WATCHGUARD - SSO AD

En Firebox podemos usar la autenticación en Active Directory para controlar y restringir el tráfico de red a usuarios o grupos específicos. Para ello deberan iniciar sesión en los equipos de la red y también en Firebox para obtener acceso a la red y/o internet. 

Para simplicar este proceso de inicio de sesión de los usuarios, podemos usar SSO (Inicio de sesión único) de Watchguard. Mediante SSO los usuarios de la red proporcionan sus credenciales de usuario una vez y se autentican automáticamente en nuestro Firebox.

Los componentes SSO de Watchguard para Active Directory son los siguientes:

  • SSO Agent (Requerido)
  • SSO Client (Opcional)
  • Event Log Monitor (Opcional)

SSO Agent recopila información de inicio de sesión de los usuarios desde el SSO Client o el Event Log Monitor

(Watchguard recomienda configurar SSO Client como método SSO principal y Event Log Monitor como método de respaldo.)


1. FUNCIONAMIENTO DEL SSO.

2. SSO AGENT.

3. SSO CLIENT.

4. EVENT LOG MONITOR.

5. SSO AD CON SSO CLIENT.

 

1. FUNCIONAMIENTO DEL SSO.

Para que SSO funcione debemos instalar el software SSO Agent y, como recomienda Watchguard, instalar SSO Client en los clientes Windows y Mac OS X de la red. Event Log Monitor lo podemos instalar como un método SSO de respaldo. 

Cuando SSO Client o Event Log Monitor están instalados, el SSO Agent contacta con dichos componentes para las credenciales de los usuarios. Los componentes envían las credenciales de usuario y la información de membresía el grupos de seguridad al SSO Agent.

Cuando configuremos los ajustes del SSO Agent, debemos especificar qué componentes de SSO consulta primero el SSO Agent.

 

2. SSO AGENT.

Debemos instalar el SSO Agent en un servidor del dominio Active Directory, o miembro del dominio. 

Cuando se instale el SSO Agent, debemos asegurarnos de que ejecute una cuenta de usuario que sea miembro del grupo Administradores del dominio o Usuarios del dominio.

Si la cuenta de usuario es miembro del grupo Administradores del dominio, la cuenta de usuario automáticamente obtiene los permisos de seguridad correctos. Si la cuenta de usuarios es miembro del grupo de Usuarios del dominio, debemos asegurarnos de que tiene los permisos de seguridad configurados correctamente. Con erstos privilegios, cuando los usuarios intentan autenticarse en su dominio, el SSO Agent puede consultar al SSO Client en el equipo del usuario o el Event Log Monitor para solicitarle las credenciales de usuario correctas e informarle esas credenciales de usuario a su Firebox.


3. SSO CLIENT.

Cuando instalamos el software SSO Client en los equipos con Windows o Mac OS X, el SSO recibe una llamada del SSO Agent y devuelve el nombre de usuario, información de membresía del grupo de seguridad y el nombre del dominio para el usuario qie en ese momento tenga la sesión iniciada en el equipo.

El SSO Client se ejecuta como un servicio del sistema local en cada equipo del usuario. No requiere ninguna interacción por parte del usuario.


4. EVENT LOG MONITOR.

El Event Log Monitor es un componente del SSO opcional que permite a los usuarios de Windows autenticarse con SSO sin el SSO Client de Watchguard. Esto se conece como SSO sin cliente.

Se debe instalar el Event Log Monitor en un servidor del dominio. Puede ser el controlador del dominio u otro servidor miembro del dominio. Debe ejecutar una cuenta de usuario que sea miembro ya sea del grupo de seguridad de Administradores del dominio o Usuarios del dominio.

Después de que este instalado, debemos configurar el SSO Agent para obtener información de inicio de sesión del usuarios del Event Log Monitor.

Cuando un usuario inicia sesión en un equipo con Windows:

  1. Un evento de inicio de sesión se escribe en el Registro de Eventos de Windows en el equipo.
  2. El Firebox recibe tráfico del usuario, pero no encuentra una sesión para la dirección IP del equipo.
  3. Firebox contacta al SSO Agent para solicitar el nombre de usuario, el dominio y la información del grupo.
  4. El SSO Agent redirecciona esta solicitud al Event Log Monitor.
  5. El Event Log Monitor contacta al equipo a través del puerto TCP 445.
  6. El Event Log Monitor obtiene el nombre de usuario y el dominio del Registro de eventos de Windows en el equipo.
  7. El Event Log Monitor se pone en contacto con el controlador de dominio de Active Directory para obtener información de grupo para el usuario.
  8. El Event Log Monitor agrega el equipo a la lista de equipos supervisados.
  9. El Event Log Monitor envía el nombre de usuario, el dominio y la información de grupo al SSO Agent.
  10. El SSO Agent envía el nombre de usuario, el dominio y la información de grupo al Firebox.
  11. Firebox crea una sesión para la dirección IP del equipo.
  12. Para buscar nuevos eventos de cierre de sesión, Event Log Monitor sondea cada equipo en la lista del monitor cada cinco segundos sobre TCP 445.

Cuando un usuario cierra sesión en un equipo con Windows:

  1. Un evento de cierre de sesión se escribe en el Registro de Eventos de Windows en el equipo.
  2. El Event Log Monitor entra en contacto con el equipo por el puerto TPC 445 y descubre el evento de cierre de sesión.
  3. El Event Log Monitor envía una notificación al SSO Agent sobre el evento de cierre de sesión.
  4. El SSO Agent envía una notificación al Firebox para eliminar la sesión.
  5. El Event Log Monitor mantiene el equipo en la lista de supervisión y sigue sondeando el equipo.
  6. Si el equipo está apagado o no está conectado a la red:
    1. El Event Log Monitor elimina el equipo de la lista de supervisión.
    2. El Event Log Monitor envía una notificación al SSO Agent de que el usuario ha cerrado sesión.
    3. El SSO Agent envía una notificación al Firebox para eliminar la sesión.


5. SSO AD CON SSO CLIENT.






No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)