¡Hola!
¿Necesitas ayuda? ¡Estamos aquí!
¿Necesitas ayuda? ¡Estamos aquí!
Resultados de la búsqueda:
×Esta guía proporciona una introducción a algunas de las soluciones clave proporcionadas por el servidor miniOrange Single Sign On para proteger su infraestructura de Windows; algunas de ellas pueden autenticarse en aplicaciones conectadas después de iniciar sesión en su dominio de Windows, agregar una segunda capa de autenticación cuando obtiene acceso a recursos protegidos a través de una VPN o un servidor de escritorio remoto, etc.
En cualquiera de los casos anteriores, LDAP es un aspecto importante ya que tiene la ventaja de consolidar la información de toda una organización en un repositorio central. miniOrange proporciona una amplia gama de soluciones para LDAP, como LDAP Proxy/Gateway, soporte para múltiples directorios activos como almacenes de usuarios, sincronización de Active Directory con el servidor miniOrange, etc.
miniOrange proporciona autenticación de usuario de diversas fuentes externas, que pueden ser Directorio (como ADFS, Microsoft Active Directory, OpenLDAP, AWS, etc.), Proveedores de identidad (como Microsoft Entra ID, Okta, AWS) y muchos más. Puede configurar su directorio/almacén de usuarios existente o Agregar usuarios en miniOrange.
Ha iniciado sesión en su sistema Windows y desea iniciar sesión en una aplicación, por ejemplo, una aplicación local como SharePoint o una aplicación en la nube como GSuite. ¿No se cansa de iniciar sesión en cada aplicación con las mismas credenciales cada vez? Confíe en nosotros, podemos simplificarle el proceso.
miniOrange ofrece una solución que, una vez que haya iniciado sesión en Windows, le permite iniciar sesión de forma única en aplicaciones conectadas alojadas tanto en la nube como en las instalaciones locales, siempre que las aplicaciones estén configuradas dentro del dominio para el inicio de sesión único. Puede configurar portales de intranet o aplicaciones como Google Apps, Office 365, etc. que iniciarán sesión automáticamente cuando intente acceder a ellas.
Desafío/respuesta de Windows (NTLM) es el protocolo de autenticación utilizado en redes que incluyen sistemas que ejecutan el sistema operativo Windows y en sistemas independientes.
El protocolo Kerberos define cómo interactúan los clientes con un servicio de autenticación de red. Los clientes obtienen tickets del Centro de distribución de claves Kerberos (KDC) y presentan estos tickets a los servidores cuando se establecen las conexiones. Los tickets Kerberos representan las credenciales de red del cliente.
La autenticación de Windows utiliza la autenticación Kerberos o la autenticación NTLM, según las configuraciones del cliente y del servidor. Este documento sigue el ejemplo de un caso de uso en el que NTLM es la mejor opción: las aplicaciones se implementan en servidores Windows unidos al dominio de Active Directory, es decir, existe una configuración completa de Microsoft Active Directory.
El servidor SSO miniOrange le permite iniciar sesión en sus aplicaciones sin tener que volver a ingresar sus credenciales después de autenticarse en el dominio de Windows.
miniOrange logra esto instalando un componente en el servidor Windows que, básicamente, actúa como un proveedor de identidad. Cuando el usuario intenta acceder a una aplicación en la nube como Salesforce, la solicitud se envía al servidor SSO de miniOrange, que a su vez pregunta al módulo SAML de miniOrange instalado en la máquina Windows si el usuario puede iniciar sesión y realiza el SSO en función de la respuesta del módulo.
Esto implica básicamente 3 pasos:
1. Abra el símbolo del sistema en modo administrativo.
2. Ejecute el siguiente comando:
setspn -a HTTP/## FQDN del servidor## ##Cuenta de servicio de dominio##
3. Abra Usuarios y equipos de Active Directory.
4. Busque la cuenta de servicio que se utilizó para crear el Nombre principal del servicio (SPN).
5. Navegue a la sección Delegación .
6. Seleccionar Confíe en este usuario para delegar a cualquier servicio (solo Kerberos).
7. Hacer clic en Aplicar.
8. Abre Administrador de IIS.
9. Seleccione el sitio en el que desea aplicar Autenticación de Windows a.
10. Seleccione el grupo de aplicaciones para ese sitio web. Haga clic derecho sobre él y seleccione Configuración Avanzada.
11. Utilizar Cuenta personalizada y configure la cuenta como la cuenta de servicio para la que se habilitó la delegación. También deberá ingresar la contraseña de la cuenta de servicio.
12. Navegue a la sección Autenticación Sección para el sitio web.
13. Habilitar Autenticación de Windows y desactive el Autenticación anónima.
14. En el Editor de configuración, busque system.webServer/security/authentication/windowsAuthentication.
15. Set utilizarKernelMode as Falso utilizarAppPoolCredentials as Cierto
16. Hacer clic en Aplicar.
17. Abre Internet Explorer y abierto Opciones de Internet.
18. Agregue el FQDN del servidor IIS a la lista de sitios en la Intranet local.
19. Seleccionar Nivel personalizado para la Zona de seguridad. En la lista de opciones, seleccione Inicio de sesión automático sólo en la zona de Intranet.
Instalará un módulo SAML en el servidor IIS unido al dominio de Windows. Este módulo será responsable de identificar si el usuario que ha iniciado sesión en Windows también puede iniciar sesión en las aplicaciones conectadas dentro del dominio.
Cuando el usuario intenta acceder a una aplicación en la nube, por ejemplo Salesforce, miniOrange recibe la solicitud y la reenvía a este módulo SAML instalado localmente, que determina si el usuario puede iniciar sesión automáticamente y envía la respuesta en consecuencia.
1. Coloque las URL en el samlsso.php en el módulo SAML.
| Parámetro | Valor |
|---|---|
| URL de ACS | Del formato: https://auth.miniorange.com/moas/endusersamlresponse |
| Emisor | El nombre de host del servidor |
| Audiencia | https://auth.miniorange.com/moas |
2. Guarde el archivo.
1. Inicie sesión en el panel de administración.
2. Navegar a Proveedores de identidad en la barra de navegación izquierda.
3. Haga clic en Agregar fuente de identidad.
4. Agregue una fuente de identidad SAML en miniOrange con los detalles del módulo SAML local.
| Parámetro | Valor |
|---|---|
| ID de entidad del IdP/emisor | Como se establece en el paso anterior |
| URL de inicio de sesión de SAML SSO | del formato http://< hostname_of_server >/saml/samlsso.php |
| Certificado X.509 | El certificado SP en el módulo SAML |
5. Guarde la fuente de identidad y conviértala en la fuente de identidad predeterminada haciendo clic en Establecer como predeterminada.
El gateway miniOrange es un pequeño programa que puede residir en una máquina compartida. No necesita una máquina propia y nuestros clientes generalmente lo instalan en cualquier servidor que ya esté en la DMZ.
Haga clic aquí para más.
Esto se utiliza para configurar un archivo de propiedades externas que Tomcat utiliza para leer y escribir la configuración LDAP. Para configurar el archivo de propiedades externas, siga los pasos que se indican a continuación:
1. Abra catalina.bat (catalina.sh en servidores Linux) si está instalado Tomcat.
2. Agregue la siguiente línea a continuación # ----- Ejecutar el comando solicitado -------------------------------------
Linux
JAVA_OPTS="$JAVA_OPTS-Dexternal.properties.file=/inicio/usuario/aplicacion.propiedades
Windows
Establecer JAVA_OPTS=%JAVA_OPTS%-Dexternal.properties.file=C:\Users\user\Documents\application.properties
3. Guarde el archivo.
4. Reinicie Tomcat.
Este paso es necesario para configurar la conexión LDAP en la puerta de enlace. Siga los pasos que se indican a continuación:
1. Inicie sesión en el gateway LDAP de miniOrange.
2. Navegue a la sección Configurar claves .
3. Selecciona el Identificación del cliente Y Clave de token de la cuenta miniOrange y haga clic en Guardar.
4. Navegue a la sección Configuraciones LDAP sección. Haga clic en Editar para la configuración LDAP predeterminada.
5. Agregue los siguientes detalles de configuración. Haga clic en Guardar.
Siga los pasos a continuación para configurar la sincronización programada
1. Navegue a la sección Programador .
2. Selecciona el Intervalo de sincronización en horas. Esto determina la cantidad de horas después de las cuales se ejecutará la sincronización programada. En configuraciones típicas, es 24 horas.
3. Selecciona el Tiempo de sincronización in HH: mm formato. Esto determina la hora del día en la que se ejecutará la primera sincronización programada. Haga clic en Guardar.
La sincronización programada ahora se ejecutará a la hora establecida.
Siga los pasos a continuación para configurar la puerta de enlace LDAP en la consola de administración miniOrange:
1. Vaya a la consola de administración de miniOrange. Inicie sesión con sus credenciales de miniOrange.
2. Navegue a la sección Tiendas de usuarios .
3. Haga clic en Agregar Usuario Almacenar.
4. Seleccione el tipo como AD/LDAP y establezca Almacenar la configuración LDAP localmente.
Configure URL de la puerta de enlace de miniOrange.
