Configurar el SSO Agent

Si usa múltiples dominios de Active Directory, debe especificar los dominios que se usarán para el SSO (inicio de sesión único). Después de instalar el SSO Agent, puede especificar los dominios que usará para la autenticación y sincronizar la configuración del dominio con el SSO Agent. También puede especificar las opciones para usar el SSO sin el SSO Client. Esto se conoce como SSO sin cliente. La configuración para SSO sin cliente se establece al configurar el SSO Agent. Para configurar el SSO Agent, debe tener privilegios de administrador en el equipo donde está instalado el SSO Agent.

Al iniciar el SSO Agent por primera vez, se generan los archivos de configuración Users.xml y AdInfos.xml. Estos archivos de configuración están cifrados y almacenan los detalles de configuración de dominio que se especifican al configurar el SSO Agent.

El SSO Agent tiene dos cuentas predeterminadas, administrador y estado, que puede utilizar para iniciar sesión en el SSO Agent. Para cambiar la configuración del SSO Agent, debe iniciar sesión con credenciales de administrador. Tras iniciar sesión por primera vez, recomendamos que cambie las contraseñas para las cuentas predeterminadas.

Las credenciales predeterminadas (nombre de usuario/contraseña) para estas cuentas son:

• Administrador — admin/lectoescritura
• Estado — estado/solo lectura

Para obtener más información sobre Active Directory, consulte Configurar Autenticación en Active Directory.

Iniciar Sesión en la Herramienta de Configuración del SSO Agent.

1. Seleccione Inicio > WatchGuard > Puerta de Enlace de Autenticación > Herramienta de Configuración de SSO Agent de WatchGuard.
   Aparecerá el cuadro de diálogo de inicio de sesión de la Herramienta de Configuración del SSO Agent.
2. En el cuadro de texto Nombre de Usuario, indique el nombre de usuario del administrador admin.
3. En el cuadro de texto Contraseña, escriba la contraseña del administrador readwrite.
   Aparece el cuadro de diálogo Herramientas de configuración del SSO Agent.

4. Configure su SSO Agent tal como se describe en las secciones siguientes.
   Los cambios en la configuración se guardan automáticamente.

Administrar Cuentas y Contraseñas de Usuario

Tras iniciar sesión por primera vez, puede cambiar la contraseña para las cuentas predeterminadas. Como debe iniciar sesión con las credenciales de administrador para cambiar las configuraciones del SSO Agent, es fundamental que recuerde la contraseña especificada para la cuenta de administrador. También puede agregar nuevas cuentas de usuario y cambiar las configuraciones de las cuentas de usuario ya existentes. También puede utilizar las cuentas de admin y de status para abrir una sesión de telnet y configurar el SSO Agent.

Para obtener más información acerca de cómo usar telnet con el SSO Agent, consulte Usar Telnet para Depurar el SSO Agent.

Cambiar la Contraseña de una Cuenta de Usuario

Para las cuentas admin y status, solamente puede cambiar la contraseña de la cuenta, no se puede cambiar el nombre de usuario.

En el cuadro de diálogo Herramientas de Configuración del SSO Agent:

1. Seleccione Editar > Administración de Usuarios.
   Aparece el cuadro de diálogo Formulario de administración de usuarios.

2. Seleccione la cuenta que desea cambiar.
   Por ejemplo, seleccione admin.
3. Haga clic en Alterar Contraseña.
   Aparece el cuadro de diálogo Cambiar contraseña.
4. En el cuadro de texto Contraseña y Confirmar Contraseña, ingrese la nueva contraseña para esta cuenta de usuario.
5. Haga clic en Aceptar.

