La importancia de establecer un mecanismo de validación conjugando simplicidad para el usuario sin perder de vista el esquema de seguridad en la red empresarial, debe ser un pilar fundamental en toda organización. Por eso, hemos querido aportar con este documento técnico los pasos a seguir para lograr la sinergia deseada utilizando nuestro servidor Microsoft Active Directory con la herramienta de validación SSO de WatchGuard Technologies con los dispositivos Firebox. Recuerde acceder a su portal WatchGuard y descargar las herramientas necesarias, contar con las actualizaciones a nivel de servidor Active Directory:
- WG-AuthenticationGateway.exe
- WG-Authentication-Client.msi
Verificar
los requisitos de red.
Antes de configurar SSO para su red de usuarios, verifique que la configuración de
red sea compatible con todos los requisitos necesarios.
Directorio Activo
- Debe tener un servidor de Active Directory
configurado en su red local de usuarios.
- Su Firebox debe estar configurado para usar la
autenticación de Active Directory.
- Cada usuario debe tener una cuenta de usuario
en el servidor de Active Directory.
- Cada usuario debe iniciar sesión con una
cuenta de usuario de dominio para que SSO funcione correctamente. Si
los usuarios inician sesión con una cuenta que solo existe en sus
computadoras locales, sus credenciales no se verifican y el Firebox no
reconoce que están conectados.
- El Agente de SSO y el Monitor de Registro de Eventos (ELM) deben ejecutarse como una cuenta de usuario en el grupo de
seguridad Usuarios de dominio o Administradores de dominio
- Si la cuenta de usuario está en el grupo de seguridad Usuarios de dominio, debe tener privilegios para ejecutar servicios en el servidor de Active Directory, buscar en el directorio y buscar toda la información de auditoría de otros usuarios.
- Todas las computadoras desde las cuales los usuarios se autentican con SSO deben ser miembros del dominio de Active Directory con relaciones de confianza ininterrumpidas.
- Las
computadoras Mac OS X deben unirse al dominio de Active Directory antes de
poder instalar el cliente SSO.
- El
Monitor de Exchange debe ejecutarse como una cuenta de usuario en el grupo
de seguridad Admins. Del dominio.
Notas previas: Al momento de la instalación del WatchGuard Autentication Gateway (WAG), la opción Event Log Monitor (ELM) vendrá deshabilitada por defecto, habilítela y seguir con la instalación.
Para implementar el SSO los computadores los clientes deben tener habilitados los accesos a los puertos NetBIOS (TCP/UDP 137, 138 y 139) y Samba (puerto TCP 445). NetBIOS habilita los puertos descritos si "File and Printer Sharing" está habilitado en el equipo cliente, al igual que Samba.Si no se habilita el puerto TCP 445, se obtendrá como resultado este error en el Traffic Monitor de nuestro dispositivo Firebox:- Las
computadoras Mac OS X deben unirse al dominio de Active Directory antes de
poder instalar el cliente SSO.
Más
adelante se explicará de forma detallada los errores más comunes, y como
solucionarlos.
- Si se utiliza el cliente WatchGuard para las
computadoras, es necesario habilitar el puerto 4116 (Esto a partir de la
versión 11.10). Sólo es compatible con Windows 7,10, server 2007 (superiores).
- El equipo donde se instalará el agente SSO
debe tener instalado el paquete Microsoft .NET Framework al menos 3.0 o versiones superiores
1)
Configurar el servidor SSO en el Firebox. - En Policy Manager --> Setup
--> Authentication --> Authentication Settings. Allí configurar la dirección IP del
Servidor que llevaría el Agente SSO. - Configurar posibles excepciones a la
aplicación de SSO.
2)
En el servidor Controlador de Dominio con Active Directory Crear un usuario
(sugerido y como ejemplo: sso_user). - Aplicar al usuario la propiedad "Password never
expires". - Incluir como miembro del grupo "Domain Admins" y
que este sea el primario para dicho usuario. - Permitir al usuario la
validación para ejecutar un "Servicio". Administrative Tools\Domain
Security Policy\Security Settings\Local Policies\User Rigths Asignment\Logon as
Service --> Agregar el usuario creado con detalle del dominio
(dominioX\sso_user).
