[KB3562] ¿Cómo configuro Microsoft Forefront Threat Management Gateway para usarlo con ESET Secure Authentication?

Detalles

Usted puede agregar un segundo factor de autenticación a su Microsoft® TMG Server para recursos web publicados o conexiones VPN mediante ESET Secure Authentication.

Solución

Introducción

Este artículo describe cómo configurar un servidor de Microsoft® Forefront Threat Management Gateway para autenticar usuarios contra un servidor de ESA. Antes de proceder, verifique que se encuentre instalado el componente de RADIUS Server de ESET Secure Authentication y que pueda accederse al servicio RADIUS que permite a los sistemas externos autenticar usuarios.

Antes de que su TMG Server pueda utilizar ESA Server para autenticar usuarios vía RADIUS, este debe ser configurado como un cliente RADIUS en el servidor de ESA. Luego, su servidor que ejecuta el servicio RADIUS de ESA debe configurarse como servidor RADIUS en el TMG Server. Una vez que estas configuraciones hayan sido especificadas podrá iniciar su VPN de TMG o recursos web utilizando OTPs de ESA. 

Paso I - Configuración del cliente RADIUS



El protocolo RADIUS requiere que las solicitudes de acceso a los servidores RADIUS incluyan la dirección IP para el cliente de RADIUS (por ejemplo, su Microsoft® TMG Server).

Para permitir al Microsoft® TMG Server comunicarse con su servidor ESA Server, usted debe configurar el TMG Server como un cliente de  RADIUS en su servidor ESA RADIUS: 

  1. Inicie ESA Management Console (localizada dentro de Herramientas administrativas).
     
  2. Diríjase a RADIUS Servers y localice el hostname del servidor que ejecuta el servicio de ESA RADIUS.
     
  3. Haga clic derecho sobre el hostname y seleccione Add Client en el menú contextual.
     
  4. Configure un cliente de RADIUS (ver Figura 1-1).

Configurando su cliente de RADIUS

  • Para evitar bloquear a cualquier usuario de Active Directory fuera de su sistema, sin doble factor de autenticación habilitado, recomendamos que permita contraseñas de Active Directory sin OTPs durante la fase de transición. También es recomendable, para TMG con VPN Client Access, que limite el acceso al grupo de seguridad de la VPN (por ejemplo usuarios de VPN).
     
  • Asegúrese de que el casillero correspondiente a Mobile Application se encuentre seleccionado. Vea el manual del producto de ESET Secure Authentication para obtener una descripción completa de los métodos de autenticación disponibles.

Figura 1-1

ESA ya ha sido configurado para comunicarse con el dispositivo Microsoft® Forefront TMG Server. Ahora debe configurar Microsoft® TMG Server Web Listener para comunicarse con el servidor de ESA, o configurar su Microsoft® TMG Server VPN Client Access para comunicarse con el servidor de ESA.

Para obtener instrucciones sobre la configuración de un web listener, vea el Paso II.

Para obtener instrucciones sobre la configuración del acceso de un cliente VPN, vea el Paso III.


 

Paso II - Configure un Web Listener

Para configurar su Web Listener, realice los siguientes pasos: 

  1. Inicie el Forefront TMG Manager.
     
  2. Expanda Forefront TMG y acceda a Firewall Policy.
     
  3. Haga clic derecho sobre la regla relevante del firewall (la regla asociada al Web Listener) y seleccione Properties dentro del menú contextual.
     
  4. Acceda a la solapa Listener, seleccione este Web Listener dentro del menú desplegable y haga clic en Properties.
     
  5. Diríjase hacia la solapa Authentication y seleccione HTML Form Authentication dentro del menú desplegable dentro de la sección Client Authentication Method.
     
  6. Seleccione el casillero correspondiente a RADIUS en la sección Authentication Validation Method y luego haga clic en "Configure Validation Servers..."
     
  7. Haga clic en Add para configurar su ESA RADIUS Server del siguiente modo:

    Server name: el hostname o dirección IP de su ESA RADIUS Server
    Server description: un nombre reconocible para su servidor
    Shared secret: el shared secret que usted configuró en el Paso I
    Authentication port: 1812
    Time-out: 30 segundos
     
  8. Haga clic en OK dos veces para guardar los cambios.
     
  9. Haga clic en Apply para actualizar la configuración de su servidor (ver Figura 2-1)

Figura 2-1

Acceda a la URL que utiliza para iniciar sesión e ingrese sus credenciales de prueba para verificar que el listener haya sifo configurado:

  • Asegúrese de utilizar un usuario que haya sido activado para usar la aplicación móvil de 2FA (doble factor de autenticación) de ESA.
     
  • Cuando se le solicite una contraseña, anexe la OTP generada por la aplicación móvil a su contraseña de AD. Por ejemplo, si el usuario posee una contraseña de AD como Esa123 y una OTP de 999111, usted deberá ingresar Esa123999111.

 

Paso III - Configure su VPN Client Access

Para configurar su VPN Client Access, realice los siguientes pasos:

  1. Inicie Forefront TMG Manager
     
  2. Expanda Forefront TMG y acceda a Remote Access Policy (VPN)
     
  3. Haga clic en Select Authentication Methods en el panel del extremo derecho
     
  4. Diríjase a la solapa Authentication. Seleccione PAP o MS-CHAPv2.. 
     
  5. Acceda a la solapa RADIUS, y asegúrese de que el casillero Use RADIUS for authentication se encuentre habilitado, de acuerdo a la Figura 3-1.

    Figura 3-1

  6. Haga clic en RADIUS Servers... y seleccione el servidor ESA RADIUS configurado previamente o haga clic en Add... para configurar su servidor ESA RADIUS del siguiente modo:
       
    Server name: el hostname o dirección IP de su ESA RADIUS Server
    Server description: un nombre reconocible para su servidor
    Shared secret: el shared secret que usted configuró en el Paso I
    Authentication port: 1812
    Time-out: 30 segundos
  1. Haga clic en OK dos veces

Cuando hayan sido guardados todos los cambios haga clic en en Apply nuevamente para actualizar la configuración del servidor (ver Figura 3-2)

Figura 3-2

Prueba la configuración iniciando el cliente VPN que utiliza normalmente para conectarse a TMG. Ingrese las credenciales de su usuario de prueba:

  • Asegúrese de utilizar un usuario que haya sido activado para usar la aplicación móvil de 2FA de ESA.
     
  • Cuando se le solicite una contraseña, anexe la OTP generada por la aplicación móvil a su contraseña de AD. Por ejemplo, si el usuario posee una contraseña de AD como Esa123 y una OTP de 999111, usted deberá ingresar Esa123999111.

 

Resolución de problemas

Si se encuentra imposibilitado de autenticar a través del servidor de ESA RADIUS, asegúrese de haber realizado estos pasos:

  1. Ejecute una prueba preliminar contra su servidor RADIUS, de acuerdo al documento “Verifying ESA RADIUS Functionality”.
     
  2. Si ninguna falla fue corregida y aún se ve imposibilitado para conectarse, regrese a una configuración de inicio de sesión existente (aquella que no use doble factor de autenticación) y verifique si logra conectar.
     
  3. Si aún no logra conectarse utilizando la configuración antigua, restaure los nuevos ajustes y compruebe que no exista ningún firewall bloqueando el puerto UDP 1812 entre su dispositivo VPN y su servidor RADIUS.
     
  4. Si no puede conectarse, contacte al Equipo de soporte de ESET.