Перейти к основному содержимому

Настройки политик RADIUS Extension

Перед настройкой групповой политики необходимо добавить шаблоны политик Indeed AM в список административных шаблонов. Файлы шаблонов политик входят в состав дистрибутива и расположены в папке Misc.

Политики применяются к серверам с развернутой ролью NPS (Network Policy Server) и позволяют выполнить дополнительные настройки.

Политики можно настроить как через доменные групповые политики, так и через локальную групповую политику на сервере NPS. 

Действие политики представляет из себя добавление определенных ключей в реестр, при необходимости значения политик можно добавить в реестр вручную.

После настройки политик необходимо выполнить перезагрузку службы NPS.

Настройка таймаута сессии Challenge\Response

Позволяет задать таймаут сессии при использовании провайдера аутентификации, поддерживающего Challenge\Response.

Настройка через политику

  1. Откройте редактор GPO.

  2. Перейдите в раздел Конфигурация компьютера→Административные шаблоны→Indeed ID→Radius.

  3. Откройте политику Настройка таймаута сессии Challenge\Response.

  4. Включите политику. В поле Таймаут сессии в секундах укажите необходимое значение.

Настройка через реестр

  1. Откройте редактор реестра на сервере NPS.

  2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius.

    Совет

    При необходимости создайте недостающие разделы реестра. 

  3. Создайте параметр типа DWORD с именем SessionLifetimeSec. В качестве значения укажите таймаут сессии в секундах в десятичном формате. 

    Пример
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius]
    "SessionLifetimeSec"=dword:0000001e

Определение IP-адреса клиента Radius

Позволяет задать атрибуты для определения IP-адреса клиента Radius, по которому будет выполняться поиск Radius-приложения в Access Manager. Если значение не присвоено, значение по умолчанию соответствует 265 (SrcIPAddress), 278 (SrcIPv6Address).

Настройка через политику

  1. Откройте редактор GPO.
  2. Перейдите в раздел Конфигурация компьютера→Административные шаблоны→Indeed ID→Radius.
  3. Откройте политику Определение IP-адреса клиента Radius.
  4. Включите политику. В поле Атрибуты укажите необходимое значение. Можно указать несколько значений через запятую.

Настройка через реестр

  1. Откройте редактор реестра на сервере NPS.

  2. Откройте или создайте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius.

  3. Создайте параметр типа REG_SZ с именем ClientIPAttributes и задайте необходимое значение (можно указать несколько значений через запятую):

    • 4 — NASIPAddress
    • 95 — NASIPv6Address
    • 265 — SrcIPAddress
    • 278 — SrcIPv6Address

Challenge\Response: сообщение пользователю

Политика позволяет задать сообщение пользователю при использовании Challenge\Response.

Настройка через политику

  1. Откройте редактор GPO.

  2. Перейдите в раздел Конфигурация компьютера→Административные шаблоны→Indeed ID→Radius→ <Имя используемого провайдера>.

  3. Откройте политику Challenge\Response сообщение пользователю.

  4. Включите политику. В поле Сообщение пользователю введите необходимый текст.

Настройка через реестр

  1. Откройте редактор реестра на сервере NPS.

  2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius.

    Совет

    При необходимости создайте недостающие разделы реестра. 

  3. Создайте раздел с именем необходимого провайдера: EmailOTP, HardwareHOTP, GoogleOTP, SMSOTP.

  4. Создайте строковый параметр с именем формата <имя используемого провайдера>ChallengeResponseReplyMessage, например HardwareHOTPChallengeResponseReplyMessage.

  5. В качестве значения укажите текст, который будет отображаться пользователю. 

    Пример
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius\EmailOTP]
    "EmailOTPChallengeResponseReplyMessage"="EmailOTP:"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius\HardwareHOTP]
    "HardwareHOTPChallengeResponseReplyMessage"="HardwareHOTP: "

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius\GoogleOTP]
    "GoogleOTPChallengeResponseReplyMessage"="Software TOTP OTP: "

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius\SMSOTP]
    "SMSOTPChallengeResponseReplyMessage"="SMS OTP: "

Кеширование групп пользователей

Политика включает кеширование групп пользователей при RADIUS-аутентификации и позволяет задать период обновления кеша.

