Configurar MFA para un Cliente RADIUS

Los recursos del cliente RADIUS representan dispositivos que envían paquetes de RADIUS a la AuthPoint Gateway. Se usan comúnmente para autenticar a los usuarios para firewalls y VPN.

Debes enlazar los recursos del cliente RADIUS con la AuthPoint Gateway y especificar una clave de secreto compartido para que el servidor RADIUS (AuthPoint Gateway) y el cliente RADIUS puedan comunicarse.

Consulta las Guías de Integración de AuthPoint a fin de ver los pasos para configurar la autenticación multifactor (MFA) AuthPoint para recursos del cliente RADIUS específicos.

AuthPoint admite la autenticación RADIUS con PAP y MS-CHAPv2. No se admite la autenticación 802.1x.

AuthPoint trunca los paquetes de RADIUS que contienen más de 3000 caracteres de información de grupo para un usuario. Si los nombres de todos los grupos a los que un usuario pertenece suman más de 3000 caracteres, AuthPoint trunca la información de grupo y la respuesta incluye solo los 3000 primeros caracteres.

Flujo de Trabajo de Autenticación RADIUS

Esta sección explica el flujo de autenticación cuando un usuario se autentica con el protocolo RADIUS. El flujo de trabajo de autenticación es diferente para los usuarios de AuthPoint locales y los usuarios sincronizados desde una base de datos de LDAP, y para los recursos del cliente RADIUS que usan MS-CHAPv2.

  1. El usuario inicia una conexión con el cliente RADIUS, como un Firebox u otro firewall.
  2. El cliente RADIUS reenvía la solicitud a AuthPoint.
  3. AuthPoint determina si el usuario es local y tiene una política de MFA válida.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se pone en contacto con el cliente RADIUS.
      4. El cliente RADIUS recibe la aprobación y permite al usuario conectarse.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El cliente RADIUS recibe la aprobación y permite al usuario conectarse.
  1. El usuario inicia una conexión con el cliente RADIUS, como un Firebox u otro firewall.
  2. El cliente RADIUS reenvía la solicitud a AuthPoint.
  3. AuthPoint determina si el usuario es un usuario de Active Directory.
  4. AuthPoint, mediante la AuthPoint Gateway, envía las credenciales del usuario al servidor de Active Directory (solicitud de vinculación LDAP).
  5. Active Directory valida las credenciales del usuario y responde a AuthPoint.
  6. AuthPoint verifica que el usuario tenga una política de MFA válida.
    • Para Push:
      1. AuthPoint envía una notificación push al teléfono móvil del usuario.
      2. El usuario recibe y aprueba la notificación push.
      3. AuthPoint recibe la aprobación push y se pone en contacto con el cliente RADIUS.
      4. El cliente RADIUS recibe la aprobación y permite al usuario conectarse.
    • Para OTP:
      1. AuthPoint valida la OTP.
      2. El cliente RADIUS recibe la aprobación y permite al usuario conectarse.
  1. El usuario inicia una conexión con el cliente RADIUS, como un Firebox u otro firewall.
  2. El cliente RADIUS reenvía la solicitud a AuthPoint.
  3. AuthPoint determina si el usuario es un usuario de Active Directory.
  4. AuthPoint, mediante la AuthPoint Gateway, envía las credenciales del usuario al servidor de NPS para su validación (protocolo RADIUS).
  5. El servidor de NPS valida las credenciales del usuario.
  6. El servidor de NPS responde a AuthPoint, mediante la AuthPoint Gateway.
  7. AuthPoint verifica que el usuario tenga una política de MFA válida.
  8. AuthPoint envía una notificación push al teléfono móvil del usuario.
  9. El usuario recibe y aprueba la notificación push.
  10. AuthPoint recibe la aprobación push y se pone en contacto con el cliente RADIUS.
  11. El cliente RADIUS recibe la aprobación y permite al usuario conectarse.

Añadir un Recurso del Cliente RADIUS

  1. En la AuthPoint management UI, selecciona Recursos.
    Se abre la página Recursos.

  1. En la lista desplegable Elegir un tipo de recurso, selecciona Cliente RADIUS. Haz clic en Añadir Recurso.
    Se abre la página del recurso del cliente RADIUS.
  2. En el cuadro de texto Nombre, escribe un nombre descriptivo para el recurso.
  3. En el cuadro de texto FQDN o IP de confianza del cliente RADIUS, escribe la dirección IP que usa tu cliente RADIUS para enviar paquetes de RADIUS a la AuthPoint Gateway. Esta debe ser una dirección IP privada. En el caso de los Fireboxes, suele ser la dirección IP de Confianza de tu Firebox.
  4. En la lista desplegable Valor enviado para el atributo 11 de RADIUS, selecciona el valor que se debe enviar para el valor del atributo 11 (Filter-ID) en las respuestas RADIUS. Puedes enviar los grupos de AuthPoint del usuario o los grupos de Active Directory del usuario.

