Temas Relacionados
Usar los Usuarios y Grupos en las Políticas
Puede utilizar nombres de usuario y de grupo específicos cuando crea políticas en su archivo de configuración de Firebox. Por ejemplo, puede definir políticas que sólo permitan conexiones para usuarios autenticados, o puede limitar las conexiones en una política a determinados usuarios.
Un usuario autenticado puede enviar tráfico a través del Firebox solo si el tráfico está permitido por una política en el Firebox.
Definir Usuarios y Grupos para Autenticación de Firebox
Si desea utilizar su Firebox como servidor de autenticación, puede especificar los usuarios y grupos que pueden autenticarse en el Firebox. Para obtener instrucciones para definir estos usuarios y grupos, consulte Definir un Nuevo Usuario para Autenticación en Firebox y Definir un Nuevo Grupo para Autenticación en Firebox.
Definir Usuarios y Grupos para Autenticación de Terceros
En su archivo de configuración de Firebox, puede definir los usuarios y grupos para usar en autenticación de terceros. Al crear un grupo, si utiliza más de un dominio de Active Directory para autenticación, debe especificar qué dominio desea que los usuarios del grupo utilicen para hacer la autenticación.
Tanto para usuarios individuales como usuarios en grupo, también puede habilitar los límites de inicio de sesión. Cuando habilita los inicios de sesión ilimitados de manera simultánea para un usuario o grupo, está permitiendo a más de un usuario o miembro de un grupo que se autentique con las mismas credenciales de usuario simultáneamente a un servidor de autenticación. Eso es útil para cuentas de invitados o ambientes de laboratorio. Cuando el segundo usuario ingresa con las mismas credenciales, automáticamente se cierra la sesión del primer usuario autenticado con las credenciales. En la otra opción, puede seleccionar límites de inicio de usuarios y grupos para limitar los usuarios o miembros de grupo a una sola sesión de autenticación. Si selecciona esa opción, los usuarios no pueden iniciar sesión en un servidor de autenticación desde diferentes direcciones IP con las mismas credenciales. Cuando un usuario ya está autenticado e intenta autenticarse nuevamente, puede seleccionar si se cierra la primera sesión de usuario cuando la sesión adicional es autenticada, o si la sesión adicional es rechazada.
Los nombres de usuario y de grupo en su Active Directory Server distinguen mayúsculas de minúsculas. Cuando agrega un usuario o grupo a su Firebox, el nombre de usuario o de grupo debe tener el mismo uso de mayúsculas que el nombre en el Active Directory Server.
Si usa la autenticación de Active Directory y la membresía a un grupo para el usuario no coincide con la política de Mobile VPN, podrá ver un mensaje de error que dice que el Tráfico descifrado no coincide con ninguna política. Si encuentra ese mensaje de error, asegúrese de que el usuario esté en un grupo con el mismo nombre que su grupo de Mobile VPN.
Si un usuario ya ha iniciado sesión cuando usted agrega un nuevo grupo a la configuración del Firebox, el usuario no es asociado con ese grupo por parte del Firebox hasta la próxima vez que el usuario inicie sesión en el Firebox.
- Cree un grupo en su servidor de autenticación de terceros que contenga todas las cuentas de usuarios en su sistema.
- Seleccione Autenticación > Usuarios y Grupos.
Aparece el cuadro de diálogo Autenticación de usuarios y grupos.
- Haga clic en Agregar.
Aparece el cuadro de diálogo Agregar Usuario o Grupo.
- Para la opción Tipo, seleccione Grupo o Usuario.
- Ingrese un nombre de usuario o grupo creado en el servidor de autenticación.
El nombre de usuario o grupo distingue mayúsculas de minúsculas y deben coincidir con el uso de mayúsculas empleado en el servidor de autenticación. - (Opcional) Ingrese una descripción para el usuario o grupo.
- En la lista desplegable Servidor de Autenticación, seleccione su servidor de autenticación.
- Para habilitar los límites de inicio de sesión, marque la casilla de selección Habilitar los límites de inicio de sesión para cada usuario o grupo y sigas las instrucciones en las secciones siguientes para seleccionar una opción:
- Haga clic en Agregar.
- Cree un grupo en su servidor de autenticación de terceros que contenga todas las cuentas de usuarios en su sistema.
- Seleccione Configuración > Autenticación > Usuarios y Grupos.
Aparece el cuadro de diálogo Usuarios y Grupos.
- Haga clic en Agregar.
Aparece el cuadro de diálogo Agregar Usuario o Grupo.
- Para la opción Tipo, seleccione Grupo o Usuario.
- Ingrese un nombre de usuario o grupo creado en el servidor de autenticación.
El nombre de usuario o grupo distingue mayúsculas de minúsculas y deben coincidir con el uso de mayúsculas empleado en el servidor de autenticación. - (Opcional) Ingrese una descripción para el usuario o grupo.
- En la lista desplegable Servidor de Autenticación, seleccione su servidor de autenticación.
Seleccione RADIUS para la autenticación a través de un servidor RADIUS o VACMAN Middleware Server, o Cualquiera para la autenticación a través de cualquier otro servidor. Para Autenticación en Active Directory, seleccione el dominio específico que desea utilizar para este usuario o grupo.
- Para habilitar los límites de inicio de sesión, marque la casilla de selección Habilitar los límites de inicio de sesión para cada usuario o grupo y sigas las instrucciones en las secciones siguientes para seleccionar una opción:
- Haga clic en Aceptar.
