Además de la autenticación de usuario local, puede agregar un servidor de autenticación externo (AD, LDAP, Radius o RSA) que esté vinculado a la puerta de enlace de SSL. Todos los usuarios con cuentas en el servidor de autenticación vinculado se autenticarán.

El tiempo máximo de autenticación por medio de SSL VPN es de 3 minutos. Esto se debe a que el tiempo de espera sin autenticación es de 3 minutos, y no se trata de una propiedad configurable. Por eso, en situaciones donde el tiempo de espera de autenticación de AD se establece con un valor superior a 3 minutos, o donde existen varios servidores para autenticación en cadena y el tiempo que tarda la autorización del usuario es superior a 3 minutos, no será posible autenticarse.

Procedimiento

  1. En la pestaña SSL VPN-Plus, seleccione Autenticación (Authentication) en el panel izquierdo.
  2. Haga clic en el icono Agregar (Add) (icono agregar).
  3. Seleccione el tipo de servidor de autenticación.
  4. Según el tipo de servidor de autenticación seleccionado, complete los siguientes campos.
    • Servidor de autenticación de AD (AD authentication server)
      Tabla 1. Opciones del servidor de autenticación de AD (AD Authentication Server Options)
      Opción Descripción
      Habilitar SSL (Enable SSL) Si se habilita SSL, se establece un vínculo encriptado entre un servidor web y un explorador.
      Nota: Puede experimentar problemas si no habilita SSL y vuelve a intentar cambiar la contraseña a través de la pestaña SSL VPN-Plus o a través del equipo cliente más tarde.
      Dirección IP (IP Address) Dirección IP del servidor de autenticación.
      Puerto (Port) Muestra el nombre de puerto predeterminado. Si es necesario, edite esta opción.
      Tiempo de espera (Timeout) Período en segundos dentro del cual debe responder el servidor de AD.
      Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor está habilitado.
      Base de búsqueda (Search base) Parte del árbol del directorio externo donde se llevará a cabo la búsqueda. La base de búsqueda puede ser un elemento equivalente a la unidad de organización (OU), al controlador de dominio (DC), o el nombre de dominio (AD) del directorio externo.

      Ejemplos:

      • OU=Users,DC=aslan,DC=local
      • OU=VPN,DC=aslan,DC=local
      DN de enlace (Bind DN) El usuario del servidor de AD externo permitió la búsqueda en el directorio de AD dentro de la base de búsqueda definida. La mayoría de las veces, el DN de enlace se permite para buscar en todo el directorio. La función del DN de enlace es realizar una consulta en el directorio con el filtro de consulta y la base de búsqueda del nombre distinguido (DN) para autenticar usuarios de AD. Cuando se recibe el DN, se utilizan el DN y la contraseña para autenticar el usuario de AD.

      Ejemplo: CN=ldap.edge,OU=users,OU=Datacenter Users,DC=aslan,DC=local

      Contraseña de enlace (Bind Password) Contraseña para autenticar el usuario de AD.
      Volver a escribir contraseña de enlace (Retype Bind Password) Vuelva a escribir la contraseña.
      Nombre de atributo de inicio de sesión (Login Attribute Name) Nombre con el cual se hace coincidir al identificador de usuario introducido por el usuario remoto. Para Active Directory, el nombre de atributo de inicio de sesión es sAMAccountName.
      Filtro de búsqueda (Search Filter) Valores de filtro con los cuales se limita la búsqueda. El formato del filtro de búsqueda es attribute operator value.

      Si necesita limitar la base de búsqueda a un grupo específico de AD y no permitir la búsqueda en toda la unidad de organización:

      • No coloque el nombre de grupo dentro de la base de búsqueda, coloque únicamente la unidad de organización y el controlador de dominio.
      • No coloque objectClass y memberOf dentro de la misma cadena de filtro de búsqueda. Ejemplo de formato correcto para el filtro de búsqueda: memberOf=CN=VPN_Users,OU=Users,DC=aslan,DC=local
      Utilizar este servidor para la autenticación secundaria (Use this server for secondary authentication) Si se selecciona esta opción, este servidor de AD se utiliza como el segundo nivel de autenticación.
      Finalizar sesión si se produce un error en la autenticación (Terminate Session if authentication fails) Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.
    • Servidor de autenticación LDAP
      Tabla 2. Opciones del servidor de autenticación LDAP
      Opción Descripción
      Habilitar SSL (Enable SSL) Si se habilita SSL, se establece un vínculo encriptado entre un servidor web y un explorador.
      Dirección IP (IP Address) Dirección IP del servidor externo.
      Puerto (Port) Muestra el nombre de puerto predeterminado. Si es necesario, edite esta opción.
      Tiempo de espera (Timeout) Período en segundos dentro del cual debe responder el servidor de AD.
      Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor está habilitado.
      Base de búsqueda (Search base) Parte del árbol del directorio externo donde se llevará a cabo la búsqueda. La base de búsqueda puede ser un elemento equivalente a la organización, al grupo o al nombre de dominio (AD) del directorio externo.
      DN de enlace (Bind DN) El usuario del servidor externo permitió la búsqueda en el directorio de AD dentro de la base de búsqueda definida. La mayoría de las veces, el DN de enlace se permite para buscar en todo el directorio. La función del DN de enlace es realizar una consulta en el directorio con el filtro de consulta y la base de búsqueda del nombre distinguido (DN) para autenticar usuarios de AD. Cuando se recibe el DN, se utilizan el DN y la contraseña para autenticar el usuario de AD.
      Contraseña de enlace (Bind Password) Contraseña para autenticar el usuario de AD.
      Volver a escribir contraseña de enlace (Retype Bind Password) Vuelva a escribir la contraseña.
      Nombre de atributo de inicio de sesión (Login Attribute Name) Nombre con el cual se hace coincidir al identificador de usuario introducido por el usuario remoto. Para Active Directory, el nombre de atributo de inicio de sesión es sAMAccountName.
      Filtro de búsqueda (Search Filter) Valores de filtro con los cuales se limita la búsqueda. El formato del filtro de búsqueda es attribute operator value.
      Utilizar este servidor para la autenticación secundaria (Use this server for secondary authentication) Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.
      Finalizar sesión si se produce un error en la autenticación (Terminate Session if authentication fails) Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.
    • Servidor de autenticación RADIUS

