Este artículo se tradujo automáticamente. Para ver el artículo en inglés, active la casilla Inglés. Además, puede mostrar el texto en inglés en una ventana emergente si mueve el puntero del mouse sobre el texto.
Traducción
Inglés

Paso 3: Configurar el servidor de acceso remoto para OTP

 

Se aplica a: Windows Server 2012 R2, Windows Server 2012

Una vez que se ha configurado el servidor RADIUS con tokens de distribución de software, están abiertos los puertos de comunicación, se ha creado un secreto compartido, se han creado las cuentas de usuario correspondientes a Active Directory en el servidor RADIUS, el servidor de acceso remoto se ha configurado como un agente de autenticación RADIUS y el servidor de acceso remoto debe configurarse para admitir OTP.

Tarea

Descripción

3.1 excluir a usuarios de la autenticación de OTP (opcional)

Si determinados usuarios quedarán excluidos de DirectAccess con autenticación OTP, siga estos pasos preliminares.

3.2 configurar el servidor de acceso remoto para admitir la OTP

En el servidor de acceso remoto, actualice la configuración de acceso remoto para admitir la autenticación de dos factores OTP.

3.3 las tarjetas inteligentes para la autorización adicional

Obtener información adicional acerca del uso de tarjetas inteligentes.

System_CAPS_noteNota

Este tema incluye cmdlets de Windows PowerShell de ejemplo que puede usar para automatizar algunos de los procedimientos descritos. Para obtener más información, consulte Uso de Cmdlets.

Si los usuarios específicos que deben excluirse de la autenticación de OTP, se deben realizar estos pasos antes de la configuración de acceso remoto:

System_CAPS_noteNota

Debe esperar para la replicación entre dominios para completar al configurar el grupo de exención de OTP.

Crear grupo de seguridad de exención de usuario

  1. Crear un grupo de seguridad en Active Directory con el fin de exención de OTP.

  2. Agregue todos los usuarios que deben excluirse de la autenticación de OTP al grupo de seguridad.

    System_CAPS_noteNota

    Asegúrese de incluir sólo las cuentas de usuario y no cuentas de equipo, en el grupo de seguridad de exención de OTP.

Para configurar el acceso remoto para usar la autenticación en dos fases y OTP con el servidor RADIUS y la implementación de certificados de las secciones anteriores, siga estos pasos:

Configurar el acceso remoto para OTP

  1. Abraadministración de acceso remotoy haga clic enconfiguración.

  2. En la caja Open , escriba regedit.exe .

  3. Click

    System_CAPS_noteNota

    Después de que se ha habilitado OTP en el servidor de acceso remoto, si deshabilita la OTP anulando la selección deusar OTPse van a desinstalar las extensiones ISAPI y CGI en el servidor.

  4. Si se requiere compatibilidad con Windows 7, seleccione elHabilitar Windows 7 los equipos cliente se conecten mediante DirectAccesscasilla de verificación. Nota: Como se describe en la sección de planeación, los clientes de Windows 7 deben tener DCA 2.0 instalados para admitir DirectAccess con OTP.

  5. Click

  6. En la caja Open , escriba regedit.exe .

  7. En la caja Open , escriba regedit.exe . Haga clic encambiojunto a lasecreto compartidocampo y a continuación, escriba la misma contraseña que usó al configurar el servidor RADIUS en lossecreto nuevoyConfirmar secreto nuevocampos. Haga clic enAceptardos veces y haga clic ensiguiente.

    System_CAPS_noteNota

    Si el servidor RADIUS está en un dominio diferente del servidor de acceso remoto, elnombre del servidorcampo debe especificar el FQDN del servidor RADIUS.

  8. En la caja Open , escriba regedit.exe . Haga clic en Siguiente.

  9. En la caja Open , escriba regedit.exe .

    System_CAPS_noteNota

    La plantilla de certificado para OTP certificados emitidos por la CA de empresa debe estar configurada sin la opción "No incluir información de revocación en los certificados emitidos". Si se selecciona esta opción durante la creación de la plantilla de certificado, los equipos cliente OTP podrá iniciar sesión correctamente.

    Click Haga clic en Aceptar. Haga clic en Siguiente.

  10. Si es necesario, la exención de usuarios específicos de DirectAccess con OTP, a continuación, en laexenciones de OTPsección Seleccioneno requieren que los usuarios del grupo de seguridad especificado para autenticar con la autenticación en dos fases. Haga clic engrupo de seguridady seleccione el grupo de seguridad que se creó para exenciones de OTP.

  11. En elinstalación de servidor de acceso remotopágina haga clic enFinalizar.

  12. En la caja Open , escriba regedit.exe .

  13. Click

  14. Escriba elnombre de equipoodireccióndel servidor de CA que está configurado para emitir certificados OTP y haga clic enAceptar.

  15. En la caja Open , escriba regedit.exe .

  16. Click

  17. En elrevisión de acceso remotocuadro de diálogo, haga clic enaplicarespere a que se actualice la directiva de DirectAccess y haga clic enCerrar.

