Ayuda en línea de ESET

Seleccionar el tema

Puerta de enlace de escritorio remoto y ESA RADIUS

Un Servidor de puerta de enlace de escritorio remoto permite que los usuarios se conecten a equipos remotos en una red corporativa desde cualquier equipo externo.

Use ESA RADIUS para proteger la autenticación a través de la puerta de enlace de escritorio remoto (RD Gateway) con un segundo factor: la aprobación de una notificación push.

 

Requisito previo

Authentication Server y RADIUS instalados

Puerta de enlace de escritorio remoto funcional (puerta de enlace de RD)

 

Integración de ESA RADIUS con RD Gateway

La integración consta de dos partes, la configuración de RD Gateway y la configuración de ESA.

Configuración de RD Gateway: usar NPS (recomendado)

1.Abra la aplicación Puerta de enlace de administrador de escritorio remoto.

a.En el árbol de navegación, haga clic con el botón secundario sobre el nombre del equipo y en Propiedades.

b.Haga clic en Almacén RD CAP y seleccione Servidor central que ejecuta NPS.

c.Ingrese la dirección IP del servidor de NPS y haga clic en Agregar > Aceptar.

2.Abra la aplicación Servidor de política de red.

a.En el árbol de navegación, amplíe Clientes y servidores RADIUS, haga clic con el botón secundario sobre Grupos remotos del servidor RADIUS > Nuevo.

b.Defina el Nombre de grupo deseado.

c.Haga clic en Agregar.

i.En la pestaña Dirección escriba la dirección IP de ESA RADIUS en el campo Servidor.

ii.En la pestaña Autenticación/Contabilización:

A.En el campo Puerto de autenticación deje el valor predeterminado 1812.

B.Defina un Secreto compartido deseado y escríbalo también en Confirmar secreto compartido.

C.Seleccione la casilla de verificación junto a La solicitud debe contener el atributo de autentificación del mensaje.

iii.En la pestaña Equilibrio de carga, establezca un número razonablemente alto (por ejemplo, 120) en los campos Cantidad de segundos sin respuesta antes de que la solicitud se considere descartada y Cantidad de segundos entre solicitudes cuando se identifica a un servidor como no disponible. Eso se hace para evitar que NPS vuelva a intentar la autenticación mientras se trabaja con la solicitud push (puede tomar un tiempo).

iv.Haga clic en Aceptar.

d.Haga clic en Aceptar.

e.En el árbol de navegación, amplíe la sección Políticas, seleccione Políticas de solicitud de conexión, haga doble clic en POLÍTICA DE AUTORIZACIÓN DE PUERTA DE ENLACE DE TS.

i.En la pestaña Configuración, seleccione Autenticación > Enviar solicitudes al siguiente grupo de servidor remoto RADIUS para la autenticación, seleccione el grupo ESA que creó en los pasos anteriores.

ii.Haga clic en Aceptar.

Configuración de RD Gateway: integración directa (no se recomienda)

Cuando se aplica este tipo de integración, puede haber un problema con un tiempo de espera de comunicación de RADIUS muy corto. Es decir, podrían recibirse más notificaciones push para la misma solicitud de autenticación.

1.Abra la aplicación Puerta de enlace de administrador de escritorio remoto.

2.En el árbol de navegación, haga clic con el botón secundario sobre el nombre del equipo y en Propiedades.

3.Haga clic en Almacén RD CAP y seleccione Servidor central que ejecuta NPS.

4.Ingrese la dirección IP de ESA RADIUS, que es la dirección IP del equipo host donde está instalado el componente ESA RADIUS, incluido el número de puerto. Haga clic en Agregar.

5.Defina un Secreto compartido y haga clic en Aceptar.

6.Haga clic en Aceptar.

Configuración de ESA

1.Inicie sesión en ESA Web Console.

2.Vaya a Components > RADIUS, haga clic en el servidor RADIUS que utiliza.

3.Haga clic en Create new RADIUS client.

4.Ingrese el Name.

5.Ingrese la IP address del cliente (NSP o RD Gateway en función del método de integración seleccionado) como lo ve el servidor RADIUS.

a.Puede encontrar la dirección IP del cliente en: C:\ProgramData\ESET Secure Authentication On-Prem\logs\Radius.log

b.Busque la siguiente cadena en ese archivo de registro: "Invalid Auth. packet received from: <IP address><port>"
La <IP address> y el <port> representarán la dirección IP y el número de puerto reales.

6.En el campo Shared secret, ingrese el mismo secreto compartido que configuró en Puerta de enlace de administrador de escritorio remoto.

7.En el menú desplegable Client Type, seleccione Client validates user name and password.

8.Seleccione la casilla de verificación junto a Mobile Application Push.

9.Para Realm, seleccione Current AD domain or Current AD domain and domains in trust.


note

Usuarios que no tienen 2FA

Si desea permitir que usuarios que no hayan configurado ningún tipo de 2FA inicien sesión, seleccione también Non-2FA users.

10.Haga clic en Save.

¿Cómo funciona?

1.El usuario ingresa las credenciales de inicio de sesión en el dominio (primer factor) en el cuadro de diálogo de inicio de sesión de RD Gateway.

2.El usuario recibe y aprueba la notificación push (segundo factor) en su teléfono celular.

3.En el cuadro de diálogo de inicio de sesión posterior, el usuario ingresa sus credenciales de inicio de sesión para el equipo de destino.