Pasos para implementar mecanismo de validación SSO en redes empresariales con AD y WatchGuard

La importancia de establecer un mecanismo de validación conjugando simplicidad para el usuario sin perder de vista el esquema de seguridad en la red empresarial, debe ser un pilar fundamental en toda organización. Por eso, hemos querido aportar con este documento técnico los pasos a seguir para lograr la sinergia deseada utilizando nuestro servidor Microsoft Active Directory con la herramienta de validación SSO de WatchGuard Technologies con los dispositivos Firebox. Recuerde acceder a su portal WatchGuard y descargar las herramientas necesarias, contar con las actualizaciones a nivel de servidor Active Directory:

• WG-AuthenticationGateway.exe
• WG-Authentication-Client.msi

Verificar los requisitos de red.

Antes de configurar SSO para su red de usuarios, verifique que la configuración de red sea compatible con todos los requisitos necesarios.

Directorio Activo

• Debe tener un servidor de Active Directory configurado en su red local de usuarios.

• Su Firebox debe estar configurado para usar la autenticación de Active Directory.

• Cada usuario debe tener una cuenta de usuario en el servidor de Active Directory.

• Cada usuario debe iniciar sesión con una cuenta de usuario de dominio para que SSO funcione correctamente. Si los usuarios inician sesión con una cuenta que solo existe en sus computadoras locales, sus credenciales no se verifican y el Firebox no reconoce que están conectados.

• El Agente de SSO y el Monitor de Registro de Eventos (ELM) deben ejecutarse como una cuenta de usuario en el grupo de seguridad Usuarios de dominio o Administradores de dominio

• Si la cuenta de usuario está en el grupo de seguridad Usuarios de dominio, debe tener privilegios para ejecutar servicios en el servidor de Active Directory, buscar en el directorio y buscar toda la información de auditoría de otros usuarios.

• Todas las computadoras desde las cuales los usuarios se autentican con SSO deben ser miembros del dominio de Active Directory con relaciones de confianza ininterrumpidas.
• • Las computadoras Mac OS X deben unirse al dominio de Active Directory antes de poder instalar el cliente SSO.
  • El Monitor de Exchange debe ejecutarse como una cuenta de usuario en el grupo de seguridad Admins. Del dominio.
  
  
  Notas previas:  Al momento de la instalación del WatchGuard Autentication Gateway (WAG), la opción Event Log Monitor (ELM) vendrá deshabilitada por defecto, habilítela y seguir con la instalación.
  
  Para implementar el SSO los computadores los clientes deben tener habilitados los accesos a los puertos NetBIOS (TCP/UDP 137, 138 y 139) y Samba (puerto TCP 445). NetBIOS habilita los puertos descritos si "File and Printer Sharing" está habilitado en el equipo cliente, al igual que Samba.
  
  Si no se habilita el puerto TCP 445, se obtendrá como resultado este error en el Traffic Monitor de nuestro dispositivo Firebox:

Más adelante se explicará de forma detallada los errores más comunes, y como solucionarlos.

 - Si se utiliza el cliente WatchGuard para las computadoras, es necesario habilitar el puerto 4116 (Esto a partir de la versión 11.10). Sólo es compatible con Windows 7,10, server 2007 (superiores).

 - El equipo donde se instalará el agente SSO debe tener instalado el paquete Microsoft .NET Framework al menos 3.0   o versiones superiores

1) Configurar el servidor SSO en el Firebox. - En Policy Manager --> Setup --> Authentication --> Authentication Settings. Allí configurar la dirección IP del Servidor que llevaría el Agente SSO. - Configurar posibles excepciones a la aplicación de SSO. 

2) En el servidor Controlador de Dominio con Active Directory Crear un usuario (sugerido y como ejemplo: sso_user). - Aplicar al usuario la propiedad "Password never expires". - Incluir como miembro del grupo "Domain Admins" y que este sea el primario para dicho usuario. - Permitir al usuario la validación para ejecutar un "Servicio". Administrative Tools\Domain Security Policy\Security Settings\Local Policies\User Rigths Asignment\Logon as Service --> Agregar el usuario creado con detalle del dominio (dominioX\sso_user).  

