FortiAuthenticator 6.4 Parte 3 Español

Traducido del inglés al español - www.onlinedoctranslator.
com
Autenticación de dos factores
NO REIMPRIMIR
© FORTINET
Guía de estudio de FortiAuthenticator 6.4 193

NO REIMPRIMIR
© FORTINET
¡Felicidades! Has completado esta lección.
Ahora, revisará los objetivos que cubrió en esta lección.

NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra los objetivos que cubrió en esta lección.
Al dominar los objetivos cubiertos en esta lección, aprendió cómo aplicar y administrar la autenticación de dos
factores mediante tokens.

Proceso y métodos de FSSO
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá a usar FortiAuthenticator como un recopilador de eventos de inicio de sesión que utiliza el marco de comunicación de
inicio de sesión único (FSSO) de Fortinet para autenticar a los usuarios de forma transparente.

NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.

NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en la comprensión de FSSO, podrá identificar los diferentes métodos para
recopilar eventos de inicio de sesión de AD y comprender el marco de FSSO.

NO REIMPRIMIR
© FORTINET
FSSO ofrece una solución para identificar de forma transparente (y confiar implícitamente) a los usuarios que ya se han autenticado en la
red a través de un sistema diferente.
FSSO se diferencia del inicio de sesión único genérico (SSO) en que FSSO es un inicio de sesión único en la política de firewall de FortiGate
únicamente, a diferencia de un inicio de sesión único en cualquier aplicación web o similar.
FSSO se usa comúnmente para autenticar de forma transparente a los usuarios de Microsoft AD, pero con FortiAuthenticator, no se
limita a ese entorno. FSSO también puede autenticar de forma transparente a los usuarios en entornos que no son de Microsoft
aprovechando el agente de movilidad de Fortinet, syslog SSO y SAML SSO.

NO REIMPRIMIR
© FORTINET
El proceso de FSSO es el siguiente:
1. El usuario se autentica solo una vez, en un servidor de autenticación que suele ser un controlador de dominio (DC) de
Windows.
2. La información de inicio de sesión del usuario se reenvía y distribuye a todos los cortafuegos y dispositivos de autenticación de la red. La información de
inicio de sesión generalmente contiene el nombre de usuario, la dirección IP y los grupos de usuarios. De esta forma, los cortafuegos saben qué
usuario está en qué dirección IP.
3. El cortafuegos utiliza la dirección IP de origen de los paquetes y la información de inicio de sesión recibida del servidor de
autenticación para identificar al usuario y aplicar la política de cortafuegos adecuada según el grupo de usuarios. El cortafuegos
no le pedirá al usuario que se autentique nuevamente.
Este proceso también es similar si un usuario accede a un recurso de red interno. El cortafuegos utiliza la dirección IP de origen
para identificar al usuario y determinar si puede tener acceso a un servicio de red específico.

NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra la multitud de formas en que FortiAuthenticator puede identificar a los usuarios en el marco FSSO.
El marco FortiAuthenticator FSSO tiene cinco capas:
• La primera capa es la fuente de identidad: el método por el cual se determina la identidad del usuario.
• La segunda capa es el descubrimiento de identidad: los métodos por los cuales se descubre la identidad del usuario y su ubicación
(IP). Aprenderá cada uno de estos métodos en elMétodos de descubrimiento de identidad de usuario de FSSOsección.
• La tercera capa es la agregación y el embellecimiento: la recopilación de la identidad del usuario y la adición de cualquier
información faltante, como el grupo, que se recopila del LDAP/AD externo.
• La cuarta capa es el marco de comunicación: el método por el cual la información de autenticación se
comunica con el dispositivo de suscripción.
• La quinta capa es el dispositivo de suscripción: por ejemplo, FortiGate. La información del usuario se reenvía al dispositivo
de suscripción donde la información se puede usar en las políticas de firewall.
Tenga en cuenta que también puede combinar varios métodos. Por ejemplo, el agente de movilidad de inicio de sesión único se puede usar para PC
de dominio de Microsoft Windows, pero recurre al portal de inicio de sesión con widgets integrados para sistemas que no son de Windows o PC no
autenticadas.

NO REIMPRIMIR
© FORTINET
En el caso de los usuarios de Microsoft AD, hay dos formas de recopilar eventos de inicio de sesión:
• Modo de agente de controlador de dominio (DC)

• Modo de sondeo de Windows AD
Ahora, observará más de cerca estos dos métodos.

NO REIMPRIMIR
© FORTINET
El modo de agente de DC requiere que se instale un agente de DC en cada uno de los controladores de dominio de Windows. También
requiere FortiAuthenticator o un servidor de dominio de Windows con un agente de recopilación de software instalado para actuar como
agente de recopilación. Así es como funciona este modo:
1. Cuando el usuario inicia sesión en la red de Windows, se registra un evento de inicio de sesión en uno de los controladores de dominio.
2. El agente de DC instalado en ese DC detecta el evento de inicio de sesión y lo reenvía al agente recopilador. De esa forma, el agente
recopilador recopila los eventos de inicio de sesión de varios DC.
3. FortiAuthenticator o el servidor de dominio de Windows, configurado como un agente recopilador, recopila los eventos de inicio de sesión,
busca la información que falta, como la pertenencia a un grupo, y luego reenvía los eventos de inicio de sesión recopilados correspondientes
a FortiGate. La información enviada contiene el nombre de usuario, los grupos de usuarios y la dirección IP del usuario.
Cuando el tráfico proviene de la dirección IP de ese usuario, FortiGate sabe de antemano qué usuario está allí y aplica
las políticas de firewall correctas según el usuario, los grupos de usuarios y el destino del tráfico.

NO REIMPRIMIR
© FORTINET
Vale la pena mencionar el sondeo de WMI, porque se basa en el modo de agente de DC. FortiAuthenticator admite el sondeo WMI para detectar
el cierre de sesión de la estación de trabajo. Esto valida al usuario conectado actualmente para una dirección IP que ha sido descubierta por el
método de detección de sondeo de DC.
Tenga en cuenta que el acceso WMI remoto requiere que los puertos relacionados estén abiertos en el firewall de Windows y el acceso a una cuenta
de dominio que tenga suficientes permisos, como administradores de dominio.

NO REIMPRIMIR
© FORTINET
A diferencia del modo de agente de DC, el modo de sondeo de Windows AD no requiere agentes de DC y, por lo tanto, es una alternativa
para clientes con limitaciones de instalación de terceros. Sin embargo, no es tan escalable como el modo DC y requiere más CPU y
memoria. El sondeo se puede realizar directamente desde FortiGate, por lo que no siempre se necesita un FortiAuthenticator u otro
agente recopilador.
Funciona de la siguiente manera:
1. El usuario inicia sesión en la red, lo que genera un evento de inicio de sesión.

2. El agente recopilador sondea periódicamente los DC para extraer los eventos de inicio de sesión.
3. El agente recopilador recopila los eventos de inicio de sesión, busca la información que falta, como membresías de grupos, y luego reenvía los
eventos de inicio de sesión recopilados correspondientes a FortiGate. La información enviada contiene el nombre de usuario, los grupos de
usuarios y la dirección IP del usuario.
Cuando el tráfico proviene de la dirección IP de ese usuario, FortiGate sabe de antemano qué usuario está allí y aplica las
políticas y perfiles de firewall correctos.

NO REIMPRIMIR
© FORTINET
Entonces, si puede tener un inicio de sesión único sin FortiAuthenticator, ¿por qué configurarlo?
FortiAuthenticator ofrece dos ventajas principales:
1. Tanto el modo de agente de DC como el modo de sondeo funcionan solo en entornos de Windows AD. Puede usar FortiAuthenticator
para implementar FSSO en entornos de Microsoft y de terceros. Puede recopilar eventos de inicio de sesión de muchas fuentes
diferentes, sobre las que aprenderá más adelante.
2. Ofrece un modo de sondeo de Windows AD que no requiere el uso de un agente de dominio y es más escalable que el
sondeo directo desde FortiGate.

NO REIMPRIMIR
© FORTINET
Por lo tanto, FortiAuthenticator toma el marco FSSO introducido en FortiGate y lo mejora con varios métodos de
autenticación:
• Los usuarios pueden autenticarse a través de un portal web y un conjunto de widgets integrables
• Los usuarios con FortiClient Endpoint Security instalado pueden autenticarse automáticamente a través de FortiClient SSO
Mobility Agent
• La autenticación SAML se puede utilizar para activar una autenticación FSSO
• Los usuarios pueden identificarse a través de la API de FortiAuthenticator, que es útil para la integración con sistemas de
terceros.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora tiene una breve comprensión de FSSO.
Ahora, aprenderá sobre los diferentes métodos de descubrimiento de identidad de usuario de FSSO y cómo configurarlos.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en la comprensión y configuración de los métodos de detección de FSSO, podrá

implementar los diferentes métodos de FSSO en su red.

NO REIMPRIMIR
© FORTINET
FortiAuthenticator ha tomado el concepto de FSSO, como se usa en FortiGate y el cliente de software FSSO, y lo ha ampliado con varios
métodos nuevos de identificación de usuarios. Debido a la flexibilidad integrada en FortiAuthenticator, esta lista crece continuamente.
Esta sección examina los métodos actuales de descubrimiento de identidad de usuario de FSSO, incluidos los siguientes:
• Sondeo de Active Directory

• FSSO basado en Kerberos
• Agente de movilidad FortiClient SSO
• Contabilidad RADIUS
• registro del sistema externo
• API de descanso
• Agentes colectores DC y TS
• Proxy de contabilidad RADIUS
• FortiNAC
Puede habilitar uno o más métodos de descubrimiento en FortiAuthenticator en elGeneralpágina en elInicio de sesión
único de Fortinet (FSSO)sección.
Algunos métodos requieren una configuración adicional además de habilitar el método que se muestra en esta diapositiva. Explorará las
configuraciones en esta sección.

NO REIMPRIMIR
© FORTINET
FortiAuthenticator puede sondear los controladores de dominio de Windows para monitorear los registros de eventos de seguridad para eventos de inicio de
sesión. El sondeo del registro de eventos de seguridad está configurado para ocurrir cada 5 segundos, de modo que cualquier evento de inicio de sesión que
haya ocurrido desde el sondeo anterior se captura y se ingresa en FSSO.
Tenga en cuenta que si bien los eventos de inicio de sesión pueden detectarse desde los registros de eventos de seguridad, los eventos de cierre de sesión no pueden. Esto se debe al
hecho de que muchos procesos diferentes pueden desencadenar eventos de cierre de sesión, muchos de los cuales no son indicativos del cierre de sesión del usuario.
Si bien algunos métodos admiten de forma nativa la detección de cierre de sesión (como FortiClient SSO Mobility Agent), otros, como el sondeo de AD, no lo
hacen. Para habilitar la detección de cierre de sesión, FortiAuthenticator admite el sondeo del Instrumental de administración de Windows (WMI) para
identificar el estado actual del usuario conectado para un dispositivo y cerrar la sesión del usuario. También se puede establecer un período de tiempo de
espera manual para eliminar al usuario de la tabla de autorización.

NO REIMPRIMIR
© FORTINET
Para utilizar el sondeo del controlador de dominio, debe habilitar el sondeo del controlador de dominio de Windows Active Directory (AD).
Después de habilitarlo, debe crear un controlador de dominio. Esto permite que FortiAuthenticator sondee el registro de eventos de AD para rastrear los
inicios de sesión de los usuarios, así como sondear los registros de WMI para rastrear los cierres de sesión de los usuarios. Puede configurar controladores de
dominio en elOrigen del registro de eventos de Windowspágina. Debe ingresar el nombre NETBIOS del controlador, la dirección IP del controlador de
dominio y las credenciales de la cuenta que pueden sondear los registros de eventos y WMI. Los privilegios de administrador no son esenciales, solo necesita
una cuenta que pueda vincularse con el controlador de dominio.
Para este método, se debe preparar FortiAuthenticator y FortiGate.
Se puede acceder a la selección de eventos de seguridad desde elConfigurar eventosEnlace.

NO REIMPRIMIR
© FORTINET
Para evitar la necesidad de sondear el controlador de dominio y al mismo tiempo conservar la capacidad de autenticar de forma
transparente a los usuarios de Windows, FortiAuthenticator admite el uso de vales de Kerberos pasados por el navegador y validados
contra el centro de distribución de claves (KDC) para identificar a los usuarios. En este caso, los usuarios no autenticados son redirigidos
de FortiGate a FortiAuthenticator. FortiAuthenticator solicita el ticket de servicio desde el navegador y luego descifra y usa el ticket para
validar la identidad del usuario.

NO REIMPRIMIR
© FORTINET
FortiClient SSO Mobility Agent es parte de la instalación estándar del producto FortiClient. Cuando está instalado, SSO Mobility
Agent identifica a los usuarios del dominio de Windows de forma transparente y comunica la identidad del usuario y la dirección IP
a FortiAuthenticator para su uso en FSSO. El agente también supervisa el sistema en busca de cambios de dirección IP, como los
causados por el roaming de Wi-Fi, y actualiza automáticamente FortiAuthenticator. Cuando el usuario cierra sesión o se apaga,
también se cierra la sesión de FortiAuthenticator. En los casos en que se realiza una desconexión no limpia (por ejemplo, falla de
energía, hibernación, falla de red), se implementa un sistema de latidos para que el usuario sea desautenticado luego de una
cantidad configurable de fallas de latidos.

NO REIMPRIMIR
© FORTINET
Para utilizar el SSO Mobility Agent, el servicio debe estar habilitado. Esto implica configurar el número de puerto de escucha de
FortiClient (de manera predeterminada, es 8001) y habilitar la autenticación en la comunicación entre FortiAuthenticator y los
dispositivos FortiClient. Esto requiere que ingrese la clave secreta. También puede configurar la duración entre transmisiones
keepalive de 1 a 60 minutos y el período de tiempo de inactividad.
ÉlHabilitar NTLMLa opción ayuda a prevenir ataques basados en la autenticación de un usuario en un servidor AD no
autorizado para falsificar un inicio de sesión de usuario legítimo a través de FortiClient SSO Mobility Agent. FortiAuthenticator
iniciará la autenticación NTLM con el cliente, enviando las comunicaciones solo a los servidores AD legítimos que está configurado
para usar. Si NTLM está habilitado, FortiAuthenticator requiere autenticación NTLM cuando:
• El usuario inicia sesión en una estación de trabajo por primera vez
• El usuario cierra sesión y luego vuelve a iniciar sesión
• La dirección IP de la estación de trabajo cambia
• El usuario de la estación de trabajo cambia
• La autenticación NTLM caduca (configurable por el usuario)
FortiClient debe configurarse en la estación final proporcionando la dirección IP, el puerto de comunicación y la clave secreta de
FortiAuthenticator.

NO REIMPRIMIR
© FORTINET
En situaciones en las que la identidad del dispositivo o del usuario no se puede establecer de manera transparente, como dispositivos BYOD sin dominio o
máquinas de quiosco compartidas, se puede usar un portal web para solicitar a los usuarios que inicien sesión. A menudo, este método se usa con otros
métodos transparentes y se usa como un cajón de sastre. Una vez autenticado, el usuario permanece autenticado hasta que cierra sesión en el navegador.
Debido a que la reautenticación manual repetida puede afectar la experiencia del usuario, FortiAuthenticator admite la identificación
automática del usuario para el acceso posterior mediante el uso de widgets del portal. La implementación del widget, que utiliza un
iframe HTML, se puede incorporar a una página web, como una página web de intranet para que los usuarios la utilicen para iniciar
sesión. Después de un inicio de sesión exitoso, una cookie de tiempo limitado, cuya validez es configurable por hasta 30 días, se almacena
en el navegador del usuario. En visitas posteriores, el usuario se volverá a autenticar de forma transparente utilizando la clave de cookie
del usuario (suponiendo que coincida con la almacenada en FortiAuthenticator). Cuando se agote el tiempo de espera de la cookie, o si el
usuario borra el caché o visita una nueva máquina, el usuario deberá volver a autenticarse.

NO REIMPRIMIR
© FORTINET
Para utilizar los servicios del portal, que admiten varios métodos de autenticación, incluida la autenticación manual, los
widgets integrados y la autenticación Kerberos, debe configurar los servicios del portal en elServicios del portal página.
Si desea utilizar la autenticación manual del portal o los widgets, habiliteHabilitar SSO en el portal de inicio de sesión. Debe especificar si
desea autenticar usuarios locales, usuarios remotos o ambos (en un servidor LDAP remoto) en la política del portal de autoservicio. También
puede especificar si todos los usuarios pueden autenticarse o solo los usuarios que pertenecen a grupos específicos.
Si desea utilizar la autenticación de Kerberos para que FortiAuthenticator pueda identificar a los usuarios que se conectan a través de un
intercambio de Kerberos después de una redirección desde FortiGate, primero debe generar un archivo de tabla de claves que describa su
infraestructura de Kerberos e importarlo. Puede usar una utilidad ktpass para generar el archivo. El código proporcionado en el Guía de
administración de FortiAuthenticatorse puede utilizar en un archivo por lotes para simplificar la creación del archivo keytab.
El portal SAML habilita la compatibilidad con el lenguaje de marcado de aserción de seguridad (SAML), lo que permite a los usuarios proporcionar un
conjunto de credenciales para obtener acceso a muchos sitios web diferentes. SAML se tratará en detalle en otra lección.
El servicio web SSO hace referencia al SSO mediante la API. Esta configuración es necesaria para permitir que la API acepte inicios de
sesión SSO y para decirle a la API qué tipo de usuarios se autenticarán.

NO REIMPRIMIR
© FORTINET
El método de contabilidad RADIUS utiliza paquetes de contabilidad de inicio, interino y parada de RADIUS para activar el inicio/cierre de sesión en
FSSO. Dichos paquetes RADIUS son enviados comúnmente por dispositivos de red como dispositivos SSL-VPN, controladores inalámbricos y
conmutadores.
El beneficio de este método es que, para los proveedores que admiten el envío de dichos paquetes, FortiAuthenticator no requiere
soporte directo (utilizan RADIUS estándar que ya es compatible) y se requiere un cambio mínimo para permitir la entrada de los
datos de autenticación del usuario en el FSSO. .

NO REIMPRIMIR
© FORTINET
Para aceptar y procesar los paquetes de inicio, interino y detención, debe habilitar elHabilitar clientes SSO de contabilidad
RADIUSopción.
Una vez habilitado, debe configurar la contabilidad de RADIUS en elFuentes de contabilidad RADIUSpágina. Aquí, configurará
FortiAuthenticator como un servidor de contabilidad RADIUS para la fuente de contabilidad RADIUS. La fuente podría ser un
servidor RADIUS, un conmutador, un dispositivo Fortigate o cualquier otro dispositivo que pueda generar paquetes de
contabilidad RADIUS.
Para configurar un cliente SSO de contabilidad RADIUS, debe seleccionar un nombre para el cliente de contabilidad RADIUS, ingresar la dirección IP
del cliente de contabilidad RADIUS e ingresar la clave previamente compartida del cliente RADIUS. También debe seleccionar el tipo de usuario SSO
que proporcionará el cliente (externo, local, remoto). Si es necesario, también puede personalizar el nombre de usuario, la dirección IP del cliente y
los atributos de RADIUS del grupo de usuarios para que coincidan con los utilizados en los registros de contabilidad de RADIUS entrantes.

NO REIMPRIMIR
© FORTINET
La configuración de FortiAuthenticator para aceptar y procesar mensajes de syslog de fuentes externas incluye
identificar las fuentes, definir las reglas de syslog y asociar las reglas con las fuentes.
Las fuentes identifican las entidades que envían los mensajes de syslog y las reglas asociadas extraen los eventos de los
mensajes de syslog. Los mensajes que provienen de fuentes no configuradas se eliminan.
Las configuraciones de la regla de syslog proporcionan a FortiAuthenticator la información necesaria para analizar la información de nombre de
usuario y dirección IP de una fuente de syslog e inyectar esta información en FSSO para que pueda usarse en las políticas de firewall de FortiGate.

NO REIMPRIMIR
© FORTINET
Las configuraciones necesarias para aprovechar la información de syslog son las siguientes:
1. Habilite el método SSO de syslog.
2. Cree una regla de syslog. Se requieren reglas para cada origen de syslog. Las reglas predefinidas están disponibles para los
controladores inalámbricos FortiNAC, Cisco y Aruba. Para otros sistemas, se pueden crear nuevas reglas para analizar los mensajes.
3. Configure las fuentes de syslog en elFuentes de Syslogpágina. Esto incluye seleccionar un nombre y configurar la dirección IP
de la fuente. Cada origen de syslog debe definirse para que el demonio syslog acepte el tráfico. También debe seleccionar
una regla de coincidencia. Finalmente, debe seleccionar un tipo de usuario SSO (externo, local o remoto).

NO REIMPRIMIR
© FORTINET
Para permitir la integración con sistemas de terceros, FortiAuthenticator ofrece una API REST programática que se puede usar
para autenticar y desautenticar usuarios en FSSO. Esto se puede utilizar para la integración con aplicaciones de terceros, como
portales y sistemas de gestión de identidad.
Para obtener más información, consulte elGuía de la solución API REST de FortiAuthenticator.

