- Created by Vladislav Fomichev, last modified by Lyazat Shabalina on Jun 02, 2023
Модуль Indeed AM RDP Windows Logon позволяет реализовать возможность двухфакторной аутентификации с помощью технологии Indeed AM в процессе подключения по RDP или Remote App. В качестве второго фактора могут выступать мастер-пароль (провайдер Passcode), одноразовый пароль, сгенерированный мобильным приложением (провайдер Software OTP ), одноразовый пароль, отправленный по SMS или email.
Информация
Файлы для Indeed AM RDP Windows Logon расположены: indeed AM <Номер версии>\Indeed AM RDP Windows Logon\<Номер версии>\
- Indeed.EA.RDPWindowsLogon-<номер версии>.x64.ru-ru.msi - Пакет для установки RDP Windows Logon для х64 битных машин.
- Indeed.EA.RDPWindowsLogon-<номер версии>.x86.ru-ru.msi - Пакет для установки RDP Windows Logon для х32 битных машин.
Установка и настройка RDP Windows Logon
Информация
Для работы расширения требуется включение NLA для пользователя.
- Выполнить установку RDP Windows Logon через запуск соответствующего пакета.
- Открыть редактор реестра Windows.
- Создать в разделе HKEY_LOCAL_MACHINE\SOFTWARE\ ключ Indeed-ID с вложенным ключом RemoteAuth.
- В разделе RemoteAuth создать:
Строковый параметр ProviderId и задать значение, соответствующее используемому провайдеру.
Информация
ProviderId может иметь разные ID провайдеров:
{EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP
{093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP
{F696F05D-5466-42b4-BF52-21BEE1CB9529} - Passcode
{0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} - Software OTP
{AD3FBA95-AE99-4773-93A3-6530A29C7556} - HOTP Provider
{CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05} - TOTP Provider
{DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68} - AirKey Provider
- В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\AuthProxy. Измените параметры:
Параметр ServerUrlBase. В значении для параметра укажите адрес вашего сервера Indeed.
Информация
При использовании https соединения требуется выполнить установку клиентского сертификата на каждый сервер Indeed AM.
Параметр IsIgnoreCertErrors, указать значение 0 или 1.
Информация
Данный параметр предназначен для проверки сертификата сервера Indeed, при значении 1 происходит игнорирование ошибок сертификата.
Параметр AppId со значением RDP Windows Logon.
- Для настройки выбора провайдера аутентификации на стороне пользователя выполните:
- В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth реестра Windows создайте параметр DWORD с именем IsAuthSelectionEnabled
- Определите значение параметра IsAuthSelectionEnabled равное 1. Если параметр не задан или его значение 0, то выбор провайдера аутентификации предоставляться не будет. В этом случае будет использоваться провайдер, указанный в значении ProviderId или Indeed AM Passcode Provider, если ProviderId не указан. Если IsAuthSelectionEnabled=1 и указан провайдер в ProviderId, то при подключении пользователя будет выбран указанный провайдер, но пользователь сможет выбрать любой другой из числа поддерживаемых.
- В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth реестра Windows создайте параметр DWORD с именем IsAuthSelectionEnabled
- Аутентификация пользователей без лицензии на Indeed AM.
По умолчанию Indeed AM RDP Windows Logon работает с пользователями, обладающими лицензией AM RDP Windows Logon. Для включения аутентификации пользователей без лицензии RDP Windows Logon выполните следующие действия:- Откройте редактор реестра Windows.
В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создайте параметр DWORD с именем AllowNonEAUsers.
Сценарии работы параметра
- Если пользователь находятся вне пользовательского каталога Indeed - На пользователя действует настройка AllowNonEAUsers, пользователь не сможет аутентифицироваться, если значение параметра не равно 1.
- Если пользователь находится в пользовательском каталоге без лицензии, но в политике для пользователя нет приложения или не состоит в политике - На пользователей действует настройка AllowNonEAUsers, пользователи не смогут аутентифицироваться, если значение параметра не равно 1.
- Если пользователь находится в пользовательском каталоге без лицензии и в политике пользователя есть приложение - На пользователей не действует настройка AllowNonEAUsers. Всегда происходит попытка входа с автозахватом лицензии.
- Если значение параметра AllowNonEAUsers равно 1, то пользователи без лицензии RDP WL смогут аутентифицироваться по доменному паролю (Без использования технологии Indeed).
- Если значение параметра AllowNonEAUsers равно 0 или не задано, то аутентификация осуществляется только для пользователей с лицензией RDP WL. Пользователь без лицензии аутентифицироваться не сможет.
Настройка одновременной работы с Indeed AM Windows Logon
При условии, что используется сценарий с установкой на одной машине RDP Windows Logon и Windows Logon, необходимо настроить политику для Windows Logon. Для этого:
Через GPO
- Перейдите на машину, на которой установлены компоненты RDP Windows Logon и Windows Logon;
- Откройте редактор GPO;
- Перейдите: Конфигурация компьютера → Административные шаблоны → Indeed ID → Windows Logon;
- Включите политику "Настройки Credential Provider" и установите параметр "Отображение способов входа" на "Все, кроме пароля".
Через реестр
- Перейдите на машину, на которой установлены компоненты RDP Windows Logon и Windows Logon;
- Откройте редактор реестра;
- Перейдите: Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Logon for Windows;
- Создайте параметр DWORD "CredProvFilter" и установите ему значение 2.
Пример работы расширения
- Подключаемся к машине на которой установлен WL RDP.
- Указываем пользователя и доменный пароль и нажимаем "Ок".
- Вводим одноразовый пароль.
- No labels