Configurar Autenticación RADIUS para un Punto de Acceso

Se aplica A: Puntos de Acceso Administrados en WatchGuard Cloud (AP130, AP330, AP332CR, AP430CR, AP432)

RADIUS (Remote Authentication Dial-In User Service, Servicio de Usuario de Marcado por Autenticación Remota) autentica usuarios locales y remotos en una red empresarial. RADIUS es un sistema cliente/servidor que guarda en una base de datos central los datos de autenticación de los usuarios, servidores de acceso remoto, puertas de enlace VPN y otros recursos.

Para configurar un punto de acceso Wi-Fi en WatchGuard Cloud para que utilice la autenticación RADIUS, puede agregar un servidor RADIUS a un dominio de autenticación y, a continuación, configurar los puntos de acceso de su cuenta para que utilicen ese dominio para la autenticación.

El cliente inalámbrico se autentica con el servidor RADIUS utilizando cualquier método basado en EAP configurado en el servidor RADIUS.

Antes de Empezar

Antes de configurar su punto de acceso para usar un servidor de autenticación RADIUS, debe tener esta información para cada servidor RADIUS:

Servidor RADIUS — Dirección IP y puerto RADIUS para el Servidor de Autenticación RADIUS. Puede agregar un servidor adicional como servidor de autenticación RADIUS de respaldo.
Secreto Compartido — Se trata de una contraseña que distingue entre mayúsculas y minúsculas y que debe tener la misma en la configuración del dominio de autenticación de WatchGuard Cloud y en el servidor RADIUS.
Servidor de Contabilidad RADIUS (opcional) — Dirección IP y puerto RADIUS del servidor de contabilidad RADIUS. En muchas implementaciones, los servicios de Autenticación y Contabilidad están en el mismo servidor RADIUS y se ejecutan en puertos diferentes.
Un Servidor de Contabilidad RADIUS monitoriza el tráfico RADIUS y recopila datos sobre las sesiones de los clientes, como cuándo comienzan y terminan estas. Por ejemplo, debe configurar un servidor de contabilidad RADIUS para las implementaciones de Inicio de Sesión Único (SSO) RADIUS. Para más información sobre cómo configurar el SSO de RADIUS con puntos de acceso WatchGuard y un Firebox, consulte Acerca del Inicio de Sesión Único (SSO) de RADIUS.
Métodos de autenticación — Configure su servidor RADIUS para permitir el método de autenticación (cualquier método basado en EAP), que utilicen su punto de acceso y sus clientes.

Acerca de los Atributos de NAS para Puntos de Acceso

Los atributos de NAS (Servidor de Acceso a la Red) son datos incluidos en el paquete de solicitud enviado por el punto de acceso al servidor RADIUS para identificar elementos específicos sobre el punto de acceso y el cliente al servidor RADIUS. Estos atributos permiten que el servidor RADIUS utilice estos datos para las funciones de autenticación, autorización, contabilidad y asignación dinámica de perfil del cliente.

En el firmware v2.1 y superior del punto de acceso, puede personalizar los atributos ID de Estación Llamada e ID de NAS en los ajustes avanzados de un SSID. Para más información, vaya a configurar los Ajustes de SSID del Punto de Acceso.

Firmware de punto de acceso v2.1 o posterior

ID de Estación Llamada — El ID de Estación Llamada predeterminado es el nombre del SSID y la dirección MAC del punto de acceso [SSID]-[dirección MAC].
Por ejemplo: MySSID-00-aa-00-bb-00-cc
También puede personalizar el ID de Estación Llamada en los ajustes avanzados del SSID. Puede ingresar texto personalizado [a-z, A-Z, 0-9, -] en combinación con las variables predefinidas. La longitud máxima es de 84 caracteres. Asegúrese de no exceder la longitud máxima cuando utilice variables.
%m — Dirección MAC de la interfaz Ethernet del punto de acceso
%s — Nombre del SSID
%n — Nombre del dispositivo.
ID de NAS — El ID de NAS predeterminado es el nombre del SSID y la dirección MAC del punto de acceso [SSID]-[dirección MAC]. Por ejemplo: MySSID-00-aa-00-bb-00-cc
También puede personalizar el ID de NAS en los ajustes avanzados del SSID. Puede ingresar texto personalizado [a-z, A-Z, 0-9, -] en combinación con las variables predefinidas. La longitud máxima es de 84 caracteres. Asegúrese de no exceder la longitud máxima cuando utilice variables.
%m — Dirección MAC de la interfaz Ethernet del punto de acceso
%s — Nombre del SSID
%n — Nombre del dispositivo.
Dirección IP de NAS — La dirección IP del punto de acceso. Puede ser una dirección IP estática o DHCP. Le recomendamos que utilice direcciones IP estáticas o DHCP reservadas para los puntos de acceso que se comunican con servidores RADIUS.
Puerto de NAS — El puerto de NAS está establecido en 0 de forma predeterminada y no puede modificarse.

