Cómo habilitar MFA para VPN

ADSelfService Plus agrega un paso adicional de autenticación para inicios de sesión VPN para mayor seguridad. Para habilitar MFA para inicios de sesión VPN, ADSelfService Plus requiere que el servidor VPN utilice un servidor de políticas de red (NPS) de Windows para la autenticación. ADSelfservice Plus viene con una extensión NPS, que debe instalarse en el servidor NPS. Esta extensión facilita la comunicación entre el servidor NPS y ADSelfService Plus para la autenticación de segundo factor durante el inicio de sesión de VPN.

Cómo funciona:

mfa-para-vpn-logins

Una vez que el servidor VPN está configurado para usar la autenticación RADIUS y la extensión NPS está instalada en el servidor RADIUS, así es como funcionará el proceso de autenticación:

  1. Un usuario intenta establecer una conexión VPN proporcionando su nombre de usuario y contraseña al servidor VPN.
  2. El servidor VPN convierte la solicitud en un mensaje de solicitud de acceso RADIUS y lo envía al servidor NPS donde está instalada la extensión NPS de ADSelfService Plus.
  3. Si la combinación de nombre de usuario y contraseña es correcta, la extensión NPS activa una solicitud de autenticación de segundo factor con el servidor ADSelfService Plus.
  4. ADSelfService Plus realiza la autenticación secundaria y envía el resultado a la extensión NPS en el servidor NPS.
  5. Si la autenticación es exitosa, el servidor NPS envía un mensaje de aceptación de acceso RADIUS al servidor VPN.
  6. El usuario tiene acceso al servidor VPN y establece un túnel encriptado a la red interna.

Configuración de MFA para VPN

Requisitos previos:

  • Licencia de edición profesional de ADSelfService Plus.
  • Configure su servidor VPN para utilizar la autenticación RADIUS.
  • Para la autenticación RADIUS, debe usar un servidor Windows (Windows Server 2008 R2 y superior) con la función de servicios de acceso y políticas de red (NPS) habilitada.
  • Habilite HTTPS en ADSelfService Plus (Admin → Configuración del producto → Conexión).
  • Nota: Si está utilizando un certificado que no es de confianza en ADSelfService Plus para habilitar HTTPS, debe deshabilitar la opción Restringir el acceso del usuario cuando hay un certificado SSL no válido en Configuración → Herramientas administrativas → GINA / Mac / Linux (Ctrl + Alt + Supr) → Personalización de GINA / Mac / Linux → Avanzado .
  • En Active Directory, configure el permiso de acceso a la red de los usuarios para controlar el acceso a través de la política de red NPS en sus propiedades de acceso telefónico .
  • La URL de acceso que ha configurado en Admin → Configuración del producto → Conexión → Configurar URL de acceso será utilizada por la extensión NPS para comunicarse con el servidor ADSelfService Plus. Asegúrese de haber actualizado la URL de acceso antes de instalar la extensión NPS.
  • En el servidor NPS de Windows, donde se instalará la extensión NPS, establezca la configuración de autenticación de la Política de solicitud de conexión para autenticar solicitudes en este servidor .

Paso 1: habilite los autenticadores necesarios

Según si el cliente RADIUS (servidor VPN) admite desafío-respuesta RADIUS o no, los métodos de autenticación que puede habilitar para los inicios de sesión VPN pueden variar.

De forma predeterminada, se admiten los dos métodos de autenticación siguientes:

Nota:
  • Cuando habilita la notificación push o la autenticación de huella digital / identificación facial, asegúrese de que los usuarios puedan acceder al servidor ADSelfService Plus (a través de Internet) desde sus dispositivos móviles.
  • El tiempo de espera de autenticación RADIUS debe establecerse en al menos 60 segundos en los parámetros de configuración de autenticación RADIUS del servidor VPN.

Cuando el cliente RADIUS admite desafío-respuesta RADIUS, se pueden habilitar los siguientes métodos de autenticación:

Haga clic en los enlaces respectivos para aprender cómo habilitar estos métodos de autenticación.

Paso 2: Habilite MFA para VPN en ADSelfService Plus

  1. Inicie sesión en ADSelfService Plus como administrador.
  2. Vaya a Configuración → Autoservicio → Autenticación multifactor → MFA para puntos finales .
  3. Seleccione una política del menú desplegable Choose the Policy . Esta política determinará los usuarios para los que se habilitará MFA para el inicio de sesión de VPN. Para obtener más información sobre cómo crear una OU o una política basada en grupo, haga clic aquí .
  4. En la sección MFA para inicio de sesión de VPN , marque la casilla Habilitar el segundo factor de autenticación y seleccione un método de autenticación en el menú desplegable.
  5. Haga clic en Guardar configuración .

Paso 3: instale la extensión NPS

  1. Inicie sesión en ADSelfService Plus como administrador y vaya a Configuración> Autoservicio> Autenticación multifactor> MFA para puntos finales. Descargue la extensión NPS usando el enlace provisto en la sección de Notas.
  2. Copie el archivo de extensión (ADSSPNPSExtension.zip) en el servidor de Windows, que ha configurado como servidor RADIUS. Extraiga el contenido del archivo ZIP y guárdelo en una ubicación.
  3. Abra Windows PowerShell como administrador y navegue hasta la carpeta donde se encuentra el contenido del archivo ZIP.
  4. Ejecute el siguiente comando:

    PS C: \>. \ SetupNpsExtension.ps1 <operación>

    donde, la operación se puede instalar, desinstalar o actualizar.

    Instalar: instala el complemento de extensión NPS.

    Desinstalar: desinstala el complemento de extensión NPS.

    Actualizar: actualiza la extensión a versiones más recientes y datos de configuración.

  5. Después de la instalación, se le pedirá que reinicie el servicio de Windows NPS (ias). Continúe con el reinicio.

Ajustes avanzados

Consulte Configuración avanzada para configurar el límite de sesión de VPN MFA y las opciones para omitir MFA si no se puede acceder a ADSelfService Plus o el usuario no está inscrito.

Habilitación de MFA para VPN según las políticas de solicitud de conexión y las políticas de red

Si ha configurado políticas de solicitud de conexión o políticas de red en su servidor RADIUS, puede aplicar MFA para el inicio de sesión de VPN a ciertos usuarios según esas políticas. Para hacerlo

  1. Abra el Editor del registro (escriba regedit en el cuadro de diálogo Ejecutar).
  2. Vaya a HKEY_LOCAL_MACHINE \ SOFTWARE \ ZOHO Corp \ ADSelfService Plus NPS Extension.
  3. Nota:
    • Realice una copia de seguridad de la clave de registro antes de editarla.
    • Solo el grupo de administradores integrado en la computadora tendrá privilegios para editar esta clave.
  4. Haga doble clic en CRPolicies o NetworkPolicies según la política que desee configurar.
  5. Ingrese el nombre de la política en el campo Información del valor . Si hay varias políticas, use punto y coma para separarlas.
  6. Haga clic en Aceptar .

Copyright © 2021 , Zoho Corp . Reservados todos los derechos.