    Si has configurado una sincronización de grupo para sincronizar grupos de Active Directory o Azure Active Directory con AuthPoint, la opción para enviar los grupos de AuthPoint del usuario incluye cualquier grupo de Active Directory o Azure Active Directory del que el usuario sea miembro.

  5. En el cuadro de texto Secreto Compartido, escribe la contraseña que el servidor RADIUS (AuthPoint Gateway) y el cliente RADIUS usarán para comunicarse.

  1. Para configurar el recurso del cliente RADIUS para que acepte solicitudes de autenticación MS-CHAPv2, haz clic en el botón de alternancia Habilitar MS-CHAPv2. Puedes hacer esto si deseas configurar la MFA AuthPoint para IKEv2.
    Aparecen campos adicionales.

    Para usar la funcionalidad MS-CHAPv2, debes instalar la versión 5.3.1 o superior de la AuthPoint Gateway.

  2. En el cuadro de texto FQDN o IP de confianza del Servidor RADIUS NPS, escribe la dirección IP o el FQDN del servidor RADIUS NPS.
  3. En el cuadro de texto Puerto, escribe el número de puerto para la Gateway (servidor RADIUS) que se usará para comunicarse con NPS. El puerto predeterminado es 1812.

    Si NPS y la Gateway están instalados en el mismo servidor, el puerto que la Gateway usa para comunicarse con NPS debe ser diferente del puerto que la Gateway usa para comunicarse con el cliente RADIUS.

  4. En el cuadro de texto Timeout en Segundos, escribe un valor en segundos. El valor de timeout es la cantidad de tiempo que transcurre antes de que caduque una autenticación push.

  1. Haz clic en Guardar.
  2. Añade el recurso RADIUS a tus políticas de autenticación existentes o añade nuevas políticas de autenticación para el recurso RADIUS. Las políticas de autenticación especifican en qué recursos se pueden autenticar los usuarios y qué métodos de autenticación pueden usar. Para obtener más información, consulta Acerca de las Políticas de Autenticación de AuthPoint.

    Para la autenticación RADIUS, las políticas que tienen una Ubicación de Red no se aplicarán porque AuthPoint no tiene la dirección IP del usuario. Recomendamos que configures políticas para los recursos RADIUS sin Ubicaciones de Red.

    Debes habilitar el método de autenticación push para las políticas con recursos RADIUS MS-CHAPv2.

Añadir un Recurso del Cliente RADIUS a una Configuración de Gateway

Después de añadir un recurso del cliente RADIUS, debes añadirlo a la configuración de tu AuthPoint Gateway. Esto permite que el cliente RADIUS se comunique con el servidor RADIUS (Gateway) y con AuthPoint.

Si aún no has instalado la AuthPoint Gateway, consulta Acerca de las Gateways para ver los pasos detallados para descargar e instalar la AuthPoint Gateway.

Para añadir un recurso del cliente RADIUS a la configuración de Gateway:

  1. En el menú de navegación, selecciona Gateway.
  2. Haz clic en el Nombre de tu Gateway.

  1. En la sección RADIUS, en el cuadro de texto Puerto, escribe el número de puerto para el cliente RADIUS que se usará para comunicarse con la Gateway (servidor RADIUS). Los puertos predeterminados de la Gateway son el 1812 y el 1645.

    Si ya tienes instalado un servidor RADIUS que usa los puertos 1812 o 1645, debes usar un puerto diferente para comunicarte con la Gateway.

  1. En la lista Seleccionar un recurso RADIUS, selecciona tus recursos del cliente RADIUS.

  1. Haz clic en Guardar.

Configurar el Cliente RADIUS

Después de añadir correctamente un recurso del cliente RADIUS y conectarlo con tu Gateway, el último paso es configurar tu cliente RADIUS para la autenticación. Consulta las   para obtener los pasos necesarios para configurar recursos del cliente RADIUS específicos.

Ver También

Configurar MFA para un Firebox

Integración de Mobile VPN with SSL del Firebox con AuthPoint

Integración de Mobile VPN with IKEv2 del Firebox con AuthPoint para Usuarios de Active Directory

Integración de Mobile VPN with IKEv2 del Firebox con AuthPoint para Usuarios de Azure Active Directory

Integración de Mobile VPN with IKEv2 del Firebox Cloud con AuthPoint para Usuarios de Azure Active Directory

Integración de Mobile VPN with IPSec del Firebox con AuthPoint

Integración de Mobile VPN with L2TP del Firebox con AuthPoint

Integración de Mobile VPN with L2TP del Firebox con AuthPoint para Usuarios de Azure Active Directory

Guías de Integración de AuthPoint

Acerca de las Gateways