• Artículo

The Cable GuyInicio de sesión único inalámbrico

Joseph Davies

Las conexiones inalámbricas que se establecen y después se deben autenticar con una red privada pueden suponer una complicación adicional tanto para el usuario como para el administrador. Un cliente inalámbrico basado en Windows miembro de un dominio de Active Directory debe realizar una autenticación basada en IEEE 802.1X para obtener una conexión inalámbrica protegida

y un inicio de sesión en el dominio. Puesto que la autenticación puede implicar el uso de credenciales del usuario o el equipo y puesto que los inicios de sesión en el dominio son dependientes de la conectividad de la red, surgen problemas al configurar el orden en el que se realizarán las autenticaciones y al especificar qué credenciales usar. Todo esto puede influir en los inicios de sesión en el dominio y provocar que se pidan al usuario credenciales en numerosas ocasiones.

Afortunadamente, el inicio de sesión único inalámbrico en Windows Vista® permite especificar que la autenticación IEEE 802.1X para Acceso protegido Wi-Fi 2 (WPA2)-Enterprise, WPA-Enterprise y la autenticación 802.1X con Wireless Equivalency Privacy (WEP) ocurra antes del proceso de inicio de sesión del usuario. Esto le permite resolver problemas de inicio de sesión de dominio en configuraciones específicas. El inicio de sesión único inalámbrico también integra sin problemas la autenticación inalámbrica con la experiencia de inicio de sesión de Windows®, lo cual repercute en la satisfacción general del usuario. Por estas razones, deseo introducirme este mes en las características del inicio de sesión único inalámbrico, cómo se configura y cómo funciona durante el proceso de inicio de sesión del usuario.

Aspectos básicos del inicio de sesión único

Un cliente inalámbrico de Windows puede realizar la autenticación en la red inalámbrica usando únicamente credenciales de equipo o de usuario, o una combinación de ambos. Si sólo se usan credenciales de equipo, Windows realiza la autenticación 802.1X antes de mostrar la pantalla de inicio de sesión de Windows. Esto permite el acceso anticipado del equipo cliente inalámbrico a los recursos de red como los controladores de dominio de Active Directory®.

Si se usan sólo credenciales de usuario, Windows sin el inicio de sesión único realiza la autenticación 802.1X cuando se completa el proceso del inicio de sesión del usuario. La figura 1 muestra la escala de tiempo de inicio e inicio de sesión para este escenario.

Figura 1 Escala de tiempo cuando se usan sólo credenciales de usuario para la autenticación inalámbrica

Figura 1** Escala de tiempo cuando se usan sólo credenciales de usuario para la autenticación inalámbrica **(Hacer clic en la imagen para ampliarla)

Las consecuencias de usar sólo credenciales de usuario para la autenticación inalámbrica son que el usuario no puede hacer un inicio de sesión inicial en el dominio a un equipo porque no hay credenciales en caché local para su cuenta de usuario y no hay conectividad al controlador de dominio para autenticar las nuevas credenciales de inicio de sesión. Además, algunas operaciones de inicio de sesión de dominio presentarán errores porque no hay conectividad a los controladores de dominio del dominio de Active Directory en ese momento. Los scripts de inicio de sesión, las actualizaciones de las directivas de grupo y las actualizaciones de perfil presentan errores, lo cual provoca errores de registro de eventos en Windows.

Cuando se usa una combinación de credenciales de usuario y equipo, Windows realiza una autenticación 802.1X con credenciales de equipo antes de mostrar la pantalla de inicio de sesión de Windows. Una vez que el usuario ha iniciado sesión, Windows realiza otra autenticación 802.1X con credenciales de usuario. Algunas infraestructuras de red usan distintas LAN virtuales (VLAN) para equipos que se han autenticado con credenciales de equipo y para aquellos que han usado credenciales de usuario. Si la autenticación a la red inalámbrica que usa credenciales de usuario y el cambio a la VLAN de usuario autenticado ocurre después del proceso del inicio de sesión de usuario, el cliente inalámbrico de Windows no tendrá acceso a los recursos de red en la VLAN de usuario autenticado, como controladores de dominio de Active Directory, durante el proceso del inicio de sesión del usuario. Una vez más, esto lleva a operaciones de inicio de sesión de dominio con errores.

Surge otro problema cuando la autenticación inalámbrica con credenciales de usuario usa un conjunto de credenciales de seguridad distinto a las credenciales del inicio de sesión del usuario. Para dichas configuraciones, Windows solicita credenciales de usuario adicionales cuando comienza la autenticación inalámbrica, lo que puede ser confuso.