3)
Instalará el agente SSO en el controlador de Dominio (Por defecto:
WG-AuthenticationGateway.exe). - Realizar instalación típica Windows. - En la
ventana que solicita los datos de validación (nombre de dominioX\usuario y
contraseña) del usuario ingresar los del usuario creado (dominioX\sso_user).
¡Importante!: No agregar la parte secundarias del dominio
como .com, .local, .net, etc.
-
Al concluir la instalación, en la consola de "Servicios" de Windows
podrá ver un nuevo servicio con nombre "WatchGuard Authentication
Gateway".
4)
Crear un Group Policy Object en la consola de políticas del controlador de
dominio.
- Crear una carpeta compartida para alojar el
instalador del cliente para las PC's (\\domain_controller\Folder
\WG-Authentication-Client.msi). Además, se le debe dar privilegios a los grupos
que contengan los usuarios a quienes se les aplicaría el método SSO al trabajar
con el Firebox (Nota: Esto debería coincidir con los definidos en el Firebox
provenientes del Active Directory).
- Editar la política de grupo creada en el domain controller y realizar la siguiente configuracion: User Configuration\Software Settings\Software Instalation" Buscar la ruta "compartida"(\\domain_controller\Folder\) donde se aloja la instalación del cliente WatchGuard .MSI y seleccionar dicho archivo (WG-Authentication-Client.msi) en modo "Assigned".
- Al volver a la consola de Group Policy agregar en "Security Filtering" los grupos que contienen los usuarios para aplicar la instalación remota. (Nota: estos grupos deberían coincidir con los definidos en el Firebox para realizar la autenticación contra Active Directory). - Ejecutar en la línea de comandos gpupdate /force
- Editar la política de grupo creada en el domain controller y realizar la siguiente configuracion: User Configuration\Software Settings\Software Instalation" Buscar la ruta "compartida"(\\domain_controller\Folder\) donde se aloja la instalación del cliente WatchGuard .MSI y seleccionar dicho archivo (WG-Authentication-Client.msi) en modo "Assigned".
- Al volver a la consola de Group Policy agregar en "Security Filtering" los grupos que contienen los usuarios para aplicar la instalación remota. (Nota: estos grupos deberían coincidir con los definidos en el Firebox para realizar la autenticación contra Active Directory). - Ejecutar en la línea de comandos gpupdate /force
Uso de la herramienta SSO port tester
Para verificar que el agente SSO pueda
contactar al Event Log Monitor y Exchange Monitor a través de los puertos
requeridos, puede usar la herramienta SSO Port Tester . Esta
herramienta prueba la conectividad del puerto entre el servidor donde instaló
el agente de SSO y además:
- Rango
de direcciones IP
- Dirección
IP única
- Subred
específica
- Lista de direcciones IP específicas.
- Inicie
sesión en la Herramienta de configuración del agente de SSO.
- Seleccione Edición>
Configuración de contactos del agente SSO .
- Haga
clic en Probar puerto SSO .
- En la sección Especificar
direcciones IP , seleccione una opción:
- Rango de dirección IP del
host
- Dirección IP de red
- Importar direcciones IP
- Si seleccionó el Rango
de la dirección IP del host , en los cuadros de texto Rango
de la dirección IP del host , escriba el rango
de direcciones IP para probar. Para probar una sola dirección IP,
escriba la misma dirección IP en ambos cuadros de texto.
Si seleccionó Dirección IP de red , en el cuadro de texto Dirección IP de red , escriba la dirección IP de red para probar.
Si seleccionó Importar direcciones IP , haga clic
- En el cuadro de
texto Puertos, escriba los números de puerto para
probar.
Para probar más de un puerto, escriba cada número de puerto separado por una coma, sin espacios.
- Haga clic en Prueba.
- Para guardar los resultados
de la prueba en un archivo de registro, haga clic en Guardar
registro y especifique el nombre y la ubicación del archivo para
guardar el archivo de registro.
- Para detener el proceso de
la herramienta del probador del puerto, haga clic en Salir .
Mensajes de errores comunes.
