Acerca de la Autenticación de Usuario de Mobile VPN with IKEv2
Cuando configura Mobile VPN with IKEv2, usted selecciona servidores de autenticación y configura usuarios y grupos para autenticación. Los usuarios y grupos que especificó deben existir en el servidor de autenticación seleccionado.
Métodos de Autenticación
Mobile VPN with IKEv2 es compatible con estos métodos de autenticación:
Autenticación local en el Firebox (Firebox-DB)
Puede usar el servidor de autenticación local en el Firebox para la autenticación de usuario IKEv2. Si usa Firebox-DB para autenticación, debe usar el grupo Usuarios de IKEv2 que se crea de forma predeterminada cuando configura Mobile VPN with IKEv2. También puede agregar otros usuarios y grupos en la configuración de IKEv2. Los usuarios y grupos que agregue a la configuración de IKEv2 se incluirán automáticamente en el grupo Usuarios de IKEv2.
RADIUS
Puede usar un servidor RADIUS para la autenticación de usuario IKEv2. Si sus usuarios se autentican en los recursos de red con Active Directory, recomendamos que configure la autenticación RADIUS para que la VPN IKEv2 pueda pasar a través de las credenciales de Active Directory.
En su servidor RADIUS, debe configurar el Firebox como cliente RADIUS y configurar otros ajustes. Para configurar NPS, que es la implementación de RADIUS de Microsoft, consulte Configurar Windows Server 2016 o 2012 R2 para autenticar a usuarios de VPN móvil con RADIUS y Active Directory en la Base de Consulta de WatchGuard.
En el Firebox, debe configurar el servidor RADIUS, seleccionar el RADIUS como el método de autenticación para Mobile VPN with IKEv2, y agregar los usuarios y grupos desde su base de datos de Active Directory a la configuración de Mobile VPN with IKEv2. Puede usar el grupo predeterminado IKEv2-Users (si también agrega ese grupo al servidor de autenticación RADIUS), o puede agregar los nombres de usuarios y grupos que existen en la base de datos del servidor de autenticación RADIUS.
AuthPoint
En Fireware v12.7 o superior, puede seleccionar AuthPoint como servidor de autenticación en la configuración de Mobile VPN with IKEv2. Para obtener más información, consulte la sección Autenticación Multifactor en esta página.
Para configurar los ajustes de autenticación en la configuración de Mobile VPN with IKEv2, y para agregar usuarios y grupos, consulte Editar la Configuración de Mobile VPN with IKEv2.
Autenticación Multifactor
Mobile VPN with IKEv2 es compatible con la autenticación multifactor para las soluciones de MFA que admiten MS-CHAPv2.
AuthPoint MFA
AuthPoint, el servicio de MFA basado en la nube de WatchGuard, admite la autenticación MS-CHAPv2.
Fireware v12.7 o superior — Puede configurar el Firebox para reenviar solicitudes de autenticación para usuarios de la VPN IKEv2 directamente a AuthPoint. Después de configurar los ajustes requeridos en AuthPoint, AuthPoint aparece en la lista de servidores de autenticación en el Firebox. En la configuración de Mobile VPN with IKEv2, debe seleccionar AuthPoint como servidor de autenticación. Esta integración admite la autenticación MS-CHAPv2 para usuarios de Active Directory. Para ver un ejemplo de configuración, consulte la guía de integración Integración de Firebox Mobile VPN with IKEv2 con AuthPoint.
Si configuró Mobile VPN with IKEv2 para la AuthPoint MFA en Fireware v12.6.x o inferior, puede mantener esa integración mientras configura una integración actualizada en Fireware v12.7 o superior. Para obtener información sobre la conversión de la configuración, consulte la sección “Convertir Configuraciones de Fireware 12.6.x o Inferior” en Configurar la MFA para un Firebox.
Fireware v12.6.4 o inferior — En el Firebox, debe especificar un servidor RADIUS en la configuración de Mobile VPN with IKEv2. AuthPoint no aparece en la lista de servidores de autenticación en el Firebox. Para ver un ejemplo de configuración, consulte la guía de integración Integración de Firebox Mobile VPN with IKEv2 con AuthPoint.
Para autenticar a los usuarios móviles que tienen clientes VPN IKEv2 de terceros, consulte Integración de Mobile VPN with IKEv2 con AuthPoint.
Para obtener información general sobre el flujo de trabajo de AuthPoint MFA para Mobile VPN with IKEv2, consulte Configurar la MFA para un Firebox.
Los usuarios de Android que se conectan a través del cliente VPN strongSwan reciben notificaciones push de AuthPoint solo si configura strongSwan para el túnel dividido. Cuando está configurado para el túnel completo, strongSwan no puede recibir notificaciones push de AuthPoint. Esta limitación se aplica a las cuentas de usuario locales de AuthPoint y las cuentas de usuario de LDAP. Para configurar el túnel dividido en strongSwan, consulte la documentación proporcionada por strongSwan.
MFA de Terceros
Para obtener información sobre la implementación de MFA de terceros, consulte Utilizar la Autenticación Multifactor (MFA) con Mobile VPN.
Ver También
Autenticación RADIUS con Active Directory para Usuarios de Mobile VPN