HCIP Seguridad H12 723 Tecnología de Autenticación de Usuarios X Autenticacion por Portal

Última respuesta febr. 04, 2020 18:35:09 34 2 0 0

Buenas noches.

A continuacion, la parte 10 de 12 de este modulo, donde continuaremos conociendo mas respecto al Portal de Autenticación.

Conoce los otros apartados en los siguientes enlaces:


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios/thread/593566-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-ii/thread/593818-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-iii/thread/593990-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-iv/thread/594002-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-v/thread/594264-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-vi-tecnología-sacg/thread/594696-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-vii-tecnología-sacg/thread/594702-100233


https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-viii-tecnología-sacg/thread/595236-100233

https://forum.huawei.com/enterprise/es/hcip-seguridad-h12-723-tecnología-de-autenticación-de-usuarios-ix-portal-de-autenticación/thread/595240-100233


TECNOLOGÍA DE AUTENTICACIÓN DE USUARIOS X—Autenticación por Portal

Configuración e Implementación del Portal de Autenticación

 

Configuración e Implementación del Portal de Autenticación, Red Cableada

Escenario de Aplicación del portal de autenticación

·        Los usuarios pueden ingresar sus credenciales en páginas web de autenticación para la autenticación de su identidad.

ESCENARIO DE APLICACIÓN


La autenticación en páginas web facilita la administración y reduce la carga de trabajo de mantenimiento.

 

El portal de autenticación facilita la operación del servicio y su expansión, tales como despliegue de anuncios y publicidad de la empresa.

 

La tecnología del portal de autenticación está madura y ampliamente usada en varios escenarios tales como portadores, comida rápida y escuelas

 

 

Portal de autenticación en redes Cableadas

·        Una compañía necesita implementar un sistema de autenticación para implementar control de acceso en los empleados ue intentan acceder a la red de la compañía. Solo los usuarios autenticados pueden acceder. Todas las cuentas se mantienen en un servidor de AD.

redes cableadas

·        Requerimientos de la red:

§  La operación de autenticación debe ser simple. El sistema de autenticación solo ejecuta la autorización de acceso y requiere instalar software cliente solo el terminales mandatorias.

 

§  El requerimiento de seguridad es mediano. Solo unos pocos puntos de autenticación son requeridos para facilitar el mantenimiento. Por consiguiente, los puntos de autenticación necesitan ser implementados en los switches de agregación.

 

§  Se usa un mecanismo unificado de autenticación de identidad para autenticar todas las terminales que intenten acceder a la red del campus y rechazar el acceso de las terminales no autorizadas.

 

§  Las terminales solo pueden acceder a servidores públicos tales como servidores AD y DNS de la compañía antes de la autenticación, y pueden acceder a todos los recursos de la red después de que se han autenticado satisfactoriamente.

 

§  Necesita configurarse un canal de emergencia de modo que las terminales puedan acceder a los servicios de sistema incluso cuando el servidor de portal no está disponible.

 

 

Procedimiento de Configuración

PROCEDIMIENTO DE CONFIGURACIÓN


·        Mapa de configuración:

§  Realizar configuraciones en los switches de acceso, agregación y distribución para asegurar la conectividad de la red.

 

§  En el switch de agregación, configurar los perfiles AAA en el servidor RADIUS y especificar la dirección IP del portal del servidor de modo que el switch de agregación pueda asociarse con la Agile Controller-Campus

 

§  Agregar el switch al SM y configurar los parámetros para el switch para asegurar una asociación propia entre la Agile Controller-Campus y el switch. Agregar los resultados de la autorización y las reglas para garantizar los derechos de acceso a los empleados después de que se autentican satisfactoriamente.

 

 

Configurar los Datos Básicos para la Conectividad de la Red

·        Configurar las VLAN y las direcciones IP en el switch de acceso

·        Configurar el switch de agregación

§  Configurar la VLAN y las direcciones IP

§  Configurar la dirección IP del Gateway y habilitar DHCP

§  Configurar la ruta estática hacia el segmento de red donde reside el servidor de autenticación

 

·        Configurar el switch core

§  Configurar la VLAN y la dirección IP

§  Configurar una ruta estática hacia el segmento de red donde residen las terminales

 

·        Pre requisitos:

§  Las cuentas de todos los empleados se mantienen en un servidor AD. Por consiguiente, se debe configurar la sincronización de modo que los usuarios finales puedan usar cuentas disponibles del AD para completar la autenticación en la Agile Controller-Campus.