3) Instalará el agente SSO en el controlador de Dominio (Por defecto: WG-AuthenticationGateway.exe). - Realizar instalación típica Windows. - En la ventana que solicita los datos de validación (nombre de dominioX\usuario y contraseña) del usuario ingresar los del usuario creado (dominioX\sso_user).

¡Importante!: No agregar la parte secundarias del dominio como .com, .local, .net, etc.   

   

- Al concluir la instalación, en la consola de "Servicios" de Windows podrá ver un nuevo servicio con nombre "WatchGuard Authentication Gateway". 

4) Crear un Group Policy Object en la consola de políticas del controlador de dominio.

 - Crear una carpeta compartida para alojar el instalador del cliente para las PC's (\\domain_controller\Folder \WG-Authentication-Client.msi). Además, se le debe dar privilegios a los grupos que contengan los usuarios a quienes se les aplicaría el método SSO al trabajar con el Firebox (Nota: Esto debería coincidir con los definidos en el Firebox provenientes del Active Directory). 

- Editar la política de grupo creada en el domain controller y realizar la siguiente configuracion: User Configuration\Software Settings\Software Instalation" Buscar la ruta "compartida"(\\domain_controller\Folder\) donde se aloja la instalación del cliente WatchGuard .MSI y seleccionar dicho archivo (WG-Authentication-Client.msi) en modo "Assigned". 

- Al volver a la consola de Group Policy agregar en "Security Filtering" los grupos que contienen los usuarios para aplicar la instalación remota. (Nota: estos grupos deberían coincidir con los definidos en el Firebox para realizar la autenticación contra Active Directory). - Ejecutar en la línea de comandos gpupdate /force

Uso de la herramienta SSO port tester

Para verificar que el agente SSO pueda contactar al Event Log Monitor y Exchange Monitor a través de los puertos requeridos, puede usar la herramienta SSO Port Tester . Esta herramienta prueba la conectividad del puerto entre el servidor donde instaló el agente de SSO y además:

• Rango de direcciones IP

• Dirección IP única

• Subred específica

• Lista de direcciones IP específicas.

1. Inicie sesión en la Herramienta de configuración del agente de SSO.

2. Seleccione Edición> Configuración de contactos del agente SSO .

3. Haga clic en Probar puerto SSO . 

4. En la sección Especificar direcciones IP , seleccione una opción:

• Rango de dirección IP del host

• Dirección IP de red

• Importar direcciones IP

5. Si seleccionó el Rango de la dirección IP del host , en los cuadros de texto Rango de la dirección IP del host , escriba el rango de direcciones IP para probar. Para probar una sola dirección IP, escriba la misma dirección IP en ambos cuadros de texto.
   Si seleccionó Dirección IP de red , en el cuadro de texto Dirección IP de red , escriba la dirección IP de red para probar.
   Si seleccionó Importar direcciones IP , haga clic  y seleccione el archivo de texto sin formato con la lista de direcciones IP para probar.

6. En el cuadro de texto Puertos, escriba los números de puerto para probar.
   Para probar más de un puerto, escriba cada número de puerto separado por una coma, sin espacios.

7. Haga clic en Prueba.
8. Para guardar los resultados de la prueba en un archivo de registro, haga clic en Guardar registro y especifique el nombre y la ubicación del archivo para guardar el archivo de registro.
   
   
9. Para detener el proceso de la herramienta del probador del puerto, haga clic en Salir .

Mensajes de errores comunes.

