Navegación

Autenticación

En esta página se especifica la información siguiente:

Esta página muestra tres pestañas que permiten gestionar usuarios locales, grupos locales y la configuración para la autenticación remota.

Usuarios

En esta página, todos los usuarios que disponen de una cuenta en el servidor VPN del dispositivo Panda GateDefender se muestran en la tabla y se muestra esta información sobre cada usuario:

  • Nombre. El nombre del usuario.
  • Observaciones. Un comentario.
  • Servidor de autenticación. El servidor utilizado para la autenticación de usuario, que puede ser local (el mismo dispositivo Panda GateDefender) o remoto, que puede configurarse en la pestaña Configuración.
  • Acciones. Las operaciones disponibles que pueden llevarse a cabo en la cuenta. Para usuarios LDAP son Activar/Desactivar y Editar; para los usuarios locales, también existe Eliminar. Editar un usuario LDAP solo permite modificar sus opciones locales, no otros datos como el nombre de usuario o la contraseña, que los gestiona el servidor LDAP por completo.

Haga clic en Añadir nuevo usuario local sobre la tabla para añadir una cuenta local nueva. Se pueden especificar las siguientes opciones en cada usuario dentro del formulario que aparecerá.

Añadir nuevo usuario local

Nombre de usuario
El nombre de usuario para iniciar la sesión.
Observaciones
Un comentario adicional.
Autenticar con servidor externo de autenticación
Esta casilla solo es visible si se ha configurado algún servidor de autenticación externo. Cuando se ha seleccionado, los siguientes campos para la contraseña desaparecerán y el usuario se autenticará con los servidores de autenticación externos.
Contraseña, Confirmar contraseña
La contraseña del usuario, que se debe introducir dos veces. Las contraseñas no se muestran. Para verlas, marque las dos casillas que hay a la derecha.
Secreto de contraseña de un solo uso
Este campo contiene el secreto de TOTP del usuario específico. A causa de los límites de creación de los secretos, no se pueden insertar manualmente, sino que hay que generarlos con el botón para generar un nuevo secreto. Se puede ver una representación como código QR del secreto si se pulsa el botón para mostrar el código QR.

Contraseñas de un solo uso

Hay muchos algoritmos diferentes para contraseñas de un solo uso. En los sistemas del dispositivo Panda GateDefender el algoritmo de contraseña de un solo uso basada en el tiempo se ha implementado como se describe en RFC 6238. Como es un estándar abierto, hay aplicaciones para casi todos los dispositivos (Android, iOS y teléfonos Windows, equipos, etc.). Para poder usar el dispositivo, hay que iniciarlo con el secreto de contraseña de un solo uso. Esto se puede hacer al introducir el secreto de forma manual o si se hace una fotografía al código QR con la aplicación (este método es más fácil).

Configuración de certificado
Seleccione el modo para asignar un certificado al usuario. Los modos disponibles se pueden seleccionar en el menú desplegable: Generar un certificado nuevo, Cargar un certificado y Cargar una solicitud de firma de certificado. Tras la selección, debajo del menú desplegable aparecen las opciones disponibles para cada modo, descritas en la página Certificados.
Nombre de la unidad organizativa
La unidad organizativa a la que pertenece el usuario, es decir, la compañía, la empresa o el departamento de la institución que se identifica con el certificado.
Nombre de la organización
La organización a la que pertenece el usuario.
Ciudad
La población (L) en la que se encuentra la organización.
Estado o provincia
El estado o la provincia (ST) en la que se encuentra la organización.
País
El país (C) en el que se encuentra la organización, seleccionado entre los disponibles en el menú de selección. Al escribir una o más letras, se buscan y se muestran los países coincidentes.
Dirección de correo electrónico
La dirección de correo electrónico del usuario.
Miembros del grupo
En esta parte del panel se puede asignar al usuario la pertenencia a uno o más grupos. En el widget de búsqueda se pueden filtrar los grupos existentes para encontrar grupos coincidentes. La pertenencia a un grupo se añade al hacer clic en el botón + que hay a la derecha del nombre del grupo. Los grupos a los que pertenece el usuario se muestran en el siguiente campo de texto. También existen accesos directos para añadir todas y para eliminar todas las pertenencias a grupos a la vez.
Invalidar opciones de OpenVPN
Marque esta casilla para permitir que se utilice el protocolo OpenVPN. Esta opción mostrará un cuadro en el que se pueden especificar las opciones personalizadas para la cuenta (véase más adelante).
Invalidar opciones de L2TP

Marque esta casilla para mostrar un cuadro en el que podrá elegir el túnel L2TP que se utilizará.

