Administrar Usuarios y Roles en Su Firebox

Con la administración basada en roles en el Firebox, puede compartir la configuración y las responsabilidades de monitoreo de su Firebox entre varias personas en su organización. Esto le permite ejecutar informes de auditoría para monitorizar qué administradores hacen qué cambios en el archivo de configuración del dispositivo. Puede usar las cuentas de usuario integradas del Firebox o puede crear las suyas propias.

Acerca de los Roles y Usuarios de Firebox

Rol Descripción
Administrador del dispositivo Las cuentas de usuario a las que se asigna el rol de Administrador del Dispositivo pueden conectarse con el dispositivo con permisos de lectura-escritura para realizar cambios al archivo de configuración de dispositivo y monitorizar el dispositivo.
Monitor del dispositivo Las cuentas de usuario a las que se asigna el rol de Monitor del Dispositivo pueden conectarse con el dispositivo con permisos de sólo lectura para monitorizar el dispositivo.
Administrador Invitado Las cuentas de usuario a las que se asigna el rol de Administrador Invitado pueden conectarse solamente con el dispositivo para administrar la lista de cuentas de usuarios invitados para conexiones al hotspot habilitadas en el dispositivo.

Puede habilitar más de un usuario con privilegios de Administrador del Dispositivo, Monitor del Dispositivo o Administrador Invitado para conectarse a su Firebox al mismo tiempo. Si tiene esta función habilitada y está conectado a su Firebox con credenciales de Administrador del Dispositivo en Fireware Web UI, antes de que pueda cambiar los ajustes de configuración en el archivo de configuración del dispositivo Firebox, debe desbloquear el archivo de configuración.

Para obtener más información sobre:

Cuenta de Usuario Predeterminada Descripción Contraseña Predeterminada
admin La cuenta de usuario de Administrador del Dispositivo predeterminada con permisos de lectura-escritura. readwrite
status La cuenta de usuario de Monitor del Dispositivo predeterminada con permisos de sólo lectura. readonly
wg-support La cuenta de usuario para el acceso al Soporte de WatchGuard para su dispositivo. Deshabilitada por defecto. Ninguno

En Fireware v12.0.1 o superior, puede habilitar la opción Acceso de Soporte, que crea una cuenta de usuario temporal, de solo lectura, en su Firebox para conexiones desde Soporte de WatchGuard. Para más información, consulte Habilitar Ayuda al Acceso.

Cuando agrega nuevos usuarios de Administración del Dispositivo al Firebox, la información de la cuenta para los usuarios se almacena en un archivo independiente del archivo de configuración del dispositivo. Esto significa que, si debe restablecer una versión anterior del archivo de configuración para el Firebox, las cuentas de usuario que agregó no se ven afectadas. Si restaura las configuraciones predeterminadas de fábrica para el Firebox, no obstante, se eliminan todas las cuentas de usuario de Administración del Dispositivo que agregó; solamente las cuentas de usuario predeterminadas están disponibles, con las contraseñas predeterminadas restauradas.

Puede utilizar estos servidores de autenticación para las cuentas de usuario de Administración del Dispositivo en el Firebox:

  • Firebox-DB
  • Active Directory
  • LDAP
  • RADIUS
  • AuthPoint

Para los servidores de autenticación externos de terceros (no Firebox-DB), asegúrese de agregar la cuenta de usuario al servidor de autenticación antes de agregar la cuenta de usuario al Firebox. Las credenciales de la cuenta de usuario que usted especifica para la cuenta de usuario en el Firebox distinguen mayúsculas de minúsculas, y deben coincidir con las credenciales de usuario como se especifican en el servidor de autenticación de terceros.

Administrar Roles and Usuarios

Puede agregar una cuenta de usuario con el rol de Administrador del Dispositivo o Monitor del Dispositivo. Para agregar una cuenta de usuario desde un servidor de autenticación externo de terceros (no de Firebox-DB), ya debe haber configurado los ajustes en el Firebox para ese servidor de autenticación. También debe asegurarse de que la cuenta de usuario ya exista en el servidor de autenticación. Sólo debe especificar una contraseña para las cuentas de usuario que utilizan el servidor de autenticación Firebox-DB. Cuando agrega una cuenta de usuario desde un servidor externo de autenticación (tal como el Active Directory server), la contraseña especificada para esa cuenta de usuario en los ajustes del servidor de autenticación se utiliza cuando el usuario inicia sesión en el Firebox.

