Inhalt

Undokumentierte Parameter der Azure MFA NPS Erweiterung

Inhalt

Die Azure MFA Erweiterung für den NPS Server von Microsoft bietet einige erweiterte Parameter die Microsoft in der aktuellen Dokumentation auch erwähnt. Jedoch zeigt sich bei der Analyse mit dem Process Monitor das dies bei weitem nicht alle Parameter sind, die die Erweiterung verarbeiten kann.

Die folgende Tabelle ist eine Liste mit allen von mir gefundenen Parametern. Hierbei ist zu beachten das viele davon nicht geändert werden sollten, da dadurch die Erweiterung nicht mehr funktionieren würde. So ist es sicherlich keine gute Idee z.B. die URL für den Azure MFA Service zu ändern.

Name Default value Beschreibung Dokumentiert
SAS_URL unknown Unbekannt Nein
STS_URL https://login.microsoftonline.com/ Unbekannt Nein
TENANT_ID Azure Tenant Id Die Azure Tenant Id Nein
CLIENT_CERT_IDENTIFIER CN=TENANT-ID, OU=Microsoft NPS Extension Name des Zertifikats Nein
VERBOSE_LOG FALSE Ausführliches Logging Nein
CLIENT_APP_ID unknown Nein
CERT_STORE_NAME Leer Welcher Zertifikatsstore wird für die Authentifizierung verwendet.Standard: Personal Store on Local Computer (MY) Nein
AZURE_MFA_HOSTNAME adnotifications.windowsazure.com DNS Name des Azure MFA Servers Nein
AZURE_MFA_TARGET_PATH StrongAuthenticationService.svc/Connector Verwendeter Dienst auf dem MFA Server Nein
EXIT_ON_FATAL_ERROR unknown Unbekannt Nein
REQUEST_TIMEOUT unknown Wie lange Nein
REQUIRE_USER_MATCH TRUE Prüft ob der Azure Benutzer für Azure MFA konfiguriert wurde und wenn nicht wird die Anmeldung zugelassen.Sollte kein passender Benutzer gefunden werden lehnt die Erweiterung die Anmeldung ab. Ja
HELP_DOC_URL https://go.microsoft.com/fwlink/?linkid=846827 Unbekannt Nein
LDAP_ALTERNATE_LOGINID_ATTRIBUTE Leer Definiert welches Attribut für die Benutzersuche verwendet werden soll.Standard: UPN Ja
LDAP_FORCE_GLOBAL_CATALOG FALSE Wenn LDAP_LOOKUP_FORESTS nicht konfiguriert ist wird dieser Wert als TRUE interpretiert. Ja
LDAP_LOOKUP_FORESTS Leer Welche Forests sollen geprüft werden Ja
IP_WHITELIST Leer Kommaseparierte Liste von IP Adressen bei denen MFA nicht verwendet wird. Der Radius Request muss das Attribut ratNASIPAddress enthalten. Ja

Mehr zu den dokumentierten Parametern und Ihren unterschiedlichen Einsatzzwecken findet Ihr im Blogeintrag von Chris.

Verbose Logging

Der Parameter VERBOSE_LOG aktiviert das erweiterte Logging im Application Log des Windows Servers.
Als Quelle wird ONE_MFA_ADAL verwendet und nicht wie im Normalfall Microsoft-AzureMfa-AuthZ/AuthZOptCh

/undokumentierte-parameter-der-azure-mfa-nps-erweiterung/images/NPS-MFA_VerboseLogging_Small.png

/undokumentierte-parameter-der-azure-mfa-nps-erweiterung/images/NPS-MFA_VerboseLogging.png

Zertifikat

Ein weiterer interessanter Einblick in die Funktion bieten die beiden Werte CLIENT_CERT_IDENTIFIER und CERT_STORE_NAME.
Ein Blick in den lokalen Zertifikatsspeicher zeigen dann auch das, für die Authentifizierung verwendete, Zertifikat.

/undokumentierte-parameter-der-azure-mfa-nps-erweiterung/images/NPS-MFA_Cert.png

/undokumentierte-parameter-der-azure-mfa-nps-erweiterung/images/NPS-MFA_Cert_Details.png

Achtung: Bei Deinstallation bleiben die alten Zertifikate auf dem Server liegen und müssen manuell entfernt werden. Eine Neuinstallation erstellt ein neues Zertifikat.

/undokumentierte-parameter-der-azure-mfa-nps-erweiterung/images/NPS-MFA_MultipleCerts.png