Configurar Autenticación LDAP

Puede usar un servidor de autenticación por LDAP (Protocolo de Acceso Liviano al Directorio) para autenticar a los usuarios con su Firebox. El LDAP es un protocolo de estándar abierto para usar con servicios de directorio en línea, y opera con los protocolos de transferencia de Internet, tal como el TCP. Antes de configurar su Firebox para la autenticación de LDAP, asegúrese de verificar la documentación de su proveedor de servidor LDAP para ver si su instalación admite el atributo memberOf (o equivalente). Cuando ajuste las configuraciones del servidor de LDAP principal y de respaldo, podrá seleccionar si desea especificar la dirección IP o el nombre del sistema de nombre de dominio (DNS) de su servidor de LDAP.

Si los usuarios hacen la autenticación con el método de autenticación LDAP, sus nombres completos (DN) y contraseñas tienen hash pero no están cifrados. Para utilizar la autenticación de LDAP y cifrar las credenciales de los usuarios, puede seleccionar la opción LDAPS (LDAP sobre SSL). Al usar LDAPS, el tráfico entre el cliente de LDAP en su Firebox y su servidor de LDAP está asegurado mediante un túnel de SSL. Cuando se habilita esta opción, también se puede elegir si habilitar el cliente LDAPS para validar el certificado del servidor de LDAP, lo cual evita ataques “man-in-the-middle” (o de intrusos). Si prefiere utilizar LDAPS y especifica el nombre de DNS para su servidor, asegúrese de que la base de búsqueda que especifique incluya el nombre de DNS de su servidor. El puerto LDAPS estándar es 636. Para consultas del Catálogo Global de Active Directory, el puerto SSL es 3269.

Para la autenticación a un Active Directory Server, WatchGuard recomienda configurar la autenticación de Active Directory en el Firebox, en lugar de la autenticación LDAP. Para obtener más información, consulte Configurar Autenticación en Active Directory.

Cuando configure el método de autenticación LDAP, defina una base de búsqueda para que especifique en qué lugar de los directorios del servidor de autenticación Firebox puede buscar una coincidencia de autenticación. Si su nombre de dominio es example.com, puede utilizar la base de búsqueda dc=example,dc=com.

Si desea restringir la búsqueda de LDAP a la OU, o Unidad Organizativa, nombrada como cuentas, Puede utilizar la base de búsqueda ou=accounts,dc=example,dc=com. Cualquier usuario o grupo que utilice en la configuración del Firebox debe estar dentro de esta OU.

Si también tiene objetos de grupo de usuarios en otra OU nombrada grupos, con las cuentas de usuario en una OU nombrada cuentas, y su nombre de dominio es example.com, use la base de búsqueda dc=example,dc=com.

Si utiliza un servidor OpenLDAP sin soporte del atributo de superposición memberOf, agrega usuarios a más de una OU, y descubre que el ajuste por defecto Cadena de Grupo de memberOf no devuelve el grupo de información correcto para sus usuarios, puede en su lugar configurar Firebox para utilizar otro atributo grupo. Para administrar grupos de usuarios, puede agregar las clases de objetos member, memberUID, o gidNumber. Para obtener más información acerca de estas clases de objetos, consulte RFC 2256 y RFC 2307.

Si habilita LDAPS, puede elegir la validación del certificado de servidor LDAP con un certificado de Autoridad de Certificación (CA) importado. Si selecciona validar el certificado del servidor de LDAP, debe importar el certificado CA raíz de la CA que firmó el certificado del servidor de LDAP, así su Firebox puede usar el certificado CA para validar el certificado de servidor de LDAP. Cuando importa el certificado CA, asegúrese de seleccionar la opción IPSec, Servidor Web, Otro.

Para obtener más información sobre cómo importar certificados con Fireware Web UI, consulte Administrar Certificados del Dispositivo (Web UI).

Para obtener más información sobre cómo importar certificados con Firebox System Manager, vea Administrar Certificados del Dispositivo (WSM).

La autenticación PhoneFactor es un sistema de autenticación de factores múltiples que usa llamadas telefónicas para determinar la identidad de los usuarios. Debido a que utiliza más de un método fuera de banda (llamadas telefónicas, mensajes de texto, y notificaciones push) y un código de acceso OATH, PhoneFactor provee opciones flexibles para los usuarios y una plataforma única de factores múltiples para administrar.

Si utiliza la autenticación PhoneFactor con su servidor de LDAP, puede configurar el valor de tiempo de espera en las configuraciones del servidor de autenticación de LDAP para especificar cuándo ocurren las autenticaciones PhoneFactor fuera de banda. Para la autenticación PhoneFactor, debe establecer un valor de tiempo de espera de más de 10 segundos.

Para configurar la autenticación LDAP desde Fireware Web UI:

1. Seleccione Autenticación > Servidores.
   Aparece la página Servidores de Autenticación.
2. De la lista Servidor, seleccione LDAP.
   Aparecen las configuraciones del Servidor de LDAP.
3. Seleccione la casilla de selección Habilitar Servidor de LDAP.
   Las configuraciones del servidor de LDAP están habilitadas.

4. Desde la lista desplegable Dirección IP/Nombre de DNS, seleccione si desea utilizar la dirección IP o el nombre de DNS para contactar a su servidor de LDAP primario.
5. En el cuadro de texto Dirección IP/Nombre de DNS, indique la dirección IP o el nombre de DNS del servidor de LDAP primario para que el dispositivo se contacte con los pedidos de autenticación.
   El servidor de LDAP puede estar ubicado en cualquier interfaz de Firebox. También puede configurar su dispositivo para usar un servidor de LDAP en una red remota a través de un túnel VPN.
6. En el cuadro de texto Puerto, ingrese el número de puerto TCP que Firebox usará para conectarse al Servidor de LDAP. El número de puerto predeterminado es 389.
   Si habilita LDAPS, debe seleccionar el puerto 636.
7. En el cuadro de texto Tiempo de Espera, ingrese o seleccione la cantidad de segundos que el dispositivo esperará para una respuesta del Servidor de LDAP antes de que cierre la conexión e intente establecerla nuevamente.
8. En el cuadro de texto Tiempo Muerto, ingrese o seleccione el período de tiempo a partir del cual un servidor inactivo esté marcado como activo nuevamente. Para determinar la duración, seleccione minutos u horas en la lista desplegable adyacente.
   Después que un servidor de autenticación no haya respondido por un período de tiempo, éste queda marcado como inactivo. Intentos adicionales de autenticación, no intente usar este servidor hasta que esté marcado como activo nuevamente.
9. En el cuadro de texto Base de Búsqueda, escriba la configuración de la base de búsqueda en el formato estándar: ou=organizational unit, dc=first part of distinguished server name, dc=any part of the distinguished server name that appears after the dot.
   Por ejemplo: ou=accounts, dc=example, dc=com
10. En el cuadro de texto Cadena de Grupo, ingrese el atributo de cadena de grupo.
    El atributo por defecto es memberOf.
    Esa cadena de atributos contiene datos de grupo de usuarios en el servidor de LDAP. En muchos servidores de LDAP, la cadena de grupo predeterminada es uniqueMember; en otros servidores, es member. Para grupos de usuarios en un servidor OpenLDAP sin soporte de superposición memberOf, puede también especificar los atributos member, memberUID, o gidNumber.
11. En el cuadro de texto DN del usuario de búsqueda, ingrese el nombre completo (DN) para una operación de búsqueda.
    Puede agregar cualquier DN de usuario con el privilegio de buscar LDAP, como administrador. Algunos administradores crean un nuevo usuario sólo con privilegios de búsqueda.
    Por ejemplo, cn=Administrator, cn=Users, dc=example, dc=com.
12. En el cuadro de texto Contraseña de Usuario de Búsqueda, inserte la contraseña asociada al nombre completo para una operación de búsqueda.
13. En el cuadro de texto Atributos de Inicio de Sesión, seleccione un atributo de inicio de sesión en LDAP que se usará para la autenticación desde la lista desplegable.
    El atributo de inicio de sesión es el nombre usado para vincular a la base de datos de LDAP. El atributo de inicio de sesión predeterminado es uid. Si utiliza uid, los cuadros de texto del DN del Usuario de Búsqueda y de la Contraseña del Usuario de Búsqueda pueden quedar vacíos.
14. Para habilitar las conexiones SSL seguras con su servidor de LDAP, seleccione la casilla de selección Habilitar LDAPS.
15. Si habilita LDAPS pero no definió el valor del Puerto en el valor del puerto predeterminado para LDAPS, aparecerá un cuadro de diálogo con un mensaje del puerto. Para usar el puerto predeterminado, haga clic en Sí. Para usar el puerto que especificó, haga clic en No.
16. Para verificar el certificado del servidor de LDAP con el certificado CA importado, seleccione la casilla de selección Validar certificado del servidor.
17. Para especificar atributos opcionales para el servidor LDAP primario, complete los ajustes en la sección Configuraciones Opcionales del Servidor de LDAP.
    Para más información sobre cómo establecer las configuraciones opcionales, vea la sección siguiente.
18. Para agregar un servidor de LDAP de respaldo, seleccione la pestaña Secundario y seleccione la casilla Habilitar Servidor de LDAP Secundario.
19. Repita los pasos 3 a 16 para configurar el servidor de respaldo. Asegúrese de que el secreto compartido sea el mismo en el servidor de LDAP principal y de resguardo.
    Para obtener más información, consulte Usar un Servidor de Autenticación de Resguardo.
20. Haga clic en Guardar.

Para configurar la autenticación LDAP en Policy Manager:

1. Haga clic en .
   O bien, seleccione Configurar > Autenticación > Servidores de Autenticación.
   Aparece el cuadro de diálogo Servidores de Autenticación.
2. Seleccione la pestaña LDAP.
   
3. Seleccione la casilla de selección Habilitar Servidor de LDAP.
   Las configuraciones del servidor de LDAP están habilitadas.

4. Desde la lista desplegable Dirección IP/Nombre de DNS, seleccione si desea utilizar la dirección IP o el nombre de DNS para contactar a su servidor de LDAP primario.
5. En el cuadro de texto Dirección IP/Nombre de DNS, indique la dirección IP o el nombre de DNS del servidor de LDAP primario para que el dispositivo se contacte con los pedidos de autenticación.
   El servidor de LDAP puede estar ubicado en cualquier interfaz de Firebox. También puede configurar su dispositivo para usar un servidor de LDAP en una red remota a través de un túnel VPN.
6. En el cuadro de texto Puerto, ingrese el número de puerto TCP que Firebox usará para conectarse al Servidor de LDAP. El número de puerto predeterminado es 389.
   Si habilita LDAPS, debe seleccionar el puerto 636.
7. En el cuadro de texto Tiempo de Espera, ingrese o seleccione la cantidad de segundos que el dispositivo esperará para una respuesta del Servidor de LDAP antes de que cierre la conexión e intente establecerla nuevamente.
8. En el cuadro de texto Tiempo Muerto, ingrese o seleccione el período de tiempo a partir del cual un servidor inactivo esté marcado como activo nuevamente. Para determinar la duración, seleccione minutos u horas en la lista desplegable adyacente.
   Después que un servidor de autenticación no haya respondido por un período de tiempo, éste queda marcado como inactivo. Intentos adicionales de autenticación, no intente usar este servidor hasta que esté marcado como activo nuevamente.
9. En el cuadro de texto Base de Búsqueda, escriba la configuración de la base de búsqueda en el formato estándar: ou=organizational unit, dc=first part of distinguished server name, dc=any part of the distinguished server name that appears after the dot.
   Por ejemplo: ou=accounts, dc=example, dc=com
10. En el cuadro de texto Cadena de Grupo, ingrese el atributo de cadena de grupo.
    El atributo por defecto es memberOf.
    Esa cadena de atributos contiene datos de grupo de usuarios en el servidor de LDAP. En muchos servidores de LDAP, la cadena de grupo predeterminada es uniqueMember; en otros servidores, es member. Para grupos de usuarios en un servidor OpenLDAP sin soporte de superposición memberOf, puede también especificar los atributos member, memberUID, o gidNumber.
11. En el cuadro de texto DN del usuario de búsqueda, ingrese el nombre completo (DN) para una operación de búsqueda.
    Puede agregar cualquier DN de usuario con el privilegio de buscar LDAP, como administrador. Algunos administradores crean un nuevo usuario sólo con privilegios de búsqueda.
    Por ejemplo, cn=Administrator, cn=Users, dc=example, dc=com.
12. En el cuadro de texto Contraseña de Usuario de Búsqueda, inserte la contraseña asociada al nombre completo para una operación de búsqueda.
13. En el cuadro de texto Atributo de Inicio de Sesión, ingrese el atributo de inicio de sesión de LDAP para utilizarlo como autenticación.
    El atributo de inicio de sesión es el nombre usado para vincular a la base de datos de LDAP. El atributo de inicio de sesión predeterminado es uid. Si utiliza uid, los cuadros de texto del DN del Usuario de Búsqueda y de la Contraseña del Usuario de Búsqueda pueden quedar vacíos.
14. Para habilitar las conexiones SSL seguras con su servidor de LDAP, seleccione la casilla de selección Habilitar LDAPS.
15. Si habilita LDAPS pero no definió el valor del Puerto en el valor del puerto predeterminado para LDAPS, aparecerá un cuadro de diálogo con un mensaje del puerto. Para usar el puerto predeterminado, haga clic en Sí. Para usar el puerto que especificó, haga clic en No.
16. Para verificar el certificado del servidor de LDAP con el certificado CA importado, seleccione la casilla de selección Validar certificado del servidor.
17. Para especificar los atributos opcionales para el servidor de LDAP principal, haga clic en Configuraciones Opcionales.
    Para más información sobre cómo establecer las configuraciones opcionales, vea la sección siguiente.
18. Para agregar un servidor de LDAP de respaldo, seleccione la pestaña Configuración del Servidor de Respaldo y seleccione la casilla Habilitar servidor de LDAP de respaldo.
19. Repita los pasos 3 a 16 para configurar el servidor de respaldo. Asegúrese de que el secreto compartido sea el mismo en el servidor de LDAP principal y de resguardo.
    Para obtener más información, consulte Usar un Servidor de Autenticación de Resguardo.
20. Haga clic en Aceptar.
21. Guardar el Archivo de Configuración.