Acceso denegado
Puede ver este mensaje de error si:
- Hay dispositivos en la red que no son
computadoras, por ejemplo, impresoras y enrutadores (recuerde agregarlos en la lista de excepciones)
- Hay computadoras u otros dispositivos en la
red que no son miembros del dominio
- Un usuario proporcionó credenciales de dominio
no válidas para SSO
- Los servicios de SSO en el servidor o la
computadora no tienen privilegios de administrador
Para solucionar este mensaje de error:
- Verifique que la relación de confianza entre
la computadora de dominio y el controlador de dominio sea
correcta. Si hay un problema de membresía en el dominio, elimine la
computadora del dominio y vuelva a agregarla al dominio.
- Para confirmar que se resuelve el problema de
membresía del dominio, intente conectarse a un servidor miembro de dominio
en su red a través de una ruta UNC.
Por ejemplo, si el nombre de su servidor de archivos es CompanyShare , en el símbolo del sistema de Windows, escriba \\ CompanyShare . Si no puede obtener acceso a esta carpeta y aparecen los mensajes de error de los permisos de Windows, verifique estas configuraciones en el servidor de Active Directory: configuración de la computadora, configuración de la cuenta de usuario y la relación de confianza. - A continuación se puede apreciar un ejemplo:
Usuario desconocido
Este error puede ser causado por:
- Archivos de registro de eventos que no existen
o están llenos
- Una computadora que no es un miembro del
dominio
- Iniciativas de conexión SSO intentadas por
usuarios RDP cuando necesita actualizar su software de componente
SSO
Debe ejecutar v11.10 o superior para que los usuarios realicen una conexión RDP con SSO.
- ID de eventos de Windows que no son
compatibles con los componentes WatchGuard SSO
Clientes SSO con Event Log Monitor
- El puerto TCP 4135 está
abierto en el controlador de dominio donde está instalado el Event Log
Monitor
- Event Log Monitor está
instalado en un controlador de dominio para cada dominio de Active
Directory en su red
- Event Log Monitor se
ejecuta como una cuenta de usuario en el grupo de seguridad Usuarios de
dominio o Administradores de dominio.
Consejo: Se le recomienda que
agregue una cuenta de usuario Administrador en su servidor del Active Directory para este
fin. Como consejo configure la contraseña de la cuenta para que nunca caduque
- Si la cuenta está en el
grupo de seguridad Usuarios de Dominio, asegúrese de que tenga privilegios
para ejecutar servicios en el servidor de Active Directory, buscar en el
directorio y buscar toda la información de auditoria de otros usuarios.
- Event Log Monitor está
habilitado en la configuración del Agente de SSO. Para especificar el
Monitor de registro de eventos como su método principal de SSO,
configúrelo en Prioridad 1. Para configurarlo como su método de SSO de
respaldo, configúrelo en Prioridad 2.
- Después de habilitar los
mensajes del registro de auditoría para que se generen para los eventos de
inicio de sesión de la cuenta, el registro de eventos de seguridad en los
equipos con Windows genera los eventos de Windows 4624 y 4634 después de
las acciones de inicio de sesión y cierre de sesión.
- El archivo de registro de
eventos de seguridad no está lleno en sus computadoras con Windows
Para habilitar los registros
de auditoría para los eventos de inicio de sesión de la cuenta:
- Seleccione Inicio>
Herramientas administrativas> Gestión de políticas de grupo .
- Haga clic con el botón
derecho en la Política de dominio predeterminada y haga
clic en Editar .
Aparece el Editor de administración de políticas de grupo.
- En Configuración
del equipo , seleccione Políticas> Configuración de
Windows> Configuraciones de seguridad> Políticas locales>
Política de auditoría .
- Abrir eventos de
inicio de sesión de cuenta de auditoría .
- Seleccione
la casilla de verificación Definir estas configuraciones de
directiva .
- Seleccione
la casilla de verificación
- Para generar mensajes de registro adicionales que pueden ayudarlo a solucionar problemas de autenticación, seleccione la casilla de verificación Fallo
- Haga clic en Aceptar .
- Fuerce a las computadoras
de los usuarios a obtener la política de grupo actualizada con uno de
estos métodos:
- Ejecute gpupdate localmente
en la computadora, o de forma remota con el comando gpupdate / target
- Pídale al usuario que
cierre sesión y vuelva a iniciar sesión.
