Agregar Servidores a un Dominio de Autenticación

Cuando agrega un dominio de autenticación, debe especificar un servidor de autenticación. Si su dominio de autenticación tiene varios servidores de autenticación, puede agregar los otros servidores al dominio de autenticación en WatchGuard Cloud.

WARNING: Si cambia los servidores configurados para un dominio de autenticación, podría afectar los dispositivos o servicios que usan el dominio de autenticación.

Para cada servidor de autenticación, los ajustes controlan cómo los dispositivos administrados en la nube pueden conectarse al servidor para la autenticación del usuario.

No puede agregar servidores al WatchGuard Cloud Directory.

Agregar un Servidor

Para agregar un servidor a un dominio de autenticación, desde WatchGuard Cloud:

1. Si usted es Service Provider, seleccione el nombre de la cuenta Subscriber administrada.
2. Seleccione Configurar > Servicios de Directorios y Dominio.
   Se abre la página Dominios de Autenticación.

3. Haga clic en el nombre de dominio de autenticación que desea editar.
4. Seleccione la pestaña Servidores.

5. Haga clic en Agregar Servidor.

6. Seleccione el tipo de servidor.
7. Configure los ajustes para el tipo de servidor que seleccionó.
   • Configurar los Ajustes del Servidor RADIUS
   • Configurar los Ajustes del Servidor Active Directory

Configurar los Ajustes del Servidor RADIUS

Para configurar los ajustes de un servidor RADIUS:

1. En los ajustes Agregar Servidores, seleccione RADIUS.

2. En el cuadro de texto Nombre de Dominio, ingrese el nombre de dominio que desea agregar. El nombre de dominio debe incluir un sufijo de dominio. Por ejemplo, ingrese ejemplo.com, y no ejemplo.
3. En la lista desplegable Tipo de Servidor RADIUS, seleccione Servidor de Autenticación RADIUS.

Para los puntos de acceso, también puede agregar un Servidor de Contabilidad RADIUS. Un servidor de contabilidad RADIUS monitoriza el tráfico RADIUS y recopila datos sobre las sesiones de los clientes, como cuándo las comienzan y terminan. Asegúrese de agregar un servidor de autenticación RADIUS al dominio de autenticación antes de agregar un servidor de contabilidad RADIUS. En muchas implementaciones, los servicios de Autenticación y Contabilidad están en el mismo servidor RADIUS y se ejecutan en puertos diferentes.

4. En la lista desplegable Tipo, seleccione el tipo de dirección IP IPv4 de Host o IPv6 de Host.
5. En el cuadro de texto de Dirección IP, ingrese la dirección IP del servidor RADIUS.
6. En el cuadro de texto Puerto, escriba el número de puerto que RADIUS utiliza para la autenticación. La mayoría de los servidores RADIUS utilizan el puerto 1812 de forma predeterminada (los servidores RADIUS más antiguos podrían utilizar el puerto 1645). La mayoría de los servidores de contabilidad RADIUS utilizan el puerto 1813.
7. En el cuadro de texto Secreto Compartido, escriba el secreto compartido para las conexiones al servidor RADIUS.
8. En el cuadro de texto Confirmar Secreto Compartido, ingrese nuevamente el secreto compartido.
9. (Fireware v12.11.1 o superior) Para requerir que los servidores de Autenticación RADIUS utilicen el atributo Message-Authenticator, marque la casilla de selección Requerir el Atributo Message-Authenticator. El atributo Message-Authenticator es un campo en los paquetes RADIUS que verifica la integridad del paquete y previene la suplantación.
10. Haga clic en Guardar.

Asegúrese de que su servidor RADIUS también esté configurado para aceptar conexiones desde cada Firebox o punto de acceso administrado en la nube como un cliente RADIUS.

Opciones Adicionales del Servidor RADIUS

Después de haber configurado y guardado los ajustes básicos de su servidor RADIUS, también puede editar el servidor para configurar estas opciones adicionales:

Opciones del Servidor de Autenticación RADIUS

• Tiempo de Espera (Segundos) — En el cuadro de texto Tiempo de Espera, ingrese un valor en segundos. El valor de tiempo de espera es el período de tiempo que el dispositivo espera la respuesta del servidor de autenticación antes de intentar establecer una nueva conexión. El valor predeterminado es de 10 segundos.
• Reintentos — En el cuadro de texto Reintentos, ingrese la cantidad de veces que el dispositivo intenta conectarse al servidor RADIUS antes de informar una conexión fallida para un intento de autenticación. El valor predeterminado es 3.
• Tiempo Muerto — En el cuadro de texto Tiempo Muerto, ingrese el período de tiempo a partir del cual un servidor inactivo se marca como activo nuevamente. El valor predeterminado es de 10 minutos.
• Atributo de Grupo — En el cuadro de texto Atributo de Grupo, ingrese un valor para el atributo de grupo para que el servidor RADIUS recupere la membresía a grupos de los usuarios. El grupo al que pertenece el usuario se devuelve en el atributo RADIUS FilterID. Este atributo de grupo RADIUS predeterminado es 11.

