Temas Relacionados
Configurar la Autenticación de Servidor RADIUS
RADIUS (Servicio de Usuario de Marcado por Autenticación Remota) autentica los usuarios locales y remotos en una red empresarial. RADIUS es un sistema cliente/servidor que guarda en una base de datos central los datos de autenticación de los usuarios, servidores de acceso remoto, puertas de enlace de VPN y otros recursos.
Para obtener más información sobre la autenticación RADIUS, consulte Cómo Funciona la Autenticación del servidor RADIUS.
Clave de Autenticación
Los mensajes de autenticación hacia y desde el servidor RADIUS usan una clave de autenticación, no una contraseña. Esta clave de autenticación, o secreto compartido, debe ser la misma en el cliente y servidor RADIUS. Sin esa clave, no puede haber comunicación entre cliente y servidor.
Métodos de Autenticación RADIUS
Para autenticación por web y Mobile VPN with IPSec o SSL, RADIUS soporta solamente la autenticación PAP (Protocolo de Autenticación por Contraseña).
Para autenticación con L2TP, RADIUS admite sólo MSCHAPv2 (Protocolo de Autenticación por Desafío Mutuo de Microsoft versión 2).
Para autenticación con los métodos de autenticación WPA Enterprise y WPA2 Enterprise, RADIUS admite el marco EAP (Protocolo de Autenticación Extensible).
Para la autenticación con Mobile VPN with IKEv2, RADIUS admite EAP-MSCHAPv2.
Antes de Empezar
Antes de configurar su Firebox para usar su servidor de autenticación RADIUS, debe tener esta información:
- Servidor RADIUS principal — Dirección IP y puerto RADIUS
- Servidor RADIUS secundario (opcional) — Dirección IP y puerto RADIUS
- Secreto compartido — Contraseña que distingue mayúsculas de minúsculas, que es igual en el dispositivo y en el servidor RADIUS
- Métodos de autenticación — Configure su servidor RADIUS para permitir el método de autenticación que su dispositivo utiliza: PAP, MS CHAP v2, WPA Enterprise, WPA2 Enterprise o WPA/WPA2 Enterprise
Para usar la Autenticación por Servidor RADIUS con su Dispositivo
Para usar la autenticación por servidor RADIUS con su Firebox, debe:
- Agregar la dirección IP de Firebox al servidor RADIUS, tal como se describe en la documentación de su proveedor de RADIUS.
- Activar y especificar el servidor RADIUS en la configuración de su Firebox.
- Agregar nombres de usuario o nombres de grupo RADIUS a sus políticas.
- Seleccione Autenticación > Servidores.
Aparece la página Servidores de Autenticación. - De la lista Servidor, seleccione RADIUS.
Aparecen las configuraciones del servidor RADIUS.
- Seleccione la casilla de selección Habilitar Servidor RADIUS.
- En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor RADIUS.
- En el cuadro de texto Puerto, asegúrese de que aparezca el número de puerto que RADIUS utiliza para la autenticación.
El número de puerto predeterminado es 1812. Los servidores RADIUS más antiguos pueden usar puerto 1645. - En el cuadro de texto Secreto Compartido, ingrese el secreto compartido entre el dispositivo y el servidor RADIUS.
El secreto compartido distingue mayúsculas de minúsculas, y debe ser igual en el dispositivo y en el servidor RADIUS. El secreto compartido no puede incluir solo caracteres de espacio. - En el cuadro de texto Confirmar Secreto, ingrese nuevamente el secreto compartido.
- Ingrese o seleccione el valor de Tiempo de Espera.
El valor de tiempo de espera es el período de tiempo que el dispositivo espera la respuesta del servidor de autenticación antes de intentar establecer una nueva conexión. - En el cuadro de texto Reintentos, ingrese o seleccione el número de veces que el dispositivo intenta conectarse al servidor de autenticación (el tiempo de espera se especifica arriba) antes de reportar una conexión fallida para un intento de autenticación.
- En el cuadro de texto Tiempo Muerto, ingrese el período de tiempo a partir del cual un servidor inactivo está marcado como activo nuevamente. Seleccione Minutos u Horas en la lista desplegable para cambiar la duración.
Después que un servidor de autenticación no haya respondido por un período de tiempo, éste queda marcado como inactivo. Los intentos de autenticación adicionales no tratarán de utilizar este servidor hasta que vuelva a marcarse como activo. - En el cuadro de texto Atributo de Grupo, ingrese un valor de atributo. El atributo grupo predeterminado es FilterID, que es el atributo RADIUS 11.
El valor del atributo Grupo es usado para definir el atributo que lleva la información de grupo de usuarios. Debe configurar el servidor RADIUS para que incluya la cadena Filter ID en el mensaje de autenticación de usuario que envía al dispositivo. Por ejemplo, engineerGroup o financeGroup. Esa información luego es utilizada para control de acceso. El dispositivo hace coincidir la cadena FilterID con el nombre de grupo configurado en las políticas del dispositivo. - Para agregar un servidor RADIUS de respaldo, en la sección Configuración del Servidor Secundario, seleccione la casilla de selección Habilitar Servidor RADIUS Secundario.
- Repita los pasos 4 a 11 para configurar el servidor de respaldo. Asegúrese de que el secreto compartido sea el mismo en el servidor RADIUS principal y de respaldo.
Para obtener más información, consulte Usar un Servidor de Autenticación de Resguardo. - Haga clic en Guardar.
- Haga clic en .
O bien, seleccione Configurar > Autenticación > Servidores de Autenticación.
Aparece el cuadro de diálogo Servidores de Autenticación. - Seleccione la pestaña RADIUS.
- Seleccione la casilla de selección Habilitar servidor RADIUS.
- En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor RADIUS.
- En el cuadro de texto Puerto, asegúrese de que aparezca el número de puerto que RADIUS utiliza para la autenticación.
El número de puerto predeterminado es 1812. Los servidores RADIUS más antiguos pueden usar puerto 1645. - En el cuadro de texto Secreto Compartido, ingrese el secreto compartido entre el dispositivo y el servidor RADIUS.
El secreto compartido distingue mayúsculas de minúsculas, y debe ser igual en el dispositivo y en el servidor RADIUS. El secreto compartido no puede incluir solo caracteres de espacio. - En el cuadro de texto Confirmar Secreto, ingrese nuevamente el secreto compartido.
- Ingrese o seleccione el valor de Tiempo de Espera.
El valor de tiempo de espera es el período de tiempo que el dispositivo espera la respuesta del servidor de autenticación antes de intentar establecer una nueva conexión. - En el cuadro de texto Reintentos, ingrese o seleccione el número de veces que el dispositivo intenta conectarse al servidor de autenticación (el tiempo de espera se especifica arriba) antes de reportar una conexión fallida para un intento de autenticación.
- En el cuadro de texto Tiempo Muerto, ingrese o seleccione el período de tiempo a partir del cual un servidor inactivo esté marcado como activo nuevamente. Seleccione Minutos u Horas en la lista desplegable para cambiar la duración.
Después que un servidor de autenticación no haya respondido por un período de tiempo, éste queda marcado como inactivo. Los intentos de autenticación adicionales no tratarán de utilizar este servidor hasta que vuelva a marcarse como activo. - En el cuadro de texto Atributo de Grupo, ingrese o seleccione un valor de atributo. El atributo grupo predeterminado es FilterID, que es el atributo RADIUS 11.
El valor del atributo Grupo es usado para definir el atributo que lleva la información de grupo de usuarios. Debe configurar el servidor RADIUS para que incluya la cadena Filter ID en el mensaje de autenticación de usuario que envía al dispositivo. Por ejemplo, engineerGroup o financeGroup. Esa información luego es utilizada para control de acceso. El dispositivo hace coincidir la cadena FilterID con el nombre de grupo configurado en las políticas del dispositivo. - Para agregar un servidor RADIUS de respaldo, seleccione la pestaña Configuración del Servidor de Respaldo y seleccione la casilla de selección Habilitar un servidor RADIUS de Respaldo.
- Repita los pasos 4 a 11 para configurar el servidor de respaldo. Asegúrese de que el secreto compartido sea el mismo en el servidor RADIUS principal y de respaldo.
Para obtener más información, consulte Usar un Servidor de Autenticación de Resguardo. - Haga clic en Aceptar.
- Guardar el Archivo de Configuración.
Ver también
Acerca de los Servidores de Autenticación de Terceros
Usar los Usuarios y Grupos en las Políticas
Autenticación de Enterprise WPA/WPA2 con RADIUS
Autenticación RADIUS con Active Directory para Usuarios de Mobile VPN