Agregar una Nueva Cuenta de Usuario

En el cuadro de diálogo Herramientas de Configuración del SSO Agent:

1. Seleccione Editar > Administración de Usuarios.
   Aparece el Formulario de administración de usuarios.
2. Haga clic en Agregar Usuario.
   Aparecerá el cuadro de diálogo Agregar usuario.
3. En el cuadro de texto Nombre del Usuario, ingrese el nombre de usuario para esta cuenta.
4. En el cuadro de texto Contraseña y Confirmar Contraseña, ingrese la contraseña para esta cuenta de usuario.
5. Seleccione una opción de acceso para esta cuenta:
   • Sólo lectura
   • Lectura/Escritura
6. Haga clic en Aceptar.

Editar una Cuenta de Usuario

Al editar una cuenta de usuario, se puede cambiar solamente la opción de acceso. No puede cambiar el nombre de usuario ni la contraseña de la cuenta. Para cambiar el nombre de usuario, debe agregar una nueva cuenta de usuario y eliminar la cuenta de usuario anterior.

En el cuadro de diálogo Herramientas de Configuración del SSO Agent:

1. Seleccione Editar > Administración de Usuarios.
   Aparece el Formulario de administración de usuarios.
2. Seleccione la cuenta que desea cambiar.
3. Haga clic en Editar Usuario.
   Aparecerá el cuadro de diálogo Editar usuario.
4. Seleccione una nueva opción de acceso para esta cuenta:
   • Sólo lectura
   • Lectura/Escritura
5. Haga clic en Aceptar.

Eliminar una Cuenta de Usuario

En el cuadro de diálogo Herramientas de Configuración del SSO Agent:

1. Seleccione Editar > Administración de Usuarios.
   Aparece el Formulario de administración de usuarios.
2. Seleccione la cuenta que desea eliminar.
3. Haga clic en Eliminar Usuario.
   Aparece el cuadro de diálogo Eliminar usuario.
4. Verifique que el Nombre de Usuario corresponda a la cuenta que desea eliminar.
5. Haga clic en Aceptar.

Configurar Dominios para el SSO Agent

Para configurar el SSO Agent, puede agregar, editar y eliminar información sobre sus dominios de Active Directory. Cuando agregue o edite un dominio, deberá especificar una cuenta de usuario para buscar en su Active Directory Server. Le recomendamos que cree una cuenta de usuario específica en su servidor con permisos para buscar en el directorio y con una contraseña que no expire nunca.

Agregar un Dominio

En el cuadro de diálogo Herramientas de Configuración del SSO Agent:

1. Seleccione Editar > Agregar Dominio.
   Aparecerá el cuadro de diálogo Agregar dominio.
2. En el cuadro de texto Nombre de Dominio, ingrese el nombre de dominio.
   Por ejemplo, escriba my-example.com.
   El nombre de dominio de su Active Directory Server distingue mayúsculas de minúsculas. Asegúrese de ingresar el nombre de dominio exactamente como aparece en la pestaña Active Directory en los ajustes de los Servidores de Autenticación en su Firebox. Para obtener más información, consulte Configurar Autenticación en Active Directory.
3. En el cuadro de textoNombre de Dominio de NetBIOS, ingrese el nombre de dominio de NetBIOS para su dominio.

Para encontrar el nombre de dominio de NetBIOS:

1. En el servidor Active Directory del dominio, seleccione Inicio > Herramientas administrativas > Dominio de Active Directory y Confianzas.
2. En la lista de dominios, haga clic derecho en su dominio y seleccione Propiedades.
3. Encuentre el valor Nombre de Dominio (pre-Windows 2000). Este es el nombre de dominio de NetBIOS para su dominio.

