RADIUS Extension

Политики применяются к серверам с развернутой ролью NPS (Network Policy Server) и позволяют выполнить дополнительные настройки.

Политики можно настроить как через доменные групповые политики, так и через локальную групповую политику на сервере NPS. После настройки политик необходимо выполнить перезагрузку службы NPS.

Настройка таймаута сессии Challenge\Response

Позволяет задать таймаут сессии при использовании провайдера аутентификации, поддерживающего Challenge\Response.

Через GPO

1. Откройте редактор GPO.

2. Перейдите в раздел Конфигурация компьютера→Административные шаблоны→Indeed ID→Radius.

3. Откройте политику Настройка таймаута сессии Challenge\Response.

4. Включите политику. В поле Таймаут сессии в секундах укажите необходимое значение.

   

В реестре

1. Откройте редактор реестра на сервере NPS.

2. Откройте или создайте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius.

3. Создайте параметр типа DWORD с именем SessionLifetimeSec. В качестве значения укажите таймаут сессии в секундах в десятичном формате. 

   Пример

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius]
   "SessionLifetimeSec"=dword:0000001e

Challenge\Response: сообщение пользователю

Политика позволяет задать сообщение пользователю при использовании Challenge\Response.

Через GPO

1. Откройте редактор GPO.

2. Перейдите в раздел Конфигурация компьютера→Административные шаблоны→Indeed ID→Radius→ <Имя используемого провайдера>.

3. Откройте политику Challenge\Response сообщение пользователю.

4. Включите политику. В поле Сообщение пользователю введите необходимый текст.

   

В реестре

1. Откройте редактор реестра на сервере NPS.

2. Откройте или создайте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius.

3. Создайте раздел с именем необходимого провайдера: EmailOTP, HardwareHOTP, GoogleOTP, SMSOTP.

4. Создайте строковый параметр с именем формата <имя используемого провайдера>ChallengeResponseReplyMessage, например HardwareHOTPChallengeResponseReplyMessage.

5. В качестве значения укажите текст, который будет отображаться пользователю. 

   Пример

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius\EmailOTP]
   "EmailOTPChallengeResponseReplyMessage"="EmailOTP:"
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius\HardwareHOTP]
   "HardwareHOTPChallengeResponseReplyMessage"="HardwareHOTP: "
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius\GoogleOTP]
   "GoogleOTPChallengeResponseReplyMessage"="Software TOTP OTP: "
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius\SMSOTP]
   "SMSOTPChallengeResponseReplyMessage"="SMS OTP: "

Кеширование групп пользователей

Политика включает кеширование групп пользователей при RADIUS-аутентификации и позволяет задать период обновления кеша.

Примечание

Если NPS RADIUS Extension или Indeed AM Server долго отвечают во время работы под нагрузкой с большим количеством пользователей, необходимо отключить данную настройку.

Через GPO

1. Откройте редактор GPO.

2. Перейдите в раздел Конфигурация компьютера→Административные шаблоны→Indeed ID→Radius.

3. Откройте политику Настройки кеширования групп пользователей.

4. Включите политику. В поле Период обновления групп пользователей в минутах укажите требуемое значение в минутах.

   

В реестре

1. Откройте редактор реестра на сервере NPS.

2. Откройте или создайте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius.

3. Создайте параметр типа DWORD с именем UserGroupsCachingEnabled, в значении параметра укажите 1.

4. Создайте параметр типа DWORD с именем UserGroupsCacheUpdateMin, в значении параметра укажите десятичное число в минутах.

   Пример

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius]
   "UserGroupsCachingEnabled"=dword:00000001
   "UserGroupsCacheUpdateMin"=dword:00000021

Настройка имени пользователя

Политика позволяет настроить использование NetBIOS имени домена в случае указания имени пользователя без домена.

Через GPO

1. Откройте редактор GPO.

2. Перейдите в раздел Конфигурация компьютера→Административные шаблоны→Indeed ID→Radius.

3. Откройте политику Настройка имени пользователя.

4. Включите политику и активируйте параметр Использовать NetBIOS имя домена в случае указания имени пользователя без домена.

   

В реестре

1. Откройте редактор реестра на сервере NPS.

2. Откройте или создайте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius.

3. Создайте параметр типа DWORD со значением 1 и с именем UseNetBiosDomainName.

   Пример

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius]
   "UseNetBiosDomainName"=dword:00000001

Настройка кеширования сессий запросов пользователей

Политика включает кеширование сессий запросов пользователей при RADIUS-аутентификации и позволяет задать время жизни сессии запроса в секундах.

Через GPO

1. Откройте редактор GPO.

2. Перейдите в раздел Конфигурация компьютера→Административные шаблоны→Indeed ID→Radius.

3. Откройте политику Настройка кеширования сессий запросов пользователей.

4. Включите политику. В поле Время жизни сессии запроса в секундах укажите значение.

   

В реестре

1. Откройте редактор реестра на сервере NPS.

2. Откройте или создайте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius.

3. Создайте параметр типа DWORD с именем RequestSessionCachingEnabled, в значении параметра укажите 1.

4. Создайте параметр типа DWORD с именем RequestSessionLifetimeSec, в значении параметра укажите десятичное число в секундах.

   Пример

   Windows Registry Editor Version 5.00
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius]
   "RequestSessionCachingEnabled"=dword:00000001
   "RequestSessionLifetimeSec"=dword:0000003c

Отключить использование настроек способа входа в Management Console

В версии Indeed Access Manager 8.2 и выше вы можете настраивать способ входа через приложение Management Console. В версиях Indeed Access Manager 8.1 и ранее способ входа настраивался через политики Настройка способов входа для групп пользователей и Общая настройка способа входа.

Вы можете использовать ваши существующие настройки способа входа в текущей версии Access Manager. Для этого настройте политику Отключить использование политик Access Manager.

Через GPO

1. Откройте редактор GPO.

2. Перейдите в раздел Конфигурация компьютера→Административные шаблоны→Indeed ID→Radius.

3. Откройте политику Отключить использование политик Access Manager.

4. Включите политику.

   

В реестре

1. Откройте редактор реестра на сервере NPS.

2. Откройте или создайте раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Radius.

3. Создайте параметр типа DWORD с именем DisableAccessManagerPolicies, в значении параметра укажите 1.