Versions Compared

Old Version 7

changes.mady.by.user Vladislav Fomichev

Saved on

compared with

New Version Current

changes.mady.by.user Vladislav Fomichev

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Indeed AM NPS RADIUS Extension (RADIUS Extension) представляет собой модуль расширения Microsoft Network Policy Server (NPS, входит в состав Windows Server) и позволяет реализовать для RADIUS-совместимых сервисов и приложений технологию двухфакторной аутентификации.

Info
titleИнформация

Файлы для Indeed NPS Radius Extension расположены: indeed EA AM 7\Indeed RADIUS Extension\<Номер версии>\

  • IndeedID.EA.RADIUS.Extension-v1.0.13.x64.ru-ru.msi - Пакет для установки Indeed NPS Radius Extension
  • /Misc/GroupPolicyTemplates (ADMX) - Шаблоны групповых политик для дополнительной настройки сервера и провайдеров.

Установка Network Policy Server.

Info
titleИнформация

После установки кроме самой роли будет установлен Web-Server (IIS) и  внутренняя база данных Windows.

  1. Запустить Мастер добавления ролей и компонентов (Add Roles and Features Wizard).
  2. Из списка ролей выбираем роль Службы политики сети и доступа (Network Policy and Access Services), соглашаемся с установкой дополнительных компонентов.
  3. Из списка"Службы ролей"выбираем"Сервер политики сети (Network Policy Server)".
  4. В окне "Подтверждение установки компонентов" нажимаем "Установить".

Настройка NPS Сервера.

  1. Запустить "Сервер сетевых политик".

  2. Добавить в RADIUS - Клиенты Ваш VPN сервер. (Правая кнопка мыши по RADIUS - Клиенты ->Новый документ).

    Note
    titleИнформация

    При использовании проверки подлинности Chap необходимо, в параметрах учетной записи пользователя, включить "Хранить пароль, используя обратимое шифрование" и обновить пароль пользователю.


  3. Настроить нового клиента.
    1. Добавить имя для нашего сервера VPN (1).
    2. Указать IP адрес нашего сервера VPN (2).

    3. Задать секретный ключ для соединения с сервером (3).

      Info
      titleИнформация

      Общий секретный ключ задается на сервере и на клиенте при подключении.


Настройка Radius-клиента на VPN сервере.

  1. Открыть настройки сервера (Win + R ->rrasmgmt.msc).
  2. Открыть редактирование сервера (Правая кнопка мыши по названию Вашего сервера->Свойства).
  3. Открыть вкладку "Безопасность" (1).
    1. Выбрать "Поставщик службы проверки подлинности - RADIUS" (2).
  4. Настроить соединение с Radius сервером, нажать "Настроить...(3).
    1. Имя сервера: Ip-адрес Вашего Radius сервера (4).
    2. Установить общий секрет (5).

    3. Ввести общий секрет указанный при установке NPS Сервера (6).
      Image Removed

Установка Indeed NPS RADIUS Extension.

  1. Выполнить установку Indeed ADFS Extension через NPS RADIUS через запуск инсталлятора IndeedID.EA.RADIUS.Extension-v1.0.13.x64.ru-ru.msi.
  2. Создать в реестре HKEY_LOCAL_MACHINE\SOFTWARE\ раздел Indeed-ID, с вложенным разделом AuthProxy.
  3. Создать в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID ключ AuthProxy. В созданном ключе создайте:
    1. Строковый параметр ServerUrlBase. В значении для параметра укажите адрес вашего EA сервера сервера Indeed .

    2. DWORD параметр IsIgnoreCertErrors, указать значение 0 или 1.

      Info
      titleИнформация

      Данный параметр предназначен для проверки сертификата сервера Indeed EA, при значении 1 происходит игнорирование ошибок сертификата.


    3. Строковый параметр AppId со значением NPS RADIUS Extension.

Настройка политики.

Info
titleИнформация

Перед настройкой групповой политики необходимо добавить в список административных шаблонов шаблоны политик Indeed-Id. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в каталоге Misc.


Info
titleИнформация

Политики применяется к серверам с развернутой ролью NPS и позволяет изменять настройки компонента.


Challenge\Response: сообщение пользователю

Политика позволяет задать сообщение пользователю, которые отображается при запросе второго фактора.

Image Added

Имя атрибута с email пользователя

Политика позволяет изменить атрибут из которого будет получаться email пользователя. По умолчанию получается из mail.

Имя атрибута с номером телефона

Политика позволяет изменить атрибут из которого будет получаться телефон пользователя. По умолчанию получается из mobile.

Настройка способов входа для групп пользователей

    1. Открыть редактирование созданной политики.
    2. Открыть для редактирования "Настройка способов входа для групп пользователей".
      Image Removed
      Image AddedImage Removed
    3. Включить (1) данный параметр и открыть редактирование содержимого (2).
    4. Добавьте в "Имя значения" значение атрибута "distinguishedName" вашей группы пользователей (1)пользователей.

    5. Вставьте в "Значение" ключ используемого провайдера (2).

      Info
      titleИнформация

      Параметр "Значение" может иметь разные ID провайдеров:

      {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP

      {093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP

      {F696F05DB772829C-54664076-42b4482B-BF52B9BD-21BEE1CB952953B55EA1A302} - PasscodeSoftware TOTP

      {0FA7FDB4631F1011-36522DEE-4B5547C5-B0C095D8-469A1E9D31F0} - GoogleOTP

      Image Removed

      75B9CAED7DC7}HOTP Provider

      Image Added

Настройка записи событий

В политике указывается Url адрес Log-сервера и путь кеш-директории для записи события, в случае недоступности основного Log-сервера. 

Image Added

Кеширование групп пользователей.

Политика включает кэширование групп пользователей при RADIUS-аутентификации и позволяет задать период обновления кэша.

Image Added



Backtotop