Поиск по базе знаний

Как разрешить доступ без двухфакторной аутентификации неизвестным пользователям при RADIUS интеграции

Если SMS PASSCODE интегрирован в режиме RADIUS с Network Policy Server, то по умолчанию пользователи, которые не были предварительно добавлены в базу данных SMS PASSCODE (вручную или из Active Directory), не смогут получить доступ к защищаемой системе, и доступ для них будет запрещен. 

Если необходимо разрешить доступ неизвестным пользователям, то рекомендуется сделать следующее: 

  1. Создать Network Policy в Network Policy Server, которая разрешает доступ таким неизвестным пользователям (по умолчанию, такая политика не требуется, поскольку SMS PASSCODE не передает запросы на уровень сетевых политик).

    Создание сетевой политики в Network Policy Server

  2. Запустить SMS PASSCODE Configuration Tool, далее вкладку RADIUS Client Protection и подвкладку Authentication. В выпадающем списке Side-by-side выбрать пункт On failure only. Сохраните настройки.

    Настройка SMS PASSCODE Configuration Tool

  3. Откройте редактор реестра и добавьте ключ типа DWORD с названием DenySmspasscodeUserOnApplyIfFailed в раздел HKLM\SOFTWARE\SMS PASSCODE\RADIUS. Значение ключа: 1
  4. Остановите системную службу SMS PASSCODE RADIUS и перезапустите системную службу Network Policy Server (служба SMS PASSCODE будет запущена автоматически). 

На втором шаге мы настроили SMS PASSCODE таким образом, что при ошибке аутентификации (например, если пользователь не найден в базе SMS PASSCODE), запрос будет передан сетевым политикам Network Policy Server. На третьем шаге мы исключаем ситуацию, когда запрос существующего в базе данных пользователя будет передан на этот уровень. Если бы мы не внесли это изменение было бы возможно перейти на этот уровень и пройти аутентификацию при вводе неверного одноразового кода.