Acceso denegado

Puede ver este mensaje de error si:

• Hay dispositivos en la red que no son computadoras, por ejemplo, impresoras y enrutadores (recuerde agregarlos en la lista de excepciones)

• Hay computadoras u otros dispositivos en la red que no son miembros del dominio

• Un usuario proporcionó credenciales de dominio no válidas para SSO

• Los servicios de SSO en el servidor o la computadora no tienen privilegios de administrador

Para solucionar este mensaje de error:

• Verifique que la relación de confianza entre la computadora de dominio y el controlador de dominio sea correcta. Si hay un problema de membresía en el dominio, elimine la computadora del dominio y vuelva a agregarla al dominio.

• Para confirmar que se resuelve el problema de membresía del dominio, intente conectarse a un servidor miembro de dominio en su red a través de una ruta UNC.
  Por ejemplo, si el nombre de su servidor de archivos es CompanyShare , en el símbolo del sistema de Windows, escriba \\ CompanyShare . Si no puede obtener acceso a esta carpeta y aparecen los mensajes de error de los permisos de Windows, verifique estas configuraciones en el servidor de Active Directory: configuración de la computadora, configuración de la cuenta de usuario y la relación de confianza.
  
  
• A continuación se puede apreciar un ejemplo:

Usuario desconocido

Este error puede ser causado por:

• Archivos de registro de eventos que no existen o están llenos

• Una computadora que no es un miembro del dominio

• Iniciativas de conexión SSO intentadas por usuarios RDP cuando necesita actualizar su software de componente SSO
  
  Debe ejecutar v11.10 o superior para que los usuarios realicen una conexión RDP con SSO.

• ID de eventos de Windows que no son compatibles con los componentes WatchGuard SSO

Clientes SSO con Event Log Monitor

• El puerto TCP 4135 está abierto en el controlador de dominio donde está instalado el Event Log Monitor

• Event Log Monitor está instalado en un controlador de dominio para cada dominio de Active Directory en su red

• Event Log Monitor se ejecuta como una cuenta de usuario en el grupo de seguridad Usuarios de dominio o Administradores de dominio.

Consejo: Se le recomienda que agregue una cuenta de usuario Administrador en su servidor del Active Directory para este fin. Como consejo configure la contraseña de la cuenta para que nunca caduque

• Si la cuenta está en el grupo de seguridad Usuarios de Dominio, asegúrese de que tenga privilegios para ejecutar servicios en el servidor de Active Directory, buscar en el directorio y buscar toda la información de auditoria de otros usuarios.

• Event Log Monitor está habilitado en la configuración del Agente de SSO. Para especificar el Monitor de registro de eventos como su método principal de SSO, configúrelo en Prioridad 1. Para configurarlo como su método de SSO de respaldo, configúrelo en Prioridad 2.

• Después de habilitar los mensajes del registro de auditoría para que se generen para los eventos de inicio de sesión de la cuenta, el registro de eventos de seguridad en los equipos con Windows genera los eventos de Windows 4624 y 4634 después de las acciones de inicio de sesión y cierre de sesión.

• El archivo de registro de eventos de seguridad no está lleno en sus computadoras con Windows

Para habilitar los registros de auditoría para los eventos de inicio de sesión de la cuenta:

1. Seleccione Inicio> Herramientas administrativas> Gestión de políticas de grupo .

2. Haga clic con el botón derecho en la Política de dominio predeterminada y haga clic en Editar .
   Aparece el Editor de administración de políticas de grupo.

3. En Configuración del equipo , seleccione Políticas> Configuración de Windows> Configuraciones de seguridad> Políticas locales> Política de auditoría .

4. Abrir eventos de inicio de sesión de cuenta de auditoría .

5. Seleccione la casilla de verificación Definir estas configuraciones de directiva .

7. Seleccione la casilla de verificación
    
8. Para generar mensajes de registro adicionales que pueden ayudarlo a solucionar problemas de autenticación, seleccione la casilla de verificación Fallo
9. Haga clic en Aceptar .

8. Fuerce a las computadoras de los usuarios a obtener la política de grupo actualizada con uno de estos métodos:

• Ejecute gpupdate localmente en la computadora, o de forma remota con el comando gpupdate / target 

• Pídale al usuario que cierre sesión y vuelva a iniciar sesión.

