Si la autenticación no funciona como se esperaba, o si se produce un fallo, puedes usar informes, alertas y logs de auditoría para la resolución de problemas. Para empezar, ten en cuenta todos los pasos del proceso de autenticación, según el tipo de recurso configurado y las políticas de acceso. Comienza con la resolución de problemas del último paso del proceso de autenticación y avanza hacia atrás.
Estos son algunos ejemplos de cosas que debes comprobar:
- ¿El usuario recibe una notificación push? (si se ha configurado la autenticación push)
- ¿Existe un log de auditoría para el intento de autenticación?
- Para los flujos de autenticación que requieren la Gateway, ¿qué información aparece en los logs de la Gateway?
Los pasos para la resolución de problemas específicos de AuthPoint dependen del tipo de problema y de qué AuthPoint y componentes externos participan en el proceso de autenticación. Algunos componentes de AuthPoint, como la Gateway, tienen archivos de log locales que puedes usar para la resolución de problemas.
Herramientas para la Resolución de Problemas de AuthPoint
Para la resolución de la mayoría de los problemas de AuthPoint, consulta los informes, los logs de auditoría y las alertas de AuthPoint.
Los logs de auditoría suelen ser un punto de partida útil para la resolución de problemas de AuthPoint.
Para empezar, consulta la información disponible en WatchGuard Cloud y los archivos de log de la AuthPoint Gateway.
Informes de AuthPoint
Los informes muestran información sobre la actividad y los eventos de AuthPoint. Algunos informes útiles para la resolución de problemas son los siguientes:
- Notificaciones Push Denegadas — Comprueba si el usuario ha denegado una notificación push
- Actividad del Recurso — Comprueba en qué recursos no se pueden autenticar los usuarios
- Autenticación — Comprueba los fallos de autenticación para cada usuario
- Actividad de Sincronización — Comprueba el historial de sincronización de usuarios de LDAP
Para obtener más información acerca de los informes, consulta Monitorizar AuthPoint.
Alertas
WatchGuard Cloud genera alertas para eventos basadas en reglas de notificación. Por ejemplo, debes ver una alerta cuando una Gateway se conecta o desconecta, y cuando un usuario deniega una solicitud de autenticación push. Puedes añadir reglas de notificación para generar otros tipos de alertas.
Para obtener más información, consulta Gestionar Alertas de WatchGuard Cloud.
Logs de Auditoría
Los logs de auditoría muestran eventos relacionados con acciones de gestión, cambios de configuración y eventos de AuthPoint. Para los eventos de autenticación, la ventana Detalle del Log de Auditoría muestra detalles sobre el intento de autenticación.
Une el código de error del log de auditoría en WatchGuard Cloud con el código de error que ves en los mensajes de log para eventos en la Gateway o en los mensajes de error de autenticación en el Portal IdP o en la Logon app para Windows o Mac. Para obtener más información, consulta Logs de Auditoría.
Archivos de Log de la Gateway
Para los tipos de autenticación en los que participa la AuthPoint Gateway, consulta los archivos de log en la Gateway. Los mensajes de log incluyen información sobre las operaciones de la Gateway y las conexiones a RADIUS, LDAP y ADFS. La Gateway se ejecuta como cuatro servicios: Gateway, RADIUS, LDAP y ADFS.
Cada servicio crea un archivo de log independiente. Los mensajes de log incluyen el nombre de usuario y el request ID, que pueden ser útiles para unir un mensaje de log con un mensaje de error o un evento de log de auditoría de AuthPoint asociados.
Puedes encontrar los archivos de log de la Gateway en este directorio: C:\ProgramData\WatchGuard\AuthPoint\logs.
De forma predeterminada, la carpeta ProgramData está oculta en Windows. Para abrir la carpeta, pulsa tecla Windows + R, escribe %ProgramData% y haz clic en Aceptar.
Consejos para la Resolución de Problemas de AuthPoint
Estos son algunos consejos para la resolución de problemas con tipos específicos de componentes de AuthPoint o autenticación. En la mayoría de los casos, intenta buscar:
- Los códigos de error asociados con el error
- El request ID asociado con el error
A continuación, puedes usar esa información para buscar en el log de Auditoría y en los mensajes de log.
Resolución de Problemas de la AuthPoint Gateway
La AuthPoint Gateway se ejecuta como cuatro servicios:
- Gateway — Se comunica con WatchGuard Cloud y configura los otros tres servicios
- RADIUS — Se comunica con los clientes RADIUS
- LDAP — Se comunica con LDAP
- ADFS — Se comunica con ADFS
Usa la aplicación Windows Services para verificar que los cuatro servicios se estén ejecutando. En la aplicación Services, los cuatro servicios en ejecución se muestran de esta manera:
Si un servicio no se está ejecutando, usa el Visor de Eventos de Windows para ver cuándo se detuvo y cuándo se inició el servicio.
