Inicio Rápido — Configurar el Inicio de Sesión Único (SSO) con Active Directory

Cuando utiliza la solución Inicio de Sesión Único (SSO) de Active Directory de WatchGuard, los usuarios de las redes de confianza u opcionales proporcionan sus credenciales una vez (cuando inician sesión en sus equipos) y se autentican automáticamente en su Firebox. Este tema resume cómo configurar el Inicio de Sesión Único de WatchGuard con los tres componentes utilizados con más frecuencia de la solución SSO de WatchGuard:

  • SSO Agent — Debe instalar el SSO Agent en su red para recopilar la información de inicio de sesión del usuario y proporcionar dicha información al Firebox. El SSO Agent puede recopilar información de inicio de sesión del usuario desde el SSO Client, Event Log Monitor y Exchange Monitor.
  • SSO Client — Puede instalar el SSO Client en equipos Windows y macOS en su red. El SSO Client se ejecuta en segundo plano para recopilar las credenciales, la información de dominio y la información de grupo del usuario para proporcionarlas al SSO Agent.
  • Event Log Monitor (ELM) — Puede instalar el Event Log Monitor en un servidor en cada dominio de red para recopilar información de inicio de sesión del usuario de los archivos de registros de eventos de seguridad de Windows de los equipos Windows de dominio que no tienen instalado el SSO Client.

No es necesario que las versiones de los componentes del SSO coincidan entre sí o que coincidan con la versión de Fireware OS en su Firebox. Recomendamos que instale la versión más reciente disponible del SSO Agent, incluso si su Firebox ejecuta una versión anterior de Fireware OS.

Para ver una descripción completa de todos los componentes, opciones de configuración y funcionalidad del SSO de WatchGuard, consulte Cómo Funciona el SSO de Active Directory.

Este procedimiento de Inicio Rápido se centra en cómo implementar componentes del SSO para el SSO de equipos que utilizan el SSO Client. También describe cómo configurar el Event Log Monitor como método secundario para habilitar el SSO para equipos Windows que no tienen instalado el SSO Client. Incluso si instala el Event Log Monitor, recomendamos que instale el SSO Client en todos los equipos Windows para el despliegue de SSO más confiable.

Antes de configurar el SSO para su red, verifique que su configuración de red cumpla con todos los requisitos necesarios.

Active Directory

  • Debe tener un Active Directory Server configurado en su red local.
  • Su Firebox debe estar configurado para usar autenticación Active Directory.
  • Cada usuario debe tener una cuenta de usuario en Active Directory Server.
  • Cada usuario debe iniciar sesión con una cuenta de usuario de dominio para SSO para que funcione correctamente. Si los usuarios se registran con una cuenta que existe sólo en sus equipos locales, sus credenciales no son verificadas y el Firebox no reconoce que están registrados.
  • El SSO Agent y el Event Log Monitor se deben ejecutar como una cuenta de usuario en el grupo de seguridad Usuarios de Dominio. ¡Consejo!
    La cuenta de Usuarios de Dominio que seleccione debe tener privilegios para ejecutar servicios en el Active Directory server para buscar en el directorio y para buscar toda otra información de auditoría de usuario. Para configurar los permisos y ajustes correctos, consulte Instalar el Agente de Inicio de Sesión Único (SSO) WatchGuard y el Event Log Monitor. Recomendamos que no seleccione una cuenta en el grupo de seguridad Administradores de Dominio.
  • Todos los equipos desde los cuales los usuarios se autentican con SSO deben ser miembros del dominio de Active Directory con relaciones de confianza absoluta.
  • Los equipos con macOS deben unirse al dominio de Active Directory antes de que el SSO Client se pueda instalar.
  • El Exchange Monitor se debe ejecutar como una cuenta de usuario en el grupo de seguridad Administradores de Dominio.

Puertos

  • El puerto TCP 445 (puerto para SMB) debe estar abierto en los equipos cliente.
  • El puerto TCP 4116 debe estar abierto en los equipos cliente en los que instale el SSO Client.
  • El puerto TCP 4114 debe estar abierto en el servidor donde instala el SSO Agent.
  • El puerto TCP 4135 debe estar abierto en el servidor donde instala el Event Log Monitor.
  • El puerto TCP 4136 debe estar abierto en el servidor donde instala el Exchange Monitor.

Para probar si estos puertos están abiertos, puede usar la herramienta Comprobador de Puerto SSO. Para obtener más información, consulte Resolución de Problemas de SSO.

Registros de Eventos

  • Para que el Event Log Monitor funcione correctamente, debe habilitar la generación de registros de auditoría en todos los equipos de dominio de Windows para los eventos 4624 y 4634 inicio de sesión e inicio de sesión en cuenta.
  • Si su red de Windows está configurada para la Conmutación Rápida de Usuarios, debe hacer lo siguiente:
    • Habilite la generación de registros de auditoría en todos los equipos de dominio de Windows para los eventos 4647, 4778 y 4779.
      Esto habilita Event Log Monitor para que funcione correctamente.
    • Instale Event Log Monitor v11.10 o superior.
      El instalador de Puerta de Enlace de Autenticación de WatchGuard incluye la opción de instalar Event Log Monitor.
  • Para que los usuarios del Protocolo de Escritorio Remoto (RDP) usen SSO sin cliente:
    • Event Log Monitor v11.10 o superior debe estar instalado.
    • Los eventos 4624 y 4634 de Microsoft deben generarse en los equipos clientes y contener atributos de Tipo de Inicio de Sesión. Estos atributos especifican si un evento de inicio de sesión o de cierre de sesión ocurrió en la red local o a través de RDP. Los atributos 2 y 11 especifican eventos locales de inicio de sesión y de cierre de sesión, y el atributo 10 especifica un evento de inicio de sesión o de cierre de sesión de RDP.

Requisitos de Microsoft .NET

  • Para la v12.3 o superior del SSO Agent, Microsoft .NET Framework v4.0 o superior debe ser instalado en el servidor donde se instala el SSO Agent.
  • Para las versiones del SSO Agent inferiores a v12.3, Microsoft .NET Framework v2.0-4.5 debe instalarse en el servidor donde se instala el SSO Agent.
  • Para Microsoft Exchange Server 2010 y anterior, Microsoft .NET Framework v2.0 o superior debe estar instalado en el servidor donde se instala el Exchange Monitor.
  • Para Windows Server 2012 y superior, y Microsoft Exchange Server 2013 y superior, Microsoft .NET Framework 3.5 o superior debe estar instalado en el servidor donde se instala el Exchange Monitor.

Debe instalar el SSO Agent de WatchGuard. El componente de Event Log Monitor es opcional, pero se recomienda como un método de respaldo para el SSO Agent para que recopile la información de inicio de sesión del usuario. Para minimizar el potencial de problemas de conectividad entre los componentes del SSO, recomendamos que instale tanto el SSO Agent como el Event Log Monitor en el controlador de dominio de Active Directory. Puede instalarlos en cualquier servidor en su dominio de la red.

Fireware v12.2 o superior admite hasta cuatro agentes SSO para redundancia. En este ejemplo de Inicio Rápido, instalamos solo un SSO Agent.

Para instalar el SSO Agent y el Event Log Monitor:

  1. Descargue el software de Agente de Inicio de Sesión Único de WatchGuard en la página Descargas de Software para su Firebox en el Centro de Descargas de Software de WatchGuard.
    El software que descarga, el Instalador de Puerta de Enlace de Autenticación de WatchGuard, incluye los componentes SSO Agent e Event Log Monitor.
  2. En el controlador de dominio de AD, ejecute el Instalador de Puerta de Enlace de Autenticación de WatchGuard.
  3. Marque las casillas de verificación para instalar tanto los dos componentes, SSO Agent e Event Log Monitor.
  4. Especifique las credenciales de usuario de dominio que desea que utilice el servicio de Puerta de Enlace de Autenticación de WatchGuard. La cuenta debe ser un miembro del grupo de seguridad Usuarios de Dominio y debe tener los privilegios descritos en la sección Paso 1 — Verificar los Requisitos Previos de este tema.

Una vez que finalice el instalador, puede ver dos nuevos servicios iniciados en el servidor:

  • Puerta de Enlace de Autenticación de WatchGuard (SSO Agent)
  • Event Log Monitor de autenticación de WatchGuard

Para obtener información más detallada acerca de otras opciones de instalación, consulte Instalar el Agente de Inicio de Sesión Único (SSO) WatchGuard y el Event Log Monitor.

En la Herramienta de Configuración del SSO Agent, configura:

  • Ajustes de contactos del SSO Agent
  • Dominios de Active Directory para el SSO

Para configurar los ajustes de contactos del SSO Agent:

  1. Desde los programas en el menú de inicio de Windows, seleccione WatchGuard > Puerta de Enlace de Autenticación > Herramienta de Configuración de SSO Agent de WatchGuard.
  2. Inicie sesión con las credenciales de la cuenta de administrador predeterminada para la Herramienta de Configuración del SSO Agent:
    Nombre de Usuarioadmin
    Contraseñareadwrite.
  3. En la Herramienta de Configuración del SSO Agent, seleccione Editar > Ajustes de Contactos del SSO Agent.
  4. Adyacente al SSO Client, marque la casilla de selección Habilitado para permitir que el SSO Agent contacte al SSO Client.
  5. Seleccione el SSO Client en la lista, y haga clic en Arriba para moverlo a la parte superior de la lista.
  6. Asegurarse de que el Event Log Monitor esté habilitado como prioridad 2.
  7. En la lista Dominios de Contacto, especifique uno o más dominios para que el Event Log Monitor o el Exchange Monitor se comuniquen y obtengan la información del inicio de sesión de los usuarios. El nombre de dominio distingue mayúsculas de minúsculas. Para cada dominio, especifique la dirección IP para el servidor que ejecuta los componentes ELM o EM.

A continuación, agregue un dominio con los ajustes para una cuenta de usuario que el SSO Agent puede utilizar para buscar su Active Directory Server. Le recomendamos que cree una cuenta de usuario específica en su Active Directory Server con permisos para buscar en el directorio y con una contraseña que no expire nunca.

En Herramientas de Configuración del SSO Agent:

  1. Seleccione Editar > Agregar Dominio.
  2. En el cuadro de texto Nombre de Dominio, ingrese el nombre de dominio.
    El nombre de dominio distingue mayúsculas de minúsculas. Asegúrese de ingresar el nombre de dominio exactamente como aparece en la pestaña Active Directory en los Ajustes del Servidor de Autenticación en su Firebox.
    Por ejemplo, escriba my-example.com.
  3. En el cuadro de textoNombre de Dominio de NetBIOS, ingrese el nombre de dominio de NetBIOS.
    El nombre de dominio NetBIOS es el ajuste de Nombre de Dominio (anterior a Windows 2000) en las propiedades para el dominio en el Active Directory Server.
  4. En el cuadro de texto Dirección IP del Controlador de Dominio, indique la dirección IP del Active Directory Server para este dominio.
    Si el SSO Agent está instalado en el Active Directory Server, puede utilizar la dirección de bucle invertido, 127.0.0.1.
  5. En el cuadro de texto Puerto, escriba el puerto que va a usar para conectarse a este servidor.
    El puerto predeterminado es el 389.
  6. En la sección Usuario Buscador, seleccione una opción para cómo especificar el nombre de usuario.
  7. En el cuadro de texto para la opción que seleccionó, escriba la información del usuario.
    Asegúrese de especificar un usuario que tiene permisos para consultar la información de auditoría/directorio para cualquier otro usuario de Active Directory. Este puede ser el mismo usuario que especificó para ejecutar el SSO Agent y el Event Log Monitor, con una contraseña que nunca caduca.
  8. Ingrese y confirme la contraseña del usuario buscador.
  9. Para agregar otro dominio, haga clic en Aceptar y Agregar Siguiente. Repita los pasos 1 a 8.

Para más información sobre las opciones de configuración del SSO Agent, consulte Configurar el Active Directory SSO Agent.

El SSO Client es opcional, pero recomendado para la implementación más confiable del SSO. El SSO Client se ejecuta como un servicio del sistema local en cada equipo del usuario para recopilar la información de inicio de sesión del usuario para el usuario actualmente conectado a ese equipo. No requiere ninguna interacción por parte del usuario. Para la implementación más confiable del SSO, WatchGuard recomienda ampliamente que utilice el SSO Client en los equipos compatibles.

Puede descargar el SSO Client para Windows y macOS en el Centro de Descargas de Software de WatchGuard.

  • Dado que el instalador del SSO Client para Windows es un archivo MSI, puede utilizar una Política de Grupo de Active Directory para instalarlo automáticamente cuando los usuarios inician sesión en su dominio desde un equipo de Windows. Para obtener más información acerca del despliegue de instalación del software para los objetos de política de grupo de Active Directory, vea la documentación de su sistema operativo.
  • Si su Firebox está configurado con múltiples dominios de Active Directory, los usuarios deben instalar el SSO Client.
  • Para que un usuario con macOS pueda usar el SSO Client, su equipo debió haberse unido al Active Directory Server.

Para obtener detalles sobre cómo instalar el SSO Client, consulte Instalar el SSO Client de Active Directory de WatchGuard.

Después de que todos los otros componentes están instalados, puede habilitar el Inicio de Sesión Único en el Firebox.

Para habilitar el Inicio de Sesión Único, desde Fireware Web UI:

  1. Seleccione Autenticación > Inicio de Sesión Único.
    Aparece la página Inicio de Sesión Único.
  2. Seleccione la casilla de selección Habilitar Inicio de Sesión Único (SSO) con Active Directory.
  3. En el cuadro de texto Dirección IP del SSO Agent, ingrese la dirección IP del servidor donde instaló el SSO Agent.

Para habilitar el Inicio de Sesión Único, desde el Policy Manager:

  1. Seleccione Configuración > Autenticación > Ajustes de Autenticación.
    Aparece el cuadro de diálogo Configuraciones de Autenticación.
  2. Seleccione la pestaña Inicio de Sesión Único.
  3. Seleccione la casilla de selección Habilitar Inicio de Sesión Único (SSO) con Active Directory.

Después de habilitar el Inicio de Sesión Único, puede agregar excepciones de SSO. Recomendamos que agregue excepciones SSO para todos los dispositivos de red que podrían intentar enviar tráfico a la Internet y no están en el dominio. Estos incluyen los dispositivos de red, tales como:

  • Servidores de red
  • Servidores de impresión
  • Conmutadores y enrutadores administrados
  • Redes o equipos que no son parte del dominio, como redes invitadas
  • Los usuarios en su red interna que deben autenticarse manualmente al Portal de Autenticación

Para obtener más información acerca de cómo habilitar el SSO y configurar las excepciones SSO, consulte Habilitar el SSO de Active Directory en el Firebox.

El Exchange Monitor SSO de WatchGuard es un componente opcional que puede instalar para habilitar el SSO para clientes de red que utilizan Linux, o dispositivos móviles que ejecutan iOS, Android o Windows Mobile. Exchange Monitor se utiliza principalmente para la autenticación de un cliente móvil, pero también se puede utilizar como una conexión SSO de respaldo para los equipos que no están compartidos por varios usuarios.

Para más información, consulte Instalar el SSO Exchange Monitor de Active Directory de WatchGuard.

Para resolver problemas de SSO, revise la lista de requisitos y verifique que los servidores de red y los componentes de SSO estén configurados correctamente.

Ver También

Acerca de Inicio de Sesión Único (SSO) con Active Directory

Cómo Funciona el SSO de Active Directory

Tutorial de video Introducción al Inicio de Sesión Único (9 minutos)

Ejemplos de Configuraciones de Red para el SSO de Active Directory

Resolver Problemas del SSO de Active Directory