Поиск по базе знаний

Как настроить Password Reset

SMS PASSCODE Password Reset - это дополнительный (необязательный) компонент комплекса SMS PASSCODE, который обеспечивает возможность безопасной смены паролей Active Directory самими пользователями, без участия службы технической поддержки. 

Для того, чтобы воспользоваться Password Reset, потребуются отдельные лицензии для каждого из пользователей, использующих услугу по автоматической смене пароля. Впрочем, в обязательный стартовый лицензионный пакет уже входит 5 лицензий на Password Reset, так что любой обладатель лицензии на SMS PASSCODE 7.x уже имеет пять лицензий, чтобы как минимум иметь возможность опробовать продукт. Разумеется, можно также получить пробную версию Password Reset для тех, кто еще не стал клиентом SMS PASSCODE. 

Архитектура Password Reset

Password Reset состоит из двух основных компонентов: веб-сайт, на котором происходит смена пароля, и системная служба (Back-end), которая осуществляет эту смену. Поскольку чаще всего смена пароля наиболее актуальна для удаленных пользователей, веб-сайт Password Reset необходимо выносить в DMZ или иным образом публиковать на межсетевом экране. В этом смысле рекомендуется разделить эти два компонента (службу и сайт) и установить сайт на внешний веб-сервер, доступный всем пользователям извне, а службу установить на внутренний сервер, обеспечив соответствующими настройками связь между этими компонентами. 

В простейшем же варианте можно установить оба компонента на один сервер. 

Установка Password Reset

Рассмотрим самый простой в тестировании вариант установки: все компоненты SMS PASSCODE располагаются на одном и том же сервере. Разумеется, в реальных условиях это чаще всего не так: компоненты распределяются по разным серверам, а связь между ними обеспечивается по определенным, задаваемым портам. 

Для установки Password Reset вам не потребуется отдельный установочный файл. Все необходимые компоненты находятся в едином установочном файле, который вы получите или с постоянной приобретенной лицензией, или при получении пробной лицензии. 

После запуска установочного файла на этапе выбора устанавливаемых компонентов выберите Password Reset Web Site и Password Reset Backend Service. Обратите внимание, что эти компоненты не устанавливаются по умолчанию. Далее установка осуществляется стандартно, аналогично тому, как устанавливается SMS PASSCODE без Password Reset. Вам только потребуется указать папку, куда установить Password Reset и порт, на котором будет работать веб-сайт (по умолчанию 5000). Веб-сайт Password Reset базируется на Microsoft IIS, поэтому необходимо заранее установить соответствующую роль сервера (веб-сервер). 

Установка SMS PASSCODE Password Reset

Что нам потребуется для тестирования?

  1. Учетная запись Active Directory, от которой будет производиться смена пароля пользователей. Необходимость иметь такую учетную запись вытекает из той логики, по которой работает Password Reset: при получении запроса на изменение пароля системная служба обращается к контроллеру домена и запрашивает изменение пароля пользователя. Следовательно служба должна иметь соответствующие права и полномочия. 
  2. Сертификат SSL. Доступ к сайту для изменения паролей может осуществляться только с защитой трафика и по протоколу HTTPS, Поэтому потребуется как минимум само-подписанный сертификат SSL, который можно сделать за несколько минут из интерфейса IIS. 
  3. Тестовая учетная запись пользователя, для которого мы будем менять пароль. 

Второй и третий пункт вряд ли вызовет затруднение, а по первому вам потребуется выполнить следующие действия. 

  1. Создайте учетную запись Active Directory с минимально необходимым набором прав (этой записи не потребуется например осуществлять вход на сервер с консоли). 
  2. В оснастке Active Directory Users and Computers выберите узел, который содержит тех пользователей, для которых необходимо изменять пароль. Это может быть какой-либо OU или, как в нашем самом простом случае, все пользователи сразу. После этого выберите пункт Delegate Control. 

    Smsp Passwordreset Delegatecontrol

  3. Укажите учетную запись, которую вы создали на первом этапе, и перейдите к этапу выбора разрешаемых действий. Там вам необходимо выбрать пункт Reset user passwords and force password change at next logon.

    Права для учетной записи

     
  4. Подтвердите новые права для этой учетной записи. 

Настройка в SMS PASSCODE Configuration Tool

  1. Откройте утилиту настройки Configuration Tool (ярлык на нее есть в программной группе SMS PASSCODE). 
  2. Перейдите на вкладку Password Reset и убедитесь в том, что в качестве Password Reset Backend Host указан данный локальный компьютер. 
  3. На той же вкладке в поле Server name укажите IP-адрес или имя компьютера контроллера домена или сам домен (если вы оставите поле пустым, то будет выбран тот домен, к которому присоединен данный сервер). 
  4. В пункте Password reset account укажите учетную запись, которую вы создали с правом менять пароли пользователей. 

Smsp Passwordreset Configtool

Настройка в веб-интерфейсе администрирования SMS PASSCODE

Будем исходить из того, что, пользуясь другими инструкциями и нашими рекомендациями, вы уже настроили отправку одноразовых паролей с помощью SMS или другими методами. В этом случае нам необходимо сделать всего две вещи:

  1. Создать в SMS PASSCODE тестового пользователя, пароль которого будет меняться. 
  2. Указать для него Personal passcode. 

Для чего все это делается? Создавать пользователя в базе данных SMS PASSCODE в принципе необязательно, если у вас уже настроена интеграция SMS PASSCODE с Active Directory и программа "знает" обо всех интересующих вас пользователях, включая их номер мобильного телефона (SMS PASSCODE должен "знать", куда отправлять SMS). В самом простейшем варианте, когда все пользователи заносятся в базу данных вручную, мы просто добавляем его и указываем номер телефона и учетную запись Active Directory. Должно получить примерно так:

Создайте пользователя в SMS PASSCODE

Второе - это Personal passcode. Логика работы Password Reset требует минимальной аутентификации пользователя до того, как он получит SMS с одноразовым кодом. Этой минимальной аутентификацией является наличие Personal passcode. Можно назвать это простым PIN-кодом, который не даст доступа ни к каким серьезным ресурсам, а потому может состоять из всего четырех цифр, что очень легко запомнить пользователю. 

Так как же его задать для пользователя? Во-первых, необходимо включить такую возможность в принципе. Это делается в глобальных настройках:

Включение поддержки Personal passcode

После этого возвращаемся к списку пользователей и открываем свойства нужного нам пользователя (в реальных условиях обычно для этой процедуры используется сайт самообслуживания SMS PASSCODE, где при самостоятельной регистрации пользователь задает этот Personal passcode). 

Задайте Personal passcode как показано на иллюстрации ниже:

Задание Personal passcode в свойствах пользователя

Настройка веб-сайта изменений пароля

Осталось всего лишь настроить веб-сайт IIS. Сайт уже создан при установке SMS PASSCODE, поэтому осталось лишь обеспечить возможность доступа к нему по HTTPS (что является обязательным требованием). Для этого откройте утилиту IIS Manager и найдите сайт SMS PASSCODE Password Reset. 

После этого откройте раздел Bindings и убедитесь, что там есть только привязка к HTTP по протоколу 5000. Этого недостаточно для работы, поэтому добавляем привязку HTTPS (можно оставить порт 443 или поставить любой другой) и указываем на предварительно созданный сертификат SSL (например, самоподписанный). 

Настройка сайта IIS

Тестирование системы

Пришло время попробовать сменить пароль нашего тестового пользователя. Для этого зайдем на веб-сайт по протоколу HTTPS и, если мы все сделали правильно, то увидим примерно следующую страницу:

Язык сайта выбирается автоматически на основе языка, указанного в веб-браузере. 

  1. Укажите учетную запись пользователя, пароль которой нужно изменить.

    Смена пароля этап 1

  2. Укажите Personal passcode. 

    Смена пароля: этап 2

  3. Дождитесь получения одноразового кода на мобильный телефон (или, например, на Email, если выбран этот способ доставки кода). 
  4. Введите код.

    Смена пароля: этап 3

  5. Смените пароль.

    Смена пароля: этап 4

  6. Дождитесь подтверждения успешной смены пароля.

    Смена пароля: этап 5

Возможные проблемы

В подавляющем большинстве случаев, если что-то не работает в SMS PASSCODE, нужно посмотреть в лог SMS PASSCODE, вернее сразу в несколько отдельных лог файлов с помощью Microsoft Event Viewer. 

Вот к примеру, что произойдет, если вы забудете задать Personal passcode для пользователя:

Ошибки в лог файле SMS PASSCODE

Если вы слишком много раз пробовали сменить пароль, а у вас не получилось и не получается до сих пор, проверьте лог SMS PASSCODE Password Reset. Вполне вероятно, что вы исчерпали лимит на количество неудачных попыток входа и учетная запись была заблокирована. В лог-файле это может выглядеть так:

Ошибки в лог-файле SMS PASSCODE

Если это произошло, то перезапустите системную службу SMS PASSCODE Password Reset и учетная запись будет разблокирована.