De acuerdo

Como Configurar un AD de Windows en un Firewall USG6600E

Última respuesta my. 24, 2021 10:34:48 230 2 3 0 0

Buen día comunidad hoy les presento como configurar un Servidor de Autenticación en un Firewall USG6600E.


Planteamiento del problema:

El cliente busca que los usuarios del directorio activo de Windows (Active Directory) sea utilizado en el firewall para aplicar políticas de acuerdo con el grupo en el que se encuentra el usuario final, el firewall únicamente necesita conocer los grupos ya que las altas de usuario y la asignación del grupo que pertenece se realizara en el directorio activo de Windows.


Procedimiento:

Para iniciar con el procedimiento ingresamos al Firewall y vamos a Objetos y en las opciones que se nos muestran del lado izquierdo seleccionamos Servidor de autenticación y seleccionamos AD una vez hecho esto, dentro de nuestra área de trabajo vamos a presionar el botón de agregar.

FW AD


Los para metros a llenar para la configuración del directorio activo son los siguientes.


Parámetros

Descripción

Nombre

Nombre del Directorio Activo

Dirección IP / puerto del servidor de   autenticación primario

Dirección IP y puerto del servidor AD   principal que proporciona servicios de autenticación.

Nombre de host del servidor de   autenticación principal

Nombre del servidor AD principal que   proporciona servicios de autenticación

Dirección IP/puerto del servidor de   autenticación secundario

Dirección IP y puerto del servidor AD   secundario que proporciona servicios de autenticación

 

El FW se comunica principalmente con el   servidor de AD primario. Si no se puede acceder al servidor AD primario, el   FW se comunicará con el servidor AD secundario.

Nombre de host del servidor de   autenticación secundario

Nombre del servidor de AD secundario que   proporciona servicios de autorización

Dirección IP/puerto del tercer servidor   de autenticación.

Dirección IP y puerto del tercer servidor   AD que proporciona servicios de autenticación

 

El FW se comunica principalmente con el   servidor de AD primario y después con el secundario. Si no se puede acceder   al servidor AD primario o secundario, el FW se comunicará con el tercer servidor   AD.

Nombre de host del tercer servidor de   autenticación.

Nombre del tercer servidor de AD que   proporciona servicios de autorización

Habilitar SSL

Si se utilizar   LDAP sobre SSL para la transmisión encriptada durante la autenticación del AD.

 

Durante la   autenticación de AD, LDAP se utiliza en la interacción entre el dispositivo y   el servidor de AD. Los datos LDAP no se cifran durante la transmisión.

 

Por motivos   de seguridad, puede habilitar SSL para usar LDAP sobre SSL para la   transmisión encriptada. En este caso, debe importar el certificado CA   correspondiente al certificado del servidor AD en el dispositivo para   autenticar el servidor AD.

Configuración de la dirección de origen

De forma predeterminada, el FW utiliza   la dirección IP de la interfaz de salida real para comunicarse con el   servidor AD.

 

Para permitir que el FW use otra   dirección IP para comunicarse con el servidor AD, configure este parámetro.   Puede configurar la dirección IP o la interfaz.

 

Por ejemplo, en la red donde dos FW sirven como puertas de   enlace de salida de la sede y la sucursal respectivamente, si el FW de la   sucursal necesita tener un túnel IPSec establecido entre la sucursal y la   sede y se comunica de manera proactiva con el servidor de AD en la sede,   puede especificar la dirección IP de origen utilizada por el FW de la   sucursal para comunicarse con el servidor de AD de modo que los paquetes de   comunicación entre el FW de la sucursal y el servidor de AD se puedan   transmitir a través del túnel IPSec.

 

Si no especifica la dirección IP de   origen utilizada por el FW de la sucursal para comunicarse con el servidor de   AD, el FW de la sucursal usa la dirección IP de la interfaz de salida real   para comunicarse con el servidor de AD. En este caso, los paquetes de   comunicación no se pueden transmitir a través del túnel IPSec.

Dirección IP origen

Dirección IP de origen utilizada por el   FW para comunicarse con el servidor AD.

 

En la red standby, si el FW necesita   importar el usuario / grupo de usuarios / grupo de seguridad del servidor AD,   no especifique la dirección IP de origen como dirección IP virtual. Si es   así, el dispositivo activo puede importar el usuario / grupo de usuarios /   grupo de seguridad desde el servidor AD, mientras que el dispositivo en   espera no puede.

Interfaz

Interfaz de origen se selecciona de la   lista y es utilizada por el FW para comunicarse con el servidor AD, puede ser   una interfaz de bucle invertido o VLANIF.

Información básica

Base   DN/Puerto DN

Nombre   distinguido (por sus siglas en ingles DN) del servidor de AD, que indica la   posición inicial para la búsqueda de entradas.

Puerto LDAP

Puerto   utilizado por el servidor AD para la implementar la autenticación LDAP

 

El servidor AD   comúnmente utiliza el puerto 389 para implementar la autenticación LDAP.

Campo de   filtrado de usuarios

Campo de   filtrado de usuarios de un servidor AD. Se recomienda el valor predeterminado.

 

Campo de   filtrado de grupo

Campo de   filtrado de grupo de un servidor de AD. Se recomienda el valor predeterminado.

Vincular a un   administrador anónimo

Ya sea para   permitir un administrador anónimo

 

Si selecciona   Vincular a un administrador anónimo, el servidor AD permite que un   administrador anónimo inicie sesión.

 

El servidor   AD proporcionado por el sistema operativo Windows Server 2003 o Windows   Server 2008 no permite que un administrador anónimo inicie sesión.

Administrador   DN

DN de   administrador utilizado para obtener la autorización de operar el servidor AD

 

En casos   comunes, el DN del administrador está bajo el DN base. No es necesario que   ingrese la ruta completa de un DN de administrador cuando el DN base se   adjuntará al DN de administrador.

 

Por ejemplo,   en el servidor AD del sistema operativo Windows Server 2003, la cuenta de   administrador está en Base DN example.com y pertenece al grupo de usuarios.   En este caso, configure el DN de administrador en cualquiera de los   siguientes valores:

 

·           cn = administrador, cn = usuarios si se   selecciona DN base adjunto en el atributo de enlace del administrador.

·           cn = administrador, cn = usuarios, dc =   ejemplo, dc = com si el DN base adjunto en el atributo de enlace del   administrador no está seleccionado.

Contraseña de   administrador

Contraseña de   administrador del servidor AD

Confirmar   contraseña de administrador

Confirmar la   contraseña de administrador del servidor AD

Atributo de   enlace de administrador

Ya sea para   adjuntar el DN base al DN del administrador

 

Si el DN   base no incluye el DN de administrador, anule la selección de Atributo de   enlace de administrador. Tenga en cuenta que debe ingresar la ruta completa   en el DN de administrador.

Cipher Suite

El conjunto   de cifrado utilizado para la interacción entre el dispositivo y el servidor   Kerberos integrado en el servidor AD


Una vez que llenamos todos los parámetros presionarnos Test, si los parámetros puestos anteriormente son correctos se mandara una notificación, que se conectó correctamente el directorio activo.


Ahora nos dirigimos a la pestaño Usuarios que se encuentra en Objetos y damos clic en Agregar

Auth Dom


Aquí agregaremos un dominio de autenticación para nuestro ejemplo le asignamos el siguiente nombre.


Add Dom


Presionamos aceptar y seleccionamos User Import (Importacion de usuarios) y después seleccionamos Server Import (Importación De Servido) y presionamos add (agregar).


User Imp


Nos aparecerá una venta como la siguiente.


add ser

Se deben llenar los parámetros

Parámetro

Descripción

Name (Nombre)

El nombre que se le va   asigna en este ejemplo ponemos Policy_Import

Server Type (Tipo de Servidor)

Aquí se selecciona el   servidor del cual se van a importar los grupos y usuarios

Server Import Location (Locación del   servidor)

Seleccionamos la dirección   donde se encuentran nuestros usuarios en el AD

Import Type (Tipo de importación)

Debemos seleccionar el   tipo de importación puede ser importar solo usuario, importar solo   grupos o importar ambos grupos y usuarios.

Target User Group

En este apartado diremos   a donde se enviaran los grupos y usuarios importados que fue aquel que   creamos anteriormente como dominio de autenticación

Incremental Synchronization (Sincronización   incremental)

El tiempo en que se estarán   sincronizando los usuarios y grupos del AD al FW puede ser de 10 a 1440   Minutos

Full   Synchronization

Si seleccionamos al momento que se   actualice la tabla de acuerdo con el tiempo de sincronización que configuramos   se sincronizara toda la tabla nuevamente, si no se selecciona solo   sincronizara los que se han dado de alta recientemente.

Overwrite existing user records

Al seleccionar esta   casilla sobre escribimos los cambios que se realicen en los usuarios o grupos   en el servidor AD

 Presionamos Ok.


Si los datos son correctos nos aparecerá nuestro Dominio de autenticación que creamos anteriormente en las opciones de Usuario en Objetos damos clic en el y nos aparecerán las siguientes opciones.


ecc2


Se realiza la configuración del escenario en el que está trabajando nuestro AD donde están localizados nuestros usuarios y cuál es el servidor de autenticación, todos estos parametros ya los creamos anteriormente. Una vez que aplicamos los cambios.

Nos deberá mostrar la sincronización de todos los usuarios en la siguiente ventana.


list user

Para mayor información o diferentes escenarios pueden consultar el siguiente documento que es el Product Documentation de los FW USG6600E.


https://support.huawei.com/hedex/hdx.do?docid=EDOC1100149308&id=EN-US_TASK_0178939158&lang=en


Saludos

  • x
  • convención:

Gustavo.HdezF
Admin Publicado 2021-5-24 10:34:48
  • x
  • convención:

user_3915171
user_3915171 Publicado 2021-5-25 12:39 (0) (0)
 

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.