Para requerir autenticación multifactor (MFA) cuando un usuario de ‬Administración del Dispositivo‭ inicia sesión, especifique AuthPoint como el servidor de autenticación. Para hacer esto, su Firebox debe ejecutar Fireware v12.7 o superior y debe configurar un recurso Firebox en AuthPoint.

  1. Seleccione Sistema > Usuarios y Roles.
    Se abre la página Usuarios y Roles.

Screen shot of the Users and Roles page

  1. Haga clic en Agregar.
    Se abre el cuadro de diálogo Agregar Usuario.

Screen shot of the Add User dialog box

  1. En el cuadro de texto Nombre del Usuario, ingrese el nombre de usuario para la cuenta.
  2. De la lista desplegable Servidor de Autenticación, seleccione el servidor de autenticación para esta cuenta de usuario.
  3. En la lista desplegable Rol, seleccione el rol para esta cuenta de usuario.
  4. (Firebox-DB solamente) En los cuadros de texto Contraseña y Confirmar Contraseña, ingrese la contraseña para esta cuenta.
  5. Haga clic en Aceptar.
    La cuenta de usuario aparece en la lista Usuarios y Roles.
  6. Haga clic en Guardar.
  1. Seleccione Archivo > Administrar Usuarios y Roles.
    Se abre el cuadro de diálogo Inicio de sesión.

Screen shot of the Login dialog box

  1. En los cuadros de texto Nombre de Usuario de Administrador y Contraseña de Administrador, ingrese las credenciales para una cuenta de usuario con privilegios de Administrador de Dispositivos.
  2. De la lista desplegable Servidor de Autenticación, seleccione el servidor de autenticación correcto para la cuenta de usuario que especificó.
  3. Haga clic en Aceptar.
    Se abre el cuadro de diálogo Administrar Usuarios y Roles.

Screen shot of the Manage Users and Roles dialog box

  1. Haga clic en Agregar.
    Se abre el cuadro de diálogo Agregar Usuario.

Screen shot of the Add User dialog box

  1. En el cuadro de texto Nombre del Usuario, ingrese el nombre de usuario para la cuenta.
  2. De la lista desplegable Servidor de Autenticación, seleccione el servidor de autenticación para esta cuenta de usuario.
  3. En la lista desplegable Rol, seleccione el rol para esta cuenta de usuario.
  4. (Firebox-DB solamente) En los cuadros de texto Contraseña y Confirmar Contraseña, ingrese la contraseña para esta cuenta.
  5. Haga clic en Aceptar.
    La cuenta de usuario aparece en la lista Administrar Usuarios y Roles.
  1. Seleccione Herramientas > Administrar Usuarios y Roles.
    Aparece el cuadro de diálogo de inicio de sesión Administrar Usuarios y Roles.

Screen shot of the Manage Users and Roles login dialog box

  1. En los cuadros de texto Nombre de Usuario y Contraseña, ingrese las credenciales para una cuenta de usuario con privilegios de Administrador del Dispositivo.
  2. De la lista desplegable Servidor de Autenticación, seleccione el servidor de autenticación correcto para la cuenta de usuario que especificó.
  3. Si seleccionó un Active Directory Server, en el cuadro de texto Dominio, ingrese el nombre de dominio de su servidor de Active Directory.
  4. Haga clic en Aceptar.
    Se abre el cuadro de diálogo Administrar Usuarios y Roles.

Screen shot of the Manage Users and Roles dialog box

  1. Haga clic en Agregar.
    Se abre el cuadro de diálogo Agregar Usuario.

Screen shot of the Add User dialog box

  1. En el cuadro de texto Nombre del Usuario, ingrese el nombre de usuario para la cuenta.
  2. De la lista desplegable Servidor de Autenticación, seleccione el servidor de autenticación para esta cuenta de usuario.
  3. En la lista desplegable Rol, seleccione el rol para esta cuenta de usuario.
  4. (Firebox-DB solamente) En los cuadros de texto Contraseña y Confirmar Contraseña, ingrese la contraseña para esta cuenta.
  5. Haga clic en Aceptar.
    La cuenta de usuario aparece en la lista Administrar Usuarios y Roles.

Cuando edita una cuenta de usuario que creó en su Firebox, no puede cambiar el nombre de usuario o la configuración del servidor de autenticación. Las otras configuraciones que puede cambiar dependen del servidor de autenticación que especificó para la cuenta de usuario. Para las cuentas de usuario de cualquier servidor de autenticación externo, puede cambiar el rol asignado a la cuenta de usuario y la contraseña. Para los usuarios que definió en el servidor de autenticación Firebox-DB, puede cambiar solo la contraseña.

Para cambiar el nombre de usuario o el servidor de autenticación especificado para una cuenta de usuario, debe eliminar el usuario de la lista Administrar Usuarios y Roles y agregar la cuenta de usuario nuevamente con los ajustes correctos.

Para las cuentas de usuario admin y estado incorporadas, solo puede cambiar la contraseña. Para la cuenta de usuario wg-support, puede cambiar el rol y la contraseña.

  1. De la lista Usuarios y Roles, seleccione una cuenta de usuario.
  2. Haga clic en Editar.
    Se abre el cuadro de diálogo Editar Usuario.
  3. Seleccione un rol diferente o especifique una nueva contraseña.
  4. Haga clic en Aceptar.
  5. Haga clic en Guardar.
  1. De la lista Administrar Usuarios y Roles, seleccione una cuenta de usuario.
  2. Haga clic en Editar.
    Se abre el cuadro de diálogo Editar Usuario.
  3. Seleccione un rol diferente o especifique una nueva contraseña.
  4. Haga clic en Aceptar.

Solo puede eliminar las cuentas de usuario que crea en su Firebox. Las cuentas de usuario predeterminadas incorporadas (admin, estado y wg-support) no se pueden eliminar.

  1. De la lista Usuarios y Roles, seleccione una cuenta de usuario.
  2. Haga clic en Eliminar.
    Se abre un mensaje de confirmación.
  3. Haga clic en .
    Se elimina el usuario de la lista de Usuarios y Roles.
  4. Haga clic en Guardar.
  1. De la lista Administrar Usuarios y Roles, seleccione una cuenta de usuario.
  2. Haga clic en Eliminar.
    Se abre un mensaje de confirmación.
  3. Haga clic en .
    Se elimina el usuario de la lista Administrar Usuarios y Roles.

Puede habilitar el Bloqueo de Cuentas para evitar intentos de uso de la fuerza bruta para adivinar las contraseñas de cuentas de usuario. Cuando se habilita el Bloqueo de Cuentas, el Firebox bloquea temporalmente una cuenta de usuario después de un número específico de intentos de inicio de sesión consecutivos e infructuosos, y bloquea permanentemente una cuenta de usuario después de un número específico de bloqueos de cuenta temporales. Una cuenta de usuario permanentemente bloqueada solo puede ser desbloqueada por un usuario con credenciales de Administrador del Dispositivo.

La cuenta de usuario admin predeterminada puede bloquearse temporalmente pero no puede bloquearse permanentemente.

  1. Seleccione Sistema > Usuarios y Roles.
    Se abre la página Usuarios y Roles.
  2. Seleccione la pestaña Bloqueo de Cuentas.
  3. Seleccione la casilla de selección Habilitar bloqueo de cuentas.

Screen shot of the Account Lockout tab

  1. En el cuadro de texto Intentos de inicio de sesión fallidos, ingrese el número de intentos de inicio de sesión fallidos consecutivos que pueden ocurrir antes de que una cuenta de usuario sea bloqueada temporalmente.
  2. En el cuadro de texto Usuarios bloqueados durante, ingrese el número de minutos en que una cuenta permanece temporalmente bloqueada.
  3. En el cuadro de texto Bloqueos temporales, ingrese el número de bloqueos temporales que pueden ocurrir antes de que una cuenta sea permanentemente bloqueada. ¡Consejo!
  4. Haga clic en Guardar.
  1. Seleccione Configuración > Autenticación > Ajustes de Autenticación.
  2. En la sección Sesión de Administración, haga clic en Bloqueo de Cuenta.
    Se abre el cuadro de diálogo Bloqueo de Cuenta.

