En lugar de un usuario local, puede agregar un servidor de autenticación externo (AD, LDAP, Radius o RSA) que esté vinculado a la puerta de enlace SSL. Todos los usuarios con cuentas en el servidor de autenticación vinculado se autenticarán.

Por qué y cuándo se efectúa esta tarea

El tiempo máximo de autenticación por medio de SSL VPN es de 3 minutos. Esto se debe a que el tiempo de espera sin autenticación es de 3 minutos, y no se trata de una propiedad configurable. Por eso, en situaciones donde el tiempo de espera de autenticación de AD se establece con un valor superior a 3 minutos, o donde existen varios servidores para autenticación en cadena y el tiempo que tarda la autorización del usuario es superior a 3 minutos, no será posible autenticarse.

Procedimiento

  1. En la pestaña SSL VPN-Plus, seleccione Autenticación (Authentication) en el panel izquierdo.
  2. Haga clic en el icono Agregar (Add) (icono agregar).
  3. Seleccione el tipo de servidor de autenticación.
  4. Según el tipo de servidor de autenticación seleccionado, complete los siguientes campos.
    • Servidor de autenticación de AD (AD authentication server)

      Tabla 1. Opciones del servidor de autenticación de AD (AD Authentication Server Options)

      Opción

      Descripción

      Habilitar SSL (Enable SSL)

      Si se habilita SSL, se establece un vínculo encriptado entre un servidor web y un explorador.

      Dirección IP (IP Address)

      Dirección IP del servidor de autenticación.

      Puerto (Port)

      Muestra el nombre de puerto predeterminado. Si es necesario, edite esta opción.

      Tiempo de espera (Timeout)

      Período en segundos dentro del cual debe responder el servidor de AD.

      Estado (Status)

      Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor está habilitado.

      Base de búsqueda (Search base)

      Parte del árbol del directorio externo donde se llevará a cabo la búsqueda. La base de búsqueda puede ser un elemento equivalente a la organización, al grupo o al nombre de dominio (AD) del directorio externo.

      DN de enlace (Bind DN)

      El usuario del servidor de AD externo permitió la búsqueda en el directorio de AD dentro de la base de búsqueda definida. La mayoría de las veces, el DN de enlace se permite para buscar en todo el directorio. El rol del DN de enlace es realizar una consulta en el directorio con el filtro de consulta y la base de búsqueda del nombre distinguido (DN) para autenticar usuarios de AD. Cuando se recibe el DN, se utilizan el DN y la contraseña para autenticar el usuario de AD.

      Contraseña de enlace (Bind Password)

      Contraseña para autenticar el usuario de AD.

      Volver a escribir contraseña de enlace (Retype Bind Password)

      Vuelva a escribir la contraseña.

      Nombre de atributo de inicio de sesión (Login Attribute Name)

      Nombre con el cual se hace coincidir al identificador de usuario introducido por el usuario remoto. Para Active Directory, el nombre de atributo de inicio de sesión es sAMAccountName.

      Filtro de búsqueda (Search Filter)

      Valores de filtro con los cuales se limita la búsqueda. El formato del filtro de búsqueda es attribute operator value.

      Utilizar este servidor para la autenticación secundaria (Use this server for secondary authentication)

      Si se selecciona esta opción, este servidor de AD se utiliza como el segundo nivel de autenticación.

      Finalizar sesión si se produce un error en la autenticación (Terminate Session if authentication fails)

      Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.

    • Servidor de autenticación LDAP

      Tabla 2. Opciones del servidor de autenticación LDAP

      Opción

      Descripción

      Habilitar SSL (Enable SSL)

      Si se habilita SSL, se establece un vínculo encriptado entre un servidor web y un explorador.

      Dirección IP (IP Address)

      Dirección IP del servidor externo.

      Puerto (Port)

      Muestra el nombre de puerto predeterminado. Si es necesario, edite esta opción.

      Tiempo de espera (Timeout)

      Período en segundos dentro del cual debe responder el servidor de AD.

      Estado (Status)

      Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor está habilitado.

      Base de búsqueda (Search base)

      Parte del árbol del directorio externo donde se llevará a cabo la búsqueda. La base de búsqueda puede ser un elemento equivalente a la organización, al grupo o al nombre de dominio (AD) del directorio externo.

      DN de enlace (Bind DN)

      El usuario del servidor externo permitió la búsqueda en el directorio de AD dentro de la base de búsqueda definida. La mayoría de las veces, el DN de enlace se permite para buscar en todo el directorio. El rol del DN de enlace es realizar una consulta en el directorio con el filtro de consulta y la base de búsqueda del nombre distinguido (DN) para autenticar usuarios de AD. Cuando se recibe el DN, se utilizan el DN y la contraseña para autenticar el usuario de AD.

      Contraseña de enlace (Bind Password)

      Contraseña para autenticar el usuario de AD.

      Volver a escribir contraseña de enlace (Retype Bind Password)

      Vuelva a escribir la contraseña.

      Nombre de atributo de inicio de sesión (Login Attribute Name)

      Nombre con el cual se hace coincidir al identificador de usuario introducido por el usuario remoto. Para Active Directory, el nombre de atributo de inicio de sesión es sAMAccountName.

      Filtro de búsqueda (Search Filter)

      Valores de filtro con los cuales se limita la búsqueda. El formato del filtro de búsqueda es attribute operator value.

      Utilizar este servidor para la autenticación secundaria (Use this server for secondary authentication)

      Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.

      Finalizar sesión si se produce un error en la autenticación (Terminate Session if authentication fails)

      Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.

    • Servidor de autenticación RADIUS

      Tabla 3. Opciones del servidor de autenticación RADIUS

      Opción

      Descripción

      Dirección IP (IP Address)

      Dirección IP del servidor externo.

      Puerto (Port)

      Muestra el nombre de puerto predeterminado. Si es necesario, edite esta opción.

      Tiempo de espera (Timeout)

      Período en segundos dentro del cual debe responder el servidor de AD.

      Estado (Status)

      Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor está habilitado.

      Secreto (Secret)

      Secreto específico compartido al agregar el agente de autenticación en la consola de seguridad de RSA.

      Volver a escribir secreto (Retype secret)

      Vuelva a escribir el secreto compartido.

      Dirección IP de NAS (NAS IP Address)

      La dirección IP que se configura y utiliza como la dirección IP de NAS, atributo 4 de RADIUS, sin cambiar la dirección IP de origen en el encabezado IP de los paquetes RADIUS.

      Cantidad de reintentos (Retry Count)

      Cantidad de veces que debe entablarse comunicación con el servidor RADIUS si no responde antes de se produzca un error en la autenticación.

      Utilizar este servidor para la autenticación secundaria (Use this server for secondary authentication)

      Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.

      Finalizar sesión si se produce un error en la autenticación (Terminate Session if authentication fails)

      Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.

    • Servidor de autenticación RSA-ACE

      Tabla 4. Opciones del servidor de autenticación RSA-ACE

      Opción

      Descripción

      Tiempo de espera (Timeout)

      Período en segundos dentro del cual debe responder el servidor de AD.

      Archivo de configuración (Configuration File)

      Haga clic en Examinar (Browse) para seleccionar el archivo sdconf.rec que descargó de RSA Authentication Manager.

      Estado (Status)

      Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor está habilitado.

      Dirección IP de origen (Source IP Address)

      Dirección IP de la interfaz de NSX Edge por medio de la cual se accede al servidor RSA.

      Utilizar este servidor para la autenticación secundaria (Use this server for secondary authentication)

      Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.

      Finalizar sesión si se produce un error en la autenticación (Terminate Session if authentication fails)

      Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.

    • Servidor de autenticación local

      Tabla 5. Opciones del servidor de autenticación local

      Opción

      Descripción

      Habilitar directiva de contraseña (Enable password policy)

      Si se selecciona esta opción, se define una directiva de contraseña. Especifica los valores requeridos.

      Habilitar directiva de contraseña (Enable password policy)

      Si se selecciona esta opción, se define una directiva de bloqueo de cuenta. Especifica los valores requeridos.

      1. En Cantidad de reintentos (Retry Count), escriba la cantidad de veces que un usuario remoto puede intentar acceder a su cuenta después de introducir una contraseña incorrecta.

      2. En Duración de los reintentos (Retry Duration), escriba el período durante el cual la cuenta del usuario remoto debe bloquearse tras intentos de inicio de sesión incorrectos.

        Por ejemplo, si especifica 5 para Cantidad de reintentos (Retry Count) y 1 minuto para Duración de los reintentos (Retry Duration), la cuenta del usuario remoto se bloquea si realiza 5 intentos de inicio de sesión incorrectos en 1 minuto.

      3. En Duración del bloqueo (Lockout Duration), escriba el período durante el cual permanece bloqueada la cuenta del usuario. Transcurrido este período, la cuenta se desbloquea automáticamente.

      Estado (Status)

      Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para indicar si el servidor está habilitado.

      Utilizar este servidor para la autenticación secundaria (Use this server for secondary authentication)

      Si se selecciona esta opción, este servidor se utiliza como el segundo nivel de autenticación.

      Finalizar sesión si se produce un error en la autenticación (Terminate Session if authentication fails)

      Si se selecciona esta opción, se finaliza la sesión si se produce un error en la autenticación.