Продукты: Indeed AM (8.*) , Indeed PAM (2.10.*, 3.*)

Предварительные требования: Развёрнуты и настроены Indeed PAM и Indeed AM, развёрнут и настроен сервер NPS с Indeed NPS Radius Extension

Поддерживаемые со стороны АМ способы аутентификации можно разделить на два вида:

1. Предполагающие challenge-response, т.е. ввод дополнительной информации после заполнения полей логин/пароль в Indeed PAM IDP. Это все способы входа 2fa, кроме 2fa:Windows Password+Indeed Key (Push). Такие способы входа требуют обязательного использования протокола PAP со стороны NPS и Indeed PAM IDP.

2. Не предполагающие challenge-response, это все 1fa и 2fa:Windows Password+Indeed Key (Push). Такие способы входа не обязательно требуют использования протокола PAP со стороны NPS и Indeed PAM IDP, можно использовать MSCHAP и MSCHAPv2.

Полный список поддерживаемых аутентификаторов доступен в документации используемой версии Indeed AM.

Если способ входа не предполагает, что в поле пароля вводится Windows Password, то необходимо либо настроить персонализацию со стороны Indeed AM, либо отключить проверку доменного пароля на сервере NPS.

Персонализация - это доменный пароль пользователя, записанный в базу данных Indeed AM.

Персонализацию для пользователя можно получить одним из следующих способов:

1. Авторизоваться под необходимым пользователем в консоль UC Indeed AM, нажать на провайдер "Windows Password", выбрать "Зарегистрировать" и ввести повторно Windows Password;

2. Начать вход на ВМ с установленным Windows Logon, указать необходимого пользователя, выбрать любой метод аутентификации (не Windows Password!), ввести к нему аутентификатор и войти в систему;

Примечание: возникнет ожидаемая ошибка о рассинхронизации паролей, необходимо нажать ОК и ввести Windows Password.

3. Отправить API запрос (postman). Например:

Выполнить цепочку запросов для аутентификации в приложение Windows Logon методом Windows Password, после чего задать пароль запросом /userAccount/setPassword

4. Использовать утилиту сброса пароля (будет сгенерирован случайный пароль)

Проверка со стороны NPS отключается следующей настройкой (не рекомендуется использовать эту настройку в продуктивной среде) :

Настройка со стороны NPS:

1. Необходимо добавить новый клиент Radius, указав адрес сервера с компонентом Indeed PAM IDP:

2. Необходимо создать политику сети, указав в условиях пользователей Indeed PAM, разрешив им доступ и выбрав протокол проверки подлинности в соответствии с тем, какой аутентификатор планируется использовать:

Настройка со стороны Indeed AM:

1. Необходимо создать Radius приложение для Indeed PAM:



2. В приложении нужно указать адрес сервера с компонентом Indeed PAM IDP:



3. Нужно создать политику с областью действия, включающую в себя пользователей Indeed PAM, и добавить в неё Radius приложение, созданное ранее:

3. В политике, нажав на название приложения, нужно настроить способ входа:

Настройка со стороны Indeed PAM:

Со стороны Indeed РАМ настройки для Radius будут стандартными, они описаны в этой статье. Подобная статья в документации есть для каждой перечисленной выше версии Indeed РАМ. Метод проверки подлинности и общий секрет указывается в соответствии с настройками на сервере NPS, выполненными ранее, его же адрес указывается как адрес Radius сервера.

Результат:

В случае использования 1fa, аутентификатор нужно вводить в поле пароля:



Для 2fa с challenge-response первый аутентификатор в цепочке нужно вводить в поле пароля, далее появится дополнительное окно для ввода второго аутентификатора в цепочке:



На сервере Indeed AM появится запись об успешном входе в разделе событий:



Со стороны Indeed PAM пропадёт возможность управлять аутентификаторами пользователей, т.к. теперь аутентификацией управляет Indeed AM через NPS Radius Extension: