Utilizar Usuarios y Grupos en las Políticas

Puede utilizar nombres de usuario y de grupo específicos cuando crea políticas en su archivo de configuración de Firebox. Por ejemplo, puede definir políticas que sólo permitan conexiones para usuarios autenticados, o puede limitar las conexiones en una política a determinados usuarios.

Un usuario autenticado puede enviar tráfico a través del Firebox solo si el tráfico está permitido por una política en el Firebox.

Definir Usuarios y Grupos para Autenticación de Firebox

Si desea utilizar su Firebox como servidor de autenticación, puede especificar los usuarios y grupos que pueden autenticarse en el Firebox. Para obtener instrucciones para definir estos usuarios y grupos, consulte Definir un Nuevo Usuario para la Autenticación del Firebox y Definir un Nuevo Grupo para Autenticación en Firebox.

Definir Usuarios y Grupos para Autenticación de Terceros

En su archivo de configuración de Firebox, puede definir los usuarios y grupos para usar en autenticación de terceros. Al crear un grupo, si utiliza más de un dominio de Active Directory para autenticación, debe especificar qué dominio desea que los usuarios del grupo utilicen para hacer la autenticación.

Tanto para usuarios individuales como usuarios en grupo, también puede habilitar los límites de inicio de sesión. Cuando habilita los inicios de sesión ilimitados de manera simultánea para un usuario o grupo, está permitiendo a más de un usuario o miembro de un grupo que se autentique con las mismas credenciales de usuario simultáneamente a un servidor de autenticación. Eso es útil para cuentas de invitados o ambientes de laboratorio. Cuando el segundo usuario ingresa con las mismas credenciales, automáticamente se cierra la sesión del primer usuario autenticado con las credenciales. En la otra opción, puede seleccionar límites de inicio de sesión de usuarios y grupos para limitar los usuarios o miembros de grupo a una sola sesión de autenticación. Si selecciona esa opción, los usuarios no pueden iniciar sesión en un servidor de autenticación desde diferentes direcciones IP con las mismas credenciales. Cuando un usuario ya está autenticado e intenta autenticarse nuevamente, puede seleccionar si se cierra la primera sesión de usuario cuando la sesión adicional es autenticada, o si la sesión adicional es rechazada.

Los nombres de usuario y de grupo en su Active Directory Server distinguen mayúsculas de minúsculas. Cuando agrega un usuario o grupo a su Firebox, el nombre de usuario o de grupo debe tener el mismo uso de mayúsculas que el nombre en el Active Directory Server.

Si usa la autenticación de Active Directory y la membresía a un grupo para el usuario no coincide con la política de Mobile VPN, podrá ver un mensaje de error que dice que el Tráfico descifrado no coincide con ninguna política. Si encuentra ese mensaje de error, asegúrese de que el usuario esté en un grupo con el mismo nombre que su grupo de Mobile VPN.

Si un usuario ya ha iniciado sesión cuando usted agrega un nuevo grupo a la configuración del Firebox, el usuario no es asociado con ese grupo por parte del Firebox hasta la próxima vez que el usuario inicie sesión en el Firebox.

Para limitar las sesiones de usuario simultáneas para usuarios de VPN móvil, debe usar cuentas de usuario de Mobie VPN with IKEv2 y Firebox-DB. No puede limitar las sesiones de usuarios simultáneos para usuarios de Mobile VPN with IKEv2 con cuentas en servidores de autenticación de terceros. No puede limitar las sesiones de usuario simultáneas para usuarios de Mobile VPN with L2TP, Mobile VPN with SSL o Mobile VPN with IPSec con cuentas Firebox-DB o cuentas en servidores de autenticación de terceros.

  1. Cree un grupo en su servidor de autenticación de terceros que contenga todas las cuentas de usuarios en su sistema.
  2. Seleccione Autenticación > Usuarios y Grupos.
    Aparece la página Usuarios y Grupos.

Screen shot of the Authentication Users and Groups page

  1. Haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar Usuario o Grupo.

Screen shot of the Users and Groups dialog box

  1. Para la opción Tipo, seleccione Grupo o Usuario.
  2. En el cuadro de texto Nombre, ingrese el nombre del grupo o usuario en el cuadro de texto adyacente. El nombre debe ser igual que el nombre de un grupo o de un usuario en su servidor de autenticación.
    El nombre de usuario o grupo distingue mayúsculas de minúsculas y deben coincidir con el uso de mayúsculas empleado en el servidor de autenticación.
  3. (Opcional) En el cuadro de texto Descripción, ingrese una descripción del nuevo usuario.
  4. En la lista desplegable de Servidor de autenticación, seleccione el servidor de autenticación donde exista el grupo o el usuario.
  5. (Opcional)Para habilitar los límites de inicio de sesión, marque la casilla de selección Habilitar los límites de inicio de sesión para cada usuario o grupo y siga las instrucciones en las secciones siguientes para seleccionar una opción:
  6. (Opcional) En Fireware v12.5.4 o superior, puede Habilitar la Aplicación del Host Sensor. Para más información, consulte Acerca de la Aplicación de Host Sensor de TDR.
  7. Haga clic en Agregar.
  1. Cree un grupo en su servidor de autenticación de terceros que contenga todas las cuentas de usuarios en su sistema.
  2. Seleccione Configuración > Autenticación > Usuarios y Grupos.
    Aparece el cuadro de diálogo Usuarios y Grupos.

Screen shot of the Authorized Users and Groups dialog box

  1. Haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar Usuario o Grupo.

Screen shot of the Define New Authorized User or Group dialog box

  1. Para la opción Tipo, seleccione Grupo o Usuario.
  2. Ingrese un nombre de usuario o grupo creado en el servidor de autenticación.
    El nombre de usuario o grupo distingue mayúsculas de minúsculas y deben coincidir con el uso de mayúsculas empleado en el servidor de autenticación.
  3. (Opcional) Ingrese una descripción para el usuario o grupo.
  4. En la lista desplegable Servidor de Autenticación, seleccione su servidor de autenticación.

    Seleccione RADIUS para la autenticación a través de un servidor RADIUS o VACMAN Middleware Server, o Cualquiera para la autenticación a través de cualquier otro servidor. Para Autenticación en Active Directory, seleccione el dominio específico que desea utilizar para este usuario o grupo.

  5. (Opcional) Para habilitar los límites de inicio de sesión, marque la casilla de selección Habilitar los límites de inicio de sesión para cada usuario o grupo y siga las instrucciones en las secciones siguientes para seleccionar una opción:
  6. (Opcional) En Fireware v12.5.4 o superior, puede Habilitar la Aplicación del Host Sensor. Para más información, consulte Acerca de la Aplicación de Host Sensor de TDR.
  7. Haga clic en Aceptar.

Permitir Inicios de Sesión Ilimitados de Manera Simultánea

Puede permitir que más de un usuario se autentique con las mismas credenciales de usuario al mismo tiempo en un servidor de autenticación. Eso es útil para cuentas de invitados o ambientes de laboratorio. Cuando el segundo usuario ingresa con las mismas credenciales, automáticamente se cierra la sesión del primer usuario autenticado con las credenciales. Si no permite esa función, el usuario no puede autenticarse en el servidor de autenticación más de una vez al mismo tiempo.

Para permitir inicios de sesión ilimitados de manera simultánea para sus usuarios:

  1. Marque la casilla de selección Habilitar los límites de inicio de sesión para cada usuario o grupo.
  2. Seleccione Permitir inicios de sesión ilimitados de manera simultánea en la misma cuenta para la autenticación en el firewall.

Limitar Sesiones de Inicio

Puede limitar el número de sesiones autenticadas de sus usuarios. Si selecciona esta opción, puede especificar el número de veces que sus usuarios pueden iniciar sesión en un servidor de autenticación desde diferentes direcciones IP con las mismas credenciales. Cuando un usuario está autenticado e intenta autenticarse nuevamente, puede seleccionar si se cierra la primera sesión de usuario cuando una sesión adicional es autenticada, o si las sesiones adicionales son rechazadas.

Puede configurar los límites de la sesión de inicio de sesión a nivel global, de grupo y de usuario.

  • La configuración del usuario tiene prioridad sobre la configuración global y de grupo.
  • Si los límites de la sesión de inicio de sesión del usuario no están configurados, la configuración de grupo tiene prioridad, si está configurada.
  • Si un usuario pertenece a más de un grupo, los ajustes del primer grupo en la lista de grupos del usuario tienen prioridad.
  • Si los límites de sesión de inicio de sesión de usuario o grupo no están configurados, se utilizan los ajustes globales.

