Использование Indeed AM Windows Logon в сценарии с RDP - Работает под управлением системы Kayako

База знаний

6С чего начать? 30Indeed Privileged Access Manager 68Indeed Certificate Manager 141Indeed Access Manager 8 46Indeed Access Manager 7 234Indeed Access Manager 6 85Indeed Enterprise Single Sign-On 2Документация по продуктам

База знаний: Indeed Access Manager 8 > Indeed Windows Logon

Использование Indeed AM Windows Logon в сценарии с RDP

Автор Kirill Osipov, Last modified by Kirill Osipov на 03 апреля 2024 03:04 PM

Настройка модуля интеграции Windows Logon для работы с RDP. Данный сценарий может использоваться вместо модуля интеграции RDP Windows Logon.

Для корректной работы данного сценария требуется отключение NLA, что является небезопасным.

Описание

При реализации данного сценария, запрос авторизации происходит на стороне терминального клиента, в качестве способа аутентификации будет вызвано окно Indeed AM Windows logon, в котором вы сможете аутентифицироваться по доступному пользователю провайдеру аутентификации (Passcode, TOTP, Z2USB, Futronik (отпечаток пальца) и т.д).

Установка

Установить Indeed AM Windows Logon на машину, к которой будет осуществляться RDP подключение;
Установить требуемые провайдеры аутентификации на машину, к которой будет осуществляться RDP подключение;
(если используются USB устройства для аутентификации: Z2USB, Futronic, Omnikey и т.п., тогда требуется установить данные провайдеры и на машину с которой будет осуществляться подключение);

Настройка

Настройка через GPO:
В настройках групповых политик в разделе Local Computer Policy\Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security выставить следующие значения групповых политик для данного сервера:
- Require user authentication for remote connections by using Network Level Authentication = disabled
- Set client connection encription level = enabled, High
- Require use of specific security layer for remote (RDP) connections = RDP
  
  При комбинации настроек 2 и 3 канал будет шифроваться RC4 со 128-битным ключом
  
  В настройках групповых политик в разделе Local Computer Policy\Computer Configuration\Administrative Templates\Indeed ID\Windows Logon выставить следующие значения групповых политик для данного сервера:
  (Шаблоны групповых политик Indeed поставляются в дистрибутиве: Indeed AM <№ версии>\Misc\ADMX Templates)
  - Credential Provider settings = Enabled
Настройка через Реестр:

Данные параметры можно настроить, изменив параметры в реестре. Для этого в редакторе реестра необходимо выполнить следующее:
- Перейти в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services;
- Для параметра "UserAuthentication" тип DWORD задать значение 0 (если данный параметр отсутствует, его необходимо создать);
- Для параметра "MinEncryptionLevel" тип DWORD задать значение 3 (если данный параметр отсутствует, его необходимо создать);
- Для параметра "SecurityLayer" тип DWORD задать значение 0 (если данный параметр отсутствует, его необходимо создать);
- Перейти в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Indeed-ID\Logon for Windows;
- Для параметра "CredProvFilter" тип DWORD задать значение 2 (если данный параметр отсутствует, его необходимо создать);

Пример работы Windows Logon с RDP

(0 голос(а))

Эта статья полезна

Эта статья бесполезна

Комментарии (0)

Добавить новый комментарий Ответ на комментарий
Добавить новый комментарий Ответ на комментарий

Полное имя:
Email:
Комментарии:

Система Запросов и Решения Проблем Kayako