После установки обновлений Microsoft на сервер NPS перестала работать RADIUS-аутентификация

Версия ПО:  JMS/JAS любой версии

Проблема: 

После установки обновлений Microsoft на сервер NPS перестала работать RADIUS-аутентификация

Сценарий проявления проблемы на примере аутентификации в Checkpoint по Messaging-токену:

  1. Пользователь вводит пароль на стороне Checkpoint.
  2. До формы ввода кода из СМС не доходит.
  3. Пользователю приходит 2 СМС подряд.
  4. Checkpoint сообщает, что аутентификация не удалась и возвращает на форму ввода логина и пароля.
  5. В логах NPS Plugin три попытки аутентификации от Checkpoint с периодичностью в 5 секунд.
  6. В логах JAS фигурирует ошибка: Network Policy Server denied access to a user. Reason:  An NPS extension dynamic link library (DLL) that is installed on the NPS server rejected the connection request.
  7. В журнале аутентификаций JAS Консоли управления JMS фигурируют записи вида: Попытка аутентификации по Messaging-токену с параметрами 'SystemId=systemid, User=user' не удалась. Произошла ошибка: Слишком частая попытка аутентификации по Messaging-токену с параметрами'SystemId=systemid, User=user.

Причина:

Установка обновлений Windows July 9, 2024-KB5040437 и August 13, 2024-KB5041160, закрывающих уязвимость NPS CVE-2024-3596 (Blast Radius).

Варианты решения:

  1. В настройках шлюза настроить игнорирование атрибута 80. Для Checkpoint это: SmartConsole - Global Properties - Advanced - Firewall - Authentication - radius_ignore and set it to "80". Install policy.
  2. Удалить(откатить) обновления Windows July 9, 2024-KB5040437 и August 13, 2024-KB5041160.

ID статьи: 494
Последнее обновление: 18 Mar, 2025
Ревизия: 1
JaCarta Management System -> JMS 3.x -> После установки обновлений Microsoft на сервер NPS перестала работать RADIUS-аутентификация
https://kbp.aladdin-rd.ru//index.php?View=entry&EntryID=494