La característica de inicio de sesión único en Windows Vista se desarrolló para solucionar los problemas de los inicios de sesión de dominio, separar las VLAN autenticadas por usuario y por equipo, y solicitar al usuario credenciales distintas en momentos distintos. Con el inicio de sesión único, los administradores de red pueden especificar que esa autenticación inalámbrica con credenciales de usuario ocurra antes del proceso de inicio de sesión del usuario. Cuando las credenciales de usuario necesarias para el inicio de sesión de usuario y para la autenticación inalámbrica son diferentes, se solicitan todas las credenciales necesarias y se reúnen en la pantalla de inicio de sesión de Windows.

Con el inicio de sesión único, un cliente inalámbrico de Windows Vista puede configurarse para realizar la autenticación de red inalámbrica con credenciales de usuario antes del proceso del inicio de sesión del usuario. La figura 2 muestra la nueva escala de tiempo de inicio e inicio de sesión.

Figura 2 Escala de tiempo cuando la autenticación de red inalámbrica con credenciales de usuario ocurre antes del inicio de sesión de usuario

Figura 2** Escala de tiempo cuando la autenticación de red inalámbrica con credenciales de usuario ocurre antes del inicio de sesión de usuario **(Hacer clic en la imagen para ampliarla)

Esto permite configuraciones que usan sólo credenciales de usuario o una combinación de credenciales de usuario y equipo con VLAN separadas sin pérdida de funcionalidad. Puesto que el cliente inalámbrico tiene conectividad de red o conectividad a la VLAN de usuario autenticado antes de que comience el proceso de inicio de sesión del usuario, las operaciones de inicio de sesión de dominio pueden completarse correctamente. Si desea ver un ejemplo, consulte "Unión de un cliente inalámbrico de Windows Vista a un dominio" en microsoft.com/technet/network/wifi/vista_bootstrap_wireless.mspx.

Según la configuración del perfil inalámbrico, el inicio de sesión único consolida los campos de entrada de las credenciales de usuario para la autenticación inalámbrica y los agrega a la pantalla de inicio de sesión de Windows. Por lo tanto, el usuario suministra al mismo tiempo todas las credenciales de usuario para el inicio de sesión de usuario y la autenticación inalámbrica que usa credenciales de usuario.

Los métodos del Protocolo de autenticación extensible (EAP) escritos para la nueva arquitectura EAPHost en Windows Vista pueden usar la API de compatibilidad del Proveedor de autenticación de inicio de sesión previo (PLAP) de EAP para incluir los campos de entrada necesarios para la autenticación en la pantalla de inicio de sesión de Windows. Si desea obtener más información, consulte el SSO y API de PLAP en msdn2.microsoft.com/bb530584.

Como ejemplo de inicio de sesión único, considere un cliente inalámbrico de Windows Vista que se ha configurado para realizar la autenticación únicamente mediante credenciales de usuario y un nombre de usuario y contraseña para ambos inicios de sesión en el dominio y la autenticación 802.1X. Cuando el usuario presiona Ctrl+Alt+Supr en la pantalla inicial de Windows Vista, el inicio de sesión único determina que la autenticación 802.1X debe ocurrir antes del inicio de sesión del usuario. Cuando el usuario escribe su nombre de usuario y la contraseña, el inicio de sesión único realiza en primer lugar la autenticación de red inalámbrica basada en el usuario primero y muestra un mensaje que indica que se está realizando la conexión con la red inalámbrica por su nombre. Después de la autenticación inalámbrica, Windows Vista realiza el inicio de sesión del usuario y muestra el escritorio del usuario.

Configuración del inicio de sesión único

Entre bastidores

Para ayudarle a comprender en mayor medida el proceso de autenticación inalámbrica, observemos detalladamente lo que ocurre cuando el usuario intenta iniciar sesión activamente. Cuando un usuario presiona Ctrl+Alt+Supr para el inicio de sesión del usuario en un cliente inalámbrico que ejecuta Windows Vista, se ejecutan los siguientes pasos:

  1. La configuración automática inalámbrica determina el perfil de red inalámbrica que usar. Si el cliente inalámbrico ya ha realizado correctamente la autenticación con credenciales de equipo, se usa el perfil de red inalámbrica conectada actualmente. Si el perfil inalámbrico determinado está configurado para realizar la autenticación sólo con credenciales de equipo, no será necesaria ninguna autenticación inalámbrica adicional con credenciales de usuario. Los pasos del 2 al 6 asumen que el perfil inalámbrico seleccionado está configurado para realizar la autenticación con credenciales de usuario, tiene habilitado el inicio de sesión único y la configuración Realizar inmediatamente antes de que se seleccione el inicio de sesión del usuario.
  2. El usuario escribe sus credenciales para el inicio de sesión de usuario y la autenticación inalámbrica (si fuera necesario) y comienza el inicio de sesión de usuario.
  3. Windows muestra un mensaje al usuario que intenta conectarse al nombre de la red inalámbrica.
  4. Windows intenta realizar una autenticación de red inalámbrica con credenciales de usuario. Si está habilitada la configuración Permitir diálogos adicionales durante la sesión de inicio único y el tipo de EAP necesita mostrar cuadros de diálogo adicionales al usuario, Windows muestra los cuadros de diálogo. Si la autenticación inalámbrica no transcurre correctamente dentro del retardo máximo para la conectividad (en segundos), se abandona la autenticación inalámbrica. Si se selecciona la configuración Esta red usa diferentes VLAN para autenticarse con credenciales de equipo y de usuario, Windows realiza una renovación de DHCP de la configuración de la dirección IP del adaptador de red inalámbrica cuando la autenticación inalámbrica se realice correctamente.
  5. Windows realiza el proceso del inicio de sesión del usuario.
  6. Windows muestra el escritorio.

Si se selecciona la configuración Realizar inmediatamente después de que el usuario inicie sesión, Windows realiza los pasos en el siguiente orden: 1, 2, 5, 3, 4, 6.

Para habilitar y configurar el inicio de sesión único, puede usar la extensión de directiva del grupo de directivas de red inalámbrica (IEEE 802.11) y configurar las opciones de seguridad avanzada para un perfil inalámbrico de una directiva de Windows Vista. Si desea obtener más información sobre el tema, consulte "Configuración de directivas de grupo inalámbricas para Windows Vista" en technetmagazine.com/issues/2007/04/CableGuy.

En el cuadro de diálogo Configuración de seguridad avanzada, seleccione Habilitar inicio de sesión único en esta red y configure las opciones del inicio de sesión único como considere necesario. La figura 3 muestra un ejemplo de inicio de sesión único habilitado con la configuración predeterminada.

Figura 3 Configuración predeterminada de inicio de sesión único

Figura 3** Configuración predeterminada de inicio de sesión único **

Existen configuraciones de inicio de sesión único para realizar la autenticación inalámbrica 802.1X inmediatamente antes o después del proceso del inicio de sesión de usuario y para especificar el retraso de tiempo para que se complete la autenticación 802.1X antes de iniciar el proceso del inicio de sesión de usuario. Puede indicar también si desea que se muestren los cuadros de diálogo más allá de la consolidación de campos de entrada en la pantalla de inicio de sesión de Windows. Por ejemplo, si un tipo EAP desea que el usuario confirme el certificado enviado desde el Servicio de autenticación remota telefónica de usuario (RADIUS) durante la autenticación, el tipo EAP puede mostrar el cuadro de diálogo.

También puede especificar que el cliente inalámbrico debe iniciar una renovación del Protocolo de configuración dinámica de host (DHCP) de la configuración TCP/IP del adaptador inalámbrico después de realizar la autenticación basada en el usuario. Seleccione esta opción si hay VLAN separadas para los clientes inalámbricos autenticados de equipo y usuario y si esas VLAN son subredes IPv4 o IPv6 diferentes.

Después de crear el perfil inalámbrico que contiene la configuración de inicio de sesión único dentro de la directiva, puede configurar también clientes inalámbricos de Windows Vista exportando el perfil como un archivo XML y, a continuación, importando el perfil XML en clientes inalámbricos de Windows Vista.

Para crear un perfil inalámbrico de inicio de sesión único, cree un perfil inalámbrico con la configuración de inicio de sesión único apropiada. En la ficha General de la directiva inalámbrica de Windows Vista, haga clic en el perfil inalámbrico con la configuración de inicio de sesión automático y, a continuación, haga clic en Exportar. Cuando se le solicite, especifique el nombre y ubicación del archivo XML del perfil.

Para usar el perfil XML de inicio de sesión único para otro cliente inalámbrico de Windows Vista, importe el perfil XML con el comando:

netsh wlan add profile filename=
    "[FileName].xml"

Para determinar si un perfil inalámbrico tiene habilitado el inicio de sesión único, use:

netsh wlan show profile=[ProfileName]

La configuración de inicio de sesión único se indica en la sección "Configuración de seguridad" de la pantalla de comando netsh wlan show profile y en el texto de los eventos de conexión inalámbrica en el registro de eventos de Windows. Además, puede usar el componente Visor de eventos para ver los eventos en la carpeta Microsoft\Windows\Configuración automática de WLAN de los registros de aplicaciones y servicios con el origen de "Configuración automática de WLAN" y las Id. de evento 13001, 13002, 13003 y 13004.

Encontrará más información en la página Web Redes inalámbricas en microsoft.com/wifi. Y consulte la barra lateral "Entre bastidores" si desea conocer más detalles sobre el proceso de inicio de sesión único.

Joseph Davies es escritor técnico en Microsoft y ha enseñado y escrito sobre temas de red de Windows desde 1992. Ha escrito cinco libros para Microsoft Press y es el autor de la columna mensual Cable Guy de TechNet Magazine.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.