De acuerdo

HCIP Seguridad H12 723 Operación y Mantenimiento del Sistema de Seguridad II Tecnología de Administración de Usuarios

Última respuesta abr. 27, 2020 19:43:37 300 9 2 0 0

Buenas noches a todos.

Esta es la segunda publicación del segmento que está divido en 12 partes. Este tema como menciona el título es Tecnología de Administración de Usuarios, la parte 2. Ingresa aquí a la parte 1


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-operación-y-mantenimiento-del-sistema-de-seguridad-administración-de-usuarios/thread/597120-100233


OPERACIÓN y MANTENIMIENTO DEL SISTEMA DE SEGURIDAD II—Tecnología de Administración de Usuarios, parte 2

Autenticación Multi-Cuenta

 

Acceso Multiusuario en una Empresa

ACCESO MULTIUSUARIO


·        Existe un gran número de usuarios en una dentro de una red grande. Diferentes departamentos tienen diferentes requerimientos para sus cuentas de usuario. En algunas empresas, las cuentas de los usuarios no están predefinidas y necesitan ser creadas para los empleados en Agile Controller-Campus por el administrador. Los empleados necesitan ingresar sus credenciales antes de que puedan conectarse a la intranet de la empresa. Algunas cuentas de usuario son almacenadas en servidores de terceros. Los usuarios pueden usar esas cuentas para conectarse a la red. Los usuarios usan diferentes tipos de cuentas para autenticación y obtener diferentes derechos de acceso.

 

 

Autenticación de una Cuenta Común

·        La Agile Controller-Campus soporta la importación de cuentas por lotes de grupos de usuarios así como crear grupos de usuarios uno a uno.

 

 

Antes de que el Usuario Acceda a la Red

1.   Crear una cuenta

§  Importar usuarios y cuentas por lotes

Ø En el menú principal, seleccionar  Resource>User>User Management

 

§  Crear grupos de usuarios y cuentas uno a uno

Ø Crear un grupo de usuarios

Ø (opcional) crear un rol

Ø Crear una cuenta dentro del grupo de usuarios

2.   Obtener la cuenta y la contraseña

 

Cuando el Usuario Accede a la Red

3.   Usar la cuenta para acceder a la Red

§  Ingresar la cuenta e cualquiera de los siguientes clientes

Ø AnyOffice

Ø Web

Ø Web Agent

 

Autenticación de una Cuenta de un Servidor  AD/LDAP

·        La Agile Controller-Campus puede sincronizar la estructura organizacional y las cuentas con el servidor AD y múltiples servidores LDAP.

ADLDAP


·        En escenarios donde las cuentas necesitan ser sincronizadas:

§  Si una cuenta ha sido sincronizada hacia la Agile Controller-Campus

Ø Un usuario ingresa sus credenciales para autenticación.

 

Ø La Agile Controller-Campus verifica la cuenta. Si la cuenta existe, la Agile Controller-Campus envía la cuenta hacia el servidor AD/LDAP para verificar la contraseña.

 

Ø Después de que la contraseña se verifica, el servidor AD/LDAP envía un mensaje de verificación exitosa hacia la Agile-Controller Campus, la cual entonces autoriza al usuario con base a la regla de autorización configurada.

 

§  Si una cuenta no ha sido sincronizada hacia la Agile Controller-Campus, pero la sincronización rápida está habilitada.

Ø Si Agile Controller-Campus verifica que la cuenta no existe, envía la cuenta hacia el servidor AD/LDAP.

 

Ø Si la cuenta existe en el servidor AD/LDAP, la cuenta se sincroniza con la Agile Controller-Campus en un modo incremental. Después de que la sincronización se completa, la Agile Controller-Campus envía la cuenta hacia el servidor AD/LDAP para verificar la contraseña. La cuenta pasará la autenticación si la contraseña se verifica de manera exitosa.

 

Ø Si una cuenta no ha sido sincronizada en la Agile Controller-Campus, y la sincronización rápida está deshabilitada, la autenticación fallará.

 

§  En escenarios donde la cuenta no necesita sincronizarse:

Ø Después de que un usuario ingresa sus credenciales, la Agile Controller-Campus reenvía la cuenta y la contraseña hacia el servidor AD/LDAP para verificación. Si la verificación tiene éxito, el servidor AD/LDAP envía un mensaje de verificación exitosa hacia la Agile Controller-Campus, la cual autoriza al usuario basado en el grupo de usuarios mapeado.

 

 

Autenticación de de una Cuenta Con Certificado Móvil

Antes de que un usuario acceda a la red

1.   Completar la Preparación

2.   Cargar el certificado CA, y configurar la regla de mapeo entre el certificado CA y la cuenta.

3.   Cargar de manera Manual el archivo CLR o configurar el sistema para qye sincronice de manera automática el archivo CLR.

