Contents

Temas Relacionados

Habilitar el SSO de Active Directory en el Firebox

Este procedimiento describe cómo habilitar el Inicio de Sesión Único de Active Directory. Para obtener información acerca de cómo habilitar el Inicio de Sesión Único de RADIUS, consulte Habilitar el Single Sign-On (SSO) de RADIUS.

Antes de poder habilitar el SSO de Active Directory, debe:

Si su dispositivo funciona en Fireware v11.0–v11.3.x, la Configuración de Autenticación para Terminal Services no está disponible.

Habilitar y Configurar el SSO

Cuando habilita y configura los ajustes para SSO en su Firebox, debe especificar la dirección IP del SSO Agent.

En Fireware v12.2 o posterior, puede especificar hasta cuatro SSO Agents. Hay un solo SSO Agent activo a la vez. Si el SSO Agent activo no está disponible, el Firebox automáticamente conmuta por error al siguiente SSO Agent en su configuración. También puede conmutar por error manualmente a un SSO Agent. Para obtener más información sobre la conmutación por error del SSO Agent, consulte la sección Conmutación por Error en este tema.

También puede especificar las direcciones IP (o los rangos) para excluir de las consultas de SSO y habilitar SSO a través de los túneles VPN de sucursal en su Firebox.

Cuando habilita SSO a través de sus túneles BOVPN, las conexiones SSO que van desde el túnel hacia las estaciones de trabajo de su dominio pueden incrementar el consumo de ancho de banda del túnel.

Si su Firebox tiene Fireware v12.1.1 o anterior, los pasos para habilitar y configurar el SSO son diferentes. Para obtener instrucciones que se aplican a Fireware v12.1.1 o anterior, consulte Habilitar el Inicio de Sesión Único (SSO) de Active Directory (Fireware v12.1.1 o anterior) en la Base de Consulta de WatchGuard.

Para habilitar y configurar el SSO desde Fireware Web UI:Closed
  1. Seleccione Autenticación > Inicio de Sesión Único.
    Aparece la página Inicio de Sesión Único.
  2. Seleccione la casilla de selección Habilitar Inicio de Sesión Único (SSO) con Active Directory.

Captura de pantalla de la página de Inicio de Sesión Único de Autenticación con SSO habilitado.

  1. Haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar SSO Agent.
  2. En el cuadro de texto Dirección IP, ingrese la dirección IP del servidor en la que se encuentra instalado el SSO Agent.
  3. (Opcional) En el cuadro de texto Descripción, ingrese una descripción del SSO Agent.

Captura de pantalla del cuadro de diálogo Agregar SSO Agent

  1. Haga clic en Aceptar.
  2. (Opcional) Para agregar SSO Agents adicionales, repita los pasos 3 a 6. Pueden aparecer un máximo de cuatro SSO Agents en la lista.

Captura de pantalla de múltiples SSO Agents configurados en el Firebox

  1. (Opcional) Para agregar direcciones IP o rangos para excluir de las consultas de SSO, en la sección Excepciones de SSO, haga clic en Agregar. Para obtener más información sobre las excepciones de SSO, vea Definir Excepciones de SSO .
    Aparece el cuadro de diálogo Agregar Excepción de SSO.
  2. En la lista desplegable Elegir Tipo, seleccione IP de Host, IP de Red o Rango de Host.

    1. Ingrese la dirección IP, la dirección de red o el rango de host.
    2. En el cuadro de texto Descripción, ingrese una descripción del host para el que desea crear una excepción de SSO.

    Captura de pantalla de una Excepción de SSO

    1. Haga clic en Aceptar.

  3. En el cuadro de texto Intervalo Keep-Alive, especifique un valor en segundos entre 1 y 120.
  4. En el cuadro de texto Tiempo de Espera Keep-Alive, especifique un valor en segundos entre 10 y 1200.
  5. (Opcional) Para habilitar a los usuarios que se conectan a su red a través de un túnel BOVPN para usar el SSO, marque la casilla de selección Habilitar Inicio de Sesión Único (SSO) a través de los túneles BOVPN.

Captura de pantalla de la configuración SSO Agents

  1. Haga clic en Guardar.
Para habilitar y configurar SSO desde el Policy Manager:Closed
  1. Seleccione Configuración > Autenticación > Inicio de Sesión Único.
    Aparece el Cuadro de diálogo Inicio de Sesión Único.
  2. Seleccione la casilla de selección Habilitar Inicio de Sesión Único (SSO) con Active Directory.
  3. Haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar IP de SSO Agent.

Captura de pantalla del cuadro de diálogo Agregar SSO Agent

  1. En la lista desplegable Elegir Tipo, seleccione IPv4 del Host.
  2. En el cuadro de texto Valor, ingrese la dirección IP del servidor en la que se encuentra instalado el SSO Agent.
  3. (Opcional) En el cuadro de texto Descripción, ingrese una descripción del SSO Agent.
  4. Haga clic en Aceptar.
  5. (Opcional) Para agregar más SSO Agents, repita los pasos 3 a 7. Pueden aparecer un máximo de cuatro SSO Agents en la lista.
  6. (Opcional) Para agregar direcciones IP o rangos para excluir de las consultas de SSO, en la sección Excepciones de SSO, haga clic en Agregar. Para obtener más información sobre excepciones de SSO, consulte la sección Definir Excepciones de SSO.
    Aparece el cuadro de diálogo Agregar Excepción de SSO.
    1. En la lista desplegable Elegir Tipo, seleccione IPv4 del Host, IPv4 de Red, Rango de Host o Nombre de Host (Búsqueda DNS).
    2. Ingrese la dirección IP, la dirección de red, el rango de host o el nombre de host.
    3. En el cuadro de texto Descripción, ingrese una descripción del host para el que desea crear una excepción de SSO.

    Captura de pantalla del cuadro de diálogo Agregar Regla de Excepción

    1. Haga clic en Aceptar.
  7. En el cuadro de texto Intervalo Keep-Alive, especifique un valor en segundos entre 1 y 120.
  8. En el cuadro de texto Tiempo de Espera Keep-Alive, especifique un valor en segundos entre 10 y 1200.
  9. Para habilitar a los usuarios que se conectan a su red a través de un túnel BOVPN para usar el SSO, seleccione la casilla de selección Habilitar Inicio de Sesión Único (SSO) a través de los túneles BOVPN.

Captura de pantalla del cuadro de diálogo Agregar Regla de Excepción

  1. Haga clic en Guardar.

Definir Excepciones de SSO

Si su red incluye dispositivos con direcciones IP que no requieren autenticación, como servidores de red, conmutadores y enrutadores, servidores de impresión o equipos que no forman parte del dominio, o si tiene usuarios en su red interna que se autentican manualmente en el portal de autenticación para inicio de sesión o si tiene servidores de terminal para el Agente de Terminal Services, le recomendamos que agregue las direcciones IP a la lista de Excepciones de SSO.

Cada vez que ocurre un intento de conexión desde una dirección IP que no está en la lista de Excepciones de SSO, Firebox se comunica con el SSO Agent para intentar asociar la dirección IP con un nombre de usuario. Eso lleva cerca de 10 segundos. Puede utilizar la lista de Excepciones de SSO para evitar esta demora para cada conexión, para reducir el tráfico de red innecesario y para permitir que los usuarios hagan la autenticación y se conecten a su red sin ninguna demora.

Cuando usted agrega una entrada a la lista de Excepciones de SSO, puede optar por agregar la dirección IP del host, la dirección IP de red, la subred, el nombre del DNS del host (solo desde el Policy Manager), o un rango de host.

Para agregar una entrada a la lista de Excepciones de SSO desde Fireware Web UI:Closed
  1. Haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar Direcciones IP.
  2. Desde la lista desplegable Seleccionar tipo, seleccione el tipo de entrada que desea agregar a la lista de Excepciones de SSO:
    • IP del host
    • IP de red
    • Rango de host
      Los cuadros de texto que aparecen cambian según el tipo que usted seleccione.
  3. Ingrese la dirección IP para el tipo que seleccionó.
    Si seleccionó el tipo Rango de host en los cuadros de texto Desde y A, ingrese el inicio y el final de las direcciones IP para ese rango.
  4. (Opcional) En el cuadro de texto Descripción, escriba una descripción de esta excepción en la Lista de Excepciones de SSO.
  5. Haga clic en Aceptar.
    La dirección o rango IP aparece en la lista de Excepciones de SSO.
  6. Haga clic en Guardar.
Para agregar una entrada a la lista de Excepciones de SSO desde el Policy Manager:Closed
  1. Debajo de la lista de Excepciones de SSO, haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar Excepción de SSO.

Captura de pantalla del cuadro de diálogo Agregar Regla de Excepción

  1. Desde la lista desplegable Seleccionar tipo, seleccione el tipo de entrada que desea agregar a la lista de Excepciones de SSO:
    • IPv4 de Host
    • IPv4 de Red
    • IPv4 de Rango de Host
    • Nombre de host (búsqueda de DNS)

Captura de pantalla del cuadro de diálogo Agregar Excepción de SSO con las opciones Elegir Tipo

  1. Ingrese la dirección IP para el tipo que seleccionó en el cuadro de texto Valor.

Si seleccionó el tipo Rango de host, en el cuadro de texto Valor, escriba la dirección IP con que comienza el rango.
En el cuadro de texto A, escriba la dirección IP con la que finaliza el rango.

  1. (Opcional) En el cuadro de texto Descripción, escriba una descripción para incluir con esta excepción en la lista de Excepciones de SSO.
    El cuadro de texto Comentarios no aparece para el tipo de nombre de host.
  2. Haga clic en Aceptar.
    La dirección o rango IP aparece en la lista de Excepciones de SSO.

Captura de pantalla de la sección Inicio de Sesión Único del cuadro de diálogo Configuraciones de Autenticación, con Excepciones de SSO

También puede editar o eliminar entradas de la lista Excepciones de SSO.

Para modificar una entrada en la lista de Excepciones de SSO, en Policy Manager:Closed
  1. En la lista de Excepciones de SSO, seleccione una entrada.
  2. Haga clic en Editar.
    Aparecerá el cuadro de diálogo de Editar un IP de excepción de SSO.
  3. Cambie las configuraciones para la excepción SSO.
  4. Haga clic en Aceptar.
    La entrada actualizada aparece en la lista de Excepciones de SSO.

Captura de pantalla del cuadro de diálogo Editar Dirección IP de Excepción de SSO.

  1. Haga clic en Aceptar.
Para quitar una entrada de la lista de Excepciones de SSO desde Fireware Web UI:Closed
  1. En la lista de Excepciones de SSO, seleccione una entrada.
  2. Haga clic en Eliminar.
    La entrada seleccionada se elimina de la lista de Excepciones de SSO.
  3. Haga clic en Guardar.
Para quitar una entrada de la lista de Excepciones de SSO desde el Policy Manager:Closed
  1. En la lista de Excepciones de SSO, seleccione una entrada.
  2. Haga clic en Eliminar.
    La entrada seleccionada se elimina de la lista de Excepciones de SSO.
  3. Haga clic en Aceptar.

Conmutación por error

Si especifica más de un SSO Agent, se produce una conmutación por error automática si el SSO Agent activo deja de estar disponible. La conmutación por error se produce secuencialmente. Por ejemplo, si el primer SSO Agent en la lista deja de estar disponible, se produce una conmutación por error al segundo SSO Agent en la lista. Si el último SSO Agent en la lista está activo y deja de estar disponible, se produce una conmutación por error al primer SSO Agent en la lista.

No se produce la conmutación por error. Por ejemplo, si el primer SSO Agent en la lista deja de estar disponible, se produce una conmutación por error al segundo agente en la lista. Si el primer SSO Agent vuelve a estar disponible, el segundo SSO Agent seguirá siendo el agente activo. No se produce la Conmutación por error de regreso al primer SSO Agent.

También puede seleccionar la conmutación por error manualmente a un SSO Agent diferente. El SSO Agent debe ser v12.2 o posterior para admitir la conmutación por error.

Para conmutar por error manualmente a otro SSO Agent, en la Fireware Web UI:

  1. Seleccione Estado del Sistema > SSO Agents.
  2. Seleccione un agente.
  3. Haga clic en Conmutación por Error al SSO Agent.

Para conmutar por error manualmente a otro SSO Agent, en Firebox System Manager:

  1. Seleccione Herramientas > SSO Agents.
  2. Seleccione un agente.
  3. Haga clic en Conmutación por Error al SSO Agent.

Ver también

Acerca del Inicio de Sesión Único con Active Directory

Cómo Funciona el SSO de Active Directory

Inicio Rápido — Configurar el Inicio de Sesión Único (SSO) con Active Directory

Solucionar Problemas del SSO de Active Directory

Danos tu Opinión     Obtener Soporte     Toda la Documentación del Producto     Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.