезагрузить устройство.

Проверка установки или обновления Avanpost FAM Windows Logon (Credential Provider)

В режиме доступа к рабочей станции:

  1. Инициировать вход на рабочую станцию.
  2. Выбрать Avanpost FAM Credential Provider.
  3. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

В режиме доступа по RDP:

  1. Инициировать подключение по RDP на рабочую станцию.
  2. Пройти аутентификацию в соответствии с настроенным сценарием аутентификации.

Приложение А. Параметры конфигурационного файла avanpostcred.ini

Конфигурационный файл avanpostcred.ini обладает следующими параметрами.

ПараметрОписание
ConnectIP-адрес Avanpost FAM Server и gRPC-порт (стандартный gRPC-порт для Credential Provider – 9007 TCP). Настройка gRPC-порта выполняется на стороне сервера и описана в инструкции по настройке gRPC.
Flags

Доступные переменные для параметра Flags:

  • NOFAMDOMAIN - не передавать в FAM префикс домена для поиска пользователя. При использовании доменной аутентификации данный флаг необходимо удалить.
  • CPDEFAULT - установить провайдер по умолчанию при старте (при работе нескольких провайдеров Credential Provider будет предложен по умолчанию).
  • SHOWALLCP - показывать все провайдеры при входе. Без данного флага провайдер будет один – Avanpost FAM Credential Provider. Рекомендуется оставить этот флаг для первичной отладки.
  • SHOWLOGONCP - показывать все провайдеры для LOGON (вход в системы, разблокировка).
  • SHOWCREDUICP -  показывать все провайдеры для CREDUI (приложения запрашивают учетные данные, например RDP).
  • OFFLINE_ENABLE - установить вход в Систему по паролю учетной записи ОС Windows без проверки аутентификации через сервер FAM в случаях, когда сервер FAM недоступен. 
  • SECURE_PROFILE_1 - заменять ответ от сервера UserNotFound на AccessReject.
  • RDP_SET_DOMAIN - флаг, отвечающий за, то какой домен используется при входе на RDP (установить, чтобы использовать домен, полученный системой через шлюз/при неустановленном флаге на стороне провайдера используется домен NETBIOS при условии, что компьютер входит в домен).   
Token

Указывает библиотеку для используемых токенов.

Доступные значения для параметра Token:

  • rtPKCS11.dll – для Рутокена (для работы с Рутокен S, Рутокен Lite и ЭЦП PKI/2.0/3.0, с использованием зарубежных криптографических алгоритмов RSA);
  • rtPKCS11ECP.dll – для Рутокена (для работы с Рутокен ЭЦП PKI/2.0/3.0, с использованием российских стандартов ГОСТ 34.10-2001, ГОСТ 34.10-2012, ГОСТ 34.11-94, ГОСТ 34.11-2012, ГОСТ 28147-89, ГОСТ-34.12-2015/2018
  • jcPKCS11-2.dll – для Jakarta.
Model

Определяет модели используемых аппаратных токенов.

Пример моделей для JaCard:

  • Model="JaCarta Laser"
  • Model="JaCarta GOST 2.0"
QR

Позволяет провайдеру изменить основную иконку на QR-код заданной ссылки.

IconFile

Позволяет задать пользовательский логотип иконки провайдера (брендирование) с помощью указанного файла в формате BMP.

Tile

Задает количество сохраненных логинов в дополнение к основным:

  • если параметр не задан, то значение по умолчанию 3;
  • если указано значение 0, то  будет показано только одно окно ввода логин-пароля.
LOG

Указывает адрес, по которому будет сохраняться файл с логами. Формат: путь + имя файла логирования.

LogLevel

Показывает уровень детальности логирования. По умолчанию уровень детализации INFO. Допустимо указание следующих параметров для фиксации информации:

  • ERROR (только ошибки);
  • INFO (информация об общем ходе работы и фиксация ошибок);
  • DEBUG (информация об общем ходе работы, фиксация ошибок, детальная информация для разработчика).
SslTargetName

Указывает при необходимости поддержки TLS-шифрования имя хоста сервера, которое совпадает с именем из сертификата.

CA

Указывает при необходимости поддержки TLS-шифрования на расположение сертификата, параметр необходимо указать в формате: путь + имя файла сертификата.

AppName

Имя приложения для Avanpost FAM Server (если параметр не задан, автоматически используется название CredentialProvider).   

Timeout

Время ожидания ответа для сервера (по умолчанию 45 секунд).

На время ожидания первого запроса (запрос проверки наличия QR-кода длиной 15 секунд) параметр не влияет.

Конфигурационный файл avanpostcred.ini, содержащийся в zip-архиве дистрибутива, может быть настроен следующим образом.

Пример настройки конфигурационного файла avanpostcred.ini
[Avanpost]
Connect=192.168.10.10:9007
Flags=NOFAMDOMAIN,SHOWALLCP
Token=rtPKCS11.dll
LogLevel=INFO

Обсуждение