NO REIMPRIMIR
© FORTINET
Los dispositivos FortiAuthenticator admiten la recopilación de información de inicio de sesión de los sistemas Windows Active Directory a través de la
instalación del agente DC en el controlador de dominio. El agente de servicios de terminal (TS) es un concepto similar, excepto que recopila
información de inicio de sesión del usuario de los servidores de terminal de Citrix o Windows. Los usuarios de Citrix no tienen direcciones IP únicas.
Cuando un usuario de Citrix inicia sesión, el agente de TS le asigna a ese usuario un rango de puertos de origen.

NO REIMPRIMIR
© FORTINET
Para usar el agente DC y/o el agente TS, FortiAuthenticator debe estar configurado para escuchar y aceptar los paquetes entrantes de los
agentes. Para hacer esto, habiliteClientes de agentes DC/TS. Recuerde, FortiAuthenticator puede implementar la funcionalidad de sondeo
directamente, pero también puede aceptar una fuente de las instalaciones del agente DC y del agente TS, si es necesario.
Para configurar, también debe especificar un puerto UDP (el valor predeterminado es 8002). Para habilitar la autenticación, seleccione
Habilitar autenticacióne ingrese la clave secreta del agente DC/TS.

NO REIMPRIMIR
© FORTINET
El proxy de contabilidad RADIUS es diferente de la contabilidad RADIUS mencionada anteriormente.
• La contabilidad RADIUS se usa para convertir, por ejemplo, eventos RADIUS de terceros (o inicio de sesión de Wi-Fi/VPN de FortiGate) a
RSSO. Esto es más útil en un entorno empresarial para agregar fuentes de identidad de usuario de terceros.
• El proxy de contabilidad RADIUS, por otro lado, toma una fuente de contabilidad y la redistribuye a múltiples dispositivos
FortiGate. Esto es más comúnmente utilizado por los ISP y los operadores.
El proxy de contabilidad RADIUS debe configurarse con:

• Conjuntos de reglas para definir o derivar los atributos RADIUS que requiere FortiGate
• La fuente de los registros contables RADIUS (el servidor RADIUS)
• Los destinos de los registros contables (los dispositivos FortiGate que utilizan esta información para la autenticación
RADIUS SSO)
Una vez configurado en FortiAuthenticator, FSSO puede incluir usuarios.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
Al dominar los objetivos cubiertos en esta lección, aprendió a usar FortiAuthenticator como un recopilador de eventos de inicio de
sesión que usa el marco de comunicación FSSO para autenticar a los usuarios de manera transparente.

Implementación y solución de problemas de FSSO
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá a usar FortiAuthenticator como un recopilador de eventos de inicio de sesión que utiliza el marco de comunicación de
inicio de sesión único (FSSO) de Fortinet para autenticar a los usuarios de forma transparente.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en la preparación de FortiAuthenticator y FortiGate para FSSO, podrá configurar

FSSO utilizando FortiAuthenticator en su red.

NO REIMPRIMIR
© FORTINET
Cada FortiGate que use FortiAuthenticator para proporcionar autenticación SSO debe configurarse para usar
FortiAuthenticator como un servidor SSO. Para hacer esto, debe crear un agente FSSO, que configura
FortiAuthenticator como un servidor SSO, en FortiGate.
Puede configurar el agente FSSO en FortiGate en elConectores externospágina. Debes elegirAgente FSSO en Windows
ADcomo tipo de agente SSO, ingrese un nombre para el agente, ingrese la dirección IP de su FortiAuthenticator y,
finalmente, ingrese una clave secreta. La clave secreta debe ser la misma que definirá en FortiAuthenticator cuando
habilite la autenticación FSSO más adelante en el proceso.

NO REIMPRIMIR
© FORTINET
Cuando un usuario intenta acceder a los recursos de la red, FortiGate selecciona la política de firewall adecuada para el destino.
La selección consiste en hacer coincidir el grupo FSSO al que pertenece el usuario con la política de firewall que coincide con ese
grupo. Si el usuario pertenece a uno de los grupos de usuarios permitidos asociados con esa política, se permite la conexión. De
lo contrario, se deniega la conexión.
Puede configurar el grupo de usuarios de FSSO en FortiGate en elGrupos de Usuariospágina. Debe introducir un nombre para el grupo y
seleccionarInicio de sesión único de Fortinet (FSSO)como el tipo de grupo.

NO REIMPRIMIR
© FORTINET
Para permitir que FortiAuthenticator escuche las solicitudes de los clientes de autenticación, debe habilitar la
autenticación FSSO.
Puede habilitar la autenticación FSSO en FortiAuthenticator en elGeneralpágina. Debe habilitarHabilitar

autenticacióny luego escriba la clave secreta en elLlave secretacampo. La clave secreta que escriba aquí debe ser
la misma clave secreta que definió al crear el agente FSSO en FortiGate.

NO REIMPRIMIR
© FORTINET
Para proporcionar FSSO a grupos específicos en un servidor LDAP remoto, puede filtrar la información de sondeo para
que incluya solo esos grupos.
Puede crear un filtro FortiGate en elFiltrado FortiGatepágina. Debe nombrar el filtro, proporcionar la dirección IP
de FortiGate, habilitarReenviar información de FSSO para usuarios del siguiente subconjunto de usuarios/
grupos/contenedores únicamentey seleccione el servidor LDAP y el grupo remoto en el que desea filtrar.
En algunas situaciones, puede ser deseable excluir las direcciones IP designadas del proceso FSSO, por ejemplo, controladores de
dominio o servidores de Exchange. Esto se logra mediante la creación de reglas de filtrado de IP. Una vez creadas, estas reglas se
pueden agregar a la configuración de filtrado de FortiGate.
Tenga en cuenta que el filtrado de FortiGate no tiene efecto sobre qué eventos FSSO se almacenan en FortiAuthenticator. Los
filtros afectan solo qué eventos se transmiten a FortiGate.

NO REIMPRIMIR
© FORTINET
Finalmente, para permitir que FortiGate reciba una lista de grupos de usuarios de FortiAuthenticator, debe agregar el
grupo SSO en FortiAuthenticator al agente FSSO en FortiGate.
Si ya creó su agente FSSO en FortiGate, solo necesita editarlo y luego hacer clic enAplicar y actualizar, o desde
la CLI, emita el comando:ejecutar fsso actualizar.FortiGate puede ver el grupo remoto que
configuraste para filtrar. El grupo ahora se puede usar en políticas de firewall.

NO REIMPRIMIR
© FORTINET
Para usar FortiNAC como fuente de sesión de SSO, primero debe configurar FortiNAC para participar en la transferencia de información de
la sesión de SSO. Esto se logra desde elConfiguración de FSSO de Fortinetpágina en elComunicación del sistemacarpeta. Debe habilitar
Habilitar comunicaciones FSSO, un puerto designado para la comunicación (el valor predeterminado es 8000) y establezca una
contraseña. Debe usar la misma contraseña al configurar los dispositivos para recopilar información de la sesión SSO de FortiNAC.