Seleccione RADIUS para la autenticación a través de un servidor RADIUS o VACMAN Middleware Server, o Cualquiera para la autenticación a través de cualquier otro servidor. Para Autenticación en Active Directory, seleccione el dominio específico que desea utilizar para este usuario o grupo.
- Para habilitar los límites de inicio de sesión, marque la casilla de selección Habilitar los límites de inicio de sesión para cada usuario o grupo y sigas las instrucciones en las secciones siguientes para seleccionar una opción:
- Haga clic en Aceptar.
Permitir Inicios de Sesión Ilimitados de Manera Simultánea
Puede permitir que más de un usuario se autentique con las mismas credenciales de usuario al mismo tiempo en un servidor de autenticación. Eso es útil para cuentas de invitados o ambientes de laboratorio. Cuando el segundo usuario ingresa con las mismas credenciales, automáticamente se cierra la sesión del primer usuario autenticado con las credenciales. Si no permite esa función, el usuario no puede autenticarse en el servidor de autenticación más de una vez al mismo tiempo.
Para permitir inicios de sesión ilimitados de manera simultánea para sus usuarios:
- Marque la casilla de selección Habilitar los límites de inicio de sesión para cada usuario o grupo.
- Seleccione Permitir inicios de sesión ilimitados de manera simultánea en la misma cuenta para la autenticación en el firewall.
Limitar Sesiones de Inicio
Puede limitar a sus usuarios a un número específico de sesiones autenticadas. Si selecciona esta opción, puede especificar el número de veces que sus usuarios pueden iniciar sesión en un servidor de autenticación desde diferentes direcciones IP con las mismas credenciales. Cuando un usuario está autenticado e intenta autenticarse nuevamente, puede seleccionar si se cierra la primera sesión de usuario cuando una sesión adicional es autenticada, o si las sesiones adicionales son rechazadas.
Para limitar los inicio de sesión de sus usuarios:
- Marque la casilla de selección Habilitar los límites de inicio de sesión para cada usuario o grupo.
- Seleccione Limitar sesiones de usuario simultáneas a.
- En el cuadro de texto, ingrese o seleccione el número de sesiones de usuario simultáneas permitidas.
- En la lista desplegable, seleccione una opción:
- Rechazar intentos posteriores de inicio de sesión
- Permitir intentos posteriores de inicio de sesión y cerrar la primera sesión.
Agregar Usuarios y Grupos a las Definiciones de la Política
Cualquier usuario o grupo que usted desee usar en sus definiciones de políticas debe ser agregado como usuario. Todos los usuarios y grupos creados para autenticación en Firebox y todos los usuarios de Mobile VPN, se agregan automáticamente a la lista de usuarios y grupos en el cuadro de diálogo Usuarios y Grupos. Puede agregar cualesquiera usuarios o grupos de servidores de autenticación de terceros a la lista de usuarios y grupos siguiendo el procedimiento anterior. Entonces estará listo para agregar usuarios y grupos a la configuración de su política.
- Seleccione Firewall > Políticas de Firewall.
Aparece la página Políticas de Firewall. - Seleccione una política de la lista y haga clic en Acción > Editar Política.
O bien, haga doble clic en una política.
Aparece la página Configuración de Política. - Debajo de la lista De, haga clic en Añadir.
Aparece el cuadro de diálogo Agregar Miembro. - En la lista desplegable Tipo de Miembro, seleccione Usuarios de Firewall.
Aparece la lista de usuarios disponibles.
Si su usuario o grupo no aparece en la lista Grupos, consulte Definir un Nuevo Usuario para Autenticación en Firebox, Definir un Nuevo Grupo para Autenticación en Firebox, o el procedimiento anterior Definir usuarios y grupos para autenticación de terceros, y añada el usuario o grupo.
- Seleccione un usuario y haga clic en Aceptar.
- Seleccione la pestaña Firewall.
- Haga doble clic en una política.
Aparece el cuadro de diálogo Editar propiedades de política. - En la pestaña Política, abajo de la lista De, haga clic en Agregar.
Aparece el cuadro de diálogo Agregar dirección. - Haga clic en Agregar Usuario.
Aparece el cuadro de diálogo Agregar Usuarios o Grupos.
- En la lista desplegable Tipo de la izquierda, seleccione si el usuario o el grupo está autorizado con autenticación Firewall, SSLVPN, L2TP o IKEv2.
Para más información sobre estos tipos de autenticación, vea Tipos de Autenticación de Firebox. - En la lista desplegable Tipo de la derecha, seleccione Usuario o Grupo.
- Si su usuario o grupo aparece en la lista Grupos, seleccione el usuario o grupo y haga clic en Seleccionar.
Reaparece el cuadro de diálogo Agregar dirección con el usuario o grupo en el cuadro Miembros o direcciones seleccionados.
Si su usuario o grupo no aparece en la lista Grupos, consulte Definir un Nuevo Usuario para Autenticación en Firebox, Definir un Nuevo Grupo para Autenticación en Firebox, o el procedimiento anterior Definir usuarios y grupos para autenticación de terceros, y añada el usuario o grupo.
- Haga clic en Aceptar para cerrar el cuadro de diálogo Editar Propiedades de la Política.
Después de que haya añadido a un usuario o grupo a una configuración de política, la política de Autenticación de WatchGuard se añade automáticamente a su archivo de configuración de Firebox. Esta política controla el acceso a la página web del Portal de Autenticación. Para obtener instrucciones para editar esa política, vea Usar la Autenticación para Restringir las Conexiones Entrantes.
Para obtener un ejemplo de cómo puede configurar las políticas de Firebox para diferentes usuarios o grupos, consulte Configurar las Acciones de WebBlocker para Grupos con Autenticación en Active Directory.