Multifactor logon - информация для системных администраторов
Изменения в файлах
При установке компонента в систему добавляется два файла в папку %windir%\System32\
- MultifactorCredentialProvider.dll - основной файл библиотеки компонента
- ACE.dll - вспомогательная библиотека для реализации RADIUS протокола
Изменения в реестре
Компонент хранит настройки в системном реестре
Регистрация Multifactor Logon в качестве системного компонента
[HKEY_CLASSES_ROOT\CLSID\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}\InprocServer32]
@="MultifactorCredentialProvider.dll"
"ThreadingModel"="Apartment"
Добавление Multifactor Logon в качестве метода входа в систему
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"
Включение фильтра на методы входа
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"
Настройки компонента
[HKEY_CLASSES_ROOT\CLSID\{7a6b350e-2fb5-4b07-bcc2-7413ced94def}]
@="MultifactorCredentialProvider"
"RadiusHost"="127.0.0.1,192.168.0.1"
"SharedSecret"="test01qwerty123"
"NasIdentifier"="rs_0000000000000000000000test01"
"Timeout"=dword:00000005
"RetransmitCount"=dword:00000002
"Port"=dword:714
"RDPWhiteList"="{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}"
"WhiteList"="{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF}"
Параметры командной строки
Для упрощения развёртывания компонента в сетевой инфраструктуре поддерживается запуск установочного файла с указанием параметров настроек.
Поддерживаются следующие значения:
- SILENT - установка в неинтерактивном режиме с отображением прогресс-бара (работает только при запуске от привилегированного пользователя)
- VERYSILENT - скрытная установка (работает только при запуске от привилегированного пользователя)
- host - адреса RADIUS серверов для проверки второго фактора через запятую без пробелов
- port - порт RADIUS сервера для проверки второго фактора, значение по умолчанию 1812
- nas - NAS Identifier RADIUS сервера для проверки второго фактора (необязательное значение)
- sharedsecret - Shared Secret RADIUS сервера для проверки второго фактора
- timeout - время ожидания ответа от RADIUS сервера для проверки второго фактора, по умолчанию 30 секунд
- bypass - включение режима bypass, пропуск проверки второго фактора при недоступности всех хостов при значении true, по умолчанию false
- filter - значение true отключит остальные методы входа, по умолчанию false
- whitelist - Разрешенные методы входа при локальном входе, через запятую без пробелов, по умолчанию
{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF
- rdpwhitelist - Разрешенные методы входа при входе через удалённый рабочий стол, через запятую без пробелов, по умолчанию
{7A6B350E-2FB5-4B07-BCC2-7413CED94DEF
В значениях параметров не указывайте спецсимволы для вашей CLI.
В списках разрешенных методов входа не указывайте последний символ фигурной скобки }
Пример команды запуска установки:
MultifactorLogonSetup.exe /VERYSILENT /host=radius.multifactor.ru /nas=rs_0000000000000000000000test01 /sharedsecret=test01qwerty123 /filter=true /whitelist={7A6B350E-2FB5-4B07-BCC2-7413CED94DEF} /rdpwhitelist={7A6B350E-2FB5-4B07-BCC2-7413CED94DEF},{8FD7E19C-3BF7-489B-A72C-846AB3678C96
В этом случае установка пройдёт без участия пользователя, в качестве хоста будет указан облачный радиус сервер, будут отключены все методы входа, кроме Мультифактора при локальном входе, и Мультифактора и смарт-карты при удалённом.
В качестве инсталлятора для компонента мы используем Inno Setup, поэтому для отслеживания процесса установки вы можете использовать их коды завершения.
FAQ
- Планируется ли установочный пакет в формате msi?
- Нет, мы не планируем распространение компонента в формате msi, но вы можете воспользоваться сторонним решением, например https://www.exemsi.com/
- При обновлении пакета не удаётся перезаписать системные файлы
- это означает, что в системе есть пользователи, которые находятся на экране входа в систему. Завершите их сессию и установка будет продолжена
- Где найти список доступных методов аутентификации?
- полный список находится в реестре системы по адресу
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers
- Как создать отказоустойчивую конфигурацию?
- Разверните несколько копий Radius адаптер на разных серверах (порт и shared secret для них должны совпадать), и укажите при установке адреса или имена серверов через запятую без пробелов.
- Поддерживается ли режим настройки второго фактора через диалог с пользователем?
- Да, при настройке через Radius адаптер можно настроить второй фактор на работу с мобильным приложением, телеграмм ботом или через СМС.