Undokumentierte Parameter der Azure MFA NPS Erweiterung

Die Azure MFA Erweiterung für den NPS Server von Microsoft bietet einige erweiterte Parameter die Microsoft in der aktuellen Dokumentation auch erwähnt. Jedoch zeigt sich bei der Analyse mit dem Process Monitor das dies bei weitem nicht alle Parameter sind, die die Erweiterung verarbeiten kann.

Die folgende Tabelle ist eine Liste mit allen von mir gefundenen Parametern. Hierbei ist zu beachten das viele davon nicht geändert werden sollten, da dadurch die Erweiterung nicht mehr funktionieren würde. So ist es sicherlich keine gute Idee z.B. die URL für den Azure MFA Service zu ändern.

NameDefault valueBeschreibungDokumentiert
SAS_URLunknownUnbekanntNein
STS_URLhttps://login.microsoftonline.com/UnbekanntNein
TENANT_IDAzure Tenant IdDie Azure Tenant IdNein
CLIENT_CERT_IDENTIFIERCN=TENANT-ID, OU=Microsoft NPS ExtensionName des ZertifikatsNein
VERBOSE_LOGFALSEAusführliches LoggingNein
CLIENT_APP_IDunknownNein
CERT_STORE_NAMELeerWelcher Zertifikatsstore wird für die Authentifizierung verwendet.
Standard: Personal Store on Local Computer (MY)
Nein
AZURE_MFA_HOSTNAMEadnotifications.windowsazure.comDNS Name des Azure MFA ServersNein
AZURE_MFA_TARGET_PATHStrongAuthenticationService.svc/ConnectorVerwendeter Dienst auf dem MFA ServerNein
EXIT_ON_FATAL_ERRORunknownUnbekanntNein
REQUEST_TIMEOUTunknownWie langeNein
REQUIRE_USER_MATCHTRUEPrüft ob der Azure Benutzer für Azure MFA konfiguriert wurde und wenn nicht wird die Anmeldung zugelassen.
Sollte kein passender Benutzer gefunden werden lehnt die Erweiterung die Anmeldung ab.
Ja
HELP_DOC_URLhttps://go.microsoft.com/fwlink/?linkid=846827UnbekanntNein
LDAP_ALTERNATE_LOGINID_ATTRIBUTELeerDefiniert welches Attribut für die Benutzersuche verwendet werden soll.
Standard: UPN
Ja
LDAP_FORCE_GLOBAL_CATALOGFALSEWenn LDAP_LOOKUP_FORESTS nicht konfiguriert ist wird dieser Wert als TRUE interpretiert.Ja
LDAP_LOOKUP_FORESTSLeerWelche Forests sollen geprüft werdenJa
IP_WHITELISTLeerKommaseparierte Liste von IP Adressen bei denen MFA nicht verwendet wird. Der Radius Request muss das Attribut ratNASIPAddress enthalten.Ja

 

Mehr zu den dokumentierten Parametern und Ihren unterschiedlichen Einsatzzwecken findet Ihr im Blogeintrag von Chris.

Verbose Logging

Der Parameter „VERBOSE_LOG“ aktiviert das erweiterte Logging in das Application Log des Windows Servers. Als Quelle wird „ONE_MFA_ADAL“ verwendet. Also nicht wie im Normalfall unter „Microsoft-AzureMfa-AuthZ/AuthZOptCh“

Zertifikat

Ein weiterer interessanter Einblick in die Funktion bieten die beiden Werte „CLIENT_CERT_IDENTIFIER“ und „CERT_STORE_NAME“. Ein Blick in den lokalen Zertifikatsspeicher zeigen dann auch das, für die Authentifizierung verwendete, Zertifikat.

Achtung: Bei Deinstallation bleiben die alten Zertifikate auf dem Server liegen und müssen manuell entfernt werden. Eine Neuinstallation erstellt ein neues Zertifikat.

Ich arbeite als IT Consultant bei Aequitas Integration und habe einen Fokus auf die Microsoft Enterprise Produktpalette.
Jedoch beschäftige ich mich schon lange auch mit Linux und finde auch die unteren OSI Schichten interessant.

Dieser Beitrag wurde unter Azure, MFA, NPS abgelegt am von .

Über

Ich arbeite als IT Consultant bei Aequitas Integration und habe einen Fokus auf die Microsoft Enterprise Produktpalette. Jedoch beschäftige ich mich schon lange auch mit Linux und finde auch die unteren OSI Schichten interessant.