Настройка RDP
Настройка
Чтобы настроить взаимодействие между серверами RADIUS Proxy и RD Gateway на Windows Server:
- В меню «Tools» выберите «Network Police Server».
- Перейдите в раздел «RADIUS Clients and Servers».
- Нажмите правой кнопкой мыши на пункт «Remote RADIUS Server Groups» и выберите пункт «New».
- Укажите «Group Name».
- Нажмите на кнопку «Add».
- Заполните данные о сервере:
- На вкладке «Address» укажите «Server»: адрес сервера, на котором установлен RADIUS Proxy.
- На вкладке «Authentication/Accounting» укажите данные из панели администратора Контур.ID: «Shared Secret», «Confirm shared secret», «Authentication port» (по умолчанию установлено значение 1812).
- На вкладке «Load Balancing» укажите рекомендуемое время:
- «Number of seconds without response before request is considered dropped» — 60 (секунд).
- «Number of seconds between requests when is indentified as unavailable» — 61 (секунд).
- Нажмите «ОК».
- На вкладке «Address» укажите «Server»: адрес сервера, на котором установлен RADIUS Proxy.
- Нажмите «ОК».
- Перейдите в раздел «Policies» → «Connection Request Policies».
- Выберите политику подключения. По умолчанию политика TS GATEWAY AUTHORIZATION POLICY. Чтобы изменить, нажмите правой кнопкой мыши и выберите «Properties».
- Перейдите на вкладку «Settings» и выберите пункт «Authentication».
- Выберите пункт«Forward requests to the following remote RADIUS server group for authentication» и из раскрывающегося списка выберите созданную ранее группу серверов.
- Нажмите «Apply».
- Нажмите «OK».
Устранение неполадок
Если RADUIS-proxy стоит на одном сервере с NPS, будет возникать конфликт между программами, т. к. они стандартно работают на одном порту — 1812.
- Измените в файле «appsettings» порт, который будет слушать RADUIS-proxy, на любой не занятый, например, 1899 или 18120.
- В настройках NPS → раздел «Remote RADUIS Server Groups» на нужном RADUIS сервере укажите корректный порт и локальный IP 127.0.0.1.
- Проверьте, что на серверах открыты необходимые порты.
На сервере с RADUIS-proxy: для входящих — протокол UDP, порт, который вы указали ранее в appsettings, например, 1812.
Для сервера с NPS: для исходящих — протокол UDP, любые порты.
Обычно ситуация сопровождается логами об успешном входе.
[RADUISProxy.Decorators.AuthenticationHandlerLoggerDecorator] 2 factor processed successfully for user kontur
Для решения вопроса проверьте, что между RADUIS-proxy и NPS установлен одинаковый SharedSecret.
Дополнительные возможности
Возможность используется в сценарии, когда требуется впускать или не впускать на настраиваемый ресурс по группе пользователя.
Работает только для RADIUS-прокси.
В файл «appsettings.json» добавьте блок «AuthorizationConfiguration»:
"AuthorizationConfiguration": {
"AuthorizationStrategy" : "AllUsers" | "NoOneWithExceptions" | "AllUsersWithExceptions",
"AdGroupExceptions": ["UserGroups1","UserGroups2","UserGroups3"]
}
- AuthorizationStrategy — стратегия авторизации. Возможные значения:
- AllUsers — впускать всех пользователей.
- AllUsersWithExceptions — впускать тех, кто не входит в группы, перечисленные в списке исключений.
- NoOneWithExceptions — не впускать никого, кроме тех, кто входит в группы, перечисленные в списке исключений.
- AdGroupExceptions — список групп.
После обновления «appsettings» нужно перезапустить RADIUS-прокси.
Есть возможность включить автоматическую отправку писем пользователям на почту, если они не «привязали» устройство для подтверждения второго фактора.
Для этого в файл «appsettings.json» добавьте следующий блок:
},
"ActiveDirectoryConfiguration": {
"AuthenticationType": "Kerberos",
"ServerAddress": "domain:389",
"Domain": "domain"
}
После обновление файла конфигурации перезапустите службу RADIUS.
Как происходит отправка приглашения
Сотрудник вводит логин и пароль для подключения к RDP.
RADIUS Proxy:
- Делает запрос в API Kontur.ID:
- Проверяет наличие пользователя в панели администратора Kontur.ID.
- Проверяет наличие у пользователя двухфакторной аутентификации.
- Получает результат запроса от API Kontur.ID.
- Собирает данные для отправки приглашения сотруднику:
- Почта пользователя из Active Directory.
- Доменный логин от RDP.
- Отправляет запрос в API Kontur.ID на отправку приглашения.
API Kontur.ID:
- Генерирует уникальную одноразовую ссылку.
- Отправляет приглашение сотруднику на почту пользователя из Active Directory.
Сотрудник:
- Входит через браузер в личный кабинет пользователя Kontur.ID по ссылке из почты.
- Устанавливает и настраивает приложение Контур.Коннект.
После настройки сотрудник может подтвердить аутентификацию на устройстве.
Если в карточке пользователя Active Directory не указана почта, письмо для регистрации не отправится — необходимо пользователя регистрировать другими способами.