Usar las Configuraciones Opcionales de Active Directory o de LDAP

Cuando su Fireware contacta el servidor de directorio (Active Directory o LDAP) para buscar información, puede obtener información adicional en la lista de atributos en la respuesta de búsqueda enviada por el servidor. Eso le permite usar el servidor del directorio para asignar parámetros adicionales a la sesión del usuario autenticada, tales como los tiempos de espera y asignaciones de dirección de Mobile VPN. Como los datos provienen de atributos asociados a objetos de usuarios individuales, puede definir esos parámetros para cada usuario individual. No está limitado a las configuraciones globales especificadas en el archivo de configuración del dispositivo.

Antes de Empezar

Para usar esas configuraciones opcionales es necesario:

  • Ampliar el esquema de directorio para agregar nuevos atributos para esos elementos.
  • Hacer que los nuevos atributos estén disponibles para la clase de objeto a la que pertenecen las cuentas de usuario.
  • Otorgar valores a los atributos para los objetos de usuario que deberían usarlos.

Asegurarse de planear y probar cuidadosamente su esquema de directorio antes de ampliarlo a sus directorios. Las adiciones al esquema de Active Directory, por ejemplo, generalmente son permanentes y no se puede deshacerlas. Use el sitio web de Microsoft® para obtener recursos para planificar, probar e implementar cambios en un esquema de Active Directory. Consulte la documentación de su proveedor de LDAP antes de ampliar el esquema a otros directorios.

Especificar Configuraciones Opcionales de LDAP o Active Directory

Puede especificar los atributos adicionales que Fireware busca en la respuesta de búsqueda del servidor de directorio.

  1. Seleccione Autenticación > Servidores.

    Aparece la página Servidores de Autenticación.

screenshot of the Authentication Servers dialog box, with the Firebox tab selected

  1. Desde la lista Servidores de Autenticación, seleccione LDAP o Active Directory y asegúrese de que el servidor esté habilitado.
  2. Si seleccionó LDAP, en la sección Configuraciones Opcionales, ingrese los atributos que desea incluir en el directorio de búsqueda en los campos de cadena, como se definen en la siguiente sección.

screenshot of the LDAP Server Optional Settings

  1. Si seleccionó Active Directory:
    1. Seleccione un servidor y haga clic en Editar.
    2. Haga clic en la pestaña Configuraciones Opcionales.
    3. Ingrese los atributos que desea incluir en el directorio de búsqueda en los campos de cadena, como se definen en la siguiente sección.
  2. Haga clic en Guardar.
    Las configuraciones de atributos están guardadas.
  1. Seleccione Configurar > Autenticación > Servidores de Autenticación.
    Aparece el cuadro de diálogo Servidores de Autenticación.
  2. Seleccione la pestaña LDAP o la pestaña Active Directory para asegurarse que el servidor esté habilitado.
  3. Si seleccionó LDAP:
    1. Haga clic en Configuraciones Opcionales.
      Aparece el cuadro de diálogo Configuraciones Opcionales del Servidor LDAP.
    2. Ingrese los atributos que desea incluir en el directorio de búsqueda en los campos de cadena, como se definen en la siguiente sección.
    3. Haga clic en Aceptar.
      Las configuraciones de atributos están guardadas.

Screenshot of the Authentication Servers dialog box, with the LDAP tab selected

screenshot of LDAP Server Optional Settings

  1. Si seleccionó Active Directory:
    1. Seleccione un servidor y haga clic en Editar.
    2. Haga clic en la pestaña Configuraciones Opcionales.
    3. Ingrese los atributos que desea incluir en el directorio de búsqueda en los campos de cadena, como se definen en la siguiente sección.
  2. Haga clic en Guardar.
    Las configuraciones de atributos están guardadas.

Cadenas de Atributos Opcionales de LDAP y Active Directory

Cadena del atributo IP

Este campo se aplica solamente a clientes de Mobile VPN.

Ingrese el nombre del atributo para que Fireware lo use para asignar una dirección IP virtual al cliente de Mobile VPN. Debe ser un atributo de valor único y una dirección IP en formato decimal. La dirección IP debe estar dentro del grupo de direcciones IP virtuales que son especificadas en la creación del Grupo de Mobile VPN.

Si el Firebox no ve el atributo IP en la respuesta de búsqueda, o si usted no especifica un atributo, le asigna al cliente de Mobile VPN una dirección IP virtual del grupo de direcciones IP virtuales que usted crea cuando forma el Grupo Mobile VPN.

Cadena del Atributo Máscara de red

Este campo se aplica solamente a clientes de Mobile VPN.

Ingrese el nombre del atributo para que Fireware lo use para asignar una máscara de subred a la dirección IP virtual del cliente de Mobile VPN. Debe ser un atributo de valor único y una Subnet Mask en formato decimal.

El software Mobile VPN asigna automáticamente una máscara de red si el Firebox no ve el atributo de máscara de red en la respuesta de búsqueda o si usted no especifica una en la máscara de red.

Cadena del Atributo DNS

Este campo se aplica solamente a clientes de Mobile VPN.

Ingrese el nombre del atributo que Fireware usa para asignar una o más direcciones de DNS al cliente de Mobile VPN para el período de duración de la sesión de Mobile VPN. Eso puede ser un atributo de múltiples valores y debe ser una dirección IP decimal normal con puntos. Si el Firebox no ve el atributo DNS en la respuesta de búsqueda, o si usted no especifica un atributo, utilizará las direcciones WINS que especifica cuando ajusta las configuraciones de los servidores DNS.

Para más información sobre cómo configurar estos servidores, consulte Configurar el DNS y los Servidores WINS para Mobile VPN with IPSec.

Cadena del Atributo WINS

Este campo se aplica solamente a clientes de Mobile VPN.

Ingrese el nombre del atributo que Fireware debería usar para asignar una o más direcciones WINS al cliente de Mobile VPN para el período de duración de la sesión de Mobile VPN. Eso puede ser un atributo de múltiples valores y debe ser una dirección IP decimal normal con puntos. Si el Firebox no ve el atributo WINS en la respuesta de búsqueda, o si usted no especifica un atributo, utilizará las direcciones WINS que especifica cuando ajusta las configuraciones de los servidores WINS.

Para más información sobre cómo configurar estos servidores, consulte Configurar el DNS y los Servidores WINS para Mobile VPN with IPSec.

Cadena del Atributo Tiempo de Concesión

Esta configuración se aplica a los clientes de Mobile VPN y a clientes que usan Autenticación por Firewall.

Ingrese el nombre del atributo para que Fireware lo use para controlar la duración máxima que un usuario puede permanecer autenticado (tiempo de espera de sesión). Después de ese período de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser un atributo de valor único. Fireware interpreta el valor del atributo como un número decimal de segundos. Interpreta un valor de cero como nunca hay tiempo de espera.

Cadena del atributo tiempo de espera inactivo

Esta configuración se aplica a los clientes de Mobile VPN y a clientes que usan Autenticación por Firewall.

Ingrese el nombre del atributo que Fireware usa para controlar el período de tiempo que un usuario puede permanecer autenticado cuando no se transmite tráfico hacia el Firebox desde el usuario (tiempo de espera inactivo). Si no se envía tráfico al dispositivo por ese período de tiempo, el usuario es removido de la lista de usuarios autenticados. Debe ser un atributo de valor único. Fireware interpreta el valor del atributo como un número decimal de segundos. Interpreta un valor de cero como nunca hay tiempo de espera.

Ver También

Configurar Autenticación de Active Directory

Configurar la Autenticación LDAP