4. En el cuadro de texto Dirección IP del Controlador de Dominio, indique la dirección IP del Active Directory Server para este dominio.
   Para especificar más de una dirección IP para el controlador de dominio, separe las direcciones IP con un punto y coma, sin espacios.
5. En el cuadro de texto Puerto, escriba el puerto que va a usar para conectarse a este servidor.
   La configuración predeterminada es 389.
6. En la sección Usuario de Búsqueda, seleccione una opción:
   • Nombre completo (DN) (cn=ssouser,cn=users,dc=domain,dc=com)
   • Nombre principal del usuario (UPN) ([email protected])
   • Anterior a Windows 2000 (netbiosDomain\ssouser)
7. En el cuadro de texto, escriba la información del usuario para la opción que seleccionó.
   Si un usuario tiene permisos para buscar en el directorio de su Active Directory Server, especifíquelo.
8. En los cuadros de texto Contraseña de Usuario de Búsqueda y Confirmar Contraseña, escriba la contraseña para el usuario que especificó.
   Esta contraseña debe coincidir con esta cuenta de usuario en su Active Directory Server.
9. Para agregar otro dominio, haga clic en Aceptar y Agregar Siguiente. Repita los pasos 2 a 8.
10. Haga clic en Aceptar.
    El nombre de dominio aparece en la lista Herramientas de configuración del SSO Agent.

Editar un Dominio

Al editar un dominio SSO, puede modificar todas las configuraciones menos el nombre de dominio. Si desea cambiar el nombre de dominio, debe eliminar el dominio y agregar un nuevo dominio con el nombre correcto.

En el cuadro de diálogo Herramientas de Configuración del SSO Agent:

1. Seleccione el dominio que desea cambiar.
2. Seleccione Editar > Editar Dominio.
   Aparecerá el cuadro de diálogo Editar dominio.
3. Actualice las configuraciones del dominio:
4. Haga clic en Aceptar.

Eliminar un Dominio

En el cuadro de diálogo Herramientas de Configuración del SSO Agent:

1. Seleccione el dominio que desea eliminar.
2. Seleccione Editar > Eliminar Dominio.
   Aparece un mensaje de configuración.
3. Haga clic en Sí.

Configurar SSO sin Cliente

Si el SSO Client no está instalado o no está disponible, puede configurar el SSO Agent para usar SSO sin cliente para obtener información de inicio de sesión de los Event Log Monitors o los Exchange Monitors instalados en su red. Los Event Log Monitors también están instalados en uno o más servidores miembros del dominio en cada dominio. El Exchange Monitor está instalado en la misma computadora en la que su Microsoft Exchange Server está instalado.

Si utiliza el Event Log Monitor, cuando un usuario intenta autenticarse, el SSO Agent envía la dirección IP del equipo cliente al Event Log Monitor. Entonces, el Event Log Monitor utiliza esta información para consultarle al equipo cliente por el Puerto TCP 445 y recuperar las credenciales de usuario del archivo de registro de eventos de seguridad de Windows en el equipo cliente. El Event Log Monitor recupera las credenciales del usuario del equipo cliente y se comunica con el controlador de dominio para obtener la información del grupo de seguridad de usuario del usuario. Si tiene instalado más de un Event Log Monitor, y el primer Event Log Monitor que consulta el SSO Agent no tiene las credenciales de usuario correctas, el SSO Agent consulta al Event Log Monitor siguiente en la lista de Dominios de Contacto. El SSO Agent continuará contactando a cada Event Log Monitor en la lista hasta que encuentre las credenciales de usuario correctas. Luego, el Event Log Monitor le comunica estos datos al SSO Agent.

Si no instala el SSO Client en los equipos de los usuarios, asegúrese de que el Event Log Monitor sea la primera entrada en la lista Contactos de SSO Agent. Si especifica el SSO Client como el contacto primario pero el SSO Client no está disponible, el SSO Agent envía a continuación una consulta al Event Log Monitor, pero esto puede provocar una demora.

Para usuarios con dispositivos que funcionan con plataformas Mac OS X 10.6 y superiores, iOS, o Android, puede usar el Exchange Monitor para obtener la información de inicio de sesión para esos usuarios. Debido a que el Exchange Monitor está instalado en la misma computadora en la que su Microsoft Exchange Server está instalado, el Exchange Monitor rastrea las acciones de inicio y cierre de sesión de las cuentas de dominio para cada usuario y notifica estos eventos al SSO Agent en tiempo real.

