Page History

Модуль Indeed AM RDP Windows Logon позволяет реализовать возможность двухфакторной аутентификации с помощью технологии Indeed AM в процессе подключения по RDP или Remote App. В качестве второго фактора могут выступать мастер-пароль (провайдер Passcode), одноразовый пароль, сгенерированный мобильным приложением (провайдер Software OTP ), одноразовый пароль, отправленный по SMS или email.

Установка и настройка RDP Windows Logon

1. Выполнить установку RDP Windows Logon через запуск соответствующего пакета.
2. Открыть редактор реестра Windows.
3. Создать в разделе HKEY_LOCAL_MACHINE\SOFTWARE\ ключ Indeed-ID с вложенным ключом RemoteAuth.
4. В разделе RemoteAuth создать: 

1. Строковый параметр ProviderId и задать значение, соответствующее используемому провайдеру.

   Info
   title Информация
   ProviderId может иметь разные ID провайдеров: {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP {093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP {F696F05D-5466-42b4-BF52-21BEE1CB9529} - Passcode {0FA7FDB4-3652-4B55-B0C0-469A1E9D31F0} - Software OTP {AD3FBA95-AE99-4773-93A3-6530A29C7556} - HOTP Provider {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05} - TOTP Provider {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68} - AirKey Provider

   Строковый параметр LSEventCacheDirectory в значении укажите путь к папке для хранения локального кеша.

   Note
   title Информация
   Папка  LSEventCacheDirectory должна быть доступна для всех пользователей RDP Windows Logon.

   
   

5. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\AuthProxy. Измените параметры:

1. Параметр ServerUrlBase. В значении для параметра укажите адрес вашего сервера Indeed.

   Note
   title Информация
   При использовании https соединения требуется выполнить установку клиентского сертификата на каждый сервер Indeed AM.

   
   

2. Параметр IsIgnoreCertErrors, указать значение 0 или 1.

   Info
   title Информация
   Данный параметр предназначен для проверки сертификата сервера Indeed, при значении 1 происходит игнорирование ошибок сертификата.

   
   

3. Параметр AppId со значением RDP Windows Logon.
   

   
   

6. Для настройки выбора провайдера аутентификации на стороне пользователя выполните:
   
   1. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth реестра Windows создайте параметр DWORD с именем IsAuthSelectionEnabled
      
   2. Определите значение параметра IsAuthSelectionEnabled равное 1. Если параметр не задан или его значение 0, то выбор провайдера аутентификации предоставляться не будет. В этом случае будет использоваться провайдер, указанный в значении ProviderId или Indeed AM Passcode Provider, если ProviderId не указан. Если IsAuthSelectionEnabled=1 и указан провайдер в ProviderId, то при подключении пользователя будет выбран указанный провайдер, но пользователь сможет выбрать любой другой из числа поддерживаемых.
      
      
      
7. Аутентификация пользователей без лицензии на Indeed AM.
   По умолчанию Indeed AM RDP Windows Logon работает с пользователями, обладающими лицензией AM RDP Windows Logon. Для включения аутентификации пользователей без лицензии RDP Windows Logon выполните следующие действия: 
   1. Откройте редактор реестра Windows. 

   2. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\RemoteAuth создайте параметр DWORD с именем AllowNonEAUsers.

      Info
      title Сценарии работы параметра
      Если пользователь находятся вне пользовательского каталога Indeed - На пользователя действует настройка AllowNonEAUsers, пользователь не сможет аутентифицироваться, если значение параметра не равно 1.  Если пользователь находится в пользовательском каталоге без лицензии, но в политике для пользователя нет приложения или не состоит в политике - На пользователей действует настройка AllowNonEAUsers, пользователи не смогут аутентифицироваться, если значение параметра не равно 1. Если пользователь находится в пользовательском каталоге без лицензии и в политике пользователя есть приложение - На пользователей не действует настройка AllowNonEAUsers. Всегда происходит попытка входа с автозахватом лицензии.

      
      

      • Если значение параметра AllowNonEAUsers равно 1, то пользователи без лицензии RDP WL смогут аутентифицироваться по доменному паролю (Без использования технологии Indeed).
      • Если значение параметра AllowNonEAUsers равно 0 или не задано, то аутентификация осуществляется только для пользователей с лицензией RDP WL. Пользователь без лицензии аутентифицироваться не сможет.
      
      

Настройка одновременной работы с Indeed AM Windows Logon

При условии, что используется сценарий с установкой на одной машине RDP Windows Logon и Windows Logon, необходимо настроить политику для Windows Logon. Для этого:

Через GPO

1. Перейдите на машину, на которой установлены компоненты RDP Windows Logon и Windows Logon;
2. Откройте редактор GPO;
3. Перейдите: Конфигурация компьютера → Административные шаблоны → Indeed ID → Windows Logon;
4. Включите политику "Настройки Credential Provider" и установите параметр "Отображение способов входа" на "Все, кроме пароля".

Через реестр

1. Перейдите на машину, на которой установлены компоненты RDP Windows Logon и Windows Logon;
2. Откройте редактор реестра;
3. Перейдите: Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Logon for Windows;
4. Создайте параметр DWORD "CredProvFilter" и установите ему значение 2.

Пример работы расширения

1. Подключаемся к машине на которой установлен WL RDP.
   
   
2. Указываем пользователя и доменный пароль и нажимаем "Ок".
   
   
   
3. Вводим одноразовый пароль.