Acerca de las Configuraciones Opcionales de LDAP

El Fireware puede obtener información adicional del servidor LDAP cuando lee la lista de atributos en la respuesta de búsqueda del servidor. Eso permite usar el servidor del directorio para asignar parámetros adicionales a las sesiones de usuarios autenticados, tal como los tiempos de espera y asignaciones de dirección de Mobile VPN with IPSec. Como los datos provienen de atributos de LDAP asociados a objetos de usuarios individuales, usted no está limitado a las configuraciones globales especificadas en el archivo de configuración del dispositivo. Se puede determinar esos parámetros para cada usuario individual.

Para obtener más información, consulte Usar las Configuraciones Opcionales de Active Directory o de LDAP.

Probar la Conexión con el Servidor

Para asegurarse de que su Firebox puede conectarse a su Servidor de LDAP y autenticar exitosamente a sus usuarios, desde Fireware Web UI puede probar la conexión a su servidor de autenticación. Puede también usar esta función para determinar si un usuario específico se autenticó y para obtener información del grupo de autenticación de ese usuario.

Puede comprobar la conexión con su servidor de autenticación desde la página de los Servidores de Autenticación para su servidor, o puede navegar directamente hasta la página de Conexión del Servidor en el Fireware Web UI.

Para navegar hasta la página de Conexión con el Servidor desde la página de Servidores de Autenticación:

1. Haga clic en Probar Conexión para LDAP y Active Directory.
   Aparecerá la página de Conexión con el servidor.
2. Siga las instrucciones en el tema Conexión de Servidor para probar la conexión a su servidor.

Para ver las instrucciones sobre cómo navegar directamente a la página Conexión del Servidor en Fireware Web UI, consulte Conexión de Servidor.

Ver también

Acerca de los Servidores de Autenticación de Terceros

Danos tu Opinión  •   Obtener Soporte  •   Toda la Documentación del Producto  •   Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.