- Начало работы
- Интеграция
- HTTP API
- OpenID Connect
- RADIUS протокол
- RADIUS адаптер
- LDAP адаптер
- Портал самообслуживания
- MULTIFACTOR Directory Sync
- Windows Logon
- Регистрация пользователей
- .NET Core
- 1с-Bitrix24
- 1с-плагин двухфакторной аутентификации
- ADFS
- ASP.NET
- Ansible AWX
- Atlassian Cloud
- BearPass
- Check Point VPN
- Cisco ASA VPN
- Citrix Gateway
- FortiGate VPN
- HRBOX
- Huawei Cloud
- Huawei VPN
- Ideco UTM
- Keycloak
- Let's Encrypt Windows Server
- Linux logon (GUI)
- Linux SSH
- Linux SUDO
- Microsoft Entra ID
- MikroTik L2TP VPN
- NGate VPN
- Network Policy Server (NPS)
- Nextcloud
- OpenVPN
- OpenVPN + AD
- OpenVPN Access Server
- OpenVPN pfSense
- Outlook Web Access (OWA)
- Passwork
- RD Gateway (RDGW)
- Redmine
- UserGate VPN
- VMware Horizon Cloud
- VMware Horizon View
- VMware vCloud Director
- VMware vSphere
- Vault
- ViPNET
- Windows VPN
- Yandex.Cloud
- Yandex 360
- Zabbix
- АйТи-Бастион
- Континент 4 VPN
- МТС Линк (бывш. webinar.ru)
- WordPress
- С-Терра VPN
- Точка доступа Wi-Fi
- ФПСУ-IP/Клиент
MULTIFACTOR Logon – информация для системных администраторов
Изменения в файлах
Компонент (версии 1.1.5 и выше) добавляет в C:\Program Files\Multifactor\Logon (каталог установки по умолчанию) следующие файлы:
- MultifactorCredentialProvider.dll - библиотека, реализующая логику CredentialProvider Мультифактора;
- mainModule.dll - основная библиотека компонента;
- Resource.dll - вспомогательная библиотека;
- mfLogonConfig.exe - конфигуратор компонента (запуск от имени администратора);
- unins000.exe - программа удаления компонента.
Компонент (версии до 1.1.5) добавляет в систему в папку %windir%\System32\:
- MultifactorCredentialProvider.dll - основной файл библиотеки компонента
- ACE.dll - вспомогательная библиотека для реализации RADIUS протокола
Изменения в реестре
Компонент хранит настройки в системном реестре.
Регистрация MULTIFACTOR Logon в качестве системного компонента
[HKEY_CLASSES_ROOT\CLSID\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}\InprocServer32]
@="MultifactorCredentialProvider.dll"
"ThreadingModel"="Apartment"
Добавление MULTIFACTOR Logon в качестве метода входа в систему
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"
Включение фильтра на методы входа
В версиях компонента 1.2.5 и выше фильтр на методы входа включается ключом SignInFiltr в настройках компонента.
В версиях до 1.2.5:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"
Настройки компонента
[HKEY_CLASSES_ROOT\CLSID\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"
"RadiusHost"="127.0.0.1,192.168.0.1"
"SharedSecret"="SHARED_SECRET"
"NasIdentifier"="windows"
"Timeout"=dword:0000001e
"RetransmitCount"=dword:00000002
"Port"=dword:00000714
"Bypass"=dword:00000001
"SignInFiltr"=dword:00000001
"UseHostNameAsClientId"=dword:00000001
"WhiteList"="{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}"
"RDPWhiteList"="{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}"
"NetworkBypassList"="127.0.0.1"
"Domain"="domain"
"DebugLog"=dword:00000001
Параметры командной строки
Для упрощения развёртывания компонента в сетевой инфраструктуре поддерживается запуск установочного файла с указанием параметров настроек.
Поддерживаются следующие значения:
-
/host=[string] — список адресов RADIUS серверов, используемых для проверки второго фактора. Указываются ip-адреса или hostname через запятую без пробелов.
Пример значения:
127.0.0.1,radius.multifactor.ru; -
/port=[integer] — порт RADIUS серверов, используемых для проверки второго фактора.
Значение по умолчанию
1812; -
/nas=[string] — NAS Identifier, передаваемый на RADIUS сервер для идентификации клиента.
Пример значения:
windows.Значение по умолчанию пустое;
-
/sharedsecret=[string] — Shared Secret RADIUS сервера, используемого для проверки второго фактора.
Значение по умолчанию
0000000000; -
/timeout=[integer] — время ожидания ответа (в секундах) от RADIUS сервера для проверки второго фактора.
Значение по умолчанию
30; -
/bypass=[true или false] — значение true включит режим bypass, в котором пропускается проверка второго фактора при недоступности всех RADIUS хостов. Доступность хостов определяется отправкой RADIUS запроса Status-Server в момент подключения. Запрос осуществляется последовательно на каждый RADIUS сервер из списка Hosts с таймаутом 2 секунды и количеством ретрансмитов запроса – 2.
