Общие сведения
Avanpost FAM позволяет выполнять аутентификацию пользователя различными методами, включая использование локального и доменного паролей.
Фактор аутентификации Локальный пароль – пароль пользователя, созданный и хранящийся непосредственно в базе данных Avanpost FAM. Может использоваться как для пользователей, не связанных с внешними LDAP-каталогами, так и для пользователей, импортированных при синхронизации.
Фактор аутентификации Доменный пароль – пароль из внешнего LDAP-каталога (например, Microsoft Active Directory), с которым Avanpost FAM настроен на синхронизацию при помощи функциональности управления LDAP-провайдерами. Может использоваться только для пользователей, импортированных из внешнего LDAP-каталога. У пользователя может быть настроено несколько доменных паролей.
Данные методы могут применяться как самостоятельный фактор аутентификации, так и в виде части комбинированной политики (например, «доменный пароль + TOTP»). Для обеспечения безопасности рекомендуется использовать парольные методы в сочетании с дополнительными факторами, особенно при доступе к критически важным системам.
В данной статье описаны особенности настройки и применения методов "Локальный пароль" и "Доменный пароль" в административной консоли Avanpost FAM.
Настройка метода Локальный пароль
Настройка метода аутентификации Локальный пароль осуществляется в административной консоли Avanpost FAM Server следующим образом:
- Войти в раздел "Настройки методов аутентификации" режима "Сервис".
- Нажать кнопку "Добавить метод аутентификации".
- Заполнить общую информацию о методе согласно таблице (более подробно параметры описаны в Настройка методов аутентификации) и нажать кнопку "Далее".
Параметр Описание Название Ввести название. Фактор аутентификации Выбрать "Локальный пароль". Метод активен Заполнить чекбокс:
- при включенном чекбоксе метод можно использовать сразу после его создания и настройки;
- при выключенном чекбоксе метод невозможно использовать сразу после создания: для требуется активация в его профиле.
- Установить параметры метода согласно таблице ниже.
Параметр Описание Название Название метода. Название метода отображаемое пользователям Ввести название метода для отображения пользователям. Ключ-тэг Ввести уникальный тэг (используется для ориентации в логах). Фактор аутентификации Local Password Метод активен Установить чекбокс:
- При установленном чекбоксе метод аутентификации активен и может использоваться.
- При выключенном чекбоксе не активен и не может использоваться пока не будет активирован.
- Нажать кнопку "Сохранить" (для отказа от создания нажать кнопку "Отмена", для возврата на прошлый шаг кнопку "Назад").
Настройка метода Доменный пароль
Настройка метода аутентификации Доменный пароль выполняется в административной консоли Avanpost FAM Server следующими способами:
- Через раздел "Настройки методов аутентификации";
- В процессе настройки LDAP-провайдера.
В случае настройки метода через раздел "Настройки методов аутентификации" следует:
- Войти в раздел "Настройки методов аутентификации" режима "Сервис".
- Нажать кнопку "Добавить метод аутентификации".
- Заполнить общую информацию о методе согласно таблице и нажать кнопку "Далее".
Параметр Описание Название Ввести название. Фактор аутентификации Выбрать "Доменный пароль". Метод активен Заполнить чекбокс:
- при включенном чекбоксе метод можно использовать сразу после его создания и настройки;
- при выключенном чекбоксе метод невозможно использовать сразу после создания: для требуется активация в его профиле.
- Установить параметры метода согласно таблице ниже.
Параметр Описание Название Название метода. Название метода отображаемое пользователям Ввести название метода для отображения пользователям. Ключ-тэг Ввести уникальный тэг (используется для ориентации в логах). Фактор аутентификации Domain Password Метод активен Установить чекбокс:
- При установленном чекбоксе метод аутентификации активен и может использоваться.
- При выключенном чекбоксе не активен и не может использоваться пока не будет активирован.
Основные настройки
LDAP провайдер Выбрать LDAP-провайдер из выпадающего списка (отображаются ранее настроенные LDAP-провайдеры). Настроенный метод будет использоваться только для одного LDAP-провайдера.
- Нажать кнопку "Сохранить" (для отказа от создания нажать кнопку "Отмена", для возврата на прошлый шаг кнопку "Назад").
В случае настройки метода через раздел "Настройки LDAP-провайдеров" требуется:
- Инициировать создание нового LDAP-провайдера: нажать кнопку "Добавить" во вкладке "Настройки LDAP-провайдеров" режима "Сервис".
- На шаге "Основные настройки" установить флаг в чекбокс "Создать метод аутентификации Доменный пароль" и ввести наименование метода (параметру "Ключ-тэг" автоматически присвоится значение параметра "Название").
- Завершить создание LDAP-провайдера в соответствии инструкцией по настройке LDAP-провайдера.
- Для того, чтобы метод корректно отображался пользователям, рекомендуется перейти в профиль созданного метода (из раздела "Настройки методов аутентификации" режима "Сервис") и задать значение параметра "Название метода отображаемое пользователям".
Восстановление метода Локальный пароль
Удаление метода Локальный пароль не приводит к удалению учётных данных пользователей, т.к. хэши паролей остаются в базе данных и могут быть использованы после восстановления. В случае, если метод Локальный пароль был удален из административной консоли Avanpost FAM, администратор обладает возможностью восстановить метод через системную консоль сервера. Для этого предусмотрена специальная команда, которая автоматически восстанавливает оригинальный ключ-тег метода, что гарантирует корректное сопоставление с существующими хэшами.
Для восстановления ранее удаленного метода Локальный пароль следует выполнить действия:
- Остановить службу idp при помощи команды:
sudo systemctl stop idp
- Восстановить удаленный метод Локальный пароль при помощи специальной команды:
./fam_linux_amd64 -restore-pwd-auth
- Дождаться появления сообщения "Succesfully restored local password authentication".
- Запустить службу idp при помощи команды:
sudo systemctl start idp
- Убедиться, что метод доступен в разделе "Настройки методов аутентификации", а пользователи, для которых ранее был настроен метод Локальный пароль, могут беспрепятственно аутентифицироваться при помощ старых паролей.