Después de instalar el SSO Agent, debe agregar la información de dominio de los dominios donde están instalados los Event Log Monitors y los Exchange Monitors a la configuración del SSO Agent en la lista Dominios de Contacto. Si tiene solo un dominio y el SSO Agent está instalado en el controlador de dominio, o si tiene más de un dominio y el Event Log Monitor y el Exchange Monitor están en el mismo dominio que el SSO Agent, no es necesario que especifique la información de dominio para el controlador de dominio en la lista configuración del SSO Agent Dominios de Contacto. Si tiene más de un Event Log Monitor o Exchange Monitor en la lista Dominios de Contacto, el SSO Agent envía una consulta a la primera entrada en la lista de credenciales del usuario e información de grupo. Si el primer Event Log Monitor o Exchange Monitor no está disponible, el SSO Agent contacta al siguiente monitor en la lista. Este proceso continuará hasta que el SSO Agent encuentre un monitor disponible.

Para obtener más información acerca de cómo instalar el Event Log Monitor y el Exchange Monitor, consulte Instalar el Agente de Inicio de Sesión Único (SSO) WatchGuard y el Event Log Monitor.

Para obtener más información acerca del balance de carga y la conmutación por error para el Event Log Monitor, consulta la sección Event Log Monitor en Cómo Funciona el SSO de Active Directory.

Antes de configurar y habilitar la configuración del SSO sin cliente, debe asegurarse de que los equipos cliente de su dominio tengan el puerto TCP 445 abierto, o que tengan habilitada la función para Compartir archivos e impresoras, y configurar la política de grupo correcta para que el Event Log Monitor pueda recopilar la información sobre los eventos de inicio de sesión de los usuarios. Si este puerto no está abierto y la política correcta no está configurada, el Event Log Monitor no puede obtener la información de grupo y SSO no funciona correctamente.

En el equipo del controlador de dominio:

1. Abra el Editor de Objetos de Política de Grupo y modifique la Política de Dominio Predeterminada.
2. Asegúrese de que la Política de Auditoría (Configuración del Equipo > Configuración de Windows > Configuración de Seguridad > Políticas Locales > Política de Auditoría) tenga las políticas de Auditar eventos de inicio de sesión en la cuenta y Auditar eventos de inicio de sesión habilitadas.
3. En la línea de comandos, ejecute el comando gpupdate/force /boot.
   Al ejecutar el comando, aparecerá esta cadena de mensaje:
   Actualizando política… se ha actualizado la política de usuario correctamente. Se ha actualizado correctamente la política del equipo.

Puede agregar, editar y eliminar información de dominio para SSO sin cliente. Para cada nombre de dominio que agregue, puede especificar más de una dirección IP para el controlador de dominio. Si el Event Log Monitor no puede comunicarse con el controlador de dominio en la primera dirección IP, intentará comunicarse con el controlador de dominio en la siguiente dirección IP de la lista.

En el cuadro de diálogo Herramientas de Configuración del SSO Agent:

1. Seleccione Editar > Configuración de Contactos de SSO Agent.
   Aparece el cuadro de diálogo Configuración de Contactos de SSO Agent.

2. En la lista Contactos de SSO Agent, seleccione la casilla de selección para cada contacto del SSO Agent:
   • SSO Client
   • Event Log Monitor
   • Exchange Monitor
3. Para modificar el orden de los Contactos de SSO Agent, seleccione un contacto y haga clic en Arriba o Abajo.
   No puede cambiar la posición del Exchange Monitor.
4. Agregue, edite o elimine un dominio de contacto, según se describe en las secciones siguientes.
5. Haga clic en Aceptar para guardar su configuración.

Añadir un Dominio de Contacto

Puede especificar uno o más dominios para que el Event Log Monitor o el Exchange Monitor se comuniquen y obtengan la información del inicio de sesión de los usuarios.

