Instalar el Agente de Inicio de Sesión Único (SSO) WatchGuard y el Event Log Monitor
Como parte de la solución de Inicio de Sesión Único (SSO) de WatchGuard, debe instalar el SSO Agent de WatchGuard en un servicio de dominio en su red. Este servidor puede ser el controlador del dominio u otro servidor miembro del dominio.
El Event Log Monitor se incluye en el mismo instalador con el SSO Agent, pero el Event Log Monitor es opcional.
Antes de Instalar
Para obtener información de compatibilidad del sistema operativo y una explicación detallada de cómo funciona el SSO Agent y el Event Log Monitor, consulte Cómo Funciona el SSO de Active Directory.
Antes de iniciar el instalador de la Puerta de Enlace de Autenticación de WatchGuard, asegúrese de que el .NET Framework v4.0 o superior esté instalado en el servidor donde instalará la Puerta de Enlace de Autenticación de WatchGuard. Si la versión correcta del .NET Framework no está instalada, el SSO Agent no puede ejecutarse correctamente.
Configurar las Cuentas de Servicio y la Política de Dominio
El SSO Agent de WatchGuard y la Puerta de Enlace de Autenticación de WatchGuard se ejecutan como servicios en su servidor. Se requieren estos pasos de configuración:
- Ejecute el servicio como una cuenta de usuario que sea miembro del grupo de seguridad Usuarios de Dominio. Debe configurar los permisos de seguridad descritos en la siguiente sección.
- Aplique la política de dominio a todos los equipos del dominio a los que se conecte el Event Log Monitor.
WatchGuard recomienda estas mejores prácticas:
- Cree una nueva cuenta de usuario para esa finalidad.
- Configure una contraseña para la cuenta que nunca caduque.
Configurar una Cuenta de Usuario de Dominio
Si selecciona una cuenta de usuario que sea miembro del grupo de seguridad Usuarios de Dominio, verifique:
- La cuenta de usuario debe tener privilegios para ejecutar servicios en el Active Directory server, para buscar en el directorio y para buscar toda otra información de auditoría de usuario.
- Los permisos de seguridad requeridos descritos en esta sección están configurados para la cuenta de usuario.
Para agregar una cuenta de usuario que sea miembro del grupo de seguridad Usuarios del Dominio, con los permisos de seguridad requeridos:
- Agregar una nueva cuenta de usuario de Active Directory.
Por ejemplo, [email protected].
La cuenta de usuario es añadida al grupo de seguridad de Usuarios del Dominio de manera predeterminada. - En el Editor de Administración de Políticas de Grupo, especifique los permisos Administrar registro de auditoría y seguridad para la cuenta de usuario:
- Seleccione Configuración del Equipo > Políticas > Ajustes de Windows > Ajustes de Seguridad > Asignación de Derechos del Usuario > Administrar registro de auditoría y seguridad.
- En la pestaña Ajuste de Política de Seguridad, agregue el usuario que creó en el Paso 1.
- Aplique la nueva política de dominio a todos los equipos del dominio.
El Event Log Monitor ahora cuenta con los permisos correctos para leer el registro de eventos de seguridad de Windows en el equipo cliente del dominio para obtener las credenciales de usuario correctas.
Mensajes de Registro
Para ver los mensajes de registro de depuración del SSO Agent y del Event Log Monitor, busque los archivos wagsrvc.log y eventlogmonitor.log en el directorio de instalación de cada componente.
Para obtener más información sobre los mensajes de registro, consulte Acerca de los Archivos de Registro de SSO.
Descargar el software de SSO Agent
- Vaya a la página Descargas de Software de WatchGuard.
- Busque las descargas de software para su Firebox.
- Descargue el instalador de la Puerta de Enlace de Autenticación de WatchGuard. El SSO Agent y el Event Log Monitor están incluidos en este instalador.
Instalar el SSO Agent y el Event Log Monitor
Cuando instale el SSO Agent y el Event Log Monitor, siga estas pautas:
- (Firewall v.12.1.1 o inferior) Si tiene más de un dominio, instale el SSO Agent solo en un controlador de dominio en su red.
- (Fireware v12.2 o superior) Para agregar redundancia, puede instalar el SSO Agent en hasta cuatro controladores de dominio en su red. Hay un solo SSO Agent activo a la vez. Si el agente activo deja de estar disponible, ocurre una conmutación por error al siguiente SSO Agent especificado en la configuración del Firebox.
- Cuando ejecuta el instalador para instalar solo el Event Log Monitor, asegúrese de desmarcar la casilla de verificación para el componente de SSO Agent.
- Para instalar un componente adicional de la puerta de enlace de autenticación de WatchGuard en un equipo donde ya instaló un componente, vuelva a ejecutar el instalador y marque las casillas de verificación para el componente nuevo y para el componente ya instalado. Si no marca la casilla de verificación del componente ya instalado, éste se desinstalará.
Por ejemplo, si ya instaló el SSO Agent y desea agregar el Event Log Monitor, vuelva a ejecutar el instalador y asegúrese de que las casillas de verificación del SSO Agent y del Event Log Monitor estén marcadas. Si desmarca la casilla de verificación del SSO Agent, éste se desinstala.
El SSO Agent v12.5.4 solo es compatible con Fireware v12.5.4 o superior. Antes de instalar el SSO Agent v12.5.4, debe actualizar el Firebox a Fireware v12.5.4 o superior. Si instala el SSO Agent v12.5.4, le recomendamos que actualice todos los SSO Clients a v12.5.4. No puede utilizar SSO Client v12.5.4 con versiones del SSO Agent inferiores a v12.5.4.
Para instalar el SSO Agent y el Event Log Monitor:
- Haga doble clic en WG-Authentication-Gateway.exe.
Para ejecutar el instalador en algunos sistemas operativos, quizás sea necesario escribir una contraseña de administrador local, o hacer clic con el botón secundario y seleccionar Ejecutar como administrador.
Se inicia el Authentication Gateway Setup Wizard. - Para instalar el software, siga las instrucciones de cada página y complete el asistente.
- En la página Seleccionar Componentes, asegúrese de seleccionar la casilla para cada componente que desea instalar:
- Agente de Inicio de Sesión Único
- Event Log Monitor
- En la página Credenciales de Usuario del Dominio, asegúrese de escribir el nombre de usuario con el formato: dominio\nombre de usuario.
Un sufijo de dominio (por ejemplo, .com o .net) es opcional, pero le recomendamos que especifique un sufijo. Por ejemplo, example.com\username.
También puede especificar el nombre de usuario en la forma UPN [email protected]. Si especifica la forma UPN del nombre de usuario, debe incluir la parte .com o .net del nombre de dominio. - Para cerrar el asistente, haga clic en Finalizar.
Después de que el asistente concluya, el servicio de Puerta de enlace de autenticación de WatchGuard inicia automáticamente. Cada vez que el equipo se inicia, el servicio se inicia automáticamente.
Después de finalizar la instalación de la Puerta de enlace de autenticación, debe configurar los ajustes de dominio para el SSO Agent y el Event Log Monitor. Para más información, vea Configurar el Active Directory SSO Agent
Ver También
Acerca de Inicio de Sesión Único (SSO) con Active Directory
Cómo Funciona el SSO de Active Directory
Elegir Sus Componentes de SSO de Active Directory
Configurar el Active Directory SSO Agent