Настройка RDP

Настройка

Чтобы настроить взаимодействие между серверами RADIUS Proxy и RD Gateway на Windows Server:

  1. В меню «Tools» выберите «Network Police Server».
  2. Перейдите в раздел «RADIUS Clients and Servers».
  3. Нажмите правой кнопкой мыши на пункт «Remote RADIUS Server Groups» и выберите пункт «New».
  4. Укажите «Group Name».
  5. Нажмите на кнопку «Add».
  6. Заполните данные о сервере:
    1. На вкладке «Address» укажите «Server»: адрес сервера, на котором установлен RADIUS Proxy.
    2. На вкладке «Authentication/Accounting» укажите данные из панели администратора Контур.ID: «Shared Secret», «Confirm shared secret», «Authentication port» (по умолчанию установлено значение 1812).
    3. На вкладке «Load Balancing» укажите рекомендуемое время:
      • «Number of seconds without response before request is considered dropped» — 60 (секунд).
      • «Number of seconds between requests when is indentified as unavailable» — 61 (секунд).
    4. Нажмите «ОК».
  7. Нажмите «ОК».
  8. Перейдите в раздел «Policies» → «Connection Request Policies».
  9. Выберите политику подключения. По умолчанию политика TS GATEWAY AUTHORIZATION POLICY. Чтобы изменить, нажмите правой кнопкой мыши и выберите «Properties».
  10. Перейдите на вкладку «Settings» и выберите пункт «Authentication».
  11. Выберите пункт«Forward requests to the following remote RADIUS server group for authentication» и из раскрывающегося списка выберите созданную ранее группу серверов.
  12. Нажмите «Apply».
  13. Нажмите «OK».

Устранение неполадок

 Не приходит push-уведомление

Если RADUIS-proxy стоит на одном сервере с NPS, будет возникать конфликт между программами, т. к. они стандартно работают на одном порту — 1812. 

  1. Измените в файле «appsettings» порт, который будет слушать RADUIS-proxy, на любой не занятый, например, 1899 или 18120.
  2. В настройках NPS → раздел «Remote RADUIS Server Groups» на нужном RADUIS сервере укажите корректный порт и локальный IP 127.0.0.1.
  3. Проверьте, что на серверах открыты необходимые порты.
    На сервере с RADUIS-proxy: для входящих — протокол UDP, порт, который вы указали ранее в appsettings, например, 1812.
    Для сервера с NPS: для исходящих — протокол UDP, любые порты.

 После принятия PUSH-уведомления ничего не происходит

Обычно ситуация сопровождается логами об успешном входе.

[RADUISProxy.Decorators.AuthenticationHandlerLoggerDecorator] 2 factor processed successfully for user kontur

Для решения вопроса проверьте, что между RADUIS-proxy и NPS установлен одинаковый SharedSecret.

Дополнительные возможности

Доступ к ресурсу по группам

Возможность используется в сценарии, когда требуется впускать или не впускать на настраиваемый ресурс по группе пользователя.

Работает только для RADIUS-прокси.

В файл «appsettings.json» добавьте блок «AuthorizationConfiguration»:

"AuthorizationConfiguration": {
        "AuthorizationStrategy" : "AllUsers" |  "NoOneWithExceptions" |  "AllUsersWithExceptions",
        "AdGroupExceptions": ["UserGroups1","UserGroups2","UserGroups3"]
    }
  1. AuthorizationStrategy — стратегия авторизации. Возможные значения:
    • AllUsers — впускать всех пользователей.
    • AllUsersWithExceptions — впускать тех, кто не входит в группы, перечисленные в списке исключений.
    • NoOneWithExceptions — не впускать никого, кроме тех, кто входит в группы, перечисленные в списке исключений.
  2. AdGroupExceptions — список групп.

После обновления «appsettings» нужно перезапустить RADIUS-прокси.

Самостоятельная регистрация пользователей

Есть возможность включить автоматическую отправку писем пользователям на почту, если они не «привязали» устройство для подтверждения второго фактора.

Для этого в файл «appsettings.json» добавьте следующий блок:

}, 
"ActiveDirectoryConfiguration": {
    "AuthenticationType": "Kerberos",
    "ServerAddress": "domain:389",
    "Domain": "domain"
  }

После обновление файла конфигурации перезапустите службу RADIUS.

Как происходит отправка приглашения

Сотрудник вводит логин и пароль для подключения к RDP.

RADIUS Proxy:

  1. Делает запрос в API Kontur.ID:
    • Проверяет наличие пользователя в панели администратора Kontur.ID.
    • Проверяет наличие у пользователя двухфакторной аутентификации.
  2. Получает результат запроса от API Kontur.ID.
  3. Собирает данные для отправки приглашения сотруднику:
    • Почта пользователя из Active Directory.
    • Доменный логин от RDP.
  4. Отправляет запрос в API Kontur.ID на отправку приглашения.

API Kontur.ID:

  1. Генерирует уникальную одноразовую ссылку.
  2. Отправляет приглашение сотруднику на почту пользователя из Active Directory.

Сотрудник:

  1. Входит через браузер в личный кабинет пользователя Kontur.ID по ссылке из почты.
  2. Устанавливает и настраивает приложение Контур.Коннект.

После настройки сотрудник может подтвердить аутентификацию на устройстве.

Если в карточке пользователя Active Directory не указана почта, письмо для регистрации не отправится — необходимо пользователя регистрировать другими способами.


id

Двухфакторная аутентификация на ваши ресурсы

Протестируй функциональность бесплатно в течении 2х недель