Implementar el acceso remoto con autenticación OTP

  • Artículo

 

Se aplica a: Windows Server 2012 R2, Windows Server 2012

Windows Server 2012 combina DirectAccess y VPN de Servicio de enrutamiento y acceso remoto (RRAS) en un solo rol de acceso remoto. El acceso remoto se puede implementar en diversos escenarios de empresas. Esta descripción general proporciona una introducción al escenario de empresa para la implementación de DirectAccess de Windows Server 2012 con la autenticación de usuario de contraseña de un solo uso (OTP).

Descripción del escenario

En este escenario, se configura un servidor de acceso remoto con DirectAccess habilitado para autenticar a los usuarios clientes de DirectAccess con la autenticación OTP en dos fases, además de las credenciales estándar de Active Directory.

Requisitos previos

Antes de empezar a implementar este escenario, revisa esta lista de requisitos importantes:

  • Los clientes de Windows 7 tienen que usar DCA 2.0 para admitir la OTP.
  • OTP no admite cambiar el PIN.
  • No se admite la opción de cambiar directivas fuera de la consola de administración de DirectAccess o de los cmdlets de Windows PowerShell.

En este escenario

El escenario de autenticación OTP incluye varios pasos:

  1. Deploy a Single DirectAccess Server with Advanced Settings: se debe implementar un solo servidor de acceso remoto antes de configurar la OTP. La planificación e implementación de un solo servidor incluye la designación y configuración de una topología de red, la planificación e implementación de certificados, la configuración de DNS y Active Directory, la configuración del servidor de acceso remoto, la implementación de los clientes de DirectAccess y la preparación de los servicios de intranet.

  2. Planear el acceso remoto con autenticación OTP: además de la planificación requerida por un solo servidor, la OTP requiere la planificación de una entidad de certificación (CA) de Microsoft y de plantillas de certificado para OTP, así como un servidor de OTP habilitado en RADIUS. La planeación también podría incluir un requerimiento de grupos de seguridad para excluir a usuarios específicos de la autenticación fuerte (OTP o tarjeta inteligente). Para obtener información sobre la configuración de OTP en un entorno de varios bosques, consulta Configurar una implementación con varios bosques.

  3. Configurar DirectAccess con autenticación OTP: la implementación de OTP consta de una serie de pasos de configuración, incluida la preparación de la infraestructura para la autenticación de OTP, la configuración del servidor OTP, la configuración de las opciones de OTP en el servidor de acceso remoto y la actualización de la configuración del cliente de DirectAccess.

  4. Solucionar problemas de una implementación de OTP: Esta sección de solución de problemas describe una serie de los errores más comunes que se pueden producir al implementar el acceso remoto con autenticación OTP.

Aplicaciones prácticas

Aumentar la seguridad: el uso de OTP aumenta la seguridad de la implementación de DirectAccess. Un usuario requiere credenciales de OTP para obtener acceso a la red interna. Un usuario proporciona credenciales de OTP a través de las conexiones de área de trabajo disponibles en las conexiones de red en el equipo de cliente de Windows 8, o mediante el Asistente para conectividad de DirectAccess (DCA) en equipos de cliente que ejecutan Windows 7. El proceso de autenticación de OTP funciona de la siguiente manera:

  1. El cliente de DirectAccess ingresa credenciales de dominio para tener acceso a los servidores de infraestructura de DirectAccess (a través del túnel de infraestructura). Si no se encuentra disponible ninguna conexión a la red interna, debido a un error específico de IKE, la conexión del área de trabajo del equipo de cliente notifica al usuario que se requieren credenciales. En los equipos de cliente que ejecutan Windows 7 aparece un elemento emergente que solicita las credenciales de la Tarjeta inteligente.

  2. Después de escribir las credenciales de OTP, estas se envían a través de SSL al servidor de acceso remoto, junto con una solicitud de certificado de inicio de sesión de tarjeta inteligente de corto plazo.

  3. El servidor de acceso remoto inicia la validación de las credenciales de OTP con un servidor de OTP basada en RADIUS.

  4. Si se realiza correctamente, el servidor de acceso remoto firma la solicitud de certificado mediante su certificado de entidad de registro y la vuelve a enviar al equipo cliente de DirectAccess

  5. El equipo cliente de DirectAccess devuelve la solicitud de certificado firmada a la CA y almacena el certificado inscrito para que lo use el SSP/PA de Kerberos.

  6. Con este certificado, el equipo cliente realiza una autenticación Kerberos de tarjeta inteligente estándar en forma transparente.

Roles y características que se incluyen en este escenario

En la siguiente tabla, se muestran los roles y características requeridos para el escenario:

Rol/característica

Compatibilidad con este escenario

Rol de administración de acceso remoto

El rol se instala y desinstala mediante la consola del Administrador del servidor. Este rol incluye tanto DirectAccess, que antes era una característica de Windows Server 2008 R2, como los servicios de enrutamiento y acceso remoto, que antes eran un servicio de rol bajo el rol del servidor Servicios de acceso y directivas de redes (NPAS). El rol de acceso remoto consta de dos componentes:

  1. VPN de los Servicios de acceso remoto y enrutamiento de DirectAccess (RRAS): DirectAccess y VPN se administran en forma conjunta en la consola de administración de acceso remoto.

  2. Enrutamiento RRAS: las características del enrutamiento RRAS se administran en la consola de administración de acceso remoto heredada.

El rol de acceso remoto depende de las siguientes características del servidor:

  • Servidor web de Internet Information Services (IIS): esta característica es necesaria para configurar el servidor de ubicación de red, usar una autenticación OTP y configurar el sondeo web predeterminado.

  • Windows Internal Database: se usa para las cuentas locales en el servidor de acceso remoto.

Característica Herramientas de administración de acceso remoto

Esta característica se instala de la siguiente manera:

  • Se instala de forma predeterminada en un servidor de acceso remoto cuando se instala el rol de acceso remoto, y admite la interfaz de usuario de la consola de administración de acceso remoto.

  • Puede instalarse opcionalmente en un servidor que no ejecute el rol de servidor de acceso remoto. En este caso, se usa para la administración remota de un equipo de acceso remoto que ejecuta DirectAccess y VPN.

La característica de herramientas de administración de acceso remoto consiste de los siguientes elementos:

  • Herramientas de la línea de comandos y GUI de acceso remoto

  • Módulo de acceso remoto para Windows PowerShell

Las dependencias incluyen:

  • Consola de administración de directivas de grupo

  • Kit de administración de Connection Manager (CMAK) de RAS

  • Windows Powershell 3.0

  • Infraestructura y herramientas de administración de gráficos

Requisitos de hardware

Los requisitos de hardware para este escenario incluyen los siguientes:

  • Un equipo que cumpla con los requisitos de hardware para Windows Server 2012.

  • Para probar el escenario, se requiere al menos un equipo que ejecute Windows 8 o Windows 7 configurado como un cliente DirectAccess.

  • Un servidor de OTP que admita PAP a través de RADIUS.

  • Un token de software o hardware de OTP.

Requisitos de software

Hay varios requisitos para este escenario:

  1. Requisitos de software para la implementación de un solo servidor. Para obtener más información, consulte Deploy a Single DirectAccess Server with Advanced Settings.

  2. Además de los requisitos de software para un solo servidor, hay varios requisitos específicos para OTP:

    1. CA para autenticación IPsec: en una implementación de OTP, DirectAccess debe implementarse mediante certificados de equipos de IPsec emitidos por CA. La autenticación IPsec mediante el servidor de acceso remoto como un proxy Kerberos no se admite en una implementación de OTP. Se requiere una CA interna.

    2. CA para la autenticación de OTP: se requiere una CA de Microsoft Enterprise (que ejecute Windows 2003 Server o versión posterior) para emitir el certificado de cliente de OTP. Puede usarse la misma CA que se usa para emitir certificados para la autenticación IPsec. El servidores de CA tiene que estar accesible a través del primer túnel de infraestructura.

    3. Grupo de seguridad: para excluir a los usuarios de la autenticación sólida, se requiere un grupo de seguridad de Active Directory que contenga estos usuarios.

    4. Requisitos para el cliente: en los equipos de cliente de Windows 8, se usa el servicio del Asistente para la conectividad de red (NCA) para detectar si se requieren credenciales de OTP. Si se requieren, el Administrador de medios de DirectAccess solicitará las credenciales. NCA se incluye en el sistema operativo Windows 8 y no se requiere ninguna instalación o implementación. En los equipos cliente con Windows 7, se requiere el Asistente para conectividad de DirectAccess (DCA) 2.0. Esto se puede descargar en el Centro de descargas de Microsoft.

    5. Ten en cuenta lo siguiente:

      1. La autenticación de OTP puede usarse en paralelo con la tarjeta inteligente y la autenticación basada en el Módulo de plataforma segura (TPM). Habilitar la autenticación de OTP en la consola de Administración de acceso remoto también permite el uso de la autenticación de tarjeta inteligente.

      2. Durante la configuración de acceso remoto, los usuarios de un grupo de seguridad especificado se pueden excluir de la autenticación en dos fases y, de esta mandera, se pueden autenticar solo con el usuario y la contraseña.

      3. Los modos del nuevo PIN y el siguiente código de token de OTP no son compatibles

      4. En una implementación multisitio de acceso remoto, la configuración de OTP es global y se identifica para todos los puntos de entrada. Si se configuran varios servidores RADIUS o CA para OTP, se ordenan para cada servidor de acceso remoto de acuerdo con la disponibilidad y proximidad.

      5. Cuando se configura OTP en un entorno de acceso remoto de varios bosques, las CA de OTP deben corresponder solo al bosque de recursos y se debe configurar la inscripción de certificado a través de confianzas de bosques. Para obtener más información, consulta AD CS: inscripción del certificado entre bosques con Windows Server 2008 R2.

      6. Los usuarios que están usando un token KEY FOB OTP deben insertar el PIN seguido por el código de token (sin ningún separador) en el cuadro de diálogo de OTP de DirectAccess. Los usuarios que están usando el token PIN PAD OTP solo deben insertar el código de token en el cuadro de diálogo.

      7. Cuando se habilita WEBDAV no se debe habilitar OTP.

Problemas conocidos

Los problemas que se mencionan a continuación son problemas conocidos de la configuración de un escenario de OTP:

  • El acceso remoto usa un mecanismo de sondeo para comprobar la conectividad a los servidores OTP basados en RADIUS. En algunos casos esto puede provocar un error que se va a emitir en el servidor OTP. Para evitar este problema, haz lo siguiente en el servidor OTP:

    • Crea una cuenta de usuario que coincida con el nombre de usuario y la contraseña configurados en el servidor de acceso remoto para el mecanismo de sondeo. El nombre de usuario no debe definir un usuario de Active Directory.

      De forma predeterminada, el nombre de usuario del servidor de acceso remoto es DAProbeUser y la contraseña es DAProbePass. Estos valores predeterminados se pueden modificar usando los siguientes valores en el registro del servidor de acceso remoto:

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\RadiusProbeUser

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectAccess\OTP\ RadiusProbePass

  • Si cambias el certificado raíz de IPsec en una implementación de DirectAccess configurada y en ejecución, OTP dejará de funcionar. Para resolver este problema, ejecuta el comando iisreset en todos los servidores de DirectAccess en una ventana de Windows PowerShell