Skip to main content

Indeed NPS RADIUS Extension

Indeed NPS RADIUS Extension (RADIUS Extension) представляет собой модуль расширения Microsoft Network Policy Server (NPS, входит в состав Windows Server) и позволяет реализовать технологию двухфакторной аутентификации для RADIUS-совместимых сервисов и приложений.

В RADIUS Extension вы можете выполнить аутентификацию по следующим аутентификаторам:

Примеры внедрения RADIUS Extension:

Файлы для установки

Файлы для Radius Extension расположены в папке indeed AM <Номер версии>\Indeed AM RADIUS Extension\<Номер версии>\:

  • IndeedID.EA.RADIUS.Extension-<номер версии>.x64.ru-ru.msi — пакет для установки Indeed AM NPS Radius Extension;

Файлы шаблонов политик расположены по следующему пути: indeed AM <номер версии>\Misc\ADMX Templates.

Установка Network Policy Server (NPS)

  1. Запустите Мастер добавления ролей и компонентов (Add Roles and Features Wizard).

  2. Из списка ролей выберите роль Службы политики сети и доступа (Network Policy and Access Services), согласитесь с установкой дополнительных компонентов.

  3. Из списка службы ролей выберите Сервер политики сети (Network Policy Server)

  4. В окне Подтверждение установки компонентов нажмите Установить.

Настройка Network Policy Server (NPS)

Добавление Radius-клиента

  1. Запустите Сервер сетевых политик.

  2. Добавьте в RADIUS-клиенты необходимый VPN-клиент. Для создания клиента нажмите правой кнопкой мыши по RADIUS→Клиенты и выберите Новый документ.

Примечание

Если вы используете проверки подлинности CHAP (Challenge Handshake Authentication Protocol), в параметрах учетной записи пользователя включите опцию Хранить пароль, используя обратимое шифрование и обновите пароль пользователя.

  1. В окне Новый Radius-клиент выполните настройку клиента:

    • Добавьте произвольное понятное имя для добавляемого клиента.

    • Укажите IP-адрес.

    • Задайте секретный ключ для соединения.

      Информация

      Необходимо указать секретный ключ, который был создан на клиенте. Если подключение со стороны клиента ещё не было настроено, задайте произвольный ключ и запомните его. Данный ключ потребуется указать при настройке подключения со стороны клиента.

Добавление сетевой политики

  1. Запустите Сервер сетевых политик.

  2. Раскройте раздел Политики.

  3. Нажмите правой кнопкой мыши раздел Сетевые политики и выберите Новый документ.

  4. В поле Имя политики укажите произвольное понятное имя для создаваемой политики и нажмите Далее.

  5. В окне Укажите условия добавьте необходимые условия, которые будут проверяться при подключении клиентов. Для добавления нажмите кнопку Добавить... и выберите необходимое условие. После добавления условия нажмите Далее.

    Информация

    В качестве примера будет добавлено условие Группы пользователей. При добавлении группы потребуется указать имя группы пользователей из Active Directory.

  6. В окне Укажите разрешения доступа выберите Доступ разрешен и нажмите Далее.

  7. В окне Настройка методов проверки подлинности укажите методы проверки подлинности, которые настроены на клиенте, и нажмите Далее.

    Важно!

    Методы проверки подлинности со стороны сервера Radius и клиента должны совпадать, в противном случае возникнет ошибка аутентификации. 

  8. В окнах Настройка ограничений и Настройка параметров оставьте значения по умолчанию и нажмите Далее.

  9. В окне Завершение создания политики сети проверьте данные и нажмите Готово.

Установка RADIUS Extension

  1. Выполните установку RADIUS Extension через запуск соответствующего пакета из дистрибутива.

  2. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Indeed-ID\SrvLocator2 измените следующие параметры:

    • В параметре ServerUrlBase укажите адрес вашего сервера Indeed в формате http(s)://<DNS_IndeedAM_Server>/am/core/.

      Примечание

      При использовании соединения по протоколу HTTPS требуется выполнить установку клиентского сертификата на каждый сервер Indeed.

    • В параметре IsIgnoreCertErrors укажите значение 0 или 1.

      Информация

      Данный параметр предназначен для игнорирования ошибок сертификата проверки подлинности сервера Indeed, при значении 1 происходит игнорирование ошибок сертификата.

Добавление и настройка приложений, интегрированных с Radius Extension

В Management Console вы можете:

Настройка проброса атрибутов Radius

Данная настройка позволяет добавить атрибуты в ответ Access-Accept, которые указаны в сетевой политике сервера NPS. 

Это необязательная настройка, выполняется только при необходимости проброса атрибутов Radius для клиента. 

  1. Откройте Политику запросов на подключение.

  2. Выберите существующую политику или создайте новую и откройте вкладку Параметры.

  3. Выберите параметр Стандарт и нажмите Добавить.

  4. В окне Добавить стандартный атрибут Radius выберите Filter-Id и нажмите Добавить.

  5. В окне Сведения об атрибуте нажмите Добавить. Убедитесь, что параметр Формат ввода атрибута — строковый, и введите строку формата IID_CR_AccessAccept_Attributes:<идентификатор требуемого атрибута 1><идентификатор требуемого атрибута 1>

    Совет

    Если атрибутов несколько, укажите идентификаторы через запятую. 

    Пример
    IID_CR_AccessAccept_Attributes:25, 13

  6. Закройте все окна, нажмите Применить и перезапустите службу NPS.

Настройка хранения сессии в кеше

При кратковременных разрывах подключения к серверу Indeed Access Manager вы можете настроить период, в течение которого сессию можно будет использовать повторно.

В течение заданного периода сессия хранится в кеше и может быть повторно использована при запросе на новое соединение с сервером. При этом проверка работоспособности сервера повторно не происходит, вместо этого используется закешированный результат проверки.

По истечении периода хранения сессия завершается. По новому запросу на соединение с сервером создается новая сессия.

РазделПараметрТипЗначение по умолчанию
SrvLocator2SessionHoldPeriodMsDWORD3 минуты

Настройка параметров доступа в политиках на Network Policy Server (NPS)

В политике на сервере NPS задаются следующие параметры:

  • общая настройка способа входа;
  • настройка способов входа для групп пользователей.

Это необязательная настройка.

Для настройки параметров доступа выполните следующие действия:

  1. На сервере NPS запустите консоль Сервер политики сети (Network Policy Server) и перейдите в раздел Политики (Policies)→Политики запросов на подключение (Connection Request Policies).

  2. Создайте новую политику или используйте существуюущую и перейдите в свойства политики.

  3. На вкладке Параметры (Settings) перейдите в раздел Атрибуты RADIUS (RADIUS Attributes)→Стандарт (Standard).

  4. Нажмите Добавить... (Add..), выберите атрибут Filter-Id и нажмите Добавить... (Add...).

  5. В окне Сведения об атрибуте (Attribute Information) укажите необходимые значения в соответствии со списком ниже.

Общая настройка способа входа.

Если указано, то пользователи (кроме тех, на которых распространяется действие настройки Настройка способов входа для групп пользователей) будут использовать указанный провайдер аутентификации в RADIUS-приложениях.

Значение ProviderId уникально для каждого провайдера и перечислены в политике Настройка способов входа для групп пользователей.

Пример значения атрибута с Indeed AM Software OTP Provider: IID_ModeId_{B772829C-4076-482B-B9BD-53B55EA1A302}

  1. Для применения внесенных в политику изменений нажмите Применить (Apply).

  2. Перезапустите службу NPS.