Cómo Funciona la Autenticación del Servidor RADIUS
RADIUS es un protocolo que fue diseñado originalmente para autenticar usuarios remotos en un servidor de acceso por marcado. RADIUS ahora es usado en una amplia gama de ambientes de autenticación. RADIUS es un protocolo cliente-servidor, con el Firebox como el cliente y el servidor RADIUS como el servidor. (El cliente RADIUS a veces es llamado Servidor de Acceso a la Red o NAS). Cuando un usuario intenta autenticarse, el dispositivo envía un mensaje al servidor RADIUS. Si el servidor RADIUS está debidamente configurado para tener el dispositivo como cliente, RADIUS envía un mensaje de aceptar o rechazar al dispositivo (el Servidor de Acceso a la Red).
Cuando el Firebox usa RADIUS para un intento de autenticación:
- El usuario intenta autenticarse, ya sea a través de una conexión HTTPS basada en un explorador al dispositivo por el puerto 4100, o a través de una conexión con Mobile VPN with IPSec. El dispositivo lee el nombre de usuario y la contraseña.
- El dispositivo crea un mensaje llamado mensaje Acceso-Solicitar y lo envía al servidor RADIUS. El dispositivo usa el secreto compartido de RADIUS en el mensaje. La contraseña siempre está cifrada en el mensaje Acceso-Solicitar.
- El servidor RADIUS se asegura de que el mensaje Acceso-Solicitar sea de un cliente conocido (el Firebox). Si el servidor RADIUS no está configurado para aceptar al dispositivo como cliente, el servidor rechaza el mensaje Acceso-Solicitar y no devuelve el mensaje.
- Si el dispositivo es un cliente conocido del servidor RADIUS y el secreto compartido es correcto, el servidor examina el método de autenticación requerido en el mensaje Acceso-Solicitar.
- Si el mensaje Acceso-Solicitar utiliza un método de autenticación permitido, el servidor RADIUS obtiene las credenciales de usuario del mensaje y busca una coincidencia en una base de datos de usuarios. Si el nombre de usuario y contraseña coinciden con una entrada de la base de datos, el servidor RADIUS puede obtener información adicional acerca del usuario en la base de datos de usuarios (tal como la aprobación de acceso remoto, membresía de grupo, horas de conexión, etc.).
- El servidor RADIUS verifica si tiene una política de acceso o un perfil en su configuración que coincida con toda la información disponible sobre el usuario. En caso de que tal política exista, el servidor envía una respuesta.
- Si falla cualquiera de las condiciones anteriores o si el servidor RADIUS no tiene una política que coincida, envía un mensaje de Acceso-Rechazar que muestra la falla de autenticación. La transacción de RADIUS termina y el usuario tiene el acceso negado.
- Si el mensaje Acceso-Solicitar cumple con todas las condiciones anteriores, RADIUS envía un mensaje Acceso-Aceptar al dispositivo.
- El servidor RADIUS usa el secreto compartido para cualquier respuesta que envía. Si el secreto compartido no coincide, el dispositivo rechaza la respuesta de RADIUS.
Para ver los mensajes de registro de diagnóstico para la autenticación, Definir el nivel de registro de diagnóstico y cambiar el nivel de registro para la categoría de Autenticación.
- El dispositivo lee el valor de cualquier atributo FilterID en el mensaje. Conecta el nombre de usuario con el atributo FilterID para poner el usuario en un grupo RADIUS.
- El servidor RADIUS puede incluir grandes volúmenes de información adicional en el mensaje Acceso-Aceptar. El dispositivo ignora gran parte de esa información, como los protocolos que el usuario tiene permitido usar (como PPP o SLIP), los puertos a los que el usuario puede acceder, el tiempo de espera inactivo y otros atributos.
- El dispositivo solo requiere el atributo FilterID (atributo de RADIUS número 11). El FilterID es una cadena de texto que se configura el servidor RADIUS para incluir en el mensaje Acceso-Aceptar. El atributo es necesario para que el dispositivo asigne el usuario a un grupo de RADIUS; sin embargo, puede admitir algunos otros atributos Radius, como Tiempo de Espera de Sesión (atributo de RADIUS número 27) y Tiempo de Espera Inactivo (atributo de RADIUS número 28).
Para obtener más informaciones sobre grupos RADIUS, consulte la siguiente sección.
Acerca de los grupos RADIUS
Cuando el Firebox recibe el mensaje de Acceso-Aceptar de RADIUS, lee el valor del atributo FilterID y usa ese valor para asociar al usuario a un grupo RADIUS. (Usted debe configurar manualmente el FilterID en la configuración de RADIUS). Por lo tanto, el valor del atributo FilterID es el nombre del grupo RADIUS donde el dispositivo pone al usuario.
Los grupos de RADIUS que utiliza en su configuración de Firebox no son los mismos grupos de Windows definidos en su controlador de dominio, ni ningún otro grupo que exista en su base de datos de usuarios del dominio. Un grupo RADIUS es sólo un grupo lógico de usuarios utilizado por el Firebox. Asegúrese de que la cadena de texto FilterID esté seleccionada. Puede hacer que el valor de FilterID coincida con el nombre de un grupo local o grupo de dominio en su organización, pero eso no es necesario. Recomendamos que use un nombre descriptivo que lo ayude a recordar cómo definió sus grupos de usuarios.
Para la autenticación RADIUS, solo puede agregar un usuario a un grupo RADIUS.
Utilización práctica de grupos de RADIUS
Si su organización tiene muchos usuarios que autenticar, puede facilitar la administración de sus políticas del Firebox al configurar el RADIUS para que envíe el valor FilterID a muchos usuarios. El Firebox coloca a esos usuarios en un grupo lógico de manera que pueda administrar fácilmente el acceso de usuarios. Cuando crea una política que permita solo a los usuarios autenticados acceder a un recurso de la red, usted usa el nombre de Grupo RADIUS en lugar de agregar una lista de muchos usuarios individuales.
Por ejemplo, cuando Mary se autentica, la cadena FilterID que RADIUS envía es Ventas, de manera que el Firebox coloca a Mary en el grupo de RADIUS Ventas durante el tiempo que se encuentre autenticada. Si los usuarios John y Alice se autentican posteriormente, y RADIUS coloca el mismo valor de FilterID Ventas en los mensajes de Acceso-Aceptar para John y Alice, entonces Mary, John y Alice estarán todos en el mismo grupo Ventas. Puede crear una política que permita al grupo Ventas acceder al recurso.
Puede configurar RADIUS para que devuelva un FilterID diferente, tal como Soporte IT, para los miembros de su organización de soporte interno. Puede luego agregar una política diferente para permitir a los usuarios de Soporte IT acceder a los recursos.
Por ejemplo, puede permitir que el grupo Ventas acceda a Internet por medio de una política Filtered-HTTP. También puede filtrar su acceso web con WebBlocker. Una política diferente en el Policy Manager puede permitir a los usuarios de Soporte IT acceder a Internet con la política Unfiltered-HTTP, de manera que puedan acceder a Internet sin un filtro WebBlocker. Puede usar los nombres de grupo RADIUS (o nombres de usuario) en la lista De de una política para mostrar qué grupo (o qué usuarios) pueden utilizar la política.
Valores de tiempo de espera y reintentos
Ocurre una falla de autenticación cuando no se recibe respuesta del servidor RADIUS principal. Después de tres intentos fallidos de autenticación, Fireware OS usa el servidor RADIUS secundario. Este proceso se llama conmutación por error.
Ese número de intentos de autenticación no es el mismo que el número de reintentos. No es posible alterar el número de intentos de autenticación antes que ocurra la conmutación por error.
El Firebox envía un mensaje Acceso-Solicitar al primer servidor RADIUS en la lista. Si no hay respuesta, el dispositivo espera la cantidad de segundos establecida en el cuadro de texto Tiempo de espera, y luego envía otro mensaje Acceso-Solicitar. Esto continúa para la cantidad de veces indicada en el cuadro de texto Reintentos (o hasta que haya una respuesta válida). Si no hay una respuesta válida del servidor RADIUS o si el secreto compartido de RADIUS no coincide, Fireware OS lo considera un intento fallido de autenticación.
Después de tres intentos fallidos de autenticación, Fireware OS usa el servidor RADIUS secundario para el próximo intento de autenticación. Si el servidor secundario tampoco responde después de tres intentos de autenticación, Fireware OS espera que se cumpla el intervalo de Tiempo Muerto (de 10 minutos por defecto). Después de que ha pasado el intervalo de Tiempo Muerto, Fireware OS intenta utilizar el servidor RADIUS primario nuevamente.
En Fireware v12.5.3 o inferior, el valor predeterminado de Tiempo Muerto es de 3 minutos. En Fireware v12.1.1 o inferior, el valor predeterminado de Tiempo Muerto es de 10 minutos.
Autenticación Multifactor
Si la autenticación del servidor RADIUS forma parte de la autenticación multifactor (MFA) en su red, tenga en cuenta que el Firebox marca el servidor RADIUS como muerto durante el Tiempo Muerto de duración si un usuario no responde a un desafío de MFA. El Firebox no envía solicitudes de autenticación para otros usuarios al servidor RADIUS durante este tiempo.
Para evitar este problema en un entorno de MFA, le recomendamos que cambie el valor predeterminado de Tiempo Muerto en la configuración de Firebox RADIUS:
- Si configura solo un servidor RADIUS principal, especifique un Tiempo Muerto de 0 minutos.
- Si también configura un servidor RADIUS de respaldo, especifique un Tiempo Muerto de 10 minutos.