Exportar (0) Imprimir
Expandir todo
Este artículo proviene de un motor de traducción automática. Mueva el puntero sobre las frases del artículo para ver el texto original. Más información.
Traducción
Original

Paso 3: Configurar el servidor de acceso remoto para OTP

Una vez que se ha configurado el servidor RADIUS con tokens de software de distribución, puertos de comunicación están abiertos, se ha creado un secreto compartido, han creado cuentas de usuario correspondientes a Active Directory en el servidor RADIUS y el servidor de acceso remoto se ha configurado como un agente de autenticación RADIUS y el servidor de acceso remoto debe configurarse para apoyar OTP.

Tarea Descripción

3.1 Los usuarios exentos de de autenticación OTP (opcional)

Si los usuarios específicos quedarán exentos de DirectAccess con autenticación OTP, siga estos pasos preliminares.

3.2 Configurar el servidor de acceso remoto para soporte OTP

En el servidor de acceso remoto actualizar la configuración de acceso remoto para admitir la autenticación de dos factores OTP.

3.3 Tarjetas de autorización adicional

Información adicional sobre el uso de tarjetas inteligentes.

JJ134168.note(es-es,WS.11).gif Nota
Este tema incluye cmdlets de Windows PowerShell de muestra que puede utilizar para automatizar algunos de los procedimientos descritos. Para obtener más información, vea Cómo ejecutar un Cmdlet de Windows PowerShell.

Si los usuarios específicos están exentos de autenticación OTP, estos pasos deben tomarse antes de la configuración de acceso remoto:

JJ134168.note(es-es,WS.11).gif Nota
Debe esperar para la replicación entre dominios para completar al configurar el grupo de exención de OTP.

JJ134168.collapse(es-es,WS.11).gif Crear grupo de seguridad de usuario exención

  1. Crear un grupo de seguridad en Active Directory para el propósito de exención de OTP.

  2. Agregar todos los usuarios exentos de autenticación OTP al grupo de seguridad.

    JJ134168.note(es-es,WS.11).gif Nota
    Asegúrese de incluir sólo las cuentas de usuario y no las cuentas de equipo, en el grupo de seguridad de la exención de OTP.

Para configurar el acceso remoto para utilizar la autenticación de dos factores y OTP con el servidor RADIUS y la implementación de certificados de las secciones anteriores, siga estos pasos:

JJ134168.collapse(es-es,WS.11).gif Configurar el acceso remoto para OTP

  1. Abra Administración del acceso remoto y haga clic en configuración.

  2. En la ventana de Configuración de DirectAccess , en paso 2 – servidor de acceso remoto, haga clic en Editar.

  3. Haga clic en siguiente tres veces y en la sección de autenticación , seleccione autenticación de dos factores y OTP usoy asegúrese de que los certificados de equipo de uso está activada.

    JJ134168.note(es-es,WS.11).gif Nota
    Después de OTP se ha habilitado en el servidor de acceso remoto, si deshabilita OTP deseleccionando OTP de uso, se desinstalarán las extensiones ISAPI y CGI en el servidor.

  4. Si se requiere soporte de Windows 7, seleccione la casilla de verificación Activar Windows 7 los equipos cliente para conectarse a través de DirectAccess . Nota: Como se describe en la sección de planificación, los clientes de Windows 7 deben tener DCA 2.0 instalado para apoyar DirectAccess con OTP.

  5. Haga clic en siguiente.

  6. En la sección servidor RADIUS de OTP , haga doble clic en el campo Nombre del servidor en blanco.

  7. En el cuadro de diálogo Agregar servidor RADIUS , escriba el nombre del servidor RADIUS en el campo nombre de servidor . Haga clic en cambiar junto al campo secreto compartido y escriba la misma contraseña que utilizó al configurar el servidor RADIUS en los campos nueva y confirmar nuevo secreto . Confirm new secret Haga clic en Aceptar dos veces y haga clic en siguiente.

    JJ134168.note(es-es,WS.11).gif Nota
    Si el servidor RADIUS está en un dominio distinto del servidor de acceso remoto, el campo Nombre de servidor debe especificar el FQDN del servidor RADIUS.

  8. En la sección Servidores de OTP CA Seleccione los servidores de entidad emisora de certificados para la inscripción de certificados de autenticación de cliente OTP y haga clic en Agregar. Haga clic en siguiente.

  9. En la sección de Plantillas de certificado de OTP haga clic en Examinar para seleccionar la plantilla de certificado utilizada para la inscripción de certificados que se emitan para autenticación OTP.

    JJ134168.note(es-es,WS.11).gif Nota
    La plantilla de certificado para OTP certificados emitidos por la CA corporativa debe configurarse sin la opción de "No incluyen la información de revocación de certificados emitidos". Si se selecciona esta opción durante la creación de la plantilla de certificado, entonces los equipos cliente OTP no podrán iniciar sesión correctamente.

    Haga clic en Examinar para seleccionar una plantilla de certificado que se utiliza para inscribir el certificado utilizado por el servidor de acceso remoto para firmar las solicitudes de inscripción de certificados OTP. Haga clic en Aceptar. Haga clic en siguiente.

  10. Si eximir a determinados usuarios de DirectAccess con OTP se requiere, en la sección de OTP exenciones seleccione requiere que los usuarios en el grupo de seguridad especificada para autenticar mediante la autenticación de dos factores. Haga clic en Grupo de seguridad y seleccione el grupo de seguridad que se creó para exenciones de OTP.

  11. En la página de Instalación del servidor de acceso remoto haga clic en Finalizar.

  12. En la ventana de Configuración de DirectAccess , en paso 3 – infraestructura de servidores, haga clic en Editar.

  13. Haga clic en siguiente dos veces y en la sección de Administración , haga doble clic en el campo de la Administración de servidores .

  14. Introduzca el nombre del equipo o la dirección del servidor de CA que está configurado para emitir certificados OTP y haga clic en Aceptar.

  15. En la Instalación de acceso remoto de windows, haga clic en Finalizar.

  16. Haga clic en Finalizar en el Asistente de DirectAccess experto.

  17. En el cuadro de diálogo Revisión de acceso remoto haga clic en Aplicar, espere a que la política de DirectAccess actualizarse y haga clic en Cerrar.

  18. En la pantalla de Inicio , tipo powershell.exe, haga clic en powershell, haga clic en avanzadasy haga clic en Ejecutar como administrador. Si aparece el cuadro de diálogo Control de cuentas de usuario , confirme que la acción que se muestra es lo que desea y haga clic en .

  19. En la ventana de Windows PowerShell, escriba gpupdate /force y presiona ENTER.

Para configurar el acceso remoto para OTP utilizando comandos de PowerShell:

PowerShell Logo Comandos equivalentes de Windows PowerShell

El siguiente cmdlet de Windows PowerShell o cmdlets realizar la misma función que el procedimiento anterior. Introduzca cada cmdlet en una sola línea, aunque pueden aparecer envuelto en la palabra a través de varias líneas aquí debido a las restricciones de formato.

Para configurar el acceso remoto para utilizar la autenticación de dos factores en un despliegue actualmente utiliza la autenticación de certificado de equipo:



Set-DAServer - UserAuthentication TwoFactor

Para configurar el acceso remoto para utilizar la autenticación OTP con la siguiente configuración:

  • Un servidor OTP denominado OTP.corp.contoso.com.

  • Un servidor de CA con el nombre APP1.corp.contoso.com\corp-APP1-CA1.

  • Una plantilla de certificado con el nombre DAOTPLogon utilizado para la inscripción de certificados que se emitan para autenticación OTP.

  • Una plantilla de certificado con el nombre DAOTPRA se utiliza para inscribir el certificado de autoridad de registro utilizado por el servidor de acceso remoto para firmar las solicitudes de inscripción de certificados OTP.



Activar-DAOtpAuth - CertificateTemplateName 'DAOTPLogon' - OTPSignCertificateTemplateName 'DAOTPRA' CAServidor - @('APP1.corp.contoso.com\corp-APP1-CA1') - RadiusServer OTP.corp.contoso.com - SharedSecret Abcd123$

Después de ejecutar los comandos de PowerShell completar los pasos 12-19 desde el procedimiento anterior para configurar el servidor de acceso remoto para soporte OTP.

JJ134168.note(es-es,WS.11).gif Nota
Asegúrese de verificar que ha aplicado la configuración de la Fiscalía en el servidor de acceso remoto antes de agregar un punto de entrada.

En la página de autenticación de paso 2 del Asistente para instalación de acceso remoto, puede requerir el uso de tarjetas inteligentes para el acceso a la red interna. Cuando se selecciona esta opción, el Asistente de configuración de acceso remoto configura la regla de seguridad de conexión IPsec para el túnel de la intranet en el servidor de DirectAccess para requerir autorización de modo de túnel con tarjetas inteligentes. Autorización de modo de túnel permite especificar sólo autorizado a equipos o usuarios pueden establecer un túnel entrante.

Para utilizar tarjetas inteligentes con autorización de modo de túnel IPsec para el túnel de la intranet, debe implementar una infraestructura de claves públicas (PKI) con infraestructura de tarjetas inteligentes.

Porque sus clientes DirectAccess están utilizando tarjetas inteligentes para el acceso a la intranet, también puede utilizar garantía de mecanismo de autenticación, una característica de Windows Server 2008 R2, para controlar el acceso a recursos, como archivos, carpetas e impresoras, en base a si el usuario inicia sesión con un certificado de tarjeta inteligente. Garantía de mecanismo de autenticación requiere un nivel funcional de dominio de Windows Server 2008 R2.

JJ134168.collapse(es-es,WS.11).gif Permitir el acceso para los usuarios con tarjetas inutilizables

Para permitir el acceso temporal para los usuarios con tarjetas inteligentes que son inutilizables, haga lo siguiente:

  1. Crear un grupo de seguridad de Active Directory para contener las cuentas de usuarios que temporalmente no pueden utilizar sus tarjetas inteligentes.

  2. Para el servidor de DirectAccess objeto de directiva de grupo, establecer la configuración de IPsec global para autorización de túnel de IPsec y agregar el grupo de seguridad de Active Directory a la lista de usuarios autorizados.

Para conceder acceso a un usuario que no puede usar su tarjeta inteligente, añadir temporalmente su cuenta de usuario al grupo de seguridad de Active Directory. Quitar la cuenta de usuario del grupo cuando la tarjeta inteligente es utilizable.

JJ134168.collapse(es-es,WS.11).gif Bajo las cubiertas: autorización de la tarjeta inteligente

Autorización de la tarjeta inteligente funciona activando la autorización de modo de túnel en la regla de seguridad de conexión de túnel de intranet del servidor de DirectAccess para un identificador de seguridad específicos basados en Kerberos (SID). Para la autorización de la tarjeta inteligente, esto es el SID conocido (S-1-5-65-1), que asigna a los inicios de sesión basado en tarjeta inteligente. Este SID está presente en el token de Kerberos de un cliente de DirectAccess y se refiere como "Este certificado de organización" cuando se configura en el global IPsec túnel configuración del modo de autorización.

Cuando habilita la autorización de la tarjeta inteligente en el paso 2 del Asistente para la instalación de DirectAccess, el Asistente de instalación de DirectAccess configura el parámetro de autorización del modo de túnel IPsec global con este SID para el servidor de DirectAccess objeto de directiva de grupo. Para ver esta configuración de Firewall de Windows con seguridad avanzada snap-in para el servidor de DirectAccess objeto de directiva de grupo, haga lo siguiente:

  1. Haga clic en Firewall de Windows con seguridad avanzada y, a continuación, haga clic en propiedades.

  2. En la ficha Configuración de IPsec, autorización de túnel de IPsec, haga clic en Personalizar.

  3. Haga clic en la ficha usuarios. Debería ver el "certificado de organización de la AUTHORITY\This NT" como un usuario autorizado.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft