Configurar la Autenticación del Servidor VASCO
La autenticación por servidor VASCO usa el Servidor de Autenticación IDENTIKEY para autenticar usuarios remotos a una red empresarial a través de un ambiente de servidor web o RADIUS. VASCO también soporta múltiples ambientes de servidor de autenticación. El sistema por token de contraseña única de VASCO permite eliminar el enlace más débil de la infraestructura de seguridad: el uso de contraseñas estáticas.
Para configurar la autenticación por servidor VASCO, utilice las configuraciones del servidor RADIUS. La página de Servidores de Autenticación no tiene una configuración VASCO independiente.
Para usar la autenticación por servidor VASCO con su Firebox, debe:
- Agregue la dirección IP del Firebox a la configuración del Servidor de Autenticación IDENTIKEY VASCO, tal como se describe en la documentación del proveedor de VASCO.
- Active y especifique el Servidor de Autenticación IDENTIKEY VASCO en la configuración de su Firebox.
- Agregue los nombres de usuario o nombres de grupo a sus políticas.
Para comprender cómo integrar el Firebox con un Servidor de Autenticación VASCO IDENTIKEY, consulte la Guía de Integración del Servidor de Autenticación VASCO IDENTIKEY.
Para configurar la autenticación por servidor VASCO desde Fireware Web UI:
- Seleccione Autenticación > Servidores.
Aparece la página Servidores de Autenticación. - De la lista Servidor, seleccione RADIUS.
Aparecen las configuraciones del servidor RADIUS.
- Para habilitar el Servidor de Autenticación IDENTIKEY, marque la casilla de selección Habilitar el servidor RADIUS.
- En el cuadro de texto Dirección IP, ingrese la dirección IP del Servidor de Autenticación IDENTIKEY.
- En el cuadro de texto Puerto, asegúrese de que aparece el número de puerto que IAS utiliza para la autenticación. El número de puerto predeterminado es 1812.
- En el cuadro de texto Secreto Compartido, ingrese el secreto compartido entre el dispositivo y el Servidor de Autenticación IDENTIKEY.
El secreto compartido distingue mayúsculas de minúsculas y debe ser el mismo en el Firebox y en el Servidor de Autenticación IDENTIKEY. El secreto compartido no puede incluir solo caracteres de espacio. - En el cuadro de texto Confirmar Secreto, ingrese nuevamente el secreto compartido.
- En el cuadro de texto Tiempo de espera, ingrese el período de tiempo durante el que el dispositivo esperará la respuesta del servidor de autenticación antes de intentar establecer una nueva conexión.
- En el cuadro de texto Reintentos, ingrese el número de veces que el dispositivo intenta conectarse al servidor de autenticación antes de reportar una conexión fallida para un intento de autenticación.
- En el cuadro de texto Tiempo Muerto, ingrese el período de tiempo a partir del cual un servidor inactivo está marcado como activo nuevamente.
El valor predeterminado es de 3 minutos. En Fireware v12.1.1 o inferior, el valor predeterminado es 10 minutos. - En la lista desplegable Tiempo Muerto, seleccione Minutos u Horas para establecer la duración.
Después que un servidor de autenticación no haya respondido por un período de tiempo, éste queda marcado como inactivo. Intentos adicionales de autenticación, no intente conectarse a este servidor hasta que esté marcado como activo nuevamente. - Ingrese o seleccione el valor Atributo Grupo. El Atributo Grupo predeterminado es FilterID, que es el atributo VASCO 11.
El valor del atributo Grupo es usado para definir cuál atributo lleva la información de grupo de usuarios. Debe configurar el Servidor de Autenticación IDENTIKEY para que incluya la cadena Filter ID en el mensaje de autenticación de usuario que envía al dispositivo. Por ejemplo, engineerGroup o financeGroup. Esa información luego es utilizada para control de acceso. El dispositivo hace coincidir la cadena FilterID con el nombre de grupo configurado en las políticas del dispositivo. - Para agregar un Servidor de autenticación IDENTIKEY de respaldo, en la sección Configuración del Servidor Secundario, marque la casilla de selección Habilitar el Servidor RADIUS Secundario.
- Repita los pasos 4 a 11 para configurar el servidor de respaldo. Asegúrese de que el secreto compartido sea el mismo en el Servidor de Autenticación IDENTIKEY primario y secundario.
Para más información, consulte Usar un Servidor de Autenticación de Resguardo. - Haga clic en Guardar.
Para configurar la autenticación por servidor VASCO desde el Policy Manager:
- Haga clic en
.
O bien, seleccione Configurar > Autenticación > Servidores de Autenticación.
Aparece el cuadro de diálogo Servidores de Autenticación. - Seleccione la pestaña RADIUS.
- Para habilitar el Servidor de Autenticación IDENTIKEY, marque la casilla de selección Habilitar el servidor RADIUS.
- En el cuadro de texto Dirección IP, ingrese la dirección IP del Servidor de Autenticación IDENTIKEY.
- En el cuadro de texto Puerto, asegúrese de que aparece el número de puerto que VASCO utiliza para la autenticación. El número de puerto predeterminado es 1812.
- En el cuadro de texto Secreto, ingrese el secreto compartido entre el dispositivo y el Servidor de Autenticación IDENTIKEY.
El secreto compartido distingue mayúsculas de minúsculas y debe ser el mismo en el dispositivo y en el Servidor de Autenticación IDENTIKEY. El secreto compartido no puede incluir solo caracteres de espacio. - En el cuadro de texto Confirmar Secreto, ingrese nuevamente el secreto compartido.
- En el cuadro de texto Tiempo de Espera, ingrese o seleccione el período de tiempo por el que el dispositivo esperará la respuesta del servidor de autenticación antes de intentar establecer una nueva conexión.
- En el cuadro de texto Reintentos, ingrese o seleccione el número de veces que el dispositivo intenta conectarse al servidor de autenticación antes de reportar una conexión fallida para un intento de autenticación.
- En el cuadro de texto Tiempo Muerto, ingrese o seleccione el período de tiempo a partir del cual un servidor inactivo esté marcado como activo nuevamente.
El valor predeterminado es de 3 minutos. En Fireware v12.1.1 o inferior, el valor predeterminado es 10 minutos. - En la lista desplegable Tiempo Muerto, seleccione Minutos u Horas para establecer la duración.
Después que un servidor de autenticación no haya respondido por un período de tiempo, éste queda marcado como inactivo. Intentos adicionales de autenticación, no intente conectarse a este servidor hasta que esté marcado como activo nuevamente. - Ingrese o seleccione el valor Atributo Grupo. El Atributo Grupo predeterminado es FilterID, que es el atributo VASCO 11.
El valor del atributo Grupo es usado para definir cuál atributo lleva la información de grupo de usuarios. Debe configurar el servidor VASCO para que incluya la cadena Filter ID en el mensaje de autenticación de usuario que envía al dispositivo. Por ejemplo, engineerGroup o financeGroup. Esa información luego es utilizada para control de acceso. El dispositivo hace coincidir la cadena FilterID con el nombre de grupo configurado en las políticas del dispositivo. - En el cuadro de texto Tiempo Muerto, ingrese o seleccione el período de tiempo a partir del cual un servidor inactivo esté marcado como activo nuevamente. Seleccione minutos u horas en la lista desplegable vecina para cambiar la duración.
Después que un servidor de autenticación no haya respondido por un período de tiempo, éste queda marcado como inactivo. Intentos adicionales de autenticación, no intente conectarse a este servidor hasta que esté marcado como activo nuevamente. - Para agregar un Servidor de Autenticación IDENTIKEY de respaldo, seleccione la pestaña Configuración del Servidor de Respaldo y marque la casilla de selección Habilitar el servidor RADIUS de Respaldo.
- Repita los pasos 4 a 11 para configurar el servidor de respaldo. Asegúrese de que el secreto compartido sea el mismo en el Servidor de Autenticación IDENTIKEY primario y secundario.
Para más información, consulte Usar un Servidor de Autenticación de Resguardo. - Haga clic en Aceptar.
- Guardar el archivo de configuración.