 

Cuando un usuario accede a la red

4.   Usar el certificado CA para acceder a la red

 

Después de que el usuario está conectado a la red

5.   Entregar los permisos que coincidan con el tipo de usuario

 

·        El administrador del sistema necesita completar las siguientes preparaciones antes de que un usuario pueda acceder a la red.

§  Determinar el tipo de cuenta asociada con el certificado CA y crear o sincronizar la información de la cuenta.

§  Obtener el certificado CA.

 

§  Determinar como el sistema obtiene el archivo CLR: carga manual o si se obtiene por sincronización automática.

 

§  Obtener la dirección IP, número de puerto y nodo raíz DN del servidor donde está almacenado el archivo CLR, y las credenciales para la sincronización automática del archivo CLR.

 

·        Después de que el usuario accede a la red, se pueden desempeñar las siguientes funciones:

§  Asistencia en línea o remota a los usuarios que acceden a la red usando AnyOffice

§  Forzar a que los usuarios se desconecten

§  Auditar los registros de entrada y salida de los usuarios.

§  Suspender o deshabilitar la cuneta asociada con el certificado móvil o asignar un rol a una cuenta.

 

 

Autenticación de Una Cuenta de un Servidor RADIUS de un Tercero

·        La Agile Controller-Campus puede funcionar como servidor RADIUS como RADIUS relay. Cuando Agile Controller-Campus está configurado como RADIUS relay, reenvía los paquetes de autenticación y autorización entre los dispositivos d ela red y el servidor RADIUS para implementar la autenticación y la autorización de los usuarios.

RADIUS DE TERCERO

Este es el diagrama de red cuando la Agile Controller-Campus funciona como RADIUS relay

 

·        Un usuario se conecta a la red a través de un dispositivo de acceso, y un servidor de autenticación  y autorización RADIUS que pertenece a un tercero. El proceso de autenticación es el siguiente:

§  Configurar el servidor RADIUS para autenticación y contabilidad.

§  Configurar la Agile Controller-Campus como un agente relay RADIUS y reenvía los paquetes enviado de un desde un desde un dispositivo de acceso hacia el servidor RADIUS

§  Configurar un la autenticación y la contabilidad  de RADIUS en el dispositivo de acceso.

§  Configurar un la autenticación y la contabilidad  de RADIUS en la Agile Controller-Campus

 

·        Después de que se envía un paquete de autenticación de un usuario hacia la Agile Controller-Campus, la Agile Controller-Campus verifica la coincidencia de la reglas de autenticación y encuentra la que el paquete necesita para ser reenviado hacia el servidor RADIUS

§  Si el administrador configura las condiciones de autenticación, la Agile Controller-Campus checa si la información de autenticación del usuario cumple las condiciones de la autenticación. Si es así, Agile Controller-Campus reenvía el paquete de autenticación.

 

§  Si no se configura ninguna condición de autenticación, la Agile Controller-Campus reenvía directamente el paquete de autenticación.

 

·        Después de que la Agile Controller-Campus recibe un paquete de autorización regresado por el servidor RADIUS, la Agile Controller-Campus busca la coincidencia con la regla de autorización. Si las condiciones de la autorización han sido definidas en la regla de autorización, la Agile Controller-Campus checa si la información de autenticación del usuario cumple con las condiciones de autorización. Si es así, la Agile Controller-Campus entrega los resultados al dispositivo de acceso. El resultado de la autorización puede incluir el resultado de la autorización regresado por el servidor RADIUS y el resultado definido por el administrador en la Agile Controller-Campus.

 

 

Administración de una Cuenta Anónima

·        Usualmente la autenticación anónima se usa para el acceso de invitados, en la cual los usuarios pueden acceder a la red sin una cuenta.

Antes de que Un usuario Acceda a la Red

1.   Habilitar la autenticación anónima.

2.   Configurar las regiones que permiten la autenticación anónima

 

Cuando el Usuario Accede a la Red

3.   Usar una cuenta anónima para acceder a la red

·        Ingrese la cuenta anónima en cualquiera de los siguientes clientes

§  AnyOffice

§  Web

§  Web Agent


Finalizamos aquí la parte dos del tema, recuerda consultar mas informacion respecto a seguridad en mi perfil. Comparte, comenta y deja tu 

  • x
  • convención:

lucian2003
VIP Publicado 2020-1-27 12:08:24
Gracias
Ver más
  • x
  • convención:

Hello%20friends%2C%20I%20am%20a%20Telecommunications%20and%20electronics%20engineer%20and%20I%20just%20graduated%20as%20a%20master%20in%20telecommunications%20systems.%20I%20am%2036%20years%20old%20and%20I%20attend%20the%20transport%20network%20in%20my%20province%2C%20which%20is%20mainly%20Huawei.
Tere
Publicado 2020-1-29 17:25:12
Hola, muy interesante la informacion
Ver más
  • x
  • convención:

Tere
Publicado 2020-1-29 17:26:00
¿Este es un tema general?
Ver más
  • x
  • convención:

Marban
Marban Publicado 2020-1-29 23:15 (0) (0)
Hola @Tere esta es una publicacion en lo particular, le tema en sí es HCIP SEGURIDAD, que comprende el examen H12 723  
user_3449965
Publicado 2020-4-27 19:42:50
Estimado Marban,

Gracias por la información que has provisto, me es de mucha utilidad.

