Resolver Problemas del SSO de Active Directory

Active Directory

• Su Active Directory server está configurado en una red de confianza u opcional
• Todos los usuarios deben tener una cuenta de usuario en Active Directory server
  

Firebox

• Su Firebox está configurado para usar autenticación en Active Directory para SSO
• La dirección IP del SSO Agent se especifica en la configuración de Firebox
• Se especifican excepciones de SSO para las redes y los dispositivos que no son parte del dominio, como las redes y los enrutadores invitados

SSO Agent

• El puerto TCP 4114 está abierto en el servidor donde instaló el SSO Agent
• Para la v12.3 o superior del SSO Agent, Microsoft .NET Framework v4.0 o superior se instala en el servidor donde se instaló el SSO Agent
• Para las versiones del SSO Agent inferiores a v12.3, Microsoft .NET Framework v2.0-4.5 debe instalarse en el servidor donde se instala el SSO Agent
• El SSO Agent se ejecuta como una cuenta de usuario en el grupo de seguridad Usuarios de Dominio. ¡Consejo! Recomendamos que agregue una cuenta de usuario en su Active Directory server para este fin y que establezca la contraseña de la cuenta para que nunca caduque.
  La cuenta de Usuarios de Dominio que seleccione debe tener privilegios para ejecutar servicios en el Active Directory server para buscar en el directorio y para buscar toda otra información de auditoría de usuario. Por motivos de seguridad, recomendamos que no seleccione una cuenta en el grupo de seguridad Administradores de Dominio.
• El SSO Agent está configurado correctamente

Para verificar que el SSO Agent esté configurado correctamente:

1. Desde el menú de Inicio de Windows, seleccione Todos los Programas > WatchGuard > Puerta de Enlace de Autenticación > SSO Agent.
2. Inicie sesión en el SSO Agent. El nombre de usuario y la contraseña predeterminados son admin y readwrite.
3. Seleccione Editar > Configuración de Contactos de SSO Agent.
4. Asegúrese de que su método de SSO preferido esté habilitado y configurado en Prioridad 1. Si ha configurado un método de SSO de respaldo, asegúrese de que esté habilitado y configurado en Prioridad 2.

• El puerto TCP 4116 está abierto en los equipos donde instaló el SSO Client
• Los equipos con macOS se agregaron al dominio de Active Directory antes de instalar el SSO Client
• Todos los equipos desde los cuales los usuarios se autentican con SSO son miembros del dominio de Active Directory y tienen relaciones de confianza absoluta
• Todos los usuarios inician sesión con una cuenta de usuario de dominio, y no con una cuenta de usuario de un equipo local. Si los usuarios se registran con una cuenta de usuario que existe sólo en sus equipos locales, sus credenciales no son verificadas y el Firebox no reconoce que están registrados.
• El SSO Client está habilitado en la configuración del SSO Agent. Para especificar el SSO Client como su método de SSO principal, configúrelo en Prioridad 1.

• El puerto TCP 4135 está abierto en el controlador de dominio donde está instalado el Event Log Monitor
• Event Log Monitor esté instalado en un controlador de dominio para cada dominio de Active Directory en su red
• Event Log Monitor se ejecuta como una cuenta de usuario en el grupo de seguridad Usuarios de Dominio ¡Consejo! Recomendamos que agregue una cuenta de usuario en su Active Directory Server para este fin. Recomendamos que configure la contraseña de cuenta para que nunca expire.
  Por motivos de seguridad, recomendamos que no seleccione una cuenta en el grupo de seguridad Administradores de Dominio.
• La cuenta de Usuarios de Dominio que seleccione debe tener privilegios para ejecutar servicios en el Active Directory server para buscar en el directorio y para buscar toda otra información de auditoría de usuario.
• Event Log Monitor está habilitado en la configuración del SSO Agent. Para especificar el Event Log Monitor como su método principal de SSO, configúrelo en Prioridad 1. Para configurarlo como su método de SSO de respaldo, configúrelo en Prioridad 2.
• Después de habilitar los mensajes de registro de auditoría para generar eventos de inicio de sesión de la cuenta, el Registro de Eventos de Seguridad en sus equipos de Windows genera los eventos de Windows 4624 y 4634 después de las acciones de inicio de sesión y cierre de sesión
• El archivo de Registro de Eventos de Seguridad no está lleno en sus equipos con Windows

Para habilitar los registros de auditoría para eventos de inicio de sesión de cuenta:

1. Seleccione Inicio> Herramientas Administrativas> Administración de Políticas de Grupo.
2. Haga clic con el botón secundario en Política de Dominio Predeterminada y haga clic en Editar.
   
   Aparece el Editor de Administración de Políticas de Grupo.
3. Desde la Configuración del Equipo, seleccione Políticas> Configuración de Windows > Configuración de seguridad > Políticas Locales > Política de Auditoría.
4. Abra Eventos de inicio de sesión de la cuenta de auditoría.
5. Seleccione la casilla de selección Definir estas configuraciones de política.
6. Seleccione la casilla de selección Éxito.
   
   Para generar mensajes de registro adicionales que pueden ayudarlo a resolver problemas de autenticación, seleccione la casilla de selección Falla.
   
   Después de resolver el problema, asegúrese de borrar la casilla de selección Falla.
7. Haga clic en Aceptar.
8. Fuerce los equipos de usuario para obtener la política de grupo actualizada con uno de estos métodos:
   • Ejecute gpupdate localmente en el equipo, o remotamente con el comando gpupdate /target.
   • Pida al usuario que cierre la sesión e inicie sesión nuevamente.
   • Reinicie el equipo del usuario.

• El puerto TCP 4136 esté abierto en el servidor donde instaló el Exchange Monitor
• El Exchange Monitor esté instalado en el mismo servidor donde su Microsoft Exchange Server está instalado
• Exchange Server esté configurado para generar registros IIS en el formato de archivo de registro W3C Extended y en los mensajes de registro de acceso de cliente RPC
• Exchange Monitor se ejecute como una cuenta de usuario en el grupo de seguridad Administradores de Dominio
• El dominio de contacto del Exchange Monitor se especifique en la configuración del SSO Agent, si el SSO Agent no está instalado en su controlador de dominio, o el Exchange Monitor y los SSO Agents están instalados en diferentes dominios
• Exchange Monitor esté habilitado en la configuración del SSO Agent. Para especificar el Exchange Monitor como su método principal de SSO, configúrelo en Prioridad 1. Para configurarlo como su método de SSO de respaldo, configúrelo en Prioridad 2.
• Los usuarios inicien un programa de correo antes de intentar obtener acceso a Internet. Esto genera los mensajes de registro de IIS en su Exchange Server que el Exchange Monitor requiere para el SSO.

El puerto TCP 445 (Archivo de Windows e Impresora Compartida/SMB) está abierto en todos los equipos del usuario.

Para probar si el puerto 445 está abierto, puede usar:

• La herramienta Comprobador de Puerto de SSO
• Un cliente de telnet
  Por ejemplo, en el símbolo del sistema de Windows, escriba telnet x.x.x.x 445. Asegúrese de reemplazar x.x.x.x con la dirección IP del equipo del usuario.

1. Inicie sesión en la Herramienta de Configuración del SSO Agent.
2. Seleccione Editar > Configuración de Contactos de SSO Agent.
3. Haga clic en Probar Puerto SSO.
   Aparece el cuadro de diálogo del Comprobador de Puerto SSO.

4. En la sección Especificar Direcciones IP, seleccione una opción:
   • Rango de Dirección IP del Host
   • Dirección IP de Red
   • Importar Direcciones IP
5. Si seleccionóRango de Dirección IP del Host, en los cuadros de texto Rango de Dirección IP del Host, ingrese el rango de direcciones IP por probar. Para probar una única dirección IP, escriba la misma dirección IP en ambos cuadros de texto.
   Si seleccionó Dirección IP de la Red, en el cuadro de texto Dirección IP de la Red ingrese la dirección IP de la red por probar.
   Si seleccionó Importar Direcciones IP, haga clic en y seleccione el archivo de texto plano con la lista de direcciones IP por probar.
6. En el cuadro de texto Puertos, ingrese los números de puertos por probar.
   Para probar más de un puerto, ingrese cada número de puerto separado con una coma, sin espacios.
7. Haga clic en Probar.
   Los resultados de la prueba de puerto aparecen en la ventana del Comprobador de Puerto SSO.
8. Para guardar los resultados en un archivo de registro, haga clic en Guardar registro y especifique el nombre del archivo y la ubicación en la que guardará el archivo de registro.
9. Para detener el proceso de la herramienta de comprobación de puertos, haga clic en Salir.

Acceso Denegado

Puede ver este mensaje de error si:

• Hay dispositivos en la red que no son equipos, por ejemplo, impresoras y enrutadores
• Hay equipos u otros dispositivos en la red que no son miembros del dominio
• Un usuario proporcionó credenciales de dominio no válidas para SSO
• Los servicios de SSO en el servidor o el equipo no tienen privilegios de Administrador

Para resolver este mensaje de error:

• Verifique que la relación de confianza entre el equipo de dominio y el controlador de dominio sea correcta. Si hay un problema de membresía de dominio, elimine el equipo del dominio y agréguelo nuevamente al dominio.
• Para confirmar que se ha resuelto el problema de pertenencia al dominio, intente conectarse a un servidor miembro de dominio en su red a través de una ruta UNC.
  Por ejemplo, si el nombre del servidor de archivos es CompanyShare, escriba en el símbolo del sistema de Windows \\CompanyShare. Si no puede obtener acceso a esta carpeta y aparecen mensajes de error de permisos de Windows, verifique esta configuración en el Active Directory Server: configuración del equipo, configuración de la cuenta de usuario y la relación de confianza.

Usuario Desconocido

Este error puede ser causado por:

• Archivos de registro de eventos que no existen o están llenos
• Un equipo que no es un miembro del dominio
• Intentos de conexión SSO por parte de usuarios de RDP cuando es necesario actualizar el software del componente SSO
  Debe ejecutar v11.10 o superior para que los usuarios puedan realizar una conexión RDP con SSO.
• ID de eventos de Windows que no son admitidos por los componentes de SSO de WatchGuard
• Un usuario que no está conectado

SMB en el puerto TCP 445 que no está abierto en el servidor remoto. Verifique el firewall.

El puerto TCP 445 no está abierto en el equipo del usuario, o el servicio que escucha en el puerto TCP 445 no respondió.

Host remoto 'x.x.x.x' en estado de cierre de sesión

Ningún usuario ha iniciado sesión o el usuario que inició sesión comenzó el proceso de cierre de sesión.

La ruta de red no se encontró

No hay ruta al host.

1. Abra una sesión de telnet y conéctese al SSO Agent a través del puerto 4114.
2. Escriba “set debug on” y presione Enter en su teclado para ejecutar el comando.
3. Cierre la sesión de telnet.
4. Vaya al directorio correspondiente:
   • C:\Program Files\WatchGuard\WatchGuard Authentication Gateway\
   • C:\Program Files(x86)\WatchGuard\WatchGuard Authentication Gateway\
5. Copie este archivo a su escritorio: wagsrvc.log.
6. Abra una sesión de telnet y conéctese al SSO Agent a través del puerto 4114.
7. Escriba “set debug off” y presione Enter en su teclado para ejecutar el comando.
8. Cierre la sesión de telnet.

1. Inicie sesión en su dominio desde un equipo cliente.
2. En la computadora cliente, vaya al directorio correspondiente:
   • C:\Program Files\WatchGuard\WatchGuard Authentication Gateway\
   • C:\Program Files (x86)\WatchGuard\WatchGuard Authentication Client\
   • Users\[Nombre de Usuario]\Library\Logs\WatchGuard\SSO Client
3. Copie estos archivos a su escritorio:
   • wgssoclient_logfile.log
   • wgssoclient_errorfile.log

1. Abra el WatchGuard System Manager (WSM) y conéctese a su Firebox.
2. Inicie el Policy Manager.
3. Seleccione Configurar > Generación de Registros.
   Aparece el cuadro de diálogo Configuración de Registros.
4. Haga clic en Nivel de registro de diagnóstico.
   Aparece el cuadro de diálogo Nivel de registro de diagnóstico.
5. Desde el árbol de categorías, seleccione Autenticación.
6. Deslice la barra de Ajustes para seleccionar el nivel Información.
7. Haga clic en Aceptar para cerrar cada cuadro de diálogo.
8. Guarde el archivo de configuración en el Firebox.
9. Inicie el Firebox System Manager (FSM) de su Firebox.
10. Seleccione la pestaña Traffic Monitor.
11. Con el FSM abierto y la pestaña Traffic Monitor seleccionada, inicie sesión en un equipo que tenga instalado el SSO Client.
12. Esto generará mensajes de registro ADMD que usted puede ver en el Traffic Monitor.
13. En la pestaña Traffic Monitor del FSM, en el cuadro de texto de búsqueda, ingrese ADMD, y en la lista desplegable de opciones de búsqueda, seleccione Filtrar los resultados de búsqueda.
14. Traffic Monitor muestra solo los mensajes de registro de ADMD.
15. Haga clic con el botón derecho en cualquier lugar en Traffic Monitor y seleccione Copiar Todo.
16. Pegue los mensajes de registro de ADMD en un archivo de texto y guarde el archivo en su escritorio con el nombre SSO_firewall_logs.txt.
17. Repita los Pasos 2 a 8 para cambiar el Nivel de Registro de Diagnóstico para la categoría Autenticación al ajuste original (por ejemplo, Error).

1. Abra un incidente de soporte a través del Centro de Soporte de WatchGuard.
2. Si aún no ha iniciado sesión en el sitio web de WatchGuard, debe hacerlo antes de poder enviar un incidente.
3. Incluya estos archivos como adjuntos:

• SSO Agent — wagsrvc.log
• SSO Client — wgssoclient_logfile.log y wgssoclient_errorfile.log
• Firebox — SSO_firewall_logs.txt