1. Эгида: ID
  2. Сценарии использования RADIUS‑адаптера
Сценарии использования RADIUS‑адаптера
Смена истёкшего пароля в WinLogon‑адаптере Блокировка учётных записей с внешним RADIUS‑сервером Настройка проксирования запросов Настройка нескольких способов подтверждения Настройка передачи групп пользователя Настройка дедубликации запросов Настройка аутентификации в Active Directory

Смена истёкшего пароля в WinLogon‑адаптере

Адаптер RADIUS поддерживает сценарий с определением истёкшего пароля пользователей в WinLogon с версии 2.3.272 или старше.

Сценарий смены истёкшего пароля пользователя в WinLogon-адаптере

Для смены истёкшего пароля через адаптер RADIUS можно использовать следующий сценарий:

  1. Подключение к устройству: Пользователь подключается к устройству, на котором установлен WinLogon-адаптер, и вводит свои текущие учётные данные.
  2. Подтверждение второго фактора: После этого пользователю требуется подтвердить второй фактор. Затем пользователю предлагается сменить истёкший пароль.
  3. Смена пароля: Пользователю необходимо дважды ввести новый пароль, соответствующий политикам безопасности, после чего будет произведена смена пароля и выполнен вход.

Авторизация пользователя с истёкшим паролем

Если в настройках адаптера RADIUS указан ActiveDirectory (AD), истёкший пароль считается недействительным фактором входа. В этом случае пользователю доступны другие сценарии, такие как подтверждение второго фактора, но общим ответом от RADIUS Proxy будет Access_Reject с одним из дополнительных кодов ответа:

  • UserMustChangePassword: возвращается, если пароль истёк, но пользователь зарегистрирован.
  • PasswordExpiredRegistrationDisabled: возвращается, если пароль истёк, пользователь не зарегистрирован и регистрация по истёкшему паролю отключена.
  • WrongCredentials: возвращается, если не удалось установить соединение с AD из-за истёкшего пароля, в этом случае в логах будет сообщение: 
Failure identify user: Domain\UserName. Code: WrongCredentials, Message: Пользователю необходимо сменить пароль, либо необходимо добавить в конфигурацию домена сервисную учётную запись

При такой авторизации пользователь не сможет получить доступ к ресурсам до тех пор, пока не сменит пароль, но сможет пройти предварительную регистрацию. Для корректной обработки этой ситуации адаптеру требуется доступ к публичным атрибутам пользователя из AD. Необходимо обеспечить либо развернутый RADIUS на доменной машине, либо указать в конфигурации сервисные учётные данные.

Пример настройки сервисных учётных данных
"LdapCredentials": {
  "UserName": "Login",
  "Password": "*********",
  //или любой другой тип аутентификации
  "AuthType": "Basic"
}

Настройка регистрации с истёкшим паролем

В блоке SelfRegistrationConfiguration укажите RegistrationWithExpiredPasswordEnabled в значение true:

"SelfRegistrationConfiguration": {
    "RegistrationType": "ByPhone",
    "RegistrationWithExpiredPasswordEnabled": true,
  }

После внесения изменений в файл appsettings.json перезапустите службу RADIUS.

Двухфакторная аутентификация на ваши ресурсы

Протестируй функциональность бесплатно в течении 2х недель

Попробовать бесплатно

База знаний