·        La configuración en el sw de agregación es la siguiente:

SW AGREGACIÓN


La configuración en el switch core es la siguiente:

SW CORE



Configurar los Parámetros de RADIUS en el switch de agregación

·        Configurar una plantilla para el servidor RADIUS, un esquema de autenticación y un esquema de contabilidad

PARAMETROS RADIUS


·        El dispositivo de control, de acceso y la Agile Controller-Campus funcionan como Cliente RADIUS y como servidor, respectivamente. Las llaves AAA y el intervalo de contabilidad debe ser consistente entre el dispositivo de control de acceso y la Agile Controller-Campus. Cuando la Agile Controller-Campus funciona como servidor usa los puertos 1812 y 1813 para autenticación y contabilidad, respectivamente.

·        Las llave para AAA es Admin@123



Configurar los Parámetros del Servidor del Portal en el Switch de Agregación

PARAMETROS DEL PORTAL EN EL SW



·        Puerto del dispositivo de control de acceso para asociación con el servidor del portal: 2000 (si se cambia este valor, se debe configurar el mismo número de puerto cuando se agrega el dispositivo portal hacia la Agile Controller-Campus.

 

·        Si la  página del portal necesita ser desplegada usando un nombre de dominio, el nombre de dominio del servidor de la Agile Controller-Campus necesita ser configurado. Si la Agile Controller-Campus funciona como servidor del portal, usa el puerto 50200 como el puerto del servidor del portal. Si un switch Huawei o una AC funcionan como el dispositivo de control de acceso que provee la autenticación del portal, el switch o la C usa el puerto 2000 por defecto para asociarlo con el servidor del portal.

 

 

·        Descripción de los comandos:

§  Dirección Ip del servidor del portal: server-ip 192.168.11.10

§  Dirección IP que el dispositivo usa para comunicarse con el servidor del portal: source-ip 192.168.100.100

§  Cuando la Agile Controller-Campus funciona como servidor del portal: port 50200

 

§  Llave del portal: Admin@123

 

§  Nombre de dominio del portal: url http://access.example.com:8080/portal (se necesita configurar un mapeo entre el nombre de dominio y la dirección IP del servidor de la Agile Controller-Campus en el servidor de DNS

 

§  Habilitar la función de detección del servidor del portal: server-detect interval 100 max-times 5 critical-num 1 action log (con la función habilitada, el dispositivo detecta todos los servidores del portal configurados en la plantilla. Si el número de veces que el dispositivo falle en detectar el servidor del portal excede el máximo, el estado del servidor del portal cambia de UP a DOWN. Si el número servidores del portal en estado UP es menos o igual que  el mínimo (especificado por critical-num), el dispositivo ejecuta la operación correspondiente para permitir al administrador obtener en tiempo real el estado del servidor del portal o asegurar que los usuarios tienen ciertos derechos de acceso a la red. El intervalo de detección no puede ser menor a 15 segundos y el valor recomendado es de 100 segundos

 

§  Habilita la función de sincronización de información del usuario: user-sync interval 100 max-times 5 (con la función habilitada, la información del usuario es sincronizada entre el dispositivo el servidor del portal para asegurar consistencia de la información del usuario entre ellos y prevenir una contabilidad imprecisa. El intervalo de la sincronización de la información del usuario debe ser mayor a 300 segundos (la Agile Controller-Campus responde a los paquetes de prueba de un switch o AC en un intervalo de 300 segundos). Si el intervalo de sincronización es menor a 300 segundos, los usuarios podrían salir de línea después de haber pasado la autenticación. Se recomienda configurar la sincronización de información a un intervalo de 500 segundos.

 

§  Habilita la función quito o silencio, del portal de autenticación: portal quiet-period (si el número de fallas de un usuario dentro de 60 segundos excede el valor configurado, el dispositivo descarta los paquetes del usuario durante un período para prevenir que impacte en el sistema causado por frecuentes fallas de autenticación.