Screen shot of the Account Lockout dialog box

  1. Seleccione la casilla de selección Habilitar bloqueo de cuentas.
  2. En el cuadro de texto Intentos de inicio de sesión fallidos, ingrese el número de intentos de inicio de sesión fallidos consecutivos que pueden ocurrir antes de que una cuenta de usuario sea bloqueada temporalmente.
  3. En el cuadro de texto Usuarios bloqueados durante, ingrese el número de minutos en que una cuenta permanece temporalmente bloqueada.
  4. En el cuadro de texto Bloqueos temporales, ingrese el número de bloqueos temporales que pueden ocurrir antes de que una cuenta sea permanentemente bloqueada. ¡Consejo!
  5. Haga clic en Aceptar.

Si el Bloqueo de Cuentas está habilitado para las cuentas de usuario de Administración del Dispositivo, una cuenta de usuario de Administración del Dispositivo puede bloquearse temporal o permanentemente después de una cantidad específica de intentos fallidos de inicio de sesión. Un usuario con las credenciales de Administrador del Dispositivo puede desbloquear una cuenta bloqueada.

  1. Seleccione Sistema > Usuarios y Roles.
    Se abre la página Usuarios y Roles, con la pestaña Usuarios y Roles seleccionada. La columna Estado de Bloqueo se muestra si una cuenta está bloqueada.
  2. Seleccione una cuenta bloqueada.
  3. Haga clic en Desbloquear.
    Se abre un mensaje de confirmación.
  4. Haga clic en .
  1. En la página Usuarios y Roles, seleccione una cuenta bloqueada.
    En la pestaña Usuarios y Roles, la columna Estado de Bloqueo indica si una cuenta está bloqueada.
  2. Haga clic en Desbloquear.
    Se abre un mensaje de confirmación.
  3. Haga clic en .

También puede desbloquear una cuenta de usuario desde la pestaña de la Lista de Autenticación en Firebox System Manager. Para más información, consulte Usuarios Autenticados (Lista de autenticación).

(Solo para Fireware Web UI)

Cuando permite que más de un Administrador de Dispositivos puedan conectarse al Firebox al mismo tiempo, en Fireware Web UI, antes de que un Administrador de Dispositivos pueda cambiar los ajustes de configuración en el archivo de configuración del dispositivo Firebox, ese usuario debe desbloquear el archivo de configuración. Cuando un Administrador del Dispositivo desbloquea el archivo de configuración para realizar cambios, el archivo de configuración se bloquea para el resto de los usuarios con credenciales de Administrador del Dispositivo, hasta que el Administrador del Dispositivo que desbloqueó el archivo de configuración vuelva a bloquear el archivo de configuración o cierre sesión.

Para obtener información sobre cómo permitir que más de un Administrador del Dispositivo inicie sesión en el Firebox al mismo tiempo, consulte Definir los Ajustes Globales de Firebox.

Para desbloquear un archivo de configuración, en Fireware Web UI:

En la parte superior de la página, haga clic en el ícono de Bloqueo.

Para bloquear un archivo de configuración, en Fireware Web UI:

En la parte superior de la página, haga clic en el ícono de Desbloqueado.

Para ver qué usuarios de Administración del Dispositivo han hecho cambios en el Firebox, puede revisar un informe de Rastro de Auditoría. Este informe incluye una lista detallada de los cambios de configuración auditados que se realizaron en el Firebox.

Antes de que pueda ver los detalles de rastro de auditoría en un informe, debe configurar el Firebox para enviar mensajes de registro del rastro de auditoría al WSM Log Server o a su instancia de Dimension. En la configuración de generación de registros para el Firebox, marque la casilla de selección Enviar mensajes de registro cuando se cambie la configuración para este Firebox.

Para obtener más información sobre:

Ver También

Acerca de la Administración Basada en Roles

Acerca de los Roles Predefinidos

Definir los Ajustes Globales de Firebox