- Reinicie la computadora del usuario.
Configurar el monitor de
registro de eventos SSO
Después de instalar Event Log Monitor, debe aplicar las
configuraciones de puerto, registro de eventos y directiva de grupo para su
red. También debe configurar el Agente de SSO para usar el Monitor de
registro de eventos.
Para la implementación de SSO más confiable, recomendamos que use
el cliente de SSO como el método de SSO principal y el monitor de registro de
eventos como el método de SSO de respaldo.
Si el cliente de SSO no está instalado en las computadoras de los
usuarios o no está disponible, puede usar el Event Log Monitor como el método
de SSO principal para los usuarios de Windows. Esto se llama SSO
sin cliente. Para SSO sin cliente, configure el Agente de SSO
para obtener información de inicio de sesión del Monitor de registro de eventos
SSO WatchGuard instalado en su red. Event Log Monitor sondea todas las
direcciones IP de su red cada cinco segundos para encontrar nuevos eventos de
inicio de sesión de Windows.
El Event Log Monitor está instalado en uno o
más servidores de miembros de dominio en cada dominio.
Consejo: Para
obtener el mejor rendimiento de VPN y SSO, le recomendados que no utilice el
Event Log Monitor en el túnel BOVPN
Para configurar
SSO sin cliente para usuarios de sistemas operativos móviles Mac OS X, Linux,
iOS, Android o Windows, debe usar WatchGuard SSO Exchange
Monitor. Exchange Monitor está instalado en la misma computadora donde
está instalado su servidor Microsoft Exchange.
Requisitos
Previos.
Antes de instalar y configurar el Event
Log Monitor, verifique que su configuración de red sea compatible con estos
requisitos.
Puertos
Antes de configurar y habilitar la
configuración para SSO sin cliente, asegúrese de que los equipos cliente de su
dominio admitan una de estas opciones:
- El puerto TCP 445 está abierto
- Compartir archivos e impresoras está
habilitado
Si el puerto TCP 445 no está abierto,
Event Log Monitor no puede obtener información de usuario o de grupo, y SSO no
funciona correctamente. Para probar si el puerto 445 está abierto, puede
usar la herramienta SSO Port Tester. Como se mencionó anteriormente.
Registros
de eventos de Windows
Event Log Monitor usa eventos de inicio
de sesión de Windows para SSO. Para habilitar el monitor de registro de
eventos para obtener las credenciales de usuario necesarias para SSO, en todas
las computadoras con Windows de su red, debe asegurarse de que el registro de
eventos de Windows esté activo y genere registros para nuevos
eventos. También debe habilitar el registro de auditoría en todos los
equipos con dominio de Windows para estos eventos:
- 4624 y 4634
- 4647, 4778 y 4779, si su red de Windows
está configurada para Cambio rápido de usuario
Antes de que los usuarios de Remote
Desktop Protocol (RDP) puedan usar Event Log Monitor para SSO, los eventos de
Microsoft 4624 y 4634 deben generarse en sus equipos cliente y contener
atributos de Tipo de inicio de sesión. Estos atributos especifican si un
evento de inicio de sesión o cierre de sesión se produjo en la red local o a
través de RDP. Los atributos 2 y 11 especifican los eventos locales de
inicio de sesión y cierre de sesión. El atributo 10 especifica un inicio de
sesión RDP o evento de cierre de sesión.
Políticas
de grupo
En su controlador de dominio, debe
configurar políticas de grupo que requieran que los clientes de Windows auditen
los eventos de inicio de sesión.
- Abra el Editor de objetos de
directiva de grupo y edite la Política de dominio
predeterminada .
- Asegúrese de que la Política de
auditoría ( Configuración del equipo> Configuración de
Windows> Configuración de seguridad> Políticas locales> Política
de auditoría ) tenga habilitados los eventos de
inicio de sesión de la cuenta de auditoría y Auditoría
de eventos de inicio de sesión .
- Abra un símbolo del sistema y ejecute el
comando gpupdate
/ force / boot
Aparece un mensaje de confirmación.
