Agregar un Dominio de Autenticación a WatchGuard Cloud

Un dominio de autenticación es un dominio asociado con uno o más servidores de autenticación externos. En WatchGuard Cloud, puede agregar su dominio de autenticación y especificar servidores de autenticación, usuarios y grupos. El dominio de autenticación es una configuración compartida que puede usar para múltiples dispositivos administrados en la nube.

También puede agregar usuarios y grupos alojados en WatchGuard Cloud al WatchGuard Cloud Directory. Para más información, vaya a Acerca del WatchGuard Cloud Directory

Para agregar un dominio de autenticación, desde WatchGuard Cloud:

1. Si usted es Service Provider, seleccione el nombre de la cuenta Subscriber administrada.
2. Seleccione Configurar > Servicios de Directorios y Dominio.
   Se abre la página Dominios de Autenticación.

3. Haga clic en Agregar Dominio de Autenticación.
   Se abre la página Agregar Dominio de Autenticación.

4. Seleccione si desea agregar el WatchGuard Cloud Directory o un directorio externo. Si ya agregó el WatchGuard Cloud Directory, no verá esta página.

   El WatchGuard Cloud Directory es un dominio de autenticación donde se agregan usuarios y grupos alojados en WatchGuard Cloud. Si selecciona esta opción, no se requieren pasos adicionales.

5. Haga clic en Siguiente.
6. Seleccione el tipo de dominio de autenticación.

7. Configure los ajustes para el tipo de servidor que seleccionó.
   • Configurar los Ajustes del Servidor RADIUS
   • Configurar los Ajustes del Servidor Active Directory

Después de agregar el dominio de autenticación, puede agregar usuarios, grupos y servidores adicionales. Para obtener más información, consulte:

• Agregar Usuarios, Grupos y Dispositivos a un Dominio de Autenticación
• Agregar Servidores a un Dominio de Autenticación

Configurar los Ajustes del Servidor RADIUS

Para configurar los ajustes de un servidor RADIUS:

1. En los ajustes Agregar Servidores, seleccione RADIUS.

2. En el cuadro de texto Nombre de Dominio, ingrese el nombre de dominio que desea agregar. El nombre de dominio debe incluir un sufijo de dominio. Por ejemplo, ingrese ejemplo.com, y no ejemplo.
3. En la lista desplegable Tipo de Servidor RADIUS, seleccione Servidor de Autenticación RADIUS.

Para los puntos de acceso, también puede agregar un Servidor de Contabilidad RADIUS. Un servidor de contabilidad RADIUS monitoriza el tráfico RADIUS y recopila datos sobre las sesiones de los clientes, como cuándo las comienzan y terminan. Asegúrese de agregar un servidor de autenticación RADIUS al dominio de autenticación antes de agregar un servidor de contabilidad RADIUS. En muchas implementaciones, los servicios de Autenticación y Contabilidad están en el mismo servidor RADIUS y se ejecutan en puertos diferentes.

4. En la lista desplegable Tipo, seleccione el tipo de dirección IP IPv4 de Host o IPv6 de Host.
5. En el cuadro de texto de Dirección IP, ingrese la dirección IP del servidor RADIUS.
6. En el cuadro de texto Puerto, escriba el número de puerto que RADIUS utiliza para la autenticación. La mayoría de los servidores RADIUS utilizan el puerto 1812 de forma predeterminada (los servidores RADIUS más antiguos podrían utilizar el puerto 1645). La mayoría de los servidores de contabilidad RADIUS utilizan el puerto 1813.
7. En el cuadro de texto Secreto Compartido, escriba el secreto compartido para las conexiones al servidor RADIUS.
8. En el cuadro de texto Confirmar Secreto Compartido, ingrese nuevamente el secreto compartido.
9. (Fireware v12.11.1 o superior) Para requerir que los servidores de Autenticación RADIUS utilicen el atributo Message-Authenticator, marque la casilla de selección Requerir el Atributo Message-Authenticator. El atributo Message-Authenticator es un campo en los paquetes RADIUS que verifica la integridad del paquete y previene la suplantación.
10. Haga clic en Guardar.

Asegúrese de que su servidor RADIUS también esté configurado para aceptar conexiones desde cada Firebox o punto de acceso administrado en la nube como un cliente RADIUS.

Opciones Adicionales del Servidor RADIUS

Después de haber configurado y guardado los ajustes básicos de su servidor RADIUS, también puede editar el servidor para configurar estas opciones adicionales:

Opciones del Servidor de Autenticación RADIUS

• Tiempo de Espera (Segundos) — En el cuadro de texto Tiempo de Espera, ingrese un valor en segundos. El valor de tiempo de espera es el período de tiempo que el dispositivo espera la respuesta del servidor de autenticación antes de intentar establecer una nueva conexión. El valor predeterminado es de 10 segundos.
• Reintentos — En el cuadro de texto Reintentos, ingrese la cantidad de veces que el dispositivo intenta conectarse al servidor RADIUS antes de informar una conexión fallida para un intento de autenticación. El valor predeterminado es 3.
• Tiempo Muerto — En el cuadro de texto Tiempo Muerto, ingrese el período de tiempo a partir del cual un servidor inactivo se marca como activo nuevamente. El valor predeterminado es de 10 minutos.
• Atributo de Grupo — En el cuadro de texto Atributo de Grupo, ingrese un valor para el atributo de grupo para que el servidor RADIUS recupere la membresía a grupos de los usuarios. El grupo al que pertenece el usuario se devuelve en el atributo RADIUS FilterID. Este atributo de grupo RADIUS predeterminado es 11.

Opciones del Servidor de Contabilidad RADIUS

• Intervalo de Contabilidad Provisional (Segundos) - En el cuadro de texto Intervalo de Contabilidad Provisional, ingrese la cantidad de segundos entre las actualizaciones enviadas a un servidor de contabilidad RADIUS. La configuración predeterminada es de 600 segundos (10 minutos).

Para más información, vaya a:

• Configurar la Autenticación RADIUS para un Firebox
• Configurar Autenticación RADIUS para un Punto de Acceso

Configurar los Ajustes del Servidor Active Directory

Para configurar los ajustes de un servidor Active Directory:

1. En los ajustes Agregar Servidores, seleccione Active Directory.

2. En el cuadro de texto Nombre de Dominio, ingrese el nombre de dominio que desea agregar. El nombre de dominio debe incluir un sufijo de dominio. Por ejemplo, ingrese ejemplo.com, y no ejemplo.
3. En el cuadro de texto Dirección del Servidor, ingrese el nombre de dominio o la dirección IP de su servidor Active Directory.
4. (Opcional) Para habilitar conexiones SSL seguras a su servidor Active Directory, marque la casilla de selección Habilitar Conexiones SSL Seguras a su Servidor Active Directory (LDAPS).
5. Haga clic en Guardar.

Opciones del Servidor Active Directory adicionales

Después de haber configurado y guardado los ajustes básicos de su servidor Active Directory, también puede editar el servidor para configurar estas opciones adicionales:

• Puerto — En el cuadro de texto Puerto, ingrese un número de puerto.
  Si seleccionó la casilla de selección Habilitar Conexiones SSL Seguras a su Servidor Active Directory (LDAPS), el puerto automáticamente se fija en 636. De lo contrario, la configuración predeterminada es el puerto 389.
  Si su servidor Active Directory es un servidor de catálogo global, puede ser útil alterar el puerto predeterminado. Para más información, vaya a Alterar el Puerto Predeterminado de Active Directory Server en la Ayuda de Fireware.

Ajustes de Conexión

• Tiempo de Espera (Segundos) — En el cuadro de texto Tiempo de Espera, ingrese la cantidad de segundos que el dispositivo esperará para una respuesta del servidor Active Directory antes de que cierre la conexión e intente establecerla nuevamente. El valor predeterminado es de 10 segundos.
• Tiempo Muerto — En el cuadro de texto Tiempo Muerto, ingrese el tiempo a partir del cual un servidor inactivo se marca como activo nuevamente. En la lista desplegable Tiempo Muerto, seleccione Minutos u Horas para establecer la duración. El tiempo predeterminado es de 10 minutos.
  Después de que un servidor de autenticación no haya respondido durante tres intentos de autenticación separados, éste queda marcado como inactivo. Los intentos adicionales de autenticación no probarán con este servidor hasta que se marque nuevamente como activo después de que haya transcurrido el tiempo muerto y el servidor se marque como activo nuevamente.

Base de Búsqueda y Atributos de Inicio de Sesión

• Base de Búsqueda — En el cuadro de texto Base de Búsqueda, ingrese la ubicación en el directorio para iniciar la búsqueda. ¡Consejo! El formato estándar para los ajustes de la base de búsqueda es: ou=<name of organizational unit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished server name that appears after the dot>.
  Para obtener más información sobre cómo utilizar una base de búsqueda para limitar los directorios en el servidor de autenticación en donde el dispositivo puede buscar una coincidencia de autenticación, vaya a Encontrar Su Base de Búsqueda del Active Directory en la Ayuda de Fireware.
• Cadena de Grupos — Si no cambió su esquema de Active Directory, la Cadena de Grupos siempre es tokenGroups. Si ha cambiado su esquema, escriba la cadena de atributos que se utiliza para guardar la información del grupo de seguridad del usuario en el servidor Active Directory.
• Atributo de Inicio de Sesión — En la lista desplegable Atributo de Inicio de Sesión, seleccione un atributo de inicio de sesión de Active Directory para que se utilice en la autenticación. El atributo de inicio de sesión es el nombre usado para vincular a la base de datos del Active Directory. El atributo predeterminado de inicio de sesión es sAMAccountName. Si usa sAMAccountName, no es necesario que especifique un valor para la configuración de DN del Usuario Buscador y Contraseña del Usuario Buscador.
• DN del Usuario Buscador — En el cuadro de texto DN del Usuario Buscador, ingrese el nombre completo (DN) para una operación de búsqueda.
  Si mantiene el atributo de inicio de sesión de sAMAccountName, no es necesario que ingrese algo en este cuadro de texto.
  Si cambia el atributo de inicio de sesión, debe agregar un valor en el cuadro de texto DN del Usuario Buscador. Puede usar cualquier DN de usuario con el privilegio para buscar en LDAP/Active Directory, como por ejemplo el de administrador. No obstante, un DN de usuario más débil, sólo con un privilegio de búsqueda, suele ser suficiente. Por ejemplo: cn=Administrator,cn=Users,dc=example,dc=com
• Contraseña del Usuario Buscador — En el cuadro de texto Contraseña del Usuario Buscador, inserte la contraseña asociada al nombre completo para una operación de búsqueda.

Temas Relacionados

Dominios de Autenticación de WatchGuard Cloud

Configurar la Autenticación RADIUS para un Firebox

Dominios de Autenticación del Punto de Acceso

Configurar Autenticación RADIUS para un Punto de Acceso