  18. En la pantalla Inicio, escribapowershell.exehaga clic enpowershellhaga clic enavanzadasy haga clic enEjecutar como administrador.Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que se muestra es la esperada y, a continuación, haga clic en .

  19. En la caja Open , escriba regedit.exe .

Para configurar el acceso remoto para OTP mediante comandos de PowerShell:

PowerShell LogoComandos equivalentes de Windows PowerShell

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Para configurar el acceso remoto para usar la autenticación de dos factores en una implementación que utiliza autenticación de certificados de equipo:

Set-DAServer -UserAuthentication TwoFactor

Para configurar el acceso remoto para usar la autenticación de OTP con la siguiente configuración:

  • Un servidor OTP denominado OTP.corp.contoso.com.

  • Un servidor de CA llamado APP1.corp.contoso.com\corp-APP1-CA1.

  • Una plantilla de certificado denominada DAOTPLogon que se usa para la inscripción de certificados que se emiten para autenticación de OTP.

  • Una plantilla de certificado denominada DAOTPRA se utiliza para inscribir el certificado de autoridad de registro usado por el servidor de acceso remoto para firmar solicitudes de inscripción de certificado OTP.

Enable-DAOtpAuthentication -CertificateTemplateName 'DAOTPLogon' -SigningCertificateTemplateName 'DAOTPRA' -CAServer @('APP1.corp.contoso.com\corp-APP1-CA1') -RadiusServer OTP.corp.contoso.com -SharedSecret Abcd123$

Después de ejecutar los comandos de PowerShell complete los pasos del 12 al 19 del procedimiento anterior para configurar el servidor de acceso remoto para admitir la OTP.

System_CAPS_noteNota

Asegúrese de que ha aplicado la configuración de OTP en el servidor de acceso remoto antes de agregar un punto de entrada.

En la página de autenticación del paso 2 del Asistente para instalación de acceso remoto, puede requerir el uso de tarjetas inteligentes para el acceso a la red interna. Cuando se selecciona esta opción, el Asistente para instalación de acceso remoto configura la regla de seguridad de conexión de IPsec para el túnel de intranet del servidor de DirectAccess para requerir autorización del modo de túnel con tarjetas inteligentes. Autorización del modo de túnel permite especificar que sólo los equipos autorizados o los usuarios pueden establecer un túnel entrante.

Para usar tarjetas inteligentes con la autorización del modo de túnel IPsec para el túnel de intranet, debe implementar una infraestructura de clave pública (PKI) con infraestructura de tarjetas inteligentes.

Dado que los clientes de DirectAccess usa tarjetas inteligentes para el acceso a la intranet, también puede utilizar la comprobación del mecanismo de autenticación, una característica de Windows Server 2008 R2, para controlar el acceso a recursos, como archivos, carpetas e impresoras, en función de si el usuario inició sesión con un certificado de tarjeta inteligente. Comprobación del mecanismo de autenticación requiere un nivel funcional del dominio de Windows Server 2008 R2.

Para permitir el acceso temporal a los usuarios con tarjetas inteligentes inutilizables, haga lo siguiente:

  1. Cree un grupo de seguridad de Active Directory para contener las cuentas de los usuarios que no pueden usar temporalmente sus tarjetas inteligentes.

  2. Para el objeto de directiva de grupo del servidor de DirectAccess, configurar las opciones globales de IPsec para la autorización de túnel IPsec y agregue el grupo de seguridad de Active Directory a la lista de usuarios autorizados.

Para conceder acceso a un usuario que no puede usar su tarjeta inteligente, agregue temporalmente su cuenta de usuario al grupo de seguridad de Active Directory. Quite la cuenta de usuario del grupo cuando la tarjeta inteligente sea utilizable.

La autorización mediante tarjeta inteligente funciona habilitando la autorización de modo de túnel en la regla de seguridad de conexión del túnel de intranet del servidor de DirectAccess para un identificador de seguridad (SID) basado en Kerberos determinado. Para la autorización mediante tarjeta inteligente, es el SID conocido (S-1-5-65-1), que se asigna a los inicio de sesión basados en tarjeta inteligente. Este SID está presente en el token Kerberos de un cliente de DirectAccess y se hace referencia a él como "Este certificado de organización" cuando se configura en las opciones globales de autorización de modo de túnel IPsec.

Al habilitar la autorización mediante tarjeta inteligente en el paso 2 del Asistente para la instalación de DirectAccess, el Asistente para la instalación de DirectAccess configura la configuración de autorización de modo de túnel IPsec global con este SID para el objeto de directiva de grupo del servidor de DirectAccess. Para ver esta configuración de Firewall de Windows con el complemento de seguridad avanzada para el objeto de directiva de grupo del servidor de DirectAccess, haga lo siguiente:

  1. Haga clic con el botón secundario del mouse en Firewall de Windows con seguridad avanzada y, a continuación, haga clic en Propiedades.

  2. En la ficha Configuración de IPsec, en la autorización de túnel IPsec, haga clic en Personalizar.

  3. Haga clic en la ficha usuarios. Debe ver "NT AUTHORITY\Este certificado de organización" como un usuario autorizado.

Mostrar: