Indeed AM NPS RADIUS Extension (RADIUS Extension) представляет собой модуль расширения Microsoft Network Policy Server (NPS, входит в состав Windows Server) и позволяет реализовать для RADIUS-совместимых сервисов и приложений технологию двухфакторной аутентификации.
Файлы для Indeed AM NPS Radius Extension расположены: indeed AM <Номер версии>\Indeed AM RADIUS Extension\<Номер версии>\
|
После установки кроме самой роли будет установлен Web-Server (IIS) и внутренняя база данных Windows. |
Запустить "Сервер сетевых политик".
Добавить в RADIUS - Клиенты Ваш VPN сервер. (Правая кнопка мыши по RADIUS - Клиенты ->Новый документ).
При использовании проверки подлинности Chap необходимо, в параметрах учетной записи пользователя, включить "Хранить пароль, используя обратимое шифрование" и обновить пароль пользователю. |
Задать секретный ключ для соединения с сервером (3).
Общий секретный ключ задается на сервере и на клиенте при подключении. |
Параметр IsIgnoreCertErrors, указать значение 0 или 1.
Данный параметр предназначен для проверки сертификата сервера Indeed, при значении 1 происходит игнорирование ошибок сертификата. |
Параметр AppId со значением NPS RADIUS Extension.
Данная настройка позволяет добавить атрибуты в ответ "Access-Accept", которые указаны в сетевой политике NPS сервера. |
В окне "Сведения об атрибуте" нажмите "Добавить". Убедитесь, что параметр "Формат ввода атрибута" - строковый, и введите строку формата: IID_CR_AccessAccept_Attributes:<id требуемого атрибута 1>, <id требуемого атрибута 1>
Если атрибутов несколько, то id атрибутов требуется указывать через запятую. |
IID_CR_AccessAccept_Attributes:25, 13 |
Перед настройкой групповой политики необходимо добавить в список административных шаблонов шаблоны политик Indeed AM. Файлы шаблонов политик входят в состав дистрибутива и расположены в каталоге Misc. |
Политики применяется к серверам с развернутой ролью NPS и позволяет изменять настройки компонента. |
Позволяет задать таймаут сессии при использовании провайдера аутентификации, поддерживающего Challenge\Response.
Политика позволяет задать сообщение пользователю, которые отображается при запросе второго фактора.
Вставьте в "Значение" ключ используемого провайдера .
Параметр "Значение" может иметь разные ID провайдеров: {EBB6F3FA-A400-45F4-853A-D517D89AC2A3} - SMS OTP {3F2C1156-B5AF-4643-BFCB-9816012F3F34} - StorageSms OTP {093F612B-727E-44E7-9C95-095F07CBB94B} - EMAIL OTP {B772829C-4076-482B-B9BD-53B55EA1A302} - Software OTP {631F1011-2DEE-47C5-95D8-75B9CAED7DC7} - HOTP Provider {CEB3FEAF-86ED-4A5A-BD3F-6A7B6E60CA05} - HTOTP Provider {DEEF0CB8-AD2F-4B89-964A-B6C7ECA80C68} - AirKeyProvider {CA4645CC-5896-485E-A6CA-011FCC20DF1D} - Telegram OTP |
Политика включает кэширование групп пользователей при RADIUS-аутентификации и позволяет задать период обновления кэша.
Политика позволяет настроить использование NetBIOS имени домена в случае указания имени пользователя без домена. Для включения политики активируйте параметр: "Использовать NetBIOS имя домена в случае указания имени пользователя без домена"
Политика включает кэширование сессий запросов пользователей при RADIUS-аутентификации и позволяет задать время жизни сессии запроса в секундах.
Настройка Cisco ASA для аутентификации через Indeed NPS RADIUS Extension
Настройка FortiGate VM для двухфакторной аутентификации через Indeed NPS Radius Extension
Установка и настройка аутентификации по ОТР в Citrix Netscaler