Перейти к основному содержимому
Версия: Indeed Access Manager 8.2

Indeed AM Email OTP Provider

Компонент Email OTP Provider предназначен для аутентификации пользователей с применением технологии одноразовых паролей, доставляемых пользователям по электронной почте.

Одноразовый пароль представляет собой набор случайных символов (цифр, специальных символов и латинских букв). Генерация пароля происходит на сервере Indeed AM, затем пароль передается на сервис рассылки электронной почты, который пересылает его пользователю в виде письма. Передача данных происходит по протоколу SMTP (Simple Mail Transfer Protocol).

Примечание

Для использования Email OTP Provider необходимо наличие сервера электронной почты. Данный сервер должен быть доступен с каждого сервера Indeed Access Manager, на котором предполагается установка Email OTP Provider.

Для использования аутентификатора у пользователя должен быть задан адрес электронной почты в атрибуте mail, иначе аутентификатор будет не доступен для использования. 

Обучение для аутентификатора не требуется.

Идентификатор провайдера

{093F612B-727E-44E7-9C95-095F07CBB94B}

Файлы для установки

Файлы для Indeed AM Email OTP Provider расположены в папке indeed AM <Номер версии>\Indeed AM Providers\Indeed AM Email OTP Provider\Server\<Номер версии>.

  • IndeedAM.AuthProviders.AMSMTP-<номер версии>.x64.ru-ru.msi — пакет для установки Indeed Email OTP Provider на 64-битных ОС;
  • IndeedAM.AuthProviders.AMSMTP-<номер версии>.x86.ru-ru.msi — пакет для установки Indeed Email OTP Provider на 32-битных ОС.

Файлы шаблонов политик расположены в папке indeed AM <номер версии>\Misc\ADMX Templates.

Установка провайдера

  1. Выполните установку Indeed Email OTP Provider через запуск соответствующего пакета для установки.
  2. После завершения установки может потребоваться перезагрузка системы. Если программа установки предлагает выполнить перезагрузку, подтвердите данное действие.
  3. Удаление/Восстановление продукта осуществляется стандартным для поддерживаемых ОС способом, через меню Панель управления.

Настройка атрибута с электронной почтой

Для смены атрибута по умолчанию необходимо добавить следующие параметры в конфигурационный файл сервера C:\inetpub\wwwroot\am\core\Web.config:

  • добавьте тег userMapRules в теге adUserCatalogProvider;
  • добавьте тег adObjectMapRule в теге userMapRules с параметрами:
    • attribute="Email" — указывает на изменяемый параметр;
    • adAttribute="otherMailbox" — указывает, из какого атрибута Active Directory брать значение;
  • добавьте тег objectTypeSettings;
  • добавьте тег objectSetting с параметрами category="person" class="user".
Пример
<adUserCatalogProvider id="userId" serverName="ind.loc" containerPath="DC=ind,DC=loc" userName="userAdmin" password="Q1q2E3e4">
                <userMapRules>
                        <adObjectMapRule attribute="Email" adAttribute="otherMailbox"/>
                    <objectTypeSettings>
                        <objectSetting category="person" class="user"></objectSetting>
                    </objectTypeSettings>
                </userMapRules>
        </adUserCatalogProvider>

Настройки SMTP-сервера

Информация

Перед настройкой групповой политики добавьте шаблоны политик Indeed в список административных шаблонов. Файлы шаблонов политик входят в состав дистрибутива провайдера и расположены в каталоге Misc.

Политика применяется к серверам Indeed AM и позволяет задать следующие настройки для работы с SMTP-сервером:

  • Сервер (DNS-имя, IP-адрес) — адрес подключения к серверу;

  • Порт — порт подключения к серверу;

  • Таймаут сервера — время ожидания ответа от сервера в секундах;

  • Тип соединения — незащищенное, TLS или SSL;

  • Логин — имя учетной записи для подключению к серверу;

  • Пароль — пароль учетной записи для подключения к серверу;

  • Одноразовый пароль в теме письма — если опция включена, то одноразовый пароль будет отображаться в теме письма, в противном случае в самом тексте письма.

  • Текст письма — имя и почта отправителя, тема и текст письма.

    Примечание

    В тексте письма необходимо указать место вставки одноразового пароля с помощью тега <otp>.

    Если выставлена опция Одноразовый пароль в теме письма, то аналогичное место подстановки одноразового пароля необходимо указать в теме письма. 

Не задан (Not Configured) или Отключен (Disabled) — если политика не определена или отключена, то Email OTP Provider не будет использоваться для аутентификации пользователя.

Включен (Enabled) — при включении политики Email OTP Provider будет работать согласно определенных в политике параметров.

Блокировка аутентификатора

Чтобы заблокировать аутентификатор, выполните следующее:

  1. В Management Console в разделе Конфигурация→Аутентификаторы из списка выберите аутентификатор Email OTP.
  2. В секции Настройки блокировки аутентификатора выполните следующие настройки:
    • Разрешите или заблокируйте использование Email OTP в случае серии неудачных попыток аутентификации;
    • В поле Количество попыток аутентификации до блокировки укажите, сколько раз пользователь может совершить неудачную аутентификацию до блокировки способа аутентификации;
    • В поле Сброс счетчика блокировки укажите, сколько минут должно пройти после неудачной попытки аутентификации, прежде чем сбросится счетчик;
    • В поле Таймаут до разблокировки способа входа укажите, через сколько минут заблокированный способ аутентификации станет вновь доступным.

Настройка одноразового пароля

Настройки применяются к серверам Indeed AM и позволяет задать длину и вхождение групп символов при генерации одноразового пароля.

Чтобы настроить генерацию одноразового пароля, выполните следующее:

  1. В Management Console в разделе Конфигурация→Аутентификаторы из списка выберите аутентификатор Email OTP.
  2. В секции Настройки генерации одноразового пароля выполните следующие настройки:
    • В поле Длина одноразового пароля укажите, сколько символов будет содержать одноразовый пароль;
    • В настройке Цифры укажите, будет ли одноразовый пароль содержать цифры;
    • В настройке Строчные латинские буквы укажите, будет ли одноразовый пароль содержать строчные латинские буквы;
    • В настройке Прописные латинские буквы укажите, будет ли одноразовый пароль содержать прописные латинские буквы;
    • В настройке Специальные символы укажите, будет ли одноразовый пароль содержать специальные символы.

Защита от спама

Осуществляется оценка процента успешных входов относительно всех отправленных сообщений за указанный интервал времени (оценка осуществляется только если количество отправленных сообщений превышает окно оценки).

При обнаружении атаки блокируется дальнейшая отправка сообщений, при попытке входа возникает ошибка Potential spam attack detected.

Отправка возобновится спустя некоторое время, когда будет превышен необходимый порог успешных входов за указанный интервал времени. Максимальное время блокировки равно временному интервалу оценки.

Чтобы настроить защиту от спама, выполните следующее:

  1. В Management Console в разделе Конфигурация→Аутентификаторы выберите аутентификатор Indeed Key.
  2. В секции Настройки защиты от спама выполните следующие настройки:
    • включите или отключите защиту от спама;
    • в поле Окно оценки попыток аутентификации укажите, в течение какого времени будет выполняться расчет процента успешных попыток входа;
    • в поле Пороговое окно попыток аутентификации укажите, сколько попыток входа должно производиться за время, указанное в окне оценки попыток аутентификации;
    • в поле Процент успешных попыток аутентификации укажите минимальный процент успешных входов относительно всех отправленных сообщений.
Информация

События лог-сервера:

  • 2090: Обнаружена потенциальная спам-атака. Отправка сообщений приостановлена.

  • 1118: Отправка сообщений пользователям возобновлена.