Nota

Si todavía no se ha configurado un túnel L2TP, no puede seleccionarse esta opción. En ese caso, aparecerá un mensaje informativo como un hipervínculo. Al hacer clic en él, se abrirá el editor de conexiones IPsec. A continuación, será posible permitir que un usuario VPN se conecte con el protocolo L2TP.

Sugerencia:

El cuadro de opciones de L2TP aparecerá debajo del cuadro Opciones de OpenVPN si también debe invalidarse la opción de OpenVPN.

Activado
Marque la casilla para activar el usuario, es decir, para permitir que se conecte al servidor OpenVPN del dispositivo Panda GateDefender.

Opciones de OpenVPN

dirigir todo el tráfico del cliente a través del servidor VPN
Si se marca esta opción, todo el tráfico que proceda del cliente conectado, sin importar su destino, se redirigirá a través del enlace activo del dispositivo Panda GateDefender. El valor predeterminado es el de redirigir todo el tráfico cuyo destino se encuentre fuera de las zonas internas (por ejemplo, los hosts de Internet) a través del enlace activo del cliente.
Solo enviar opciones globales a este cliente
Solo para usuarios avanzados. Por lo general, cuando un cliente se conecta, se añaden a la tabla de enrutamiento del cliente las rutas del túnel de las redes a las que se puede acceder a través de la VPN para permitir que se conecte a las diferentes redes locales a las que se puede acceder desde el dispositivo Panda GateDefender. Debería activarse esta opción si no se desea dicho comportamiento, pero las tablas de enrutamiento del cliente (especialmente las de las zonas internas) deberían modificarse de forma manual.
Enviar ruta a la zona VERDE [AZUL, NARANJA],
Si esta opción está activada, el cliente tendrá acceso a la zona VERDE, AZUL o NARANJA. Estas opciones no tienen efecto alguno si las zonas correspondientes no están activadas.
Redes detrás del cliente
Esta opción solo es necesaria si se utiliza esta cuenta como un cliente en una configuración puerta de enlace a puerta de enlace. En la casilla deberían introducirse las redes que se encuentran detrás de este cliente y que deberían enviarse a los otros clientes. En otras palabras, estas redes estarán disponibles para los otros clientes.
Direcciones IP estáticas

A los clientes se les asignan direcciones IP dinámicas. No obstante, cada vez que el cliente se conecte, se le asignará una dirección IP estática proporcionada aquí.

Nota

Si el cliente se conecta a un servidor VPN multinúcleo que se ejecute en el dispositivo Panda GateDefender, esta asignación no se tendrá en cuenta.

Enviar estos nombres de servidores
Aquí se asignan nombres de servidores personalizados para cada cliente. Esta configuración (y la siguiente) puede definirse. También puede activarse o desactivarse cuando se desee.
Enviar estos dominios
Aquí se asignan dominios de búsqueda personalizados para cada cliente.

Nota

Si tiene previsto hacer que dos o más sucursales se conecten a través de una VPN puerta de enlace a puerta de enlace, se recomienda elegir diferentes subredes para las LAN en las diferentes sucursales. Por ejemplo, una sucursal podría tener una zona VERDE con la subred 192.168.1.0/24, mientras que la otra sucursal podría utilizar 192.168.2.0/24. Con esta solución, se evitarán varias posibles fuentes de errores y conflictos. De hecho, se incluyen varias ventajas gratis, como estas: La asignación automática de rutas correctas sin necesidad de enviar rutas personalizadas, ningún mensaje de advertencia sobre rutas posiblemente conflictivas, la resolución correcta del nombre local y una configuración más sencilla de la red WAN.

Opciones de L2TP

Túnel IPsec
Este menú desplegable le permite elegir el túnel que utilizará el usuario, entre aquellos ya definidos.

Grupos

En esta página se muestra una tabla en la que figuran todos los grupos que están definidos en el dispositivo Panda GateDefender o en un servidor LDAP externo. Por cada grupo, se muestra la siguiente información:

  • Nombre de grupo. El nombre del grupo.
  • Observaciones. Un comentario.
  • Servidor de autenticación. El servidor utilizado para la autenticación del usuario. Puede ser local (el mismo dispositivo Panda GateDefender) o LDAP (un servidor LDAP externo, que puede configurarse en la pestaña vpnauthsettings).
  • Acciones. Las operaciones disponibles que pueden llevarse a cabo en la cuenta. En el caso de los servidores LDAP la única acción es editar las propiedades locales, mientras que en el caso de los grupos locales también existe la posibilidad de eliminar el grupo.

Haga clic en Añadir nuevos grupos locales sobre la tabla para añadir un nuevo grupo local. Se pueden especificar las siguientes opciones para cada grupo dentro del formulario que aparecerá.

Nombre de grupo
El nombre asignado al grupo.
Observaciones
Un comentario.
Usuarios
En esta parte del panel se pueden asignar usuarios al grupo. En el widget de búsqueda se pueden filtrar usuarios locales existentes para buscar usuarios coincidentes. Los usuarios se añaden al grupo al pulsar el signo + que se encuentra a la derecha del nombre de usuario. Los usuarios del grupo se muestran en el campo de texto siguiente. También existen accesos directos para añadir todos y eliminar todos los usuarios de un grupo.
Invalidar opciones de OpenVPN
Marque esta casilla para permitir que se utilice el protocolo OpenVPN. Esta opción mostrará un cuadro en el que especificar las opciones personalizadas para la cuenta, las mismas que las especificadas para los usuarios locales.
Invalidar opciones de L2TP

Marque esta casilla para ver un cuadro en el que elegir el túnel L2TP que se utilizará en un menú desplegable.

Nota

Si todavía no se ha configurado un túnel L2TP, no puede seleccionarse esta opción. En ese caso, aparecerá un mensaje informativo como un hipervínculo. Al hacer clic en él, se abrirá el editor de conexiones IPsec. Una vez creado un nuevo túnel L2TP, será posible asociarlo a un usuario.

Sugerencia:

El cuadro de opciones de L2TP aparecerá debajo del cuadro Opciones de OpenVPN si también debe invalidarse la opción de OpenVPN.

Activado
Marque la casilla para activar el usuario, es decir, para permitir que se conecte al servidor OpenVPN del dispositivo Panda GateDefender.

Advertencia:

Si bien se permite que un mismo usuario forme parte de uno o más grupos, hay que tener cuidado de que los grupos a los que pertenece el usuario no definan opciones de invalidación opuestas. Como ejemplo, piense en un usuario que sea miembro de dos grupos, uno que permite acceder únicamente a la zona VERDE y otro que solo da acceso a la AZUL. En este caso, no es fácil saber si a dicho usuario se le concederá o no acceso a la zona AZUL o a la VERDE. La gestión de estos problemas corresponde al administrador del servidor OpenVPN.

Configuración

Esta página contiene la configuración actual de los servidores de autenticación de los que depende el dispositivo Panda GateDefender y admite su gestión. Actualmente, solo son compatibles los locales y LDAP/Active Directory, aunque en futuras versiones pueden añadirse más tipos de servidores de autenticación, como servidores Radius.

En esta página hay dos tablas: una que muestra información acerca del servidor de autenticación y otra que muestra asignaciones de servidores de autenticación. En el primer caso, se muestra la información siguiente:

  • Nombre. El nombre asignado al servidor.
  • Tipo. Si el servidor es un servidor local o un LDAP externo.
  • Servicio. Autenticación que disponible para ese servidor.
  • Acciones. En el caso de la autenticación local, se puede activar o desactivar el servidor, editarlo o eliminarlo. En el caso de los servidores LDAP, también