• Reinicie la computadora del usuario.

                                                                                                    

Configurar el monitor de registro de eventos SSO

Después de instalar Event Log Monitor, debe aplicar las configuraciones de puerto, registro de eventos y directiva de grupo para su red. También debe configurar el Agente de SSO para usar el Monitor de registro de eventos.

Para la implementación de SSO más confiable, recomendamos que use el cliente de SSO como el método de SSO principal y el monitor de registro de eventos como el método de SSO de respaldo.

Si el cliente de SSO no está instalado en las computadoras de los usuarios o no está disponible, puede usar el Event Log Monitor como el método de SSO principal para los usuarios de Windows. Esto se llama SSO sin cliente. Para SSO sin cliente, configure el Agente de SSO para obtener información de inicio de sesión del Monitor de registro de eventos SSO WatchGuard instalado en su red. Event Log Monitor sondea todas las direcciones IP de su red cada cinco segundos para encontrar nuevos eventos de inicio de sesión de Windows. 

El Event Log Monitor está instalado en uno o más servidores de miembros de dominio en cada dominio.

Consejo: Para obtener el mejor rendimiento de VPN y SSO, le recomendados que no utilice el Event Log Monitor en el túnel BOVPN

Para configurar SSO sin cliente para usuarios de sistemas operativos móviles Mac OS X, Linux, iOS, Android o Windows, debe usar WatchGuard SSO Exchange Monitor. Exchange Monitor está instalado en la misma computadora donde está instalado su servidor Microsoft Exchange.

Requisitos Previos.

Antes de instalar y configurar el Event Log Monitor, verifique que su configuración de red sea compatible con estos requisitos.

Puertos

Antes de configurar y habilitar la configuración para SSO sin cliente, asegúrese de que los equipos cliente de su dominio admitan una de estas opciones:

• El puerto TCP 445 está abierto

• Compartir archivos e impresoras está habilitado

Si el puerto TCP 445 no está abierto, Event Log Monitor no puede obtener información de usuario o de grupo, y SSO no funciona correctamente. Para probar si el puerto 445 está abierto, puede usar la herramienta SSO Port Tester. Como se mencionó anteriormente.

Registros de eventos de Windows

Event Log Monitor usa eventos de inicio de sesión de Windows para SSO. Para habilitar el monitor de registro de eventos para obtener las credenciales de usuario necesarias para SSO, en todas las computadoras con Windows de su red, debe asegurarse de que el registro de eventos de Windows esté activo y genere registros para nuevos eventos. También debe habilitar el registro de auditoría en todos los equipos con dominio de Windows para estos eventos:

• 4624 y 4634

• 4647, 4778 y 4779, si su red de Windows está configurada para Cambio rápido de usuario

Antes de que los usuarios de Remote Desktop Protocol (RDP) puedan usar Event Log Monitor para SSO, los eventos de Microsoft 4624 y 4634 deben generarse en sus equipos cliente y contener atributos de Tipo de inicio de sesión. Estos atributos especifican si un evento de inicio de sesión o cierre de sesión se produjo en la red local o a través de RDP. Los atributos 2 y 11 especifican los eventos locales de inicio de sesión y cierre de sesión. El atributo 10 especifica un inicio de sesión RDP o evento de cierre de sesión.

Políticas de grupo

En su controlador de dominio, debe configurar políticas de grupo que requieran que los clientes de Windows auditen los eventos de inicio de sesión.

1. Abra el Editor de objetos de directiva de grupo y edite la Política de dominio predeterminada .

2. Asegúrese de que la Política de auditoría ( Configuración del equipo> Configuración de Windows> Configuración de seguridad> Políticas locales> Política de auditoría ) tenga habilitados los eventos de inicio de sesión de la cuenta de auditoría y Auditoría de eventos de inicio de sesión .