Screen shot of the SSID advanced settings (Called Station ID/NAS ID) for an access point

Firmware de Punto de Acceso v2.0 o Inferior

En el firmware del punto de acceso v2.0 o inferior, no puede modificar los atributos RADIUS predeterminados.

ID de Estación Llamada — El ID de Estación Llamada es la dirección MAC del punto de acceso.
Por ejemplo: 00-aa-00-bb-00-cc
ID de NAS — El ID de NAS es el nombre del SSID.
Por ejemplo: MySSID
Dirección IP de NAS — La dirección IP del punto de acceso. Puede ser una dirección IP estática o DHCP. Le recomendamos que utilice direcciones IP estáticas o DHCP reservadas para los puntos de acceso que se comunican con servidores RADIUS.
Puerto de NAS — El puerto de NAS está establecido en 0 de forma predeterminada y no puede modificarse.

Configurar Autenticación RADIUS para un Punto de Acceso

Para utilizar la autenticación del servidor RADIUS con un punto de acceso administrado por WatchGuard Cloud, debe hacer lo siguiente:

Agregue la dirección IP del punto de acceso al servidor RADIUS para configurar el dispositivo como cliente RADIUS. Le recomendamos que utilice direcciones IP estáticas o DHCP reservadas para los puntos de acceso que se comunican con servidores RADIUS.
Agregue el servidor RADIUS a un dominio de autenticación de WatchGuard Cloud y especifique la dirección IP del servidor y el secreto compartido. Para más información, consulte Agregar un Dominio de Autenticación a WatchGuard Cloud.
Si tiene un servidor de contabilidad RADIUS, agréguelo al mismo dominio de autenticación. Para más información, consulte Agregar Servidores a un Dominio de Autenticación.
Agregue el dominio de autenticación a la configuración del punto de acceso. Para más información, consulte Dominios de Autenticación del Punto de Acceso.
Configure un SSID con seguridad WPA2 Enterprise o WPA3 Enterprise y seleccione un Dominio de Autenticación con un servidor RADIUS configurado.

Con WPA3 Enterprise, también puede habilitar el modo de 192 bits (WPA3 Enterprise Suite B) para aumentar la seguridad del cifrado en entornos empresariales sensibles. El modo WPA3 Enterprise de 192 bits requiere un firmware de punto de acceso v2.1 o superior. Para más información, consulte configurar los Ajustes de SSID del Punto de Acceso.

Integración RADIUS con Firebox y Servidores de Terceros

Para obtener información sobre cómo configurar el Inicio de Sesión Único (SSO) de RADIUS con los puntos de acceso WatchGuard y un Firebox, consulte Acerca del Inicio de Sesión Único (SSO) de RADIUS.

Para obtener información sobre cómo integrar la autenticación RADIUS y Microsoft Active Directory y NPS, consulte Autenticar Clientes de Wi-Fi in WatchGuard Cloud con Microsoft Active Directory y NPS.

Dominios de Autenticación del Punto de Acceso

configurar los Ajustes de SSID del Punto de Acceso

Acerca de los Access Point Sites

© 2024 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard y el logotipo de WatchGuard son marcas comerciales o marcas comerciales registradas de WatchGuard Technologies en Estados Unidos y otros países. Las demás marcas comerciales pertenecen a sus respectivos propietarios.