Multifactor logon - информация для системных администраторов

Изменения в файлах

При установке компонента в систему добавляется два файла в папку %windir%\System32\

  • MultifactorCredentialProvider.dll - основной файл библиотеки компонента
  • ACE.dll - вспомогательная библиотека для реализации RADIUS протокола

Изменения в реестре

Компонент хранит настройки в системном реестре

Регистрация Multifactor Logon в качестве системного компонента

[HKEY_CLASSES_ROOT\CLSID\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}\InprocServer32]
@="MultifactorCredentialProvider.dll"
"ThreadingModel"="Apartment"

Добавление Multifactor Logon в качестве метода входа в систему

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"

Включение фильтра на методы входа

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"

Настройки компонента

[HKEY_CLASSES_ROOT\CLSID\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"
"RadiusHost"="127.0.0.1,192.168.0.1"
"SharedSecret"="test01qwerty123"
"NasIdentifier"="rs_0000000000000000000000test01"
"Timeout"=dword:00000005
"RetransmitCount"=dword:00000002
"Port"=dword:714
"RDPWhiteList"="{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}"
"WhiteList"="{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}"

Параметры командной строки

Для упрощения развёртывания компонента в сетевой инфраструктуре поддерживается запуск установочного файла с указанием параметров настроек.

Поддерживаются следующие значения:

  • SILENT - установка в неинтерактивном режиме с отображением прогресс-бара (работает только при запуске от привилегированного пользователя)
  • VERYSILENT - скрытная установка (работает только при запуске от привилегированного пользователя)
  • host - адреса RADIUS серверов для проверки второго фактора через запятую без пробелов
  • port - порт RADIUS сервера для проверки второго фактора, значение по умолчанию 1812
  • nas - NAS Identifier RADIUS сервера для проверки второго фактора (необязательное значение)
  • sharedsecret - Shared Secret RADIUS сервера для проверки второго фактора
  • timeout - время ожидания ответа от RADIUS сервера для проверки второго фактора, по умолчанию 30 секунд
  • bypass - включение режима bypass, пропуск проверки второго фактора при недоступности всех хостов при значении true, по умолчанию false
  • filter - значение true отключит остальные методы входа, по умолчанию false
  • whitelist - Разрешенные методы входа при локальном входе, через запятую без пробелов, по умолчанию {7A6B350E-2FB5-4B07-BCC2-7413CED94DEF
  • rdpwhitelist - Разрешенные методы входа при входе через удалённый рабочий стол, через запятую без пробелов, по умолчанию {7A6B350E-2FB5-4B07-BCC2-7413CED94DEF

В значениях параметров не указывайте спецсимволы для вашей CLI. В списках разрешенных методов входа не указывайте последний символ фигурной скобки }

Пример команды запуска установки:

MultifactorLogonSetup.exe /VERYSILENT /host=radius.multifactor.ru /nas=rs_0000000000000000000000test01 /sharedsecret=test01qwerty123 /filter=true /whitelist={7A6B350E-2FB5-4B07-BCC2-7413CED94DEF} /rdpwhitelist={7A6B350E-2FB5-4B07-BCC2-7413CED94DEF},{8FD7E19C-3BF7-489B-A72C-846AB3678C96

В этом случае установка пройдёт без участия пользователя, в качестве хоста будет указан облачный радиус сервер, будут отключены все методы входа, кроме Мультифактора при локальном входе, и Мультифактора и смарт-карты при удалённом.

В качестве инсталлятора для компонента мы используем Inno Setup, поэтому для отслеживания процесса установки вы можете использовать их коды завершения.

FAQ

  1. Планируется ли установочный пакет в формате msi?
  • Нет, мы не планируем распространение компонента в формате msi, но вы можете воспользоваться сторонним решением, например https://www.exemsi.com/
  1. При обновлении пакета не удаётся перезаписать системные файлы
  • это означает, что в системе есть пользователи, которые находятся на экране входа в систему. Завершите их сессию и установка будет продолжена
  1. Где найти список доступных методов аутентификации?
  • полный список находится в реестре системы по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
  1. Как создать отказоустойчивую конфигурацию?
  • Разверните несколько копий Radius адаптер на разных серверах (порт и shared secret для них должны совпадать), и укажите при установке адреса или имена серверов через запятую без пробелов.
  1. Поддерживается ли режим настройки второго фактора через диалог с пользователем?
  • Да, при настройке через Radius адаптер можно настроить второй фактор на работу с мобильным приложением, телеграмм ботом или через СМС.
Last updated on 2022-3-9
Windows logonMacOS logon