3. Abra un símbolo del sistema y ejecute el comando gpupdate / force / boot
   Aparece un mensaje de confirmación.

Aplicar la configuración de contactos del agente de SSO

Antes de que Event Log Monitor pueda enviar información de inicio de sesión de usuario al agente SSO, debe configurar los contactos del agente SSO para habilitar el agente SSO para conectarse al Event Log Monitor. Debe agregar un dominio de contacto (el nombre de dominio y la dirección IP del Event Log Monitor), si tiene:

• Un dominio y el agente de SSO no está instalado en su controlador de dominio

• Más de un dominio y Event Log Monitor está instalado en un dominio diferente al del Agente de SSO

Para configurar los ajustes de contactos del agente de SSO:

1. Inicie sesión en la herramienta de configuración del agente de SSO.

2. Seleccione Edición> Configuración de contactos del agente SSO .
   Aparecerá el cuadro de diálogo Configuración de contactos del agente de SSO.

3. En la lista de contactos del agente SSO , seleccione la casilla de verificación para Event Log Monitor 

4. Para cambiar la posición del Monitor de registro de eventos en la lista Contactos del agente de SSO , seleccione la casilla de verificación Monitor de registro de eventos y haga clic en Arriba o Abajo .
   No puede cambiar la posición del Monitor de Exchange. Si usa el cliente SSO, asegúrese de que el cliente SSO sea la primera entrada. Si especifica el cliente de SSO como el contacto principal, pero el cliente de SSO no está disponible, el agente de SSO se pone en contacto con el monitor de registro de eventos a continuación, pero esto puede causar un retraso.

5. Agregue, edite o elimine un dominio de contacto para Event Log Monitor, como se describe en las siguientes secciones.

6. Haga clic en Aceptar .

Agregar un dominio de contacto

Después de haber instalado Event Log Monitor en los dominios de su red y haber habilitado al agente SSO para contactar al Event Log Monitor para la información de inicio de sesión del usuario, puede configurar el agente SSO con las direcciones IP de cada Event Log Monitor, por lo que el agente SSO puede obtener información de inicio de sesión del usuario de cada Event Log Monitor en su red.

Si especifica más de un Monitor de registro de eventos en la lista Dominios de contacto , el Agente de SSO se pone en contacto con la primera entrada de la lista de credenciales de usuario e información de grupo. Si el primer Event Log Monitor no está disponible, el agente de SSO contacta al próximo Event Log Monitor en la lista. Este proceso continúa hasta que el Agente de SSO encuentra un Monitor de registro de eventos disponible.

Desde el cuadro de diálogo Configuración de contacto del agente de SSO :

1. Haga clic en Agregar .
   Aparecerá el cuadro de diálogo Configuración del dominio.

2. Para la opción Tipo , seleccione Event Log Monitor .

3. En el cuadro de texto Nombre de dominio , escriba el nombre del dominio para el que desea que el Monitor de registro de eventos se ponga en contacto para las credenciales del usuario.
   Debe escribir el nombre en el formato dominio.com 

4. En el cuadro de texto IP Addresses of Event Log Monitor , escriba las direcciones IP para el Event Log Monitor.
   Para especificar más de una dirección IP para el Event Log Monitor, separe las direcciones IP con un punto y coma, sin espacios.

5. Haga clic en Aceptar .
   La información de dominio que ha especificado aparece en la lista Dominios de contacto.

Editar un dominio de contacto

Desde el cuadro de diálogo Configuración de contacto del agente de SSO :

1. En la lista Dominios de contacto , seleccione el dominio para cambiar.

2. Haga clic en Editar .
   Aparecerá el cuadro de diálogo Configuración del monitor de registro de eventos.

3. Actualiza la configuración del dominio.

4. Haga clic en Aceptar .

Eliminar un dominio

Desde el cuadro de diálogo Configuración de contacto del agente de SSO :

1. En la lista Dominios de contacto , seleccione el dominio para eliminar.

2. Haga clic en Eliminar .
   El dominio se elimina de la lista.

Juan Fernández.
Analista I/ Proyectos Junior.
Servicios de Proyectos y Consultoría SGSI 0526