Cuando añada un dominio para el Exchange Monitor, debe especificar las direcciones IP y el intervalo de comprobación de sesión para el servidor Microsoft Exchange. El intervalo de comprobación de sesión especifica la cantidad de tiempo que pasará antes de que el Exchange Monitor cierre la sesión de los usuarios que no aparezcan como activos en los mensajes de registro del servidor de su servidor Exchange. La configuración predeterminada es de 40 minutos. Debe especificar un intervalo de al menos 5 minutos.

Editar un Dominio de Contacto

En el cuadro de diálogo Ajustes de Contacto del SSO Agent:

1. Desde la lista Dominios de Contacto, seleccione el dominio que desea modificar.
2. Haga clic en Editar.
   Aparece el cuadro de diálogo Configuración del Event Log Monitor.
3. Actualice las configuraciones del dominio:
4. Haga clic en Aceptar.

Eliminar un Dominio

En el cuadro de diálogo Ajustes de Contacto del SSO Agent:

1. Desde la lista Dominios de Contacto, seleccione el dominio que desea eliminar.
2. Haga clic en Eliminar.
   El dominio se elimina de la lista.

Probar el Puerto de Conexión SSO

Para verificar que el SSO Agent puede contactar al Event Log Monitor y al Exchange Monitor, puede utilizar la herramienta Comprobador de Puerto SSO. Con la herramienta Comprobador de Puerto SSO, puede verificar si el SSO Agent puede contactar a un servidor con una sola dirección IP, o a servidores con múltiples direcciones IP o a un rango de direcciones IP. Para verificar la conexión para una sola dirección IP o múltiples direcciones IP, en lugar de un rango de direcciones, puede importar un archivo de texto plano que incluya las direcciones IP que desea comprobar. También puede especificar los puertos para comprobar y el intervalo de tiempo de espera de la conexión.

En el cuadro de diálogo Ajustes de Contactos del SSO Agent:

1. Haga clic en Probar Puerto SSO.
   Aparece el cuadro de diálogo del Comprobador de Puerto SSO.

2. En la sección Especificar Direcciones IP, seleccione una opción:
   • Rango de Dirección IP del Host
   • Dirección IP de Red
   • Importar Direcciones IP
3. Si seleccionó Rango de Dirección IP del Host, en los cuadros de texto Rango de Dirección IP del Host, ingrese el rango de direcciones IP por probar.
   Si seleccionó Dirección IP de la Red, en el cuadro de texto Dirección IP de la Red ingrese la dirección IP de la red por probar.
   Si seleccionó Importar Direcciones IP, haga clic en y seleccione el archivo de texto plano con la lista de direcciones IP para probar.
4. En el cuadro de texto Puertos, ingrese los números de puertos por probar.
   Para probar más de un puerto, ingrese cada número de puerto, separado con una coma, sin espacios.
5. Haga clic en Probar.
   Los resultados de la prueba de puerto aparecen en la ventana del Comprobador de Puerto SSO.
6. Para guardar los resultados en un archivo de registro, haga clic en Guardar registro y especifique el nombre del archivo y la ubicación en la que guardará el archivo de registro.
7. Para detener el proceso de la herramienta de comprobación de puertos, haga clic en Salir.

Ver Información de Estado sobre los Componentes de SSO

En v12.2 o posterior del SSO Agent, puede ver el estado de conexión de los componentes de SSO en su red. Por ejemplo, si tiene instalado Event Log Manager (ELM), puede ver si el SSO Agent y el Evento Log Monitor están conectados. Esta información se actualiza cada 3 segundos.

Para ver el estado de conexión de los componentes SSO en su red, en el SSO Agent, seleccione Información > Estado.

Ver también

Acerca del Inicio de Sesión Único con Active Directory

Cómo Funciona el SSO de Active Directory

Instalar el Agente de Inicio de Sesión Único (SSO) WatchGuard y el Event Log Monitor

Instalar el SSO Client de Active Directory de WatchGuard

Instalar el SSO Exchange Monitor de Active Directory de WatchGuard

Solucionar Problemas del SSO de Active Directory

Danos tu Opinión  •   Obtener Soporte  •   Toda la Documentación del Producto  •   Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.