Actualmente trabajo con el producto agile controller y mantengo un issue sin resolver:

tengo la necesidad de inscribir un servidor euler en el active directory de un cliente; el cual para esta inscripción la documentación de Agile Controller Campus, me indica que mandatario, las credenciales para hacer esta inscripción deben tener privilegios de administrador.

El problema surge por la Seguridad de la información que podemos tener disponible del cliente al suceder esta inscripción. Dado que sino logramos añadir este servidor en El AD de cliente, la autenticación para funcionarios MSCHAPv2 no sera exitosa.

Adicional la cuenta de sincronización para Agile Controller Campus, refiere que debe ser mandatorio con Privilegio de Administrador.

Entonces; la consulta nace en el siguiente tópico:

1. AL hacer uso de cuentas de privilegio administrador, es posible desde el agile controller campus poder MIrar, incluir, modificar, eliminar y Gestionar, Cualquier grupo o unidad contenida dentro del Dominio de Cliente.?

2. ¿QUé recomendación podrías darme para este caso? (pensando) en como debería abordar al cliente para que sienta la total seguridad de la operación y la no invasión a su data privada.

Ya que, actualmente, el plan es solo realizar autenticación wifi para el grupo de funcionarios contenidos dentro del directorio activo.

AGradecido estare de todos sus comentarios.
Ver más
  • x
  • convención:

Jose%20Higuera%3Cbr%2F%3E%3Cbr%2F%3ECloud%20%26%20Wlan%20Engineer
user_3449965
Publicado 2020-4-27 19:43:37
Estimado Marban,

Gracias por la información que has provisto, me es de mucha utilidad.

Actualmente trabajo con el producto agile controller y mantengo un issue sin resolver:

tengo la necesidad de inscribir un servidor euler en el active directory de un cliente; el cual para esta inscripción la documentación de Agile Controller Campus, me indica que mandatario, las credenciales para hacer esta inscripción deben tener privilegios de administrador.

El problema surge por la Seguridad de la información que podemos tener disponible del cliente al suceder esta inscripción. Dado que sino logramos añadir este servidor en El AD de cliente, la autenticación para funcionarios MSCHAPv2 no sera exitosa.

Adicional la cuenta de sincronización para Agile Controller Campus, refiere que debe ser mandatorio con Privilegio de Administrador.

Entonces; la consulta nace en el siguiente tópico:

1. AL hacer uso de cuentas de privilegio administrador, es posible desde el agile controller campus poder MIrar, incluir, modificar, eliminar y Gestionar, Cualquier grupo o unidad contenida dentro del Dominio de Cliente.?

2. ¿QUé recomendación podrías darme para este caso? (pensando) en como debería abordar al cliente para que sienta la total seguridad de la operación y la no invasión a su data privada.

Ya que, actualmente, el plan es solo realizar autenticación wifi para el grupo de funcionarios contenidos dentro del directorio activo.

AGradecido estare de todos sus comentarios.
Ver más
  • x
  • convención:

Marban
Marban Publicado 2020-4-28 20:53 (0) (0)
Que tal estimado. Te he mandado ciertos puntos de vista respecto a lo que planteas. Por favor sírcete de consultar tu bandeja. Si no quedase claro o requieres más información, por favor, siéntete libre de preguntar  
user_3449965
user_3449965 Responder Marban  Publicado 2020-4-28 21:27 (0) (0)
Muchas gracias por la informacion,

efecitvamente colega, recibi la informacion y me fue de gran utilidad.

Estoy totalmente claro respecto al procedmiento y el lengiaje que debo utilizar para canalizar este tema con el cliente de la mejor manera.

alli te comento, como me fue.

Una vez mas, agradecido de su tiempo!!  
Marban
Marban Responder user_3449965  Publicado 2020-4-29 14:04 (0) (0)
Perfecto. Realmente espero que te sea de utilidad, y de verdad, si no estoy siendo claro o requieres más información, estoy atento. Mucho éxito  
Jose%20Higuera%3Cbr%2F%3E%3Cbr%2F%3ECloud%20%26%20Wlan%20Engineer

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.