El servicio Gateway debe iniciarse y ejecutarse correctamente antes de que se inicien los demás servicios. Si el servicio Gateway no puede conectarse a la nube, o no puede iniciarse por algún motivo, los otros servicios no responderán mientras esperan archivos de configuración que nunca llegan. Si reinicias correctamente el servicio Gateway, también debe reiniciar los otros servicios después de que el servicio Gateway se ejecute correctamente de nuevo.
En algunos casos, el software antivirus puede hacer que falle la instalación de la Gateway.
Resolución de Problemas de Autenticación de RADIUS
Consulta estos mensajes de log y estos mensajes de error:
- Logs de auditoría en WatchGuard Cloud
- Logs de RADIUS en la AuthPoint Gateway
- Mensajes de error del cliente RADIUS
- Mensajes de log del Firebox — Si el Firebox está configurado como cliente RADIUS, busca en los mensajes de log del Firebox eventos de autenticación de usuario y errores de conexión entre el Firebox y la AuthPoint Gateway.
Otras cosas que se pueden intentar:
- Asegúrate de que el puerto RADIUS (los puertos predeterminados son 1812 o 1645) esté abierto en el servidor en el que la Gateway está instalada. El puerto no está abierto de forma predeterminada. Si el puerto está abierto, asegúrate de que ningún otro elemento de ese servidor lo use, pues ello causaría un conflicto con la Gateway.
- Haz un pcap entre la Gateway y el cliente RADIUS.
Resolución de Problemas de Autenticación LDAP
Consulta estos mensajes de log:
- En los logs de LDAP en la Gateway, busca:
- Resultados de la prueba de conectividad
- Eventos de sincronización
- Solicitudes de autenticación de usuarios
- Errores con conexiones al controlador de dominio
- En los logs de auditoría de WatchGuard Cloud, busca:
- Cambios en la configuración de la identidad externa de LDAP
- Errores de sincronización de usuarios de LDAP
Otras cosas que se pueden intentar:
- Si la Gateway está instalada en un servidor diferente del servidor de LDAP/AD, haz un pcap entre la Gateway y el servidor de LDAP/AD para verificar que se devuelva una respuesta de LDAP.
Resolución de Problemas de los Agents for Windows y Mac de Authpoint
Cuando se produce un error de autenticación, puede aparecer un mensaje de error en la página de inicio de sesión del Agent for Windows o Mac de AuthPoint. El mensaje de error incluye el código de error y el request ID. Usa el código de error y el request ID para buscar el error en el log de auditoría.
Resolución de Problemas del Portal IdP
Para la resolución de problemas del portal IdP, solicita al usuario información sobre los errores de inicio de sesión. Cuando la autenticación falla, aparece un mensaje de error en la página de inicio de sesión. La parte inferior de la página muestra el código de error y el request ID.
Usa el código de error y el request ID para buscar el error en el log de auditoría.
Resolución de Problemas de la Aplicación Móvil AuthPoint
Para la resolución de problemas de la aplicación móvil, solicita al usuario información sobre los errores de inicio de sesión. Cuando se produce un error de autenticación, el dispositivo móvil muestra un mensaje de error que incluye el código de error. Los errores son útiles para la resolución de problemas porque puedes buscar el código de error en el log de auditoría.
En la aplicación móvil, el usuario también puede ver los detalles del token. Asegúrate de que los detalles del token muestren estos valores:
- Estado del Push — Registrado
- Referencia de Tiempo — La hora correcta
Si es necesario, el usuario puede seleccionar la opción Sincronizar Token para resincronizar la hora y el estado de un token con el servidor. Esto es necesario para la autenticación, a fin de que, cuando el usuario apruebe un push o escriba una OTP, AuthPoint reconozca que la autenticación ocurre en la cantidad de tiempo permitida. Si la diferencia horaria entre la marca de tiempo del token y la marca de tiempo del servidor es demasiado grande, es posible que el usuario no pueda autenticarse.
Para obtener más información, consulta Sincronizar Tu Token.
Resolución de Problemas de ADFS
Para la resolución de problemas de ADFS, puedes buscar información útil en:
- Visor de eventos en el equipo en el que el Agent ADFS está instalado
- Logs de auditoría en WatchGuard Cloud
- Archivo de log de ADFS en la AuthPoint Gateway
- Archivo de log del agente ADFS
Resolución de Problemas de RD Web
El Agent for RD Web de AuthPoint se ejecuta como servicio en el servidor RD Web. Asegúrate de que el servicio Core de RD Web de AuthPoint de WatchGuard se esté ejecutando.
Entre las herramientas que puedes usar para la resolución de problemas de RD Web se incluyen las siguientes:
- Archivos de log del servidor IIS — Para obtener información sobre la autenticación de usuarios en el portal RD Web
- Visor de Eventos para Servicios de Escritorio Remoto — Para obtener información sobre las conexiones de los usuarios a los recursos alojados en RD Web
- Logs de auditoría de AuthPoint — Para eventos de autenticación de usuarios de RD Web