Opciones del Servidor de Contabilidad RADIUS

• Intervalo de Contabilidad Provisional (Segundos) - En el cuadro de texto Intervalo de Contabilidad Provisional, ingrese la cantidad de segundos entre las actualizaciones enviadas a un servidor de contabilidad RADIUS. La configuración predeterminada es de 600 segundos (10 minutos).

Para más información, vaya a:

• Configurar la Autenticación RADIUS para un Firebox
• Configurar Autenticación RADIUS para un Punto de Acceso

Configurar los Ajustes del Servidor Active Directory

Para configurar los ajustes de un servidor Active Directory:

1. En los ajustes Agregar Servidores, seleccione Active Directory.

2. En el cuadro de texto Nombre de Dominio, ingrese el nombre de dominio que desea agregar. El nombre de dominio debe incluir un sufijo de dominio. Por ejemplo, ingrese ejemplo.com, y no ejemplo.
3. En el cuadro de texto Dirección del Servidor, ingrese el nombre de dominio o la dirección IP de su servidor Active Directory.
4. (Opcional) Para habilitar conexiones SSL seguras a su servidor Active Directory, marque la casilla de selección Habilitar Conexiones SSL Seguras a su Servidor Active Directory (LDAPS).
5. Haga clic en Guardar.

Opciones del Servidor Active Directory adicionales

Después de haber configurado y guardado los ajustes básicos de su servidor Active Directory, también puede editar el servidor para configurar estas opciones adicionales:

• Puerto — En el cuadro de texto Puerto, ingrese un número de puerto.
  Si seleccionó la casilla de selección Habilitar Conexiones SSL Seguras a su Servidor Active Directory (LDAPS), el puerto automáticamente se fija en 636. De lo contrario, la configuración predeterminada es el puerto 389.
  Si su servidor Active Directory es un servidor de catálogo global, puede ser útil alterar el puerto predeterminado. Para más información, vaya a Alterar el Puerto Predeterminado de Active Directory Server en la Ayuda de Fireware.

Ajustes de Conexión

• Tiempo de Espera (Segundos) — En el cuadro de texto Tiempo de Espera, ingrese la cantidad de segundos que el dispositivo esperará para una respuesta del servidor Active Directory antes de que cierre la conexión e intente establecerla nuevamente. El valor predeterminado es de 10 segundos.
• Tiempo Muerto — En el cuadro de texto Tiempo Muerto, ingrese el tiempo a partir del cual un servidor inactivo se marca como activo nuevamente. En la lista desplegable Tiempo Muerto, seleccione Minutos u Horas para establecer la duración. El tiempo predeterminado es de 10 minutos.
  Después de que un servidor de autenticación no haya respondido durante tres intentos de autenticación separados, éste queda marcado como inactivo. Los intentos adicionales de autenticación no probarán con este servidor hasta que se marque nuevamente como activo después de que haya transcurrido el tiempo muerto y el servidor se marque como activo nuevamente.

Base de Búsqueda y Atributos de Inicio de Sesión

• Base de Búsqueda — En el cuadro de texto Base de Búsqueda, ingrese la ubicación en el directorio para iniciar la búsqueda. ¡Consejo! El formato estándar para los ajustes de la base de búsqueda es: ou=<name of organizational unit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished server name that appears after the dot>.
  Para obtener más información sobre cómo utilizar una base de búsqueda para limitar los directorios en el servidor de autenticación en donde el dispositivo puede buscar una coincidencia de autenticación, vaya a Encontrar Su Base de Búsqueda del Active Directory en la Ayuda de Fireware.
• Cadena de Grupos — Si no cambió su esquema de Active Directory, la Cadena de Grupos siempre es tokenGroups. Si ha cambiado su esquema, escriba la cadena de atributos que se utiliza para guardar la información del grupo de seguridad del usuario en el servidor Active Directory.
• Atributo de Inicio de Sesión — En la lista desplegable Atributo de Inicio de Sesión, seleccione un atributo de inicio de sesión de Active Directory para que se utilice en la autenticación. El atributo de inicio de sesión es el nombre usado para vincular a la base de datos del Active Directory. El atributo predeterminado de inicio de sesión es sAMAccountName. Si usa sAMAccountName, no es necesario que especifique un valor para la configuración de DN del Usuario Buscador y Contraseña del Usuario Buscador.
• DN del Usuario Buscador — En el cuadro de texto DN del Usuario Buscador, ingrese el nombre completo (DN) para una operación de búsqueda.
  Si mantiene el atributo de inicio de sesión de sAMAccountName, no es necesario que ingrese algo en este cuadro de texto.
  Si cambia el atributo de inicio de sesión, debe agregar un valor en el cuadro de texto DN del Usuario Buscador. Puede usar cualquier DN de usuario con el privilegio para buscar en LDAP/Active Directory, como por ejemplo el de administrador. No obstante, un DN de usuario más débil, sólo con un privilegio de búsqueda, suele ser suficiente. Por ejemplo: cn=Administrator,cn=Users,dc=example,dc=com
• Contraseña del Usuario Buscador — En el cuadro de texto Contraseña del Usuario Buscador, inserte la contraseña asociada al nombre completo para una operación de búsqueda.

Temas Relacionados

Dominios de Autenticación de WatchGuard Cloud