Примечание

Если NPS RADIUS Extension или Indeed AM Server долго отвечают во время работы под нагрузкой с большим количеством пользователей, необходимо отключить данную настройку.

Настройка через политику

  1. Откройте редактор GPO.

  2. Перейдите в раздел Конфигурация компьютера→Административные шаблоны→Indeed ID→Radius.

  3. Откройте политику Настройки кеширования групп пользователей.

  4. Включите политику. В поле Период обновления групп пользователей в минутах укажите требуемое значение в минутах.

Настройка через реестр

  1. Откройте редактор реестра на сервере NPS.

  2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius.

    Совет

    При необходимости создайте недостающие разделы реестра. 

  3. Создайте параметр типа DWORD с именем UserGroupsCachingEnabled, в значении параметра укажите 1.

  4. Создайте параметр типа DWORD с именем UserGroupsCacheUpdateMin, в значении параметра укажите десятичное число в минутах.

    Пример
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius]
    "UserGroupsCachingEnabled"=dword:00000001
    "UserGroupsCacheUpdateMin"=dword:00000021

Настройка имени пользователя

Политика позволяет настроить использование NetBIOS имени домена в случае указания имени пользователя без домена.

Настройка через политику

  1. Откройте редактор GPO.

  2. Перейдите в раздел Конфигурация компьютера→Административные шаблоны→Indeed ID→Radius.

  3. Откройте политику Настройка имени пользователя.

  4. Включите политику и активируйте параметр Использовать NetBIOS имя домена в случае указания имени пользователя без домена.

Настройка через реестр

  1. Откройте редактор реестра на сервере NPS.

  2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius.

    Совет

    При необходимости создайте недостающие разделы реестра. 

  3. Создайте параметр типа DWORD со значением 1 и с именем UseNetBiosDomainName.

    Пример
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius]
    "UseNetBiosDomainName"=dword:00000001

Настройка кеширования сессий запросов пользователей

Политика включает кеширование сессий запросов пользователей при RADIUS-аутентификации и позволяет задать время жизни сессии запроса в секундах.

Настройка через политику

  1. Откройте редактор GPO.

  2. Перейдите в раздел Конфигурация компьютера→Административные шаблоны→Indeed ID→Radius.

  3. Откройте политику Настройка кеширования сессий запросов пользователей.

  4. Включите политику. В поле Время жизни сессии запроса в секундах укажите значение.

Настройка через реестр

  1. Откройте редактор реестра на сервере NPS.

  2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius.

    Совет

    При необходимости создайте недостающие разделы реестра. 

  3. Создайте параметр типа DWORD с именем RequestSessionCachingEnabled, в значении параметра укажите 1.

  4. Создайте параметр типа DWORD с именем RequestSessionLifetimeSec, в значении параметра укажите десятичное число в секундах.

    Пример
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius]
    "RequestSessionCachingEnabled"=dword:00000001
    "RequestSessionLifetimeSec"=dword:0000003c

Отключить использование настроек способа входа в Management Console

В версии Indeed Access Manager 8.2 и выше вы можете настраивать способ входа через приложение Management Console. В версиях Indeed Access Manager 8.1 и ранее способ входа настраивался через политики Настройка способов входа для групп пользователей и Общая настройка способа входа.

Вы можете использовать ваши существующие настройки способа входа в текущей версии Access Manager. Для этого настройте политику Отключить использование политик Access Manager.

Настройка через политику

  1. Откройте редактор GPO.

  2. Перейдите в раздел Конфигурация компьютера→Административные шаблоны→Indeed ID→Radius.

  3. Откройте политику Отключить использование политик Access Manager.

  4. Включите политику.

Настройка через реестр

  1. Откройте редактор реестра на сервере NPS.

  2. Откройте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius.

    Подсказка

    При необходимости создайте недостающие разделы реестра. 

  3. Создайте параметр типа DWORD с именем DisableAccessManagerPolicies, в значении параметра укажите 1.