Aplicar la configuración de contactos del agente de SSO
Antes de que Event Log Monitor pueda
enviar información de inicio de sesión de usuario al agente SSO, debe
configurar los contactos del agente SSO para habilitar el agente SSO para
conectarse al Event Log Monitor. Debe agregar un dominio de contacto (el
nombre de dominio y la dirección IP del Event Log Monitor), si tiene:
- Un dominio y el agente de SSO no está
instalado en su controlador de dominio
- Más de un dominio y Event Log Monitor está
instalado en un dominio diferente al del Agente de SSO
Para configurar los ajustes de contactos
del agente de SSO:
- Inicie sesión en la herramienta de
configuración del agente de SSO.
- Seleccione Edición>
Configuración de contactos del agente SSO .
Aparecerá el cuadro de diálogo Configuración de contactos del agente de SSO.
- En la lista de contactos del
agente SSO , seleccione la casilla de verificación para Event
Log Monitor
- Para cambiar la posición del Monitor de
registro de eventos en la lista Contactos del agente de SSO ,
seleccione la casilla de verificación Monitor de registro de
eventos y haga clic en Arriba o Abajo .
No puede cambiar la posición del Monitor de Exchange. Si usa el cliente SSO, asegúrese de que el cliente SSO sea la primera entrada. Si especifica el cliente de SSO como el contacto principal, pero el cliente de SSO no está disponible, el agente de SSO se pone en contacto con el monitor de registro de eventos a continuación, pero esto puede causar un retraso.
- Agregue, edite o elimine un
dominio de contacto para Event Log Monitor, como se describe en las
siguientes secciones.
- Haga clic en Aceptar .
Agregar
un dominio de contacto
Después de haber instalado Event Log
Monitor en los dominios de su red y haber habilitado al agente SSO para
contactar al Event Log Monitor para la información de inicio de sesión del
usuario, puede configurar el agente SSO con las direcciones IP de cada Event
Log Monitor, por lo que el agente SSO puede obtener información de inicio de
sesión del usuario de cada Event Log Monitor en su red.
Si especifica más de un Monitor de
registro de eventos en la lista Dominios de contacto , el
Agente de SSO se pone en contacto con la primera entrada de la lista de
credenciales de usuario e información de grupo. Si el primer Event Log
Monitor no está disponible, el agente de SSO contacta al próximo Event Log
Monitor en la lista. Este proceso continúa hasta que el Agente de SSO
encuentra un Monitor de registro de eventos disponible.
Desde el cuadro de diálogo Configuración
de contacto del agente de SSO :
- Haga clic en Agregar .
Aparecerá el cuadro de diálogo Configuración del dominio.
- Para la opción Tipo ,
seleccione Event Log Monitor .
- En el cuadro de texto Nombre
de dominio , escriba el nombre del dominio para el que desea que
el Monitor de registro de eventos se ponga en contacto para las
credenciales del usuario.
Debe escribir el nombre en el formato dominio.com
- En el cuadro de texto IP
Addresses of Event Log Monitor , escriba las direcciones IP para
el Event Log Monitor.
Para especificar más de una dirección IP para el Event Log Monitor, separe las direcciones IP con un punto y coma, sin espacios.
- Haga clic en Aceptar .
La información de dominio que ha especificado aparece en la lista Dominios de contacto.
Editar
un dominio de contacto
Desde el cuadro de diálogo Configuración
de contacto del agente de SSO :
- En la lista Dominios de
contacto , seleccione el dominio para cambiar.
- Haga clic en Editar .
Aparecerá el cuadro de diálogo Configuración del monitor de registro de eventos.
- Actualiza la configuración del dominio.
- Haga clic en Aceptar .
Eliminar
un dominio
Desde el cuadro de diálogo Configuración
de contacto del agente de SSO :
- En la lista Dominios de
contacto , seleccione el dominio para eliminar.
- Haga clic en Eliminar .
El dominio se elimina de la lista.
Juan Fernández.
Analista I/ Proyectos Junior.
Servicios de Proyectos y Consultoría SGSI 0526
Analista I/ Proyectos Junior.
Servicios de Proyectos y Consultoría SGSI 0526
Buenos Dias,
ResponderEliminarExcelente informacion. Gracias por compartirla