Значение по умолчанию
false; -
/filter=[true или false] — значение true ограничит доступные методы входа значениями, заданными в списках
whitelistиrdpwhitelist.Значение по умолчанию
false; -
/whitelist=[{GUID1,GUID2] — разрешенные методы входа при локальном входе, через запятую без пробелов.
Пример значения:
{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF},{8FD7E19C-3BF7-489B-A72C-846AB3678C96}.Значение по умолчанию
{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}(Multifactor); -
/rdpwhitelist=[{GUID1,GUID2] — разрешенные методы входа при входе через удалённый рабочий стол (RDP), через запятую без пробелов.
Пример значения:
{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF},{8FD7E19C-3BF7-489B-A72C-846AB3678C96}.Значение по умолчанию
{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}(Multifactor); -
/domain=[string] — автоподстановка строки с название домена
domain_name\в поле "логин" на экране блокировки и на локальном экране входа.Пример значения:
domain_name.Значение по умолчанию пустое;
-
/networkbypasslist=[string] — подключения по RDP из указанных подсетей будут осуществляться без запроса второго фактора.
Пример значения:
10.10.*,192.168.1.0/24,127.0.0.1-127.0.0.5.Значение по умолчанию пустое;
-
/exthostname=[true или false] — передавать имя хоста клиента вместо IP клиента при подключении через RDP (влияет также на текст в запросе доступа в мобильном приложении и Telegram-боте Мультифактор).
Значение по умолчанию
false; -
/debuglog=[true или false] — значение true создаст в папке с установленным компонентом файл
debuglog.txtс отладочной информацией при попытке входа в систему.Значение по умолчанию
false; -
/skipusers=[user1,user2] — список пользователей, для которых проверка второго фактора будет пропускаться:
- Пользователей необходимо указывать через запятую без пробелов;
- Локальные пользователи указываются в формате:
.\username; - Доменные пользователи указываются без домена в формате:
username; - Microsoft-пользователи указываются с полным названием аккаунта.
Поддерживаются служебные имена:
local_users— все локальные пользователи;domain_users— все доменные пользователи;microsoft_users— все Microsoft пользователи.
Значение по умолчанию пустое;
-
/includedomain=[true или false] — если флаг включен, то логин доменных пользователей будет передаваться на сервер в формате DOMAIN\username;
-
/consolemode=[true или false] — значение true дополнительные окна MULTIFACTOR на экране входа в Windows, рекомендуется использовать на системах типа CORE;
-
/SILENT — установка в неинтерактивном режиме с отображением прогресс-бара (работает только при запуске от привилегированного пользователя);
-
/VERYSILENT — скрытная установка (работает только при запуске от привилегированного пользователя);
-
/LOG=[string] — сохранение лога инсталлятора в указанной директории или файле.
Значение по умолчанию
C:\Users\<User>\AppData\Local\Temp\.Новый параметр
ConsoleMode(/consolemode=true), данный флаг отключает дополнительные окна, рекомендуется использовать на системах типа CORE.
Пример команды запуска установки:
MultifactorLogonSetup.exe /VERYSILENT /host=127.0.0.1 /nas=windows /sharedsecret=SHARED_SECRET /filter=true /whitelist={7A6B350E-2FB5-4B07-BCC2-7413CED94DEF} /rdpwhitelist={7A6B350E-2FB5-4B07-BCC2-7413CED94DEF},{8FD7E19C-3BF7-489B-A72C-846AB3678C96}
⚠️ В версиях Winlogon ниже 1.2.8.0 не указывайте последний символ фигурной скобки } при настройке параметров /whitelist и /rdpwhitelist.
В этом случае установка пройдёт без участия пользователя, в качестве хоста будет указан облачный радиус сервер, будут отключены все методы входа, кроме MULTIFACTOR при локальном входе, и MULTIFACTOR и смарт-карты при удалённом.
В качестве инсталлятора для компонента мы используем Inno Setup, поэтому для отслеживания процесса установки вы можете использовать его коды завершения.
Вопросы и ответы
В: Планируется ли установочный пакет в формате msi?
О: Нет, мы не планируем распространение компонента в формате msi, но вы можете воспользоваться сторонним решением, например https://www.exemsi.com/
В: Где найти список доступных методов аутентификации?
О: Полный список находится в реестре системы по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
В: Как создать отказоустойчивую конфигурацию?
О: Разверните несколько копий Radius адаптер на разных серверах (порт и shared secret для них должны совпадать), и укажите при установке адреса или имена серверов через запятую без пробелов.
В: Как обновить версию компонента?
О: Удалите "MULTIFACTOR Logon" из списка установленного в операционной системе ПО. Установите обновленный компонент заново.
В: Поддерживается ли режим настройки второго фактора через диалог с пользователем?
О: Да, при настройке через RADIUS адаптер можно настроить второй фактор на работу с мобильным приложением, телеграмм ботом или через СМС.
В: Блокирует ли компонент вход в Windows в безопасном режиме?
О: Да, Windows Logon может работать в безопасном режиме. Посмотрите раздел в документации для подробных инструкций по настройке.