 

§  Habilita la autenticación por portal en la interface: authentication portal

 

§  Asocia la plantilla del servidor del portal hacia la interface: web-auth-server portal_huawei direct (si se usa el modo de red en campa 2 entre el dispositivo de control de acceso y las terminales, configurar el modo de autenticación como direct; si se usa el modo en campa 3, configurar el modo como layer3


1



Configurar la Agile Controller-Campus—Agregar Dispositivos

·        Seleccionar Resource>Device>Device Management y dar clic en Add. Configurar los parámetros del switch

AGREGAR DISPOSITIVOS


·        Nota: la llave de autenticación configurada en RADIUS y la llave de contabilidad deben ser las mismas que  en los perfiles de autenticación y contabilidad de RADIUS, configuradas en el dispositivo de autenticación.

 

 

Configurar la Agile Controller-Campus—Configurar la Autenticación y la Autorización

·        Seleccionar  Policy>Permission Control>Authentiication & Authorization>Authentication rule y modificar las reglas ne autenticación o crear reglas nuevas.

 

·        Seleccionar Policy>Permission control> Authentiication & Authorization>Authorization Result  y agregar las ACLs de autorización

AA


·        Notas:

§  Agregar el servidor de AD a Data Source.  Por defecto, una regla de autenticación toma efecto solo en la fuente de datos local. Si un servidor AD no se agrega al origen de los datos, las cuentas del AD fallarán al ser autenticadas.

 

§  Los números de ACL´s deben ser los mismos aquellos configurados en el dispositivo de control de acceso.

 

 

Configurar la Agile Controller-Campus—Asociar los Resultados de la Autorización

Seleccionar  Policy>Permission Control>Authentication & Authorizathion>Authorization Rule y se asocian los resultados de la autorización hacia recursos específicos para los usuarios después de que la autenticación resulta exitosa

asociar los resultados

·        Nota: los números de ACL deben ser los mismos a aquellos configurados en el dispositivo de control de acceso.

 

 

Verificar los Resultados

·        Un usuario final solo puede acceder a los servidores DNS y DHCP de la Agile Controller-Campus antes de la autenticación.

·        El usuario final es re direccionado hacia la página del portal de autenticación cuando intenta acceder a internet. Depues de que el usuario ingresa sus credenciales de manera correcta, se despliega la página de petición.

·        El usuario final puede acceder a internet solo después de que la autenticación ha sido exitosa.

·        Después de que el usuario final se autentica satisfactoriamente, se ejecuta el comando display Access-user en el switch para ver la información de las terminales en línea.

·        En el SM, se selecciona Resource>User>Online User  Management> para ver la información de los usuarios en línea.

·        En el SM, seleccionar Resource>User>RADIUS Log para ver los logs de autenticación del usuario final.

·        Resumen y Sugerencias:

§  Las tres laves compartidas (las llaves RADIUS de Autenticación y Contabilidad y la llave del portal) deben ser consistentes entre el dispositivo y la agile Controller-Campus.

§  Las reglas de autorización coinciden en orden descendente de acuerdo a su prioridad (orden ascendente del número de regla). Si la condición de autorización de un usuario coincide con una regla, la Agile Controller-Campus no checa las reglas subsecuentes. Por consiguiente, se recomienda que se configuren las prioridades más altas para que la definición de la regla sea más precisa y configurar las prioridades más bajas para las reglas definidas que sean menos especificas.

§  La función contabilidad de RADIUS está configurada en el switch para habilitar que la Agile Controller-Campus obtenga la información de los usuarios en línea a través de paquetes de contabilidad. La Agile Controller-Campus no soporta la función de contabilidad en tiempo real. Si se requiere la contabilidad,  se necesita usar la función de un servidor tercero.



Finalizamos con este apartado, quedando ya solo 2 publicaciones para terminar el módulo. Recuerda compartir y comentar, dejar tu ♥ y visitar mi perfil para mas publicaciones como esta.

  • x
  • convención:

Alma_Raven
Publicado 2020-2-4 18:35:09 Útil(0) Útil(0)
Este tema es muy extenso
  • x
  • convención:

Marban
Marban Publicado 2020-2-6 09:52
Hola. Sí, es que forma parte de un segemento de temas dentro del examen H12 723  

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión