Configurar el Event Log Monitor de SSO
Después de instalar el Event Log Monitor, debe configurar el puerto, el registro de eventos y la configuración de la Política de Grupo para su red. También debe configurar el SSO Agent para usar el Event Log Monitor.
Para obtener una explicación detallada de cómo funciona el Event Log Monitor, consulte Cómo Funciona el SSO de Active Directory.
Para obtener más información sobre cómo instalar el Event Log Monitor, consulte Instalar el Exchange Monitor de SSO de WatchGuard.
Mejores Prácticas
Para una implementación de SSO más confiable, recomendamos que utilice el SSO Client como el método de SSO principal y el Event Log Monitor como el método SSO de respaldo. Para obtener información sobre cómo configurar estos métodos de implementación, consulte Inicio Rápido — Configurar el Inicio de Sesión Único (SSO) de Active Directory.
Si el SSO Client no está instalado en los equipos de usuario o no está disponible, puede usar el Event Log Monitor como el método de SSO principal para los usuarios de Windows. Esto se denomina SSO sin clientes. Para un SSO sin clientes, usted configura el SSO Agent para obtener la información de inicio de sesión del usuario del Event Log Monitor de SSO de WatchGuard instalado en su red. El Event Log Monitor sondea todas las direcciones IP de su red cada cinco segundos para encontrar nuevos eventos de inicio de sesión de Windows. El Event Log Monitor también se instala en uno o más servidores miembros del dominio en cada dominio.
Para obtener el mejor rendimiento de VPN y SSO, le recomendamos que no use el Event Log Monitor en un túnel BOVPN.
Para configurar un SSO sin clientes para usuarios de macOS, Linux, iOS, Android o sistemas operativos móviles de Windows, debe usar Exchange Monitor de SSO de WatchGuard. El Exchange Monitor está instalado en la misma computadora en la que su Microsoft Exchange Server está instalado. Para obtener información sobre cómo configurar Exchange Monitor, consulte Configurar el Exchange Monitor de SSO.
Compatibilidad de IPv6
IPv6 es compatible con Fireware v12.3 o superior. Si las computadoras de los usuarios de su red tienen direcciones IPv4 e IPv6, le recomendamos que habilite la compatibilidad de IPv4 e IPv6 en los servidores en los que esté instalado el Event Log Monitor o el SSO Agent.
El tráfico IPv4 y IPv6 se procesa por separado en entornos que utilizan ambos. Por ejemplo, un usuario llamado jsmith tiene una computadora con ambas direcciones IPv4 e IPv6. En la lista de Usuarios Autenticados del Firebox, aparecen dos sesiones diferentes para el usuario jsmith.
Para ver la dirección IPv6 de un usuario autenticado:
- Fireware Web UI — Seleccione Estado del Sistema > Lista de Autenticación.
- Firebox System Manager: Seleccione la pestaña Lista de Autenticación.
Prerrequisitos
Antes de instalar y configurar el Event Log Monitor, verifique que su configuración de red admita estos requisitos.
Puertos
Antes de configurar y habilitar los ajustes para el SSO sin cliente, debe asegurarse de que los equipos cliente del dominio admitan una de estas opciones:
- El puerto TCP 445 está abierto
- El uso compartido de archivos e impresoras está habilitado
Si el puerto TCP 445 no está abierto, el Event Log Monitor no puede obtener información de usuario o grupo, y el SSO no funciona correctamente. Para probar si este puerto 445 está abierto, usted puede usar la herramienta Comprobador de Puerto SSO. Para obtener más información, consulte Resolución de Problemas de SSO.
Registros de eventos de Windows
Event Log Monitor utiliza los eventos de inicio de sesión de Windows para SSO. Para habilitar el Event Log Monitor a fin de que obtenga las credenciales de usuario necesarias para SSO, en todos los equipos de Windows en su red, debe asegurarse de que el Registro de Eventos de Windows esté activo y genere registros para nuevos eventos. También debe habilitar la generación de registros de auditoría en todos los equipos de dominio de Windows para estos eventos:
- 4624 y 4634
- 4647, 4778 y 4779, si su red de Windows está configurada para la Conmutación Rápida de Usuarios
Antes de que los usuarios del Protocolo de Escritorio Remoto (RDP) puedan usar Event Log Monitor para SSO, los eventos de Microsoft 4624 y 4634 deben generarse en sus equipos cliente y contener los atributos de Tipo de Inicio de Sesión. Estos atributos especifican si un evento de inicio de sesión o de cierre de sesión ocurrió en la red local o a través de RDP. Los atributos 2 y 11 especifican los eventos locales de inicio de sesión y cierre de sesión. El atributo 10 especifica un inicio de sesión RDP o un evento de cierre de sesión.
Políticas de Grupo
En su controlador de dominio, debe configurar las políticas de grupo que requieren que los clientes de Windows auditen los eventos de inicio de sesión.
- Abra el Editor de Objetos de Política de Grupo y modifique la Política de Dominio Predeterminada.
- Asegúrese de que la Política de Auditoría (Configuración del Equipo > Configuración de Windows > Configuración de Seguridad > Políticas Locales > Política de Auditoría) tenga las políticas de Auditar eventos de inicio de sesión en la cuenta y Auditar eventos de inicio de sesión habilitadas.
- Abra la línea de comandos y ejecute el comando gpupdate/force /boot.
Aparece un mensaje de confirmación.
Configurar los Ajustes de Contactos del SSO Agent
Antes de que el Event Log Monitor pueda enviar información de inicio de sesión de usuario al SSO Agent, debe configurar los ajustes de Contactos del SSO Agent para permitir que el SSO Agent se conecte al Event Log Monitor. Debe agregar un dominio de contacto (el nombre de dominio y la dirección IP del Event Log Monitor), si tiene:
- Un dominio y el SSO Agent no está instalado en su controlador de dominio
- Más de un dominio y el Event Log Monitor están instalados en un dominio diferente del SSO Agent
Para configurar los ajustes de Contactos del SSO Agent:
- Inicie sesión en la Herramienta de Configuración del SSO Agent.
- Seleccione Editar > Configuración de Contactos de SSO Agent.
Aparece el cuadro de diálogo Configuración de Contactos de SSO Agent. - En la lista de Contactos del SSO Agent, seleccione la casilla de selección para el Event Log Monitor.
- Para cambiar la posición del Event Log Monitor en la lista de Contactos del SSO Agent, seleccione la casilla de selección Event Log Monitor y haga clic en Arriba o Abajo.
No puede cambiar la posición del Exchange Monitor. Si usa el SSO Client, asegúrese de que el SSO Client sea la primera entrada. Si especifica el SSO Client como el contacto primario pero el SSO Client no está disponible, el SSO Agent se contacta a continuación con el Event Log Monitor, pero esto puede provocar una demora. - Agregue, edite o elimine un dominio de contacto para el Event Log Monitor, según se describe en las secciones siguientes.
- Haga clic en Aceptar.
Agregar un Dominio de Contacto
Después de haber instalado el Event Log Monitor en los dominios de su red y haber habilitado al SSO Agent para ponerse en contacto con el Event Log Monitor para obtener información de inicio de sesión de los usuario, puede configurar el SSO Agent con las direcciones IP de cada Event Log Monitor, de modo que el SSO Agent pueda obtener la información de inicio de sesión de usuario de cada Event Log Monitor en su red.
Si especifica más de un Event Log Monitor en la lista Dominios de Contacto, el SSO Agent se pone en contacto con la primera entrada en la lista de credenciales del usuario e información de grupo. Si el primer Event Log Monitor no está disponible, el SSO Agent contacta al siguiente Event Log Monitor en la lista. Este proceso continuará hasta que el SSO Agent encuentre un Event Log Monitor disponible.
En el cuadro de diálogo Ajustes de Contacto del SSO Agent:
- Haga clic en Agregar.
Aparece el cuadro de diálogo Configuraciones de Dominio.
- Para la opción Tipo, seleccione Event Log Monitor.
- En el cuadro de texto Nombre de Dominio, escriba el nombre de dominio al que desea que Event Log Monitor se comunique para obtener las credenciales de usuario.
Debe ingresar el nombre en el formato domain.com. - En el cuadro de texto Direcciones IP del Event Log Monitor, escriba las direcciones IPv4 para el Event Log Monitor. En el Fireware v12.3 o superior, puede escribir las direcciones IPv6.
Para especificar más de una dirección IP para el Event Log Monitor, separe las direcciones IP con un punto y coma, sin espacios. - Haga clic en Aceptar.
La información de dominio que especificó aparece en la lista Dominios de Contacto.
Editar un Dominio de Contacto
En el cuadro de diálogo Ajustes de Contacto del SSO Agent:
- Desde la lista Dominios de Contacto, seleccione el dominio que desea modificar.
- Haga clic en Editar.
Aparece el cuadro de diálogo Configuraciones de Dominio. - Actualice las configuraciones del dominio.
- Haga clic en Aceptar.
Eliminar un Dominio
En el cuadro de diálogo Ajustes de Contacto del SSO Agent:
- Desde la lista Dominios de Contacto, seleccione el dominio que desea eliminar.
- Haga clic en Eliminar.
El dominio se elimina de la lista. - Haga clic en Aceptar.
Probar el Puerto de Conexión SSO
Para verificar que el SSO Agent pueda contactar al Event Log Monitor, puede utilizar la herramienta Comprobador de Puerto SSO. Para obtener más información, consulte Resolución de Problemas de SSO.
Ver También
Acerca de Inicio de Sesión Único (SSO) con Active Directory
Cómo Funciona el SSO de Active Directory
Instalar el Agente de Inicio de Sesión Único (SSO) WatchGuard y el Event Log Monitor