Подготовка сервера NPS
В настоящем подразделе приведены настройки сервера NPS, которые позволят проверить функциональность JAS-плагина для NPS из состава JAS. Вариант настроек приведён в качестве примера, в общем случае интеграции JAS с NPS настройки могут отличаться от приведенных в настоящем разделе.
Настройка политики запросов на подключение
Чтобы настроить политику запросов на подключение, выполните следующие действия.
- Запустите оснастку сервера политики сети.
Окно оснастки будет выглядеть следующим образом.
Рис. 4 – Оснастка сервера политики сети
2. Перейдите в раздел Политики > Политики запросов на подключение (см. рис. 5 ниже).
Рис. 5 – Политики запросов на подключение
3. В правой части окна нажмите правой кнопкой мыши на пункте Использовать проверку подлинности Windows для всех пользователей и выберите Свойства, как показано на рис. 6 ниже.
Рис. 6 – Отображение свойств политики запросов на подключение
Отобразится следующее окно.
Рис. 7 – Вкладка Общие
4. Убедитесь в том, что флажок Политика включена установлен.
5. Перейдите на вкладку Параметры.
Окно примет следующий вид.
Рис. 8 – Вкладка Параметры
6. В левой части окна выберите пункт Методы проверки подлинности.
7. Выполните следующие настройки:
7.1. установите флажок Переопределить параметры проверки подлинности на уровне сети;
7.2. установите флажок Проверка подлинности открытым тестом (PAP, SPAP).
8. Нажмите OK.
Отобразится сообщение с предложением отобразить справку.
Рис. 9 – Сообщение с предложением отобразить справку
9. Нажмите Нет.
Настройка параметров RADIUS-клиента
Чтобы настроить параметры RADIUS-клиента, выполните следующие действия.
- В оснастке сервера перейдите в раздел RADIUS-клиенты и серверы (см. рис. 10 ниже).
Рис. 10 - RADIUS-клиенты и серверы
2. Нажмите правой кнопкой мыши на пункте RADIUS-клиенты и выберите Новый документ (см. рис. 11 ниже).
Рис. 11 - Создание RADIUS-клиента
Отобразится следующее окно.
Рис. 12 – Окно настроек RADIUS-клиента
3. Убедитесь в том, что флажок Включить этот RADIUS-клиент установлен.
4. В поле Понятное имя введите имя RADIUS-клиента (это может быть любое значение).
5. В поле Адрес (IP или DNS) введите IP-адрес или NetBIOS-имя сервера RADIUS-клиента.
Примечание. Под RADIUS-клиентом подразумевается конечный прикладной сервис (например сервис Citrix, или, как в примере для настоящего руководства, – программа NtRadPing), с которого осуществляются запросы к серверу NPS, а не сервер JAS. Хотя в частном случае в качестве хоста для RADIUS-клиента может использоваться и компьютер, на котором установлен сервер JAS.
6. Чтобы открыть окно проверки введённого адреса, нажмите кнопку Проверить.
Отобразится следующее окно.
Рис. 13 – Проверка адреса
7. Чтобы сопоставить DNS-имя с IP-адресом RADIUS-клиента, нажмите кнопку Сопоставить.
При успешном сопоставлении IP-адрес отобразится в соответствующем поле.
Рис. 14 – Проверка адреса успешна
8. Нажмите OK.
Окно настройки RADIUS-клиента будет выглядеть следующим образом.
Рис. 15 – Окно настройки RADIUS-клиента
9. В секции Общий секрет выполните следующие действия:
9.1. выберите пункт Вручную;
9.2. в полях Общий секрет и Подтверждение общего секрета введите секретное значение и его подтверждение соответственно.
Важно!
- Это общее значение для NPS-сервера и RADIUS-клиента. Сохраните его в надёжном месте.
- Строка общего секрета не должна начинаться с цифры или специального символа, что связано с особенностями работы криптоалгоритмов сервера NPS компании Microsoft (наличие цифры или спецсимвола в начале строки приводит к ошибкам при расшифровке секрета на стороне NPS и последующей ошибке аутентификации). Общий секрет может начинаться только со строчной или прописной буквы латинского алфавита.