Para limitar los inicio de sesión de sus usuarios:

  1. Marque la casilla de selección Habilitar los límites de inicio de sesión para cada usuario o grupo.
  2. Seleccione Limitar sesiones de usuario simultáneas a.
  3. En el cuadro de texto, ingrese o seleccione el número de sesiones de usuario simultáneas permitidas.
  4. En la lista desplegable, seleccione una opción:
    • Rechazar intentos posteriores de inicio de sesión
    • Permitir intentos posteriores de inicio de sesión y cerrar la primera sesión.

Agregar Usuarios y Grupos a las Definiciones de la Política

Cualquier usuario o grupo que usted desee usar en sus definiciones de políticas debe ser agregado como usuario. Todos los usuarios y grupos creados para autenticación en Firebox y todos los usuarios de Mobile VPN, se agregan automáticamente a la lista de usuarios y grupos en el cuadro de diálogo Usuarios y Grupos. Puede agregar cualesquiera usuarios o grupos de servidores de autenticación de terceros a la lista de usuarios y grupos siguiendo el procedimiento anterior. Entonces estará listo para agregar usuarios y grupos a la configuración de su política.

  1. Seleccione Firewall > Políticas de Firewall.

    Aparece la página Políticas de Firewall.
  2. Seleccione una política de la lista y haga clic en Acción > Editar Política.

    O bien, haga doble clic en una política.

    Aparece la página Configuración de Política.
  3. Debajo de la lista De, haga clic en Agregar.

    Aparece el cuadro de diálogo Agregar Miembro.
  4. En la lista desplegable Tipo de Miembro, seleccione Usuarios de Firewall.

    Aparece la lista de usuarios disponibles.

Screen shot of the Add Member dialog box with the Firewall User member type selected

Si su usuario o grupo no aparece en la lista de Grupos, consulte Definir un Nuevo Usuario para la Autenticación del Firebox, Definir un Nuevo Grupo para Autenticación en Firebox o el procedimiento anterior Definir los usuarios y grupos para la autenticación de terceros. Luego, agregue al usuario o grupo.

  1. Seleccione un usuario y haga clic en Aceptar.
  1. Seleccione la pestaña Firewall.
  2. Haga doble clic en una política.
    Aparece el cuadro de diálogo Editar Propiedades de Política.
  3. En la pestaña Política, abajo de la lista De, haga clic en Agregar.
    Aparece el cuadro de diálogo Agregar Dirección.
  4. Haga clic en Agregar Usuario.
    Aparece el cuadro de diálogo Agregar Usuarios o Grupos.

Screen shot of the Add Authorized Users or Groups dialog box

  1. En la lista desplegable Tipo de la izquierda, seleccione si el usuario o el grupo está autorizado con autenticación Firewall, SSLVPN, L2TP o IKEv2.
    Para más información sobre estos tipos de autenticación, vea Tipos de Autenticación de Firebox.
  2. En la lista desplegable Tipo de la derecha, seleccione Usuario o Grupo.
  3. Si su usuario o grupo aparece en la lista Grupos, seleccione el usuario o grupo y haga clic en Seleccionar.
    Reaparece el cuadro de diálogo Agregar dirección con el usuario o grupo en el cuadro Miembros o direcciones seleccionados.

Si su usuario o grupo no aparece en la lista de Grupos, consulte Definir un Nuevo Usuario para la Autenticación del Firebox, Definir un Nuevo Grupo para Autenticación en Firebox o el procedimiento anterior Definir los usuarios y grupos para la autenticación de terceros. Luego, agregue al usuario o grupo.

  1. Haga clic en Aceptar para cerrar el cuadro de diálogo Editar Propiedades de la Política.

Después de que haya añadido a un usuario o grupo a una configuración de política, la política de Autenticación de WatchGuard se añade automáticamente a su archivo de configuración de Firebox. Esta política controla el acceso a la página web del Portal de Autenticación. Para obtener instrucciones para editar esa política, vea Usar la Autenticación para Restringir las Conexiones Entrantes.

Para obtener un ejemplo de cómo puede configurar las políticas de Firebox para diferentes usuarios o grupos, consulte Configurar las Acciones de WebBlocker para Grupos con Autenticación en Active Directory.

Ver También

Acerca de los Servidores de Autenticación de terceros

Definir Reglas de Acceso para una Política