      En el modo FIPS está deshabilitada la autenticación RADIUS.

      Tabla 3. Opciones del servidor de autenticación RADIUS
      Opción Descripción
      Dirección IP (IP Address) Dirección IP del servidor externo.
      Puerto (Port) Muestra el nombre de puerto predeterminado. Si es necesario, edite esta opción.
      Tiempo de espera (Timeout) Período en segundos dentro del cual debe responder el servidor de AD.
      Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor está habilitado.
      Secreto (Secret) Secreto específico compartido al agregar el agente de autenticación en la consola de seguridad de RSA.
      Volver a escribir secreto (Retype secret) Vuelva a escribir el secreto compartido.
      Dirección IP de NAS (NAS IP Address) La dirección IP que se configura y utiliza como la dirección IP de NAS, atributo 4 de RADIUS, sin cambiar la dirección IP de origen en el encabezado IP de los paquetes RADIUS.
      Cantidad de reintentos (Retry Count) Cantidad de veces que debe entablarse comunicación con el servidor RADIUS si no responde antes de se produzca un error en la autenticación.
      Utilizar este servidor para la autenticación secundaria (Use this server for secondary authentication) Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.
      Finalizar sesión si se produce un error en la autenticación (Terminate Session if authentication fails) Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.
    • Servidor de autenticación RSA-ACE

      En el modo FIPS está deshabilitada la autenticación RSA.

      Tabla 4. Opciones del servidor de autenticación RSA-ACE
      Opción Descripción
      Tiempo de espera (Timeout) Período en segundos dentro del cual debe responder el servidor de AD.
      Archivo de configuración (Configuration File) Haga clic en Examinar (Browse) para seleccionar el archivo sdconf.rec que descargó de RSA Authentication Manager.
      Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor está habilitado.
      Dirección IP de origen (Source IP Address) Dirección IP de la interfaz de NSX Edge por medio de la cual se accede al servidor RSA.
      Utilizar este servidor para la autenticación secundaria (Use this server for secondary authentication) Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.
      Finalizar sesión si se produce un error en la autenticación (Terminate Session if authentication fails) Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.
    • Servidor de autenticación local
      Tabla 5. Opciones del servidor de autenticación local
      Opción Descripción
      Habilitar directiva de contraseña (Enable password policy) Si se selecciona esta opción, se define una directiva de contraseña. Especifica los valores requeridos.
      Habilitar directiva de contraseña (Enable password policy) Si se selecciona esta opción, se define una directiva de bloqueo de cuenta. Especifica los valores requeridos.

      1. En Cantidad de reintentos (Retry Count), escriba la cantidad de veces que un usuario remoto puede intentar acceder a su cuenta después de introducir una contraseña incorrecta.

      2. En Duración de los reintentos (Retry Duration), escriba el período durante el cual la cuenta del usuario remoto debe bloquearse tras intentos de inicio de sesión incorrectos.

        Por ejemplo, si especifica 5 para Cantidad de reintentos (Retry Count) y 1 minuto para Duración de los reintentos (Retry Duration), la cuenta del usuario remoto se bloquea si realiza 5 intentos de inicio de sesión incorrectos en 1 minuto.

      3. En Duración del bloqueo (Lockout Duration), escriba el período durante el cual permanece bloqueada la cuenta del usuario. Transcurrido este período, la cuenta se desbloquea automáticamente.

      Estado (Status) Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor está habilitado.
      Utilizar este servidor para la autenticación secundaria (Use this server for secondary authentication) Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.
      Finalizar sesión si se produce un error en la autenticación (Terminate Session if authentication fails) Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.
  5. (opcional) Agregue la autenticación del certificado de cliente.
    1. Junto a Autenticación de certificado (Certificate Authentication), haga clic en Cambiar (Change).
    2. Seleccione la casilla de verificación Habilitar autenticación de certificado de cliente (Enable client certificate authentication).
    3. Seleccione un certificado de cliente emitido por la CA raíz y haga clic en Aceptar (OK).
      Restricción:
      • El portal web SSL VPN-Plus y el cliente de acceso completo SSL VPN-Plus (cliente PHAT) admiten el certificado de usuario o de cliente que esté firmado solo por la CA raíz. El certificado de cliente firmado por una CA intermedia no es compatible.
      • La autenticación de certificado de cliente solo se puede usar en un cliente SSL VPN-Plus que esté instalado en un equipo Windows. Esta autenticación no se admite en un cliente SSL VPN-Plus instalado en equipos Linux y Mac.