- В случае смены общего секрета в процессе настроек сервиса следует перезагрузить компьютер, на котором функционирует служба (сервер) NPS, в противном случае возможна некорректная работа сервиса (связано с особенностью реализации продукта Microsoft).
10. Нажмите OK.
Созданный RADIUS-клиент отобразится в оснастке сервера политики сети.
Рис. 16 – RADIUS-клиент создан
Установка JAS-плагина для NPS
Чтобы установить JAS-плагина для NPS, выполните следующие действия.
11. Запустите файл установки: JAS.NPSPlugin-X.X.X.XXX-x64.msi (только для 64-битных систем).
Отобразится следующее окно.
Рис. 17 – Окно приветствия мастера установки JAS-плагина для NPS
12. Нажмите Далее.
Отобразится следующее окно.
Рис. 18 – Окно лицензионного соглашения
13. Выберите Я принимаю условия лицензионного соглашения, после чего нажмите Далее.
Отобразится следующее окно.
Рис. 19 - Окно выбора варианта установки
14. Выберите Полная.
Отобразится следующее окно.
Рис. 20 – Подготовка к установке
15. Нажмите Установить.
По завершении установки отобразится следующее окно.
Рис. 21 – Окно завершения установки
16. Нажмите Готово.
Отобразится следующее сообщение.
Рис. 22 – Предупреждение о необходимости перезагрузки
17. Нажмите Нет.
18. Дождитесь автоматической загрузки графического конфигуратора JAS-плагина для NPS и переходите к его настройкам (см. ниже).
Настройка JAS-плагина для NPS
После установки JAS-плагина для NPS автоматически откроется окно так называемого «конфигуратора» Настройка JAS-плагина для NPS (Рис. 23, с. 42).
Если вы закрыли окно конфигуратора, то можете запустить его вручную , см. «Работа с конфигуратором JAS-плагина для NPS», ниже.
Работа с конфигуратором JAS-плагина для NPS
Ниже описана процедура работы с конфигуратором Настройка JAS-плагина для NPS.
19. В меню Пуск выберите JaCarta Authentication Server -> Настройка JAS-плагина для NPS.
Отобразится следующее окно.
Рис. 23 – Окно Настройка JAS-плагина для NPS
При загрузке конфигуратор считывает текущее содержание настроек плагина из реестра.
Примечание. При редактировании полей формы можно воспользоваться всплывающей подсказкой при наведении курсора мыши на поле ввода (Рис. 24)
Рис. 24 – Использование всплывающей подсказки в полях формы
20. Выполните настройку, руководствуясь Табл. 13.
Табл. 13 - Настройка JAS-плагина для NPS
Поле конфигуратора | Имя параметра в реестре | Описание |
|---|---|---|
<Секция> Общие настройки | ||
Имя файла лога | LogFilePath | Путь, по которому будет сохраняться файл журнала |
Уровень логирования | LogLevel | Уровень ведения журнала событий. · OFF –ведение журнала событий отключено; · FATAL – неустранимая ошибка; · ERROR – ошибка (значение по умолчанию); · WARN – предупреждение; · INFO – информация; · DEBUG – отладка; · ALL – показывать все события. Каждый последующий уровень включает все предыдущие (кроме OFF), например, если выставлено значение INFO, то будут отображаться сообщения уровней: INFO, WARN, ERROR, FATAL |
Язык | Culture | Язык пользовательского интерфейса JAS-плагина. Допустимые значения: · en (английский язык); · ru (русский язык). Значение по умолчанию: ru Примечание. Параметр определяет, на каком языке имя плагина в должно отражаться в консоли настроек NPS, а также язык сообщений в журналах JAS-плагина для NPS (за локализацию сообщений в браузере пользователя отвечают настройки языка веб-страниц браузера). |
Кодировка сообщеинй | ReplyMessageCodePage | Важно! Параметр используется только при включении двухшаговой процедуры аутентификации (см. флаг ChallengeResponseRadiusAuth = True, выше) Кодировка текстовых сообщений (ReplyMessage), используемых в пользовательском диалоге при двухшаговой процедуре аутентификации в NPS-плагине для JAS. В качестве обозначения кодировок допускается использовать только из цифровые обозначения, например: · 65001 – кодировка UTF8; · 1251 – Windows-1251; Значение по умолчанию: 65001 Примечание. Тип кодировки влияет на отображение строки запроса на информацию в диалоговых окнах интегрируемых продуктов. Подробнее см. в разделе « Выбор корректной кодировки диалогового запроса ReplyMessage при интеграции JAS со сторонними продуктами», ниже. |
Домен по умолчанию | DefaultUserDomain | Значение по умолчанию имени домена пользователя. Данное значение добавляется к имени пользователя при аутентификации в web-форме JAS-плагина, если в плагин было передано имя пользователя без домена. Значение по умолчанию: пустая строка |
<Секция> Подключение к JAS | ||
Адрес JAS | ServiceUri | Адрес сервера JAS в следующем формате: http://<FQDN-имя сервера>:8221/api/v4.1 где <FQDN-имя сервера> – полное доменное имя (FQDN) сервера JAS, например, srv01.test.com; |
Использовать аутентификацию | <без параметра в реестре> | Флаг следует оставить неустановленным (в текущей версии данная настройка не используется). |
Логин JAS | JASUsername | Не заполняется (в текущей версии данная настройка не используется) |
Пароль JAS | JASPassword | Не заполняется (в текущей версии данная настройка не используется) |
Поддерживаемые протоколы | SecurityProtocols | Список поддерживаемых протоколов шифрования для обмена данных между сетевыми узлами. Представляются списком через запятую (например: Ssl3, Tls, Tls11, Tls12). Допустимые значения: · Ssl3; · Tls; · Tls11; · Tls12. По умолчанию указываются все допустимые типы протоколов |
<Секция> Параметры аутентификации | ||
Выбор типа аутентификации | AuthTypeSelection | Режим выбора типа аутентификации. Важно! Параметр используется только при включении двухшаговой процедуры аутентификации (см. флаг ChallengeResponseRadiusAuth = True, выше) Допустимые значения: · Auto – автоматический выбор (в соответствии с приоритетами, определенными в параметре AuthTypes, см. выше); · Manual– ручной выбор (выбор типа аутентификации производится пользователем в реализованном пользовательском интерфейсе). Значение по умолчанию: Auto |
Типы аутентификации | AuthTypes | Поддерживаемые типы аутентификации и их приоритет. Важно! Параметр используется только при включении двухшаговой процедуры аутентификации (см. флаг ChallengeResponseRadiusAuth = True, выше) Возможные методы аутентификации: · Messaging – аутентификация по Messaging-токену; · OTP—аутентификация по OTP-токенам; · Push Методы указываются через запятую в порядке снижения приоритета. Значение по умолчанию: Messaging, OTP, Push |
Проводить аутентификацию, если пользователь не обнаружен в JAS | UserNotFoundAction | Действия JAS-плагина, если пользователь, который пытается аутентифицироваться, не зарегистрирован в JAS. Доступные значения: · Pass (Пропускать запрос); · Reject (Отклонять запрос). Значение по умолчанию: Pass (Пропускать запрос). |
Проводить аутентификацию, если не обнаружен токен в JAS | TokensNotFoundAction | Действия JAS-плагина, если у пользователя, обратившегося с запросом на аутентификацию, в JAS зарегистрированы OTP-токены (хотя бы один), но ни один из них не активен (все отключены/заблокированы). Допустимые значения: · Pass (Пропускать запрос); · Reject (Отклонять запрос). Значение по умолчанию: Reject (Отклонять запрос). |
Приоритет использования Push OTP-токена пользователя | PushTokenAction | Настройка режима аутентификации по Push-токену OTP. Допустимые значения: · Pass – Разрешение Push-токену OTP работать по протоколу PAP. Поскольку у метода PUSH имеется приоритет перед остальными методами аутентификации (обычными OTP-токенами и Messaging-токенами), то при установленном флаге Pass при аутентификации пользователя будет использоваться только Push-токен OTP (у Push-токена OTP приоритет перед другими выпущенными для пользователя токенами) · Reject – Push -токену OTP запрещено работать по протоколу PAP. Push -токен OTP используется только для режимов аутентификации CHAP и MSCHAP. (По факту, это включение приоритета аутентификации пользователя с помощью обычных OTP- и Messging-токенов, использующих режим PAP). Значение по умолчанию: Reject (Отклонять запрос). |
Двухшаговая аутентификация | ChallengeResponseRadiusAuth | Режим работы JAS-плагина для NPS. Допустимые значения: · True – двухшаговый режим аутентификации (перед вводом дополнительного параметра аутентификации, например OTP, на первом шаге процедуры вводится значение доменного пароля пользователя); · False -- одношаговый режим аутентификации (значение дополнительного параметра аутентификации, например OTP, вводится за один шаг). Значение по умолчанию: False |
Разрешить смену пароля при его истечении в домене | AllowChangeExpiredPassword | Настройка возможности смены пароля пользователя через NPS-плагин при его истечении в домене. Допустимые значения: · False – смена пароля запрещена; · True – смена пароля разрешена; Значение по умолчанию: False Примечание. Если опция смены пароля пользователя через NPS-плагин разрешена, то максимальная продолжительность сессии сброса пароля – от момента ввода текущего пароля до подтверждения нового пароля – по умолчанию составляет 300 секунд. При необходимости параметр настраивается в серверном конфигурационном файле JAS: c:\Program Files\Aladdin\JaCarta Authentication Server\Aladdin.JAS.Engine.exe.config Значение параметра задается в секундах. <add key="ChangeDomainPasswordTimeout" value="300"/>Также есть возможность ограничить максимальное количество попыток смена пароля при помощи параметра: <add key="MaxPasswordInputAttempts" value="5"/> |
<Секция> Параметры messaging | ||
Идентификатор системы | MessagingSystemId | Идентификатор внешней системы, в которой будут искаться пользователи при аутентификации по Messaging. Важно! Параметр используется только при включении двухшаговой процедуры аутентификации (см. флаг ChallengeResponseRadiusAuth = True, выше) Примечание. Идентификатор должен совпадать с идентификатором в поле Внешняя система на вкладке Параметры выпуска соответствующего профиля выпуска Messaging-токенов (см. руководство по функциями управления JMS [3]. раздел «Настройка профиля выпуска Messaging-токенов» ) Допустимые значения: символьная строка Значение по умолчанию: пустая строка. |
Текст SMS | MessagingAdditionalInfo | Текст, который будет отправляться в SMS пользователю вместе с кодом аутентификации для Messaging. Например «Код аутентификации для входа в систему XYZ » Важно! Параметр используется только при включении двухшаговой процедуры аутентификации (см. флаг ChallengeResponseRadiusAuth = True, выше) Допустимые значения: символьная строка Значение по умолчанию: пустая строка. |
Время жизни кода (с) | MessagingTtl | Время жизни одноразового пароля из SMS-сообщения (в секундах), т.е. время, в течение которого ответ пользователя будет принят. Если не задан – сервер аутентификации будет использовать значение параметра Время жизни OTP, заданное в профиле выпуска Messaging-токена. По умолчанию – пустая строка (не задано) Важно! Параметр используется только при включении двухшаговой процедуры аутентификации (см. флаг ChallengeResponseRadiusAuth = True, выше) Примечание. Значение Время жизни OTP указывается на вкладке Параметры выпуска соответствующего профиля выпуска Messaging-токенов (см. руководство по функциями управления JMS [3]. раздел «Настройка профиля выпуска Messaging-токенов» ) Допустимые значения: целое число Значение по умолчанию: пустая строка. |
Таймаут между попытками (мс) | MessagingRetryDelay | Таймаут между попытками аутентификации посредством Messaging-токена (в миллисекундах), например 5000. Параметр применяется непосредственно к серверу JAS, который на его основе принимает решение о возможности приёма попытки аутентификации. При попытке аутентификации, произошедшей до истечения указанного таймаута, возникает ошибка аутентификации. Если параметр не задан (пустая строка), то сервер JAS в процессе аутентификации будет использовать либо собственное значение по умолчанию (5000 мс), либо значение, заданное в свойствах Messaging-токена (см. параметр Задержка генерации OTP (мс) в свойствах Messaging-токена или профиля выпуска Messaging-токенов; см. руководство по функциями управления JMS [3]). Значение по умолчанию: пустая строка (не задано) |
<настройка отсутствует в графическом конфигураторе, осуществляется только в реестре> | DefaultUserDomain | Значение по умолчанию имени домена пользователя. Данное значение добавляется к имени пользователя при аутентификации, например, в web-интерфейсе, если пользователь указал свое имя без домена. Примечания: 1. Параметр применим к разным ресурсным системам, в частности к доменным именам Active Directory (AD), RemoteAD и JDS. 2. В случае если пользователь при аутентификации указал свое полное имя (включая домен) в любом формате (FQDN, NetBIOS, UPN см. ниже примеры), то значение, указанное в параметре DefaultUserDomain плагином игнорируется. Примеры форматов указания полного имени пользователя (с именем домена) · FQDN: jasdomain.aladdin-rd.local\user · NetBIOS: jasdomain\user · UPN: user@jasdomain.aladdin-rd.local 3. В случае указания пустого значения DefaultUserDomain (по умолчанию) в JAS включается интеллектуальный механизм восстановления недостающего имени (по принципу регистрации OTP-аутентификаторов пользователя в том или ином домене). В случае если пользователь имеет OTP-аутентификаторы в разных доменах, выдается соответствующее сообщение об ошибке с рекомендацией указать полное имя явным образом. Значение по умолчанию: пустая строка |
Кнопки управления | ||
По умолчанию | Привести значения в форме к значениям по умолчанию (например, для последующего редактирования или сохранения в реестр) | |
Загрузить из реестра | Загрузить в форму значения из реестра. (При запуске конфигуратора значения из реестра автоматически загружаются в поля формы.) | |
Сохранить в реестр | Сохранение текущих значений из формы в реестр. В момент нажатия на кнопку пользователю предлагается перезапуск службы NPS, Рис. 26. | |
Сохранить в файл | Отображаемые в форме параметры можно сохранить в reg-файл для последующего восстановления настроек | |
Загрузить из файла | Конфигуратор позволяет загрузить в форму параметры плагина из reg-файла, ранее сохраненного с помощью кнопки Сохранить в файл | |
Примечание. Указанные в таблице параметры реестра (графа Имя параметра в реестре) располагаются в разделе реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin\JAS NPS Plugin], Рис. 25.
Рис. 25 – Настройки JAS-плагина для NPS
21. По нажатии на кнопку Сохранить в реестр отредактированные значения полей будут сохранены в реестр, при этом пользователю будет предложено выполнить автоматическую перезагрузку службы NPS с тем, чтобы новые значения настроек вступили в силу, Рис. 26.
Рис. 26 – Диалог перезапуска службы NPS
В некоторых случаях для вступления настроек в силу требуется перезапуск самого компьютера, где установлена служба NPS с JAS-плагином.
После сохранения настроек JAS-плагин для NPS готов к работе.
Выбор корректной кодировки диалогового запроса ReplyMessage при интеграции JAS со сторонними продуктами
При интеграции JAS (с использованием JAS-плагина для NPS) со сторонними продуктами, предоставляющими возможность расширения сценария аутентификации за счет использования второго фактора, могут возникать сложности с отображением названий полей на русском языке (т.е. при значении параметра реестра Culture=ru, см. Табл. 13, с. 43), как показано на Рис. 27.
Рис. 27 – Пример некорректного отображения кириллической строки запроса на информацию (ReplyMessage)
В процессе проработки интеграции JAS со сторонним продуктом следует провести исследование на предмет выбора необходимой кодировки (параметр ReplyMessageCodePage Табл. 13, с. 43), обеспечивающей корректное отображение диалоговой строки.
Например, для корректного отображения кириллического запроса (ReplyMessage) при интеграции JAS со шлюзом Check Point Gateway, а именно в клиенте CheckPoint Mobile, в параметре ReplyMessageCodePage следует использовать кодировку 1251, а при интеграции с VPN-продуктом Cisco AnyConnect следует использовать кодировку 65001.
Проверка работы JAS-плагина для NPS
Одношаговая процедура ввода второго фактора аутентификации
Одношаговая процедура подразумевает проверку только дополнительного фактора аутентификации пользователя. В рассматриваемом примере это ввод одноразового пароля (OTP) с помощью заблаговременно выпущенного в JMS OTP-токена.
JAS-плагин для NPS по умолчанию (т.е. сразу после установки) настроен на одношаговую процедуру. Данный тип аутентификации (один шаг) устанавливается значением параметра реестра ChallengeResponseRadiusAuth=false (см. Табл. 13, с. 43).
Чтобы проверить работу JAS-плагина для NPS в режиме одношаговой процедуры, выполните следующие действия.
В настоящем документе описана процедура проверки с использованием свободно распространяемой утилиты NTRadPing.exe.
- Используя консоль управления JMS выпустите аппаратный или программный OTP-токен (см. разделы «Выпуск аппаратных OTP-токенов» и «Выпуск программных OTP-токенов (мобильное приложение Aladdin 2FA)» в руководстве администратора по функциям управления JMS [3]).
- В случае OTP-токена с алгоритмом HOTP выполните его синхронизацию (см. раздел «Синхронизация значений OTP (только для токенов HOTP)» в руководстве администратора по функциям управления JMS [3]).
- На RADIUS-клиенте запустите утилиту NTRadPing.
Окно утилиты будет выглядеть следующим образом.
Рис. 28 – Окно утилиты NTRadPing
4. Выполните настройку соединения, руководствуясь табл. 14 ниже.
Табл. 14 – Настройка соединения с RADIUS-сервером
Настройка | Описание |
|---|---|
RADIUS Server/port | 1. В левом поле укажите IP-адрес RADIUS-сервера. 2. В правом поле укажите порт, по которому будет происходить соединение или оставьте значение по умолчанию (1645) |
Reply timeout | Задайте время ожидание ответа RADIUS-сервера в секундах |
Retries | Укажите число автоматических попыток соединения |
RADIUS Secret key | Укажите значение секрета для RADIUS-сервера (см. «Настройка параметров RADIUS-клиента», с. 33) |
User-Name | Укажите имя пользователя с действующим OTP-токеном, от имени которого будет происходить попытка аутентификации. Имя пользователя должно быть указано в следующем формате: |
Password | Введите сгенерированное значение одноразового пароля (OTP). В зависимости от параметров аутентификации указанно пользователя может потребоваться также ввести PIN-код для OTP или пароль Windows. В настоящем документе рассматривается базовый вариант, в котором для аутентификации пользователь должен ввести только значение OTP |
Request type | Убедитесь, что в списке выбран пункт Authentication Request (Запрос на аутентификацию) |
5. Нажмите кнопку Send (Отправить) внизу интерфейса.
Если JAS-плагин для NPS настроен верно и если в окне утилиты были введены конкретные данные, в секции RADIUS Server reply (Ответ RADIUS-сервера) отобразятся следующие сведения.
Рис. 29 – Ответ RADIUS-сервера
6. Убедитесь в том, что в строке response (ответ) содержится значение Access-Accept (Доступ-Принят) – в этом случае аутентификация успешна. В противном случае проверьте настройки интерфейса для OTP-клиентов (см. раздел «Настройка сетевых программных интерфейсов сервера JAS», с. 21) и настройки JAS-плагина для NPS (см. «Настройка JAS-плагина для NPS», с. 41).
Двухшаговая процедура аутентификации
Двухшаговая процедура аутентификации включает в себя проверку доменного пароля и второго фактора аутентификации.
Рассматриваемая в данном примере процедура реализуется для пользователей, у которых установлен только один тип токенов для генерации одноразового пароля (либо OTP-, либо Messaging-, либо PUSH-токены). Пример с использованием одновременно нескольких типов токенов (и OTP-, и Messaging-, и PUSH-токенов) приведен в разделе «Двухшаговая процедура аутентификации c выбором типа второго фактора», ниже.
В рассматриваемом примере в качестве второго фактора вводится одноразовый пароль, полученный с помощью выпущенного в JMS OTP-токена.
Для инициации двухшаговой процедуры с ручным выбором второго фактора, реализуемой JAS-плагином для NPS, в его настройках в реестре следует установить следующие значения параметров:
- ChallengeResponseRadiusAuth=true;
- AuthTypeSelection=Auto;
- AuthTypes=OTP.
(Подробнее см. Табл. 13, с. 43).
Примечание. После изменения параметров реестра для их вступления в силу следует перезапустить компьютер.
Подготовка к процедуре проверки в данном примере аналогична подготовительным шагам (шаги 1—2) предыдущего примера (см. раздел «Одношаговая процедура ввода второго фактора аутентификации», с. 50).
Чтобы проверить работу JAS-плагина для NPS в режиме двухшаговой процедуры аутентификации, выполните следующие действия.
7. На RADIUS-клиенте запустите утилиту NTRadPing.
Окно утилиты будет выглядеть следующим образом.
Рис. 30 – Начальный вид окна утилиты NTRadPing
8. Выполните настройку соединения, руководствуясь табл. 14 (с. 51), с единственным отличием: в поле Password вместо OTP-пароля введите доменный (AD) пароль пользователя, указанного в поле User Name. (Это первый шаг – ввод первого фактора аутентификации).
9. Нажмите Send.
В окне программы отобразится информация следующего вида.
Рис. 31 – Ответ RADIUS-сервера
В поле RADIUS Server reply отобразится ответ типа Access Challenge (запрос второго фактора аутентификации). В секции atrribute dump отобразится подсказка для имени метода для запроса второго фактора аутентификации (в данном случае State=Method:OTP;Value:None )
10. Для ввода второго фактора аутентификации (OTP) выполните следующие действия.
10.1. В поле настройки атрибута запроса (Рис. 31, поле, обозначенное цифрой «1») введите
10.2. В поле настройки значения атрибута запроса (Рис. 31, поле, обозначенное цифрой «2») введите значение из указанной выше подсказки (Method:OTP;Value:None)
10.3. Нажмите Add
В окне программы отобразится информация следующего вида.
Рис. 32 – Отображение дополнительных атрибутов запроса к RADIUS-серверу (Additional RADIUS Attributes)
Значение дополнительного атрибута запроса отобразится в поле Additional RADIUS Attributes.
11. В поле Password введите сгенерированное в OTP-токене значение одноразового пароля
Примечание. В данном примере подразумевается, что в настройках OTP-токена выбран режим «только OTP», без необходимости добавления PIN-кода или доменного пароля)
12. Нажмите Send.
В поле RADIUS Server reply отобразятся следующие сведения.
Рис. 33 – Ответ RADIUS-сервера
13. Убедитесь в том, что в строке response (ответ) содержится значение Access-Accept – в этом случае аутентификация успешна. В противном случае проверьте настройки интерфейса для OTP-клиентов (см. раздел «Настройка сетевых программных интерфейсов сервера JAS», с. 21), настройки JAS-плагина для NPS (см. «Настройка JAS-плагина для NPS», с. 41) или проверьте корректность одноразового пароля в поле Password.
Двухшаговая процедура аутентификации c выбором типа второго фактора
Данная процедура проверки работы JAS-плагина аналогична предыдущей, но подразумевает наличие у пользователя одновременно двух типов OTP-аутентификаторов (OTP-, Messaging- и PUSH-токенов) с возможностью выбора типа аутентификатора.
Для инициации двухшаговой процедуры с ручным выбором второго фактора (на примере двух типов токенов – OPT- и Messaging-), реализуемой JAS-плагином для NPS, в его настройках в реестре следует установить следующие значения параметров:
- ChallengeResponseRadiusAuth=true;
- AuthTypeSelection=Manual;
- AuthTypes=OTP, Messaging;
- MessagingSystemId= <значение, указанное в соответствующем профиле выпуска Messaging-токена>
(Подробнее см. Табл. 13, с. 43).
Примечание. После изменения параметров реестра для их вступления в силу следует перезапустить компьютер.
Для подготовки к процедуре выпустите для пользователя Messaging-токен и как минимум один OTP-токен.
Чтобы проверить работу JAS-плагина для NPS в режиме двухшаговой процедуры аутентификации с выбором типа второго фактора, выполните следующие действия.
На RADIUS-клиенте запустите утилиту NTRadPing.
14. Выполните настройку соединения, руководствуясь табл. 14 (с. 51), с единственным отличием: в поле Password вместо OTP-пароля введите доменный (AD) пароль пользователя, указанного в поле User Name. (Это первый шаг – ввод первого фактора аутентификации).
15. Нажмите Send.
В окне программы отобразится информация следующего вида.
Рис. 34 – Ответ RADIUS-сервера
В поле RADIUS Server reply отобразится ответ типа Access Challenge (запрос второго фактора аутентификации). В секции atrribute dump отобразятся подсказки:
- для типа второго фактора аутентификации (Reply Message). В некоторых случаях (как в примере на Рис. 34), чтобы просмотреть числовые идентификаторы метода (например 1-OTP; 2-SMS) следует прокрутить содержимое поля RADIUS Server reply вправо (Рис. 35, ниже)
Примечание. Для метода Push может быть указан дополнительный идентификатор (отсутствует в данном примере). Нумерация соответствует порядку следования типов аутентификации в параметре AuthTypes в реестре (см. Табл. 13, с. 43);
- для имени метода для запроса типа второго фактора аутентификации (в данном случае State=Method:Select2FA;Value:None);
Рис. 35 – Прокрутка поля до конца, чтобы получить идентификатор метода
16. Для выбора типа второго фактора аутентификации (OTP, Messaging или Push) выполните следующие действия.
16.1. В поле Password укажите идентификатор второго фактора аутентификации согласно подсказке (например для OTP следует ввести 1; для SMS следует ввести 2, и т.д.). В данном примере вводится «1» (идентификатор для OTP).
16.2. Нажмите Send.
В окне программы отобразится информация следующего вида.
Рис. 36 – Ответ RADIUS-сервера
Примечание. В случае выбора идентификатора для метода Push указанное на Рис. 36 информация не отобразится. Ожидаемым действием пользователя будет нажатие на кнопку подтверждения аутентификации в мобильном приложении на смартфоне.
В поле RADIUS Server reply отобразится ответ типа Access Challenge (запрос второго фактора аутентификации). В секции atrribute dump отобразится подсказка для имени метода для запроса второго фактора аутентификации (в данном случае State=Method:OTP;Value:None )
17. Для ввода второго фактора аутентификации (OTP) выполните следующие действия.
17.1. В поле настройки атрибута запроса (Рис. 36, поле, обозначенное цифрой «1») введите
17.2. В поле настройки значения атрибута запроса (Рис. 36, поле, обозначенное цифрой «2») введите значение из указанной выше подсказки (Method:OTP;Value:None)
17.3. Нажмите Add
В окне программы отобразится информация следующего вида.
Рис. 37 – Отображение дополнительных атрибутов запроса к RADIUS-серверу (Additional RADIUS Attributes)
Значение введенного атрибута запроса отобразится второй строкой в поле Additional RADIUS Attributes.
18. В поле Password введите сгенерированное в OTP-токене значение одноразового пароля
Примечание. В данном примере подразумевается, что в настройках OTP-токена выбран режим «только OTP», без необходимости добавления PIN-кода или доменного пароля)
19. Нажмите Send.
В поле RADIUS Server reply отобразятся следующие сведения.
Рис. 38 – Ответ RADIUS-сервера
20. Убедитесь в том, что в строке response (ответ) содержится значение Access-Accept – в этом случае аутентификация успешна. В противном случае проверьте настройки интерфейса для OTP-клиентов (см. раздел «Настройка сетевых программных интерфейсов сервера JAS», с. 21) настройки JAS-плагина для NPS (см. «Настройка JAS-плагина для NPS», с. 41) или проверьте корректность одноразового пароля в поле Password.


