NO REIMPRIMIR
© FORTINET
En el Autenticador de FortiFortiNACpágina de configuración, creará una entrada FortiNAC para cada dispositivo FortiNAC del que
FortiAuthenticator recopilará información de la sesión SSO. Cada entrada contendrá un nombre para el dispositivo FortiNAC, la
IP/FQDN del dispositivo FortiNAC, el puerto de comunicación (debe coincidir con la configuración de FortiNAC) y una contraseña
(debe coincidir con la configurada en FortiNAC).

NO REIMPRIMIR
© FORTINET
Debe habilitar el método FortiNAC SSO en FortiAuthenticator. Haces esto en elGeneralpágina de configuración. Después de
habilitar elHabilitar FortiNAC SSOajuste en elInicio de sesión único de Fortinet (FSSO)sección, puede agregar fuentes de
FortiNAC. Las fuentes disponibles son los dispositivos FortiNAC que se han agregado a este FortiAuthenticator. FortiAuthenticator
ahora puede comenzar a extraer la información de la sesión de SSO.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende cómo configurar FortiAuthenticator y FortiGate para FSSO.
Ahora, aprenderá cómo optimizar la configuración adicional para FSSO.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en la configuración de configuraciones adicionales para FSSO, podrá ajustar FortiAuthenticator
para que funcione sin problemas con FortiGate para la autenticación FSSO.

NO REIMPRIMIR
© FORTINET
Los controles detallados brindan opciones para incluir o excluir a un usuario o grupo del SSO y establecer la cantidad máxima
de sesiones simultáneas que puede tener un usuario o grupo.
Puede ajustar los controles en elControles detalladospágina.

NO REIMPRIMIR
© FORTINET
Use usuarios y grupos de SSO solo cuando necesite modificar el comportamiento de un usuario o grupo antes de
enviarlo a FortiGate. Por ejemplo, usaría usuarios y grupos cuando desee:
Excluir un usuario del SSO (solo se admite como usuario, no como grupo). Esto es necesario en los siguientes escenarios:
• Algunos productos antivirus iniciarán sesión usando cuentas de servicio en la PC y sobrescribirán las credenciales del usuario,
rompiendo FSSO.
• Para anular la cantidad predeterminada de dispositivos simultáneos que un usuario o grupo puede tener en FSSO.

NO REIMPRIMIR
© FORTINET
Puede configurar la pertenencia a un grupo de usuarios en elGeneralpágina para especificar cómo almacenar en caché la información del grupo
una vez que FortiAuthenticator la haya obtenido. Hay dos formas de almacenar información en caché: modo pasivo y modo activo.
En el modo pasivo, los elementos tienen un tiempo de caducidad después del cual se eliminan y se vuelven a consultar en el siguiente inicio de sesión. En el modo
activo, los elementos se actualizan periódicamente para todos los usuarios actualmente conectados.

NO REIMPRIMIR
© FORTINET
Se pueden configurar varios dispositivos FortiAuthentictor para que funcionen en una configuración de niveles jerárquicos. Los dispositivos
FortiAuthenticator del proveedor recopilan información localmente y luego envían la información al recopilador FortiAuthenticator
ascendente. Luego, el recopilador agrega la información del proveedor y envía los inicios de sesión a los dispositivos FortiGate.

NO REIMPRIMIR
© FORTINET
Habilita la organización en niveles jerárquicos de proveedores y recolectores en elGeneralpágina. Debe especificar un puerto de escucha del
recopilador (el puerto predeterminado es 8003). Los proveedores pasarán la información recopilada al puerto de escucha configurado mientras
los recopiladores escuchan para recibir información en ese puerto.

NO REIMPRIMIR
© FORTINET
Puede administrar cualquier nodo de nivel de proveedor y colector en elArquitectura escalonadapágina.
Debe proporcionar un nombre para el nodo, un número de serie, la función del nivel (proveedor o recopilador) y la dirección
IP del nodo.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende cómo optimizar la configuración adicional para FSSO.
Ahora, aprenderá cómo solucionar problemas de FSSO.

NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder lograr el objetivo que se muestra en esta diapositiva.
Al demostrar competencia en la resolución de problemas de FSSO, podrá diagnosticar y solucionar problemas de

FSSO en su red.

NO REIMPRIMIR
© FORTINET
Al depurar problemas del origen del registro de eventos de Windows, asegúrese de verificar la configuración del controlador de dominio en el
Origen del registro de eventos de Windowspágina. Compruebe si la cuenta está especificada en el formato de nombre principal de usuario
(UPN) correcto. Asegúrese de que el controlador de dominio no se haya deshabilitado por accidente. Por último, consulte con su administrador si
se requiere una conexión segura.

NO REIMPRIMIR
© FORTINET
Puede encontrar registros detallados en el registro de depuración de FSSO. El ejemplo que se muestra en esta diapositiva indica que se está utilizando
una contraseña incorrecta.

NO REIMPRIMIR
© FORTINET
La vista de supervisión del dominio SSO muestra el estado de todos los controladores de dominio configurados. El código de colores se utiliza para
transmitir el resultado del último intento de conexión para cada controlador de la lista.
Un controlador de dominio verde indica que el último intento de conexión fue exitoso. Un controlador gris indica que no
hay información de conexión reciente y un controlador rojo indica que el último intento de conexión falló.
Al pasar el puntero del mouse sobre un controlador de dominio, se muestran los detalles de conexión de ese controlador.
Al hacer clic en un controlador de dominio, se abre unConsultas recientesventana, que presenta las 100 consultas más recientes ordenadas por marca de
tiempo. Los tiempos de respuesta también están codificados por colores de la siguiente manera:
• Verde: Menos de 500ms
• Naranja: Entre 500 y 1000ms
• Rojo: 1000ms o mayor
Cualquier consulta fallida contendrá información de error sobre la falla en elErrorcolumna.

NO REIMPRIMIR
© FORTINET
La mayoría de los problemas de FSSO se pueden atribuir a permisos incorrectos al consultar LDAP o AD. La tabla que se muestra
en esta diapositiva describe la función, dónde se encuentra en FortiAuthenticator y los permisos mínimos de Windows
requeridos.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
Al dominar los objetivos cubiertos en esta lección, aprendió a usar FortiAuthenticator como un recopilador de eventos de inicio de
sesión que usa el marco de comunicación FSSO para autenticar a los usuarios de manera transparente.

Servicios del portal
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los servicios de portal que ofrece FortiAuthenticator.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en los servicios del portal, podrá comprender cómo encajan en sus servicios
de red.

NO REIMPRIMIR
© FORTINET
El servicio de portal le permite otorgar a los usuarios remotos acceso a ciertas partes de su red mediante la autenticación
delegada. En este escenario, la autenticación requiere que el usuario asocie su dispositivo con el SSID invitado, según lo
publicado por el controlador inalámbrico FortiGate.
FortiGate facilita el control de acceso al redirigir el navegador web del usuario a uno de los portales cautivos o invitados
de FortiAuthenticator. Debido a esto, debe configurar FortiGate (por FortiGate) para emplear un portal cautivo o de
invitados en FortiAuthenticator.

NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra el flujo de proceso general para el servicio del portal.
Un usuario se conecta a la red inalámbrica o por cable e intenta acceder a Internet. FortiGate intercepta el tráfico y lo
redirige a la página de inicio de sesión web de FortiAuthenticator definida en el perfil del portal cautivo de FortiGate.
El usuario ingresa sus credenciales en la página de inicio de sesión web de FortiAuthenticator. FortiAuthenticator realiza las comprobaciones
de autorización previa requeridas y muestra el mensaje de inicio de sesión al usuario. Si el usuario no tiene credenciales, puede
(dependiendo de la configuración) haber una opción para comprar tiempo de inicio de sesión. El mensaje de inicio de sesión le indica al
navegador del usuario que envíe las credenciales de usuario directamente a FortiGate como HTTPS POST, para el procesamiento de
autenticación.
Cuando FortiGate recibe las credenciales del cliente en HTTPS POST, envía una solicitud de acceso RADIUS al servidor
RADIUS de FortiAuthenticator para autenticar al usuario. FortiAuthenticator valida el mensaje de solicitud de acceso
utilizando su base de datos de usuarios, que puede ser local o remota (LDAP/RADIUS).
En función de los resultados del proceso de autenticación y autorización, FortiAuthenticator responde con un mensaje
de aceptación de acceso o de rechazo de acceso. Los atributos RADIUS devueltos por FortiAuthenticator se pueden usar
para definir el acceso otorgado al usuario por FortiGate. Luego de una autenticación e inicio exitosos de la sesión del
usuario, el cliente es redirigido a la URL solicitada originalmente, que ahora debería estar accesible.
Finalmente, el tiempo de espera o el cierre de sesión del usuario finalizarán la sesión.

NO REIMPRIMIR
© FORTINET
El portal cautivo FortiAuthenticator incluye las siguientes tres opciones:
• autenticación de credenciales: permite a los usuarios conocidos (usuarios que ya tienen una cuenta) autenticarse utilizando sus
credenciales existentes (contraseña y/o código de token). El objetivo es restringir el acceso únicamente a un conjunto de usuarios
autorizados previamente.
• Autenticación de WiFi social: permite que FortiAuthenticator utilice métodos de identidad de usuario de terceros (sitios sociales, dirección
de correo electrónico válida o número de teléfono) para autenticar a los usuarios en una red de invitados inalámbrica. El objetivo es
proporcionar cierta trazabilidad de los usuarios, sin requerir la gran sobrecarga de crear cuentas de invitados.
• Autenticación de direcciones MAC: permite que FortiAuthenticator autentique al usuario con una interacción mínima
por parte del usuario. Esto es útil en situaciones en las que el objetivo es proporcionar la experiencia más sencilla posible
para el usuario (por ejemplo, redes inalámbricas para invitados, entornos minoristas, acceso transitorio como
aeropuertos, hoteles, etc.).

NO REIMPRIMIR
© FORTINET
El portal de invitados ofrece servicios previos y posteriores al inicio de sesión que puede usar con cualquier tipo de autenticación.
Los servicios de inicio de sesión previo ofrecen funciones como creación y validación de cuentas, opciones de inicio de sesión social, recopilación de información
basada en formularios, renuncia de responsabilidad, función de restablecimiento de contraseña, etc.
Los servicios posteriores al inicio de sesión ofrecen características para la información del perfil del invitado, cambiar contraseñas, registrar tokens para el usuario,
etc.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende los servicios del portal.
Ahora, aprenderá sobre los tipos de autenticación.

NO REIMPRIMIR
© FORTINET
Al demostrar una comprensión de los tipos de autenticación, podrá identificar su función en su red.

NO REIMPRIMIR
© FORTINET
El portal de credenciales requiere que los usuarios conocidos (usuarios que ya tienen una cuenta) se autentiquen usando sus credenciales
(contraseña y/o código de token). El objetivo es restringir el acceso únicamente a un conjunto de usuarios autorizados previamente.
Para el portal de credenciales, el administrador debe indicar cuál de los perfiles usar para la autenticación de usuarios. Para
entornos con un FortiWifi que tiene varios puntos de acceso (AP), el administrador puede especificar una lista de direcciones
IP para todos los AP.
Cuando se redirige al usuario a la página de inicio de sesión del portal de credenciales, se le solicita que ingrese su nombre de usuario
y contraseña, y (opcionalmente) su contraseña de FortiToken. Al iniciar sesión con éxito, FortiAuthenticator redirige al usuario a la
página web que solicitó originalmente.

NO REIMPRIMIR
© FORTINET
Independientemente del canal social admitido que elija configurar, todos los proveedores sociales siguen un flujo de proceso
similar:
• El usuario requiere una cuenta social
• FortiAuthenticator delega el proceso de autenticación al proveedor social
• Después de confirmar la identidad, FortiAuthenticator crea una cuenta temporal en RADIUS y se la proporciona a
FortiGate
• FortiGate usa las credenciales para iniciar sesión

NO REIMPRIMIR
© FORTINET
El proceso de autenticación de WiFi social desde la perspectiva del usuario es el siguiente:
1. El usuario se conecta a su red Wi-Fi cuando intenta acceder a una URL y aparece la página de bienvenida de Wi-Fi social de
FortiAuthenticator.
2. El usuario selecciona un método de autenticación de los canales sociales ofrecidos. Si un canal social no está
configurado, aparece atenuado (deshabilitado) y el usuario no puede seleccionarlo.
3. FortiAuthenticator solicita al usuario que ingrese las credenciales para el canal social seleccionado.
4. FortiAuthenticator redirige al usuario a la URL que solicitó originalmente.

NO REIMPRIMIR
© FORTINET
El propósito de la autenticación solo del dispositivo es identificar y autenticar a los usuarios con una interacción mínima del usuario y
cierto grado de trazabilidad. Este método de autenticación es menos disruptivo y, por lo tanto, proporciona una mejor experiencia de
usuario.
Con la autenticación de la dirección MAC habilitada, el usuario intenta abrir un navegador web, pero el controlador
inalámbrico FortiGate lo intercepta y lo redirige al portal FortiAuthenticator configurado para registrar la dirección MAC del
usuario (sin necesidad de interacción del usuario). FortiAuthenticator luego redirige al usuario a la página web solicitada
originalmente.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende los tipos de autenticación.
Ahora, aprenderá cómo configurar FortiAuthenticator.

NO REIMPRIMIR
© FORTINET
Al demostrar competencia en la configuración del servicio de portal en FortiAuthenticator, podrá

configurar este servicio en su red.

NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra los pasos necesarios para implementar el portal cautivo. Las páginas del portal definen los servicios previos y
posteriores al inicio de sesión que proporciona el portal. Los puntos de acceso identifican el punto de conexión utilizado para acceder al portal.
La configuración de la política del portal define el contenido del portal y el proceso de autenticación.

NO REIMPRIMIR
© FORTINET
La creación del portal consiste en asignar un nombre al portal y, si se desea, una puerta de enlace SMS para las notificaciones del
usuario final. Si no tiene una puerta de enlace SMS, puede usar el servicio de mensajería de FortiGuard, si tiene una licencia válida
para el servicio.

NO REIMPRIMIR
© FORTINET
Sobre elServicios previos al inicio de sesiónpágina, puede habilitar o deshabilitar los siguientes servicios, según sus
requisitos:
• Descargo de responsabilidad: si habilita la página de exención de responsabilidad, el usuario final deberá aceptar la exención de responsabilidad antes de
poder acceder a la página de inicio de sesión.
• Restablecimiento de contraseña: puede habilitar este servicio para configurar el restablecimiento de contraseña previo al inicio de sesión.
• Registro de cuenta: Con este servicio habilitado, los usuarios invitados, durante el inicio de sesión de la cuenta, pueden registrarse
ingresando la información requerida en los campos especificados en elConfiguración archivada requeridapágina. Todas las
cuentas de invitados creadas con elRegistro de cuentase colocará en el grupo especificado en el Colocar a los usuarios
registrados en un grupoopción. FortiAuthenticator puede generar aleatoriamente una contraseña para el usuario invitado, o el
usuario puede especificar su propia contraseña. Todas las cuentas registradas a través del portal de invitados deben validarse a
través de SMS o correo electrónico antes de que puedan usarse para iniciar sesión. FortiAuthenticator enviará al usuario invitado
un código de activación que puede usar para activar su cuenta. Los administradores no tienen que activar manualmente cada
solicitud de cuenta registrada automáticamente.
• Revocación de tokens: Seleccione este servicio para revocar tokens según condiciones específicas.
• Notificaciones de extensión de uso: Este servicio envía una notificación a los usuarios si exceden los datos o el tiempo asignado.

NO REIMPRIMIR
© FORTINET
Habilitar los servicios posteriores al inicio de sesión le permite configurar funciones que los usuarios pueden usar después de iniciar
sesión correctamente. Puede seleccionar los siguientes servicios en laServicios posteriores al inicio de sesiónpágina:
• Perfil: Seleccione este servicio para permitir que los usuarios autenticados vean la información de su cuenta, editen la información de su
cuenta o ambos.
• Cambio de contraseña: seleccione este servicio para permitir que los usuarios locales, los usuarios remotos o ambos cambien su
contraseña una vez que hayan iniciado sesión correctamente.
• Registro de tokens: seleccione este servicio para habilitar la función de autoaprovisionamiento para FortiToken.
• Conexión inteligente: puede seleccionar y asignar un perfil de conexión inteligente.
• Seguimiento y administración de dispositivos: Seleccione este servicio para permitir que los usuarios registren su dispositivo después de
haber iniciado sesión. Cuando habiliteSeguimiento y administración de dispositivos, debe especificar en qué grupo de dispositivos se colocan
los dispositivos autorregistrados y especificar elNúmero máximo de dispositivospor usuario. El número se establece en 3 de forma
predeterminada, pero se puede establecer en un máximo de 20.

NO REIMPRIMIR
© FORTINET
Puede configurar FortiAuthenticator para proporcionar a los usuarios de Windows AD la capacidad de cambiar sus contraseñas de Windows
AD de forma remota. Esta capacidad se puede proporcionar de las tres maneras siguientes:
1. A través de RADIUS Login, esta opción requiere todas las siguientes configuraciones:
• FortiAuthenticator se ha unido al dominio de Windows AD.
• El cliente RADIUS está configurado para usar la autenticación de dominio de Windows AD
• Las solicitudes de autenticación RADIUS usan MS-CHAPv2
• El cliente RADIUS debe admitir el cambio de contraseña de MS-CHAPv2
2. A través del inicio de sesión de usuario de GUI, esta opción requiere uno de los siguientes dos criterios:
• FortiAuthenticator está unido al dominio de Windows AD
• El LDAP seguro (LDAPS) está habilitado y el administrador de LDAP tiene suficientes permisos para restablecer las contraseñas de los
usuarios.
3. A través del Portal de usuario de GUI, esta opción requiere uno de los siguientes dos criterios:
• FortiAuthenticator está unido al dominio de Windows AD
• LDAPS ha sido habilitado

NO REIMPRIMIR
© FORTINET
Ahora, explorará otro beneficio de agregar FortiAuthenticator a su solución de borde LAN.
Si FortiGate está configurado para autenticar clientes mediante un servidor LDAP remoto, los clientes inalámbricos y VPN que
utilizan esquemas CHAP no pueden autenticarse. Este es el caso de los clientes inalámbricos que usan PEAP/MSCHAP2 y
clientes VPN IPsec con autenticación extendida (XAuth) y CHAP. Lo mismo se aplica a cualquier otro dispositivo o aplicación que
use CHAP, MSCHAP o MSCHAP2 para autenticarse en un dispositivo FortiGate que use un servidor LDAP como back-end.
Durante la autenticación CHAP, MSCHAP y MSCHAP2, un cliente envía un hash unidireccional de la contraseña. Sin embargo,
el servidor LDAP, que se encuentra en el back-end, espera la contraseña. FortiGate, que actúa como el cliente LDAP, no tiene
las contraseñas del cliente ni puede convertir una contraseña cifrada en una contraseña de texto simple.

NO REIMPRIMIR
© FORTINET
Dos métodos que puede utilizar para resolver el problema de CHAP y LDAP son:
• PAP: configure FortiGate para usar PAP en lugar de CHAP al autenticar clientes. Este enfoque no es seguro
debido a la naturaleza del protocolo PAP.
• RADIUS: cambia el servidor back-end de LDAP a RADIUS.
Si utiliza Windows AD como servidor LDAP, una alternativa es utilizar FortiAuthenticator como proxy de autenticación.
FortiAuthenticator estaría ubicado entre FortiGate y el servidor de Windows. También debe configurar FortiAuthenticator
para iniciar sesión en el dominio de Windows con las credenciales de un administrador de Windows. Esto agrega
FortiAuthenticator como un dispositivo de confianza en el dominio de Windows AD, lo que permite que FortiAuthenticator
transmita el hash de la contraseña del cliente al servidor de Windows mediante NTLM.

NO REIMPRIMIR
© FORTINET
FortiAuthenticator puede almacenar la base de datos de usuarios localmente. También puede enviar solicitudes de autenticación de un cliente a un
servidor de autenticación de back-end.
Ahora, aprenderá a configurar FortiAuthenticator para enviar solicitudes de autenticación de proxy a un servidor LDAP
remoto, que puede ser un servidor Windows AD.
Debe configurar los siguientes ajustes:Nombre,IP/nombre del servidor primario,Nombre distinguido base,tipo de enlacey
administradorNombre de usuarioyContraseñapara el tipo de enlace regular. Tenga en cuenta que elNombre distinguido base
establece el nodo raíz donde LDAP comienza a buscar cuentas de usuario.
Puede seleccionar plantillas LDAP predefinidas en elTipo de servidorsección. Incluyen configuraciones de atributos
predeterminadas para servidores LDAP conocidos, como Windows AD, OpenLDAP y Novell eDirectory.
Si desea que FortiAuthenticator transmita la autenticación CHAP, MSCHAP y MSCHAPv2 a un servidor de Windows AD, debe
habilitarAutenticación de dominio de Windows Active Directorye ingrese las credenciales para un administrador de
Windows. FortiAuthenticator inicia sesión en el dominio como un dispositivo de confianza, lo que permite que
FortiAuthenticator transmita la autenticación CHAP, MSCHAP y MSCHAP2 mediante NTLM.

NO REIMPRIMIR
© FORTINET
El servicio posterior al inicio de sesión de Smart Connect le brinda la capacidad de preconfigurar los ajustes de seguridad de acceso a la red
necesarios, definidos enPerfiles de conexión inteligente, para usuarios que se autentican a través del portal FortiAuthenticator. Después de
una autenticación exitosa, los usuarios tendrán unConexión inteligentebotón que se muestra en la página principal posterior al inicio de
sesión. El botón iniciará la descarga de un script o archivo ejecutable (según el sistema operativo de las estaciones finales) para realizar las
configuraciones.
Puede crear un perfil de Smart Connect desde la página Perfiles de Smart Connect de la siguiente manera:
1. En elNombrecampo, escriba un nombre para este perfil. En elTipo de coneccióncampo, la única opción disponible es
Inalámbrico.
2. Configure los ajustes de EAP.
3. Configure los detalles de la red inalámbrica, incluido escribir un valor en elSSIDcampo y seleccionandoWPA2 personaleso
Empresa WPA2en elmétodo de autenticacióncampo. Tenga en cuenta que si seleccionaWPA2 personales, deberá
ingresar una clave precompartida. Si seleccionaEmpresa WPA2, deberá configurar los ajustes de instalación del
certificado.
4. Configure los ajustes de instalación de certificados.

NO REIMPRIMIR
© FORTINET
Configure los puntos de acceso (AP) para usarlos como parte de los criterios de selección del portal en una política del
portal. Los AP definen desde dónde se redirige a un usuario final para dirigirlo a un portal específico.

NO REIMPRIMIR
© FORTINET
FortiAuthenticator usa políticas de portal para determinar el portal apropiado y cómo se autentica el usuario.
Un asistente de políticas de varios pasos lo guía a través de la configuración de las políticas del portal. En el paso inicial,Tipo
de póliza, proporcione un nombre y una descripción para la política, así como el tipo de acceso que FortiAuthenticator
aplicará.
Los ajustes en elEscribele permite dirigir a los usuarios a un portal designado, que selecciona en la lista desplegable, o
puede seleccionarDenegar el acceso al portal cautivopara denegar el acceso al portal.
Defina los criterios de coincidencia de políticas mediante las opciones de configuración que estableció en otros pasos del asistente de políticas.

NO REIMPRIMIR
© FORTINET
Debe configurar una política de portal para presentar la página del portal al usuario. El acceso al portal de usuarios se asigna en
función de los parámetros POST entrantes.
En elCondiciones de la regla del portalsección, puede configurar los parámetros HTTP que deben coincidir antes de que el
usuario vea el portal. Seleccione un parámetro en elparámetro HTTPlista desplegable y, a continuación, agregue una
condición seleccionando uno de los tres operadores predefinidos (coincidencia exacta,substring_match, o en el rango) en el
Operadorla lista desplegable.
Utilizar elValorcampo para definir manualmente los valores de una condición.
Por ejemplo, para presentar un portal a los usuarios que se conectan desde una dirección IP en el rango de10.0.1.0/24,establecer las
siguientes condiciones:
parámetro HTTP:Operador
userip:[ip] en_rango
Valor:10.0.1.0/24

FortiAuthenticator 6.4 Parte 3 Español

Cargado por

Copyright:

Formatos disponibles

FortiAuthenticator 6.4 Parte 3 Español

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

FortiAuthenticator 6.4 Parte 3 Español

Cargado por

Copyright:

Formatos disponibles

Traducido del inglés al español - www.onlinedoctranslator.

Autenticación de dos factores

Guía de estudio de FortiAuthenticator 6.4 193

¡Felicidades! Has completado esta lección.

Ahora, revisará los objetivos que cubrió en esta lección.

Guía de estudio de FortiAuthenticator 6.4 194

Esta diapositiva muestra los objetivos que cubrió en esta lección.

Guía de estudio de FortiAuthenticator 6.4 195

Guía de estudio de FortiAuthenticator 6.4 196

Guía de estudio de FortiAuthenticator 6.4 197

Guía de estudio de FortiAuthenticator 6.4 198

Guía de estudio de FortiAuthenticator 6.4 199

El proceso de FSSO es el siguiente:

Guía de estudio de FortiAuthenticator 6.4 200

El marco FortiAuthenticator FSSO tiene cinco capas:

Guía de estudio de FortiAuthenticator 6.4 201

• Modo de agente de controlador de dominio (DC)

Ahora, observará más de cerca estos dos métodos.

Guía de estudio de FortiAuthenticator 6.4 202

Guía de estudio de FortiAuthenticator 6.4 203

Guía de estudio de FortiAuthenticator 6.4 204

Funciona de la siguiente manera:

1. El usuario inicia sesión en la red, lo que genera un evento de inicio de sesión.

Guía de estudio de FortiAuthenticator 6.4 205

FortiAuthenticator ofrece dos ventajas principales:

Guía de estudio de FortiAuthenticator 6.4 206

Guía de estudio de FortiAuthenticator 6.4 207

Guía de estudio de FortiAuthenticator 6.4 208

¡Buen trabajo! Ahora tiene una breve comprensión de FSSO.

Guía de estudio de FortiAuthenticator 6.4 209

Al demostrar competencia en la comprensión y configuración de los métodos de detección de FSSO, podrá

Guía de estudio de FortiAuthenticator 6.4 210

• Sondeo de Active Directory

Guía de estudio de FortiAuthenticator 6.4 211

Guía de estudio de FortiAuthenticator 6.4 212

Para este método, se debe preparar FortiAuthenticator y FortiGate.

Se puede acceder a la selección de eventos de seguridad desde elConfigurar eventosEnlace.

Guía de estudio de FortiAuthenticator 6.4 213

Guía de estudio de FortiAuthenticator 6.4 214

Guía de estudio de FortiAuthenticator 6.4 215

Guía de estudio de FortiAuthenticator 6.4 216

Guía de estudio de FortiAuthenticator 6.4 217

Guía de estudio de FortiAuthenticator 6.4 218

Guía de estudio de FortiAuthenticator 6.4 219

Guía de estudio de FortiAuthenticator 6.4 220

Guía de estudio de FortiAuthenticator 6.4 221

Guía de estudio de FortiAuthenticator 6.4 222

Guía de estudio de FortiAuthenticator 6.4 223

Guía de estudio de FortiAuthenticator 6.4 224

Guía de estudio de FortiAuthenticator 6.4 225

El proxy de contabilidad RADIUS es diferente de la contabilidad RADIUS mencionada anteriormente.

El proxy de contabilidad RADIUS debe configurarse con:

Una vez configurado en FortiAuthenticator, FSSO puede incluir usuarios.

Guía de estudio de FortiAuthenticator 6.4 226

Guía de estudio de FortiAuthenticator 6.4 227

¡Felicidades! Has completado esta lección.

Ahora, revisará los objetivos que cubrió en esta lección.

Guía de estudio de FortiAuthenticator 6.4 228

Esta diapositiva muestra los objetivos que cubrió en esta lección.