Модуль Indeed AM RDP Windows Logon позволяет реализовать возможность двухфакторной аутентификации с помощью технологии Indeed AM в процессе подключения по RDP или Remote App. В качестве второго фактора могут выступать мастер-пароль (провайдер Passcode), одноразовый пароль, сгенерированный мобильным приложением (провайдер Software OTP ), одноразовый пароль, отправленный по SMS или email.

Информация

Файлы для Indeed AM RDP Windows Logon расположены: indeed AM <Номер версии>\Indeed AM RDP Windows Logon\<Номер версии>\

  • Indeed.EA.RDPWindowsLogon-<номер версии>.x64.ru-ru.msi - Пакет для установки RDP Windows Logon для х64 битных машин.
  • Indeed.EA.RDPWindowsLogon-<номер версии>.x86.ru-ru.msi - Пакет для установки RDP Windows Logon для х32 битных машин.

Установка и настройка RDP Windows Logon

Информация

Для работы расширения требуется включение NLA для пользователя.

  1. Выполнить установку RDP Windows Logon через запуск соответствующего пакета.
  2. Открыть редактор реестра Windows.
  3. Создать в разделе HKEY_LOCAL_MACHINE\SOFTWARE\ ключ Indeed-ID с вложенным ключом RemoteAuth.
  4. В разделе RemoteAuth создать: 

    1. Строковый параметр ProviderId и задать значение, соответствующее используемому провайдеру.

      Информация

      ProviderId может иметь разные ID провайдеров:

      {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP

      {093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP

      {F696F05D-5466-42b4-BF52-21BEE1CB9529} - Passcode

      {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} - Software OTP

      {AD3FBA95-AE99-4773-93A3-6530A29C7556} - HOTP Provider

      {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05} - TOTP Provider

      {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68} - AirKey Provider


  5. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\AuthProxy. Измените параметры:

    1. Параметр ServerUrlBase. В значении для параметра укажите адрес вашего сервера Indeed.

      Информация

      При использовании https соединения требуется выполнить установку клиентского сертификата на каждый сервер Indeed AM.

    2. Параметр IsIgnoreCertErrors, указать значение 0 или 1.

      Информация

      Данный параметр предназначен для проверки сертификата сервера Indeed, при значении 1 происходит игнорирование ошибок сертификата.

    3. Параметр AppId со значением RDP Windows Logon.


  6. Для настройки выбора провайдера аутентификации на стороне пользователя выполните:
    1. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth реестра Windows создайте параметр DWORD с именем IsAuthSelectionEnabled
    2. Определите значение параметра IsAuthSelectionEnabled равное 1. Если параметр не задан или его значение 0, то выбор провайдера аутентификации предоставляться не будет. В этом случае будет использоваться провайдер, указанный в значении ProviderId или Indeed AM Passcode Provider, если ProviderId не указан. Если IsAuthSelectionEnabled=1 и указан провайдер в ProviderId, то при подключении пользователя будет выбран указанный провайдер, но пользователь сможет выбрать любой другой из числа поддерживаемых.


  7. Аутентификация пользователей без лицензии на Indeed AM.
    По умолчанию Indeed AM RDP Windows Logon работает с пользователями, обладающими лицензией AM RDP Windows Logon. Для включения аутентификации пользователей без лицензии RDP Windows Logon выполните следующие действия: 
    1. Откройте редактор реестра Windows. 

    2. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создайте параметр DWORD с именем AllowNonEAUsers.

      Сценарии работы параметра

      • Если пользователь находятся вне пользовательского каталога Indeed - На пользователя действует настройка AllowNonEAUsers, пользователь не сможет аутентифицироваться, если значение параметра не равно 1
      • Если пользователь находится в пользовательском каталоге без лицензии, но в политике для пользователя нет приложения или не состоит в политике - На пользователей действует настройка AllowNonEAUsers, пользователи не смогут аутентифицироваться, если значение параметра не равно 1.
      • Если пользователь находится в пользовательском каталоге без лицензии и в политике пользователя есть приложение - На пользователей не действует настройка AllowNonEAUsers. Всегда происходит попытка входа с автозахватом лицензии.
      • Если значение параметра AllowNonEAUsers равно 1, то пользователи без лицензии RDP WL смогут аутентифицироваться по доменному паролю (Без использования технологии Indeed).
      • Если значение параметра AllowNonEAUsers равно 0 или не задано, то аутентификация осуществляется только для пользователей с лицензией RDP WL. Пользователь без лицензии аутентифицироваться не сможет.

Настройка одновременной работы с Indeed AM Windows Logon

При условии, что используется сценарий с установкой на одной машине RDP Windows Logon и Windows Logon, необходимо настроить политику для Windows Logon. Для этого:

Через GPO

  1. Перейдите на машину, на которой установлены компоненты RDP Windows Logon и Windows Logon;
  2. Откройте редактор GPO;
  3. Перейдите: Конфигурация компьютера → Административные шаблоны → Indeed ID → Windows Logon;
  4. Включите политику "Настройки Credential Provider" и установите параметр "Отображение способов входа" на "Все, кроме пароля".

Через реестр

  1. Перейдите на машину, на которой установлены компоненты RDP Windows Logon и Windows Logon;
  2. Откройте редактор реестра;
  3. Перейдите: Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Logon for Windows;
  4. Создайте параметр DWORD "CredProvFilter" и установите ему значение 2.

Пример работы расширения

  1. Подключаемся к машине на которой установлен WL RDP.

  2. Указываем пользователя и доменный пароль и нажимаем "Ок".


  3. Вводим одноразовый пароль.



  • No labels