Seleccione Activar LDAP.
Haga clic en Guardar.
La herramienta de sincronización de puerta de enlace LDAP de miniOrange actúa como intermediario entre un servidor LDAP/Active Directory local y un servicio basado en la nube de miniOrange.
Permite las siguientes funcionalidades:
La herramienta de sincronización de puerta de enlace LDAP de miniOrange actúa como intermediario entre un servidor LDAP/Active Directory local y un servicio basado en la nube de miniOrange. Permite las siguientes funciones:
Esto le permite configurar varios directorios activos en miniOrange para la autenticación y qué directorio activo se utilizará para la autenticación en qué aplicación. Por ejemplo, puede configurar AD1, AD2,... ADN como fuente de autenticación para aplicaciones. Con esto, los usuarios de todos estos directorios podrán iniciar sesión de forma única en todas las aplicaciones.
LDAP como proxy actúa como una capa intermedia entre el cliente LDAP, por ejemplo, cualquier CMS (Wordpress, por ejemplo) y Active Directory, el servidor de directorio LDAP.
El proxy LDAP reside en la DMZ entre una aplicación basada en la nube y un LDAP interno y es responsable de reenviar las solicitudes LDAP desde la aplicación al servidor local. Esto permite que la aplicación acceda al proxy para la integración LDAP y el directorio interno permanece oculto dentro de la red.
Si utiliza una red privada virtual (VPN) para permitir que sus usuarios se conecten a través de una red pública, mejorar la seguridad se convierte en una preocupación, ya que los usuarios obtienen acceso a activos digitales confidenciales. miniOrange puede ser de gran valor en este caso, ya que proporciona autenticación de dos factores además de la autenticación VPN. Esto asegura el acceso a recursos protegidos en lugar de depender únicamente del nombre de usuario y la contraseña de VPN.
El servicio de acceso telefónico de autenticación remota de usuarios (RADIUS) es un protocolo cliente/servidor que proporciona autenticación y autorización de clientes. Permite que los servidores de acceso remoto se comuniquen con un servidor para autenticar a los usuarios y autorizar su acceso al sistema o servicio solicitado.
| Texto claro | Hash de NT (ntlm_auth) | Hash de MD5 | Hash MD5 salado | Hash SHA1 | Hash SHA1 salado | Cripta de Unix | |
|---|---|---|---|---|---|---|---|
| PAP | |||||||
| CHAP | |||||||
| Digest | |||||||
| MS-CHAP | |||||||
| PEAP | |||||||
| EAP-MSCHAPv2 | |||||||
| Salto de Cisco | |||||||
| EAP-GTC | |||||||
| PAE-MD5 | |||||||
| EAP-SIM | |||||||
| EAP-TLS |
miniOrange logra esto actuando como un servidor RADIUS, que acepta el nombre de usuario y la contraseña del usuario ingresados como una solicitud RADIUS, valida al usuario contra el almacén de usuarios como Active Directory (AD), le solicita la autenticación de dos factores y otorga o revoca el acceso según la entrada del usuario.
La autenticación de dos factores puede ser de dos tipos según los clientes VPN.
En este caso, hay dos solicitudes. La primera es con el nombre de usuario y la contraseña del usuario que se validan con las credenciales almacenadas en Active Directory. Después de que la primera solicitud envía una respuesta de éxito, se envía una solicitud de desafío para validar la autenticación de dos factores del usuario (por ejemplo, en el caso de OTP por correo electrónico, se envía un código de acceso de un solo uso al correo electrónico del usuario). El usuario valida el segundo factor, después de lo cual se le otorga acceso a la aplicación.
Métodos de autenticación que se pueden utilizar:
Clientes RADIUS que admiten este tipo de autenticación:
Más abajo hay dos tipos de autenticación en esto:
En ambos casos anteriores, miniOrange acepta la solicitud y valida primero el nombre de usuario/contraseña y luego el código de dos factores ingresado por el usuario.
Métodos de autenticación que se pueden utilizar:
Clientes RADIUS que admiten este tipo de autenticación:
1. Inicie sesión en el panel de administración.
2. Navegar a Aplicaciones >> Administrar aplicaciones en la barra de navegación izquierda.
3. Haga clic en Configurar aplicaciones.
4. Vaya a la pestaña de aplicaciones Radius y seleccione Servidor de radio aplicación. Haga clic en Agregar aplicación .
5. Ingrese el nombre del cliente de Radius, la IP del cliente y el secreto compartido que también deberá configurar en el cliente de Radius.
6. Haga clic en Guardar .
1. Vaya al menú Tiendas de usuarios y haga clic en Agregar tienda de usuario .
2. Configure sus ajustes LDAP.
3. Asegúrese de mantener habilitadas las siguientes opciones.
4. Haga clic en Guardar.
5. Después de guardar, haga clic en Configuración de prueba para verificar su configuración LDAP
1. Vaya a la pestaña Políticas y haga clic en Política de autenticación de aplicaciones.
2. Vaya a la pestaña Agregar política y agregue la política para la aplicación agregada en el paso 1.
Puede configurar su cliente Radius con los detalles a continuación:
IP/Host del servidor Radius: IP o nombre de dominio del servidor donde tienes instalado miniOrange.
Puerto del servidor: 1812
Secreto compartido: configurado en el paso 1.
La configuración del lado del cliente RADIUS depende del cliente VPN. OpenVPN se ha mostrado como ejemplo aquí.
Haga clic aquí para ver los pasos detallados.1. Inicie sesión en Panel de administración de OpenVPN.
2. Navegar a Autenticación >> General En la barra de navegación izquierda, seleccione RADIUS y guarde la configuración.
3. Navegar a Autenticación >> RADIUS en la barra de navegación izquierda. Seleccionar PAP como método de autenticación RADIUS.
En la configuración de RADIUS a continuación, ingrese el Dirección IP/host del servidor Radius como la IP o nombre de dominio del servidor donde tienes instalado miniOrange, Puerto de servicio como 1812 y Secreto compartido configurado en el paso anterior.
4. Haga clic en Guardar configuración.
Así es como funciona el inicio de sesión VPN real con 2FA.
1. Conéctese a OpenVPN ingresando el nombre de host del servidor.
2. Ingrese su nombre de usuario y contraseña de AD y haga clic en Conecta.
3. Ahora se le solicitará el código de autenticación de dos factores. Ingrese el código y haga clic en Continuar.
4. Después de una validación exitosa, ya estará conectado.
Los usuarios ingresan sus credenciales de AD para iniciar sesión en Palo Alto, el cliente Radius y, después de la validación del nombre de usuario y la contraseña, se envía un código de acceso de un solo uso al número de teléfono móvil del usuario. El usuario ingresa el código de acceso de un solo uso recibido, que es validado por miniOrange para obtener o denegar el acceso al usuario.
Los usuarios ingresan sus credenciales de AD y el código 2FA (token de software) para iniciar sesión en OpenVPN, Radius Client y, después de la validación del nombre de usuario y la contraseña, se les solicita la autenticación de dos factores. Después de la validación del segundo factor, los usuarios inician sesión en OpenVPN.
Los usuarios ingresan sus credenciales de AD para iniciar sesión en FortiNet y, después de la validación del nombre de usuario y la contraseña, se envía una notificación push al dispositivo móvil del usuario, que debe aceptar para iniciar sesión en AWS.
Cuando los usuarios se conectan a un servicio de escritorio remoto, la autenticación de dos factores es esencial para garantizar una alta protección de seguridad de los recursos de su empresa. La instalación de la autenticación de dos factores de miniOrange para el inicio de sesión en Windows agrega autenticación de dos factores a los intentos de inicio de sesión en Windows a través de RDP.
El usuario inicia el inicio de sesión en el Servicio de Escritorio Remoto a través de un Cliente de Escritorio Remoto o a través de la página de inicio de sesión de la Web de Escritorio Remoto desde su navegador, después de lo cual se envía la solicitud RADIUS desde el componente Web de Escritorio Remoto miniOrange instalado en la máquina de destino al servidor RADIUS miniOrange, que autentica al usuario a través de AD local y, después de una autenticación exitosa, se invoca la autenticación de dos factores del usuario. Una vez que el usuario se valida, se le otorga acceso al Servicio de Escritorio Remoto.
Un usuario puede intentar conectarse a RDS (Servicios de Escritorio Remoto) de dos maneras:
1. El usuario accede a la página de inicio de sesión de RD Web desde su navegador, ingresa su nombre de usuario/contraseña y hace clic en Enviar.
2.
Este error generalmente se debe a una falta de coincidencia horaria entre el servidor miniOrange y su dispositivo móvil (o una falta de coincidencia entre la hora de su máquina y la hora del dispositivo móvil en el caso de la autenticación sin conexión para Windows/Linux/Mac).
Los tokens de seguridad generados por las aplicaciones de autenticación son "basados en el tiempo" (TOTP). Son válidos solo por un periodo de 30 a 60 segundos. Si la hora del sistema en el teléfono que ejecuta la autenticación o en el equipo (en caso de autenticación sin conexión) es superior o inferior a 2 minutos, el servidor o el equipo considerarán que el código ha caducado.
