Contents

Temas Relacionados

Cómo Funciona la Autenticación del servidor RADIUS

RADIUS es un protocolo que fue diseñado originalmente para autenticar usuarios remotos en un servidor de acceso por marcado. RADIUS ahora es usado en una amplia gama de ambientes de autenticación. RADIUS es un protocolo cliente-servidor, con el Firebox como el cliente y el servidor RADIUS como el servidor. (El cliente RADIUS a veces es llamado Servidor de Acceso a la Red o NAS). Cuando un usuario intenta autenticarse, el dispositivo envía un mensaje al servidor RADIUS. Si el servidor RADIUS está debidamente configurado para tener el dispositivo como cliente, RADIUS envía un mensaje aceptar o rechazar al dispositivo (el Servidor de Acceso a la Red).

Cuando el Firebox usa RADIUS para un intento de autenticación:

  1. El usuario intenta autenticarse, ya sea a través de una conexión HTTPS basada en un explorador al dispositivo por el puerto 4100, o a través de una conexión con Mobile VPN with IPSec. El dispositivo lee el nombre de usuario y la contraseña.
  2. El dispositivo crea un mensaje llamado mensaje Acceso-Solicitar y lo envía al servidor RADIUS. El dispositivo usa el secreto compartido de RADIUS en el mensaje. La contraseña siempre está cifrada en el mensaje Acceso-Solicitar.
  3. El servidor RADIUS se asegura de que el mensaje Acceso-Solicitar sea de un cliente conocido (el Firebox). Si el servidor RADIUS no está configurado para aceptar al dispositivo como cliente, el servidor rechaza el mensaje Acceso-Solicitar y no devuelve el mensaje.
  4. Si el dispositivo es un cliente conocido del servidor RADIUS y el secreto compartido es correcto, el servidor examina el método de autenticación requerido en el mensaje Acceso-Solicitar.
  5. Si el mensaje Acceso-Solicitar utiliza un método de autenticación permitido, el servidor RADIUS obtiene las credenciales de usuario del mensaje y busca una coincidencia en una base de datos de usuarios. Si el nombre de usuario y contraseña coinciden con una entrada de la base de datos, el servidor RADIUS puede obtener información adicional acerca del usuario en la base de datos de usuarios (tal como la aprobación de acceso remoto, membresía de grupo, horas de conexión, etc.).
  6. El servidor RADIUS verifica si tiene una política de acceso o un perfil en su configuración que coincida con toda la información disponible sobre el usuario. En caso de que tal política exista, el servidor envía una respuesta.
  7. Si falla cualquiera de las condiciones anteriores o si el servidor RADIUS no tiene una política que coincida, envía un mensaje de Acceso-Rechazar que muestra la falla de autenticación. La transacción de RADIUS termina y el usuario tiene el acceso negado.
  8. Si el mensaje Acceso-Solicitar cumple con todas las condiciones anteriores, RADIUS envía un mensaje Acceso-Aceptar al dispositivo.
  9. El servidor RADIUS usa el secreto compartido para cualquier respuesta que envía. Si el secreto compartido no coincide, el dispositivo rechaza la respuesta de RADIUS.

Para ver los mensajes de registros de diagnóstico para autenticación, Establecer el Nivel de Registro de Diagnóstico y cambiar el nivel de registro para la categoría Autenticación.

  1. El dispositivo lee el valor de cualquier atributo FilterID en el mensaje. Conecta el nombre de usuario con el atributo FilterID para poner el usuario en un grupo RADIUS.
  2. El servidor RADIUS puede incluir grandes volúmenes de información adicional en el mensaje Acceso-Aceptar. El dispositivo ignora gran parte de esa información, como los protocolos que el usuario tiene permitido usar (como PPP o SLIP), los puertos a los que el usuario puede acceder, el tiempo de espera inactivo y otros atributos.
  3. El dispositivo solo requiere el atributo FilterID (atributo de RADIUS número 11). El FilterID es una cadena de texto que se configura el servidor RADIUS para incluir en el mensaje Acceso-Aceptar. El atributo es necesario para que el dispositivo asigne el usuario a un grupo de RADIUS; sin embargo, puede admitir algunos otros atributos Radius, como Tiempo de Espera de Sesión (atributo de RADIUS número 27) y Tiempo de Espera Inactivo (atributo de RADIUS número 28).

Para obtener más informaciones sobre grupos RADIUS, consulte la siguiente sección.

Acerca de los grupos RADIUS

Al configurar la autenticación RADIUS en su Firebox, puede definir el número del Atributo Grupo. Fireware OS lee el número del Atributo Grupo que especifica en su configuración para determinar qué atributo de RADIUS lleva la información de grupo de RADIUS. Fireware OS reconoce solo el atributo de RADIUS número 11, FilterID, como el Atributo Grupo. Al configurar el servidor RADIUS, no altere el valor predeterminado de 11 del número del Atributo Grupo.

Cuando el Firebox recibe el mensaje de Acceso-Aceptar de RADIUS, lee el valor del atributo FilterID y usa ese valor para asociar al usuario a un grupo RADIUS. (Usted debe configurar manualmente el FilterID en la configuración de RADIUS). Por lo tanto, el valor del atributo FilterID es el nombre del grupo RADIUS donde el dispositivo pone al usuario.

Los grupos de RADIUS que utiliza en su configuración de Firebox no son los mismos grupos de Windows definidos en su controlador de dominio, ni ningún otro grupo que exista en su base de datos de usuarios del dominio. Un grupo RADIUS es sólo un grupo lógico de usuarios utilizado por el Firebox. Asegúrese de que la cadena de texto FilterID esté seleccionada. Puede hacer que el valor de FilterID coincida con el nombre de un grupo local o grupo de dominio en su organización, pero eso no es necesario. Recomendamos que use un nombre descriptivo que lo ayude a recordar cómo definió sus grupos de usuarios.

Utilización práctica de grupos de RADIUS

Si su organización tiene muchos usuarios que autenticar, puede facilitar la administración de sus políticas del Firebox al configurar el RADIUS para que envíe el valor FilterID a muchos usuarios. El Firebox coloca a esos usuarios en un grupo lógico de manera que pueda administrar fácilmente el acceso de usuarios. Cuando crea una política que permita solo a los usuarios autenticados acceder a un recurso de la red, usted usa el nombre de Grupo RADIUS en lugar de agregar una lista de muchos usuarios individuales.

Por ejemplo, cuando Mary se autentica, la cadena FilterID que RADIUS envía es Ventas, de manera que el Firebox coloca a Mary en el grupo de RADIUS Ventas durante el tiempo que se encuentre autenticada. Si los usuarios John y Alice se autentican posteriormente, y RADIUS coloca el mismo valor de FilterID Ventas en los mensajes de Acceso-Aceptar para John y Alice, entonces Mary, John y Alice estarán todos en el mismo grupo Ventas. Puede crear una política que permita al grupo Ventas acceder al recurso.

Puede configurar RADIUS para que devuelva un FilterID diferente, tal como Soporte IT, para los miembros de su organización de soporte interno. Puede luego agregar una política diferente para permitir a los usuarios de Soporte IT acceder a los recursos.

Por ejemplo, puede permitir que el grupo Ventas acceda a Internet por medio de una política Filtered-HTTP. También puede filtrar su acceso web con WebBlocker. Una política diferente en el Policy Manager puede permitir a los usuarios de Soporte IT acceder a Internet con la política Unfiltered-HTTP, de manera que puedan acceder a Internet sin un filtro WebBlocker. Puede usar los nombres de grupo RADIUS (o nombres de usuario) en la lista De de una política para mostrar qué grupo (o qué usuarios) pueden utilizar la política.

Valores de tiempo de espera y reintentos

Ocurre una falla de autenticación cuando no se recibe respuesta del servidor RADIUS principal. Después de tres intentos fallidos de autenticación, Fireware OS usa el servidor RADIUS secundario. Este proceso se llama conmutación por error.

Ese número de intentos de autenticación no es el mismo que el número de reintentos. No es posible alterar el número de intentos de autenticación antes que ocurra la conmutación por error.

El Firebox envía un mensaje Acceso-Solicitar al primer servidor RADIUS en la lista. Si no hay respuesta, el dispositivo espera la cantidad de segundos establecida en el cuadro de texto Tiempo de espera, y luego envía otro mensaje Acceso-Solicitar. Esto continúa para la cantidad de veces indicada en el cuadro de texto Reintentos (o hasta que haya una respuesta válida). Si no hay una respuesta válida del servidor RADIUS o si el secreto compartido de RADIUS no coincide, Fireware OS lo considera un intento fallido de autenticación.

Después de tres intentos fallidos de autenticación, Fireware OS usa el servidor RADIUS secundario para el próximo intento de autenticación. Si el servidor secundario tampoco responde después de tres intentos de autenticación, el sistema operativo Fireware espera que se cumpla el intervalo de Tiempo Muerto (que por defecto es de 10 minutos). Después de que ha pasado el intervalo de Tiempo Muerto, el sistema operativo Fireware intenta utilizar el servidor RADIUS primario nuevamente.

Vea también

Configurar la Autenticación de Servidor RADIUS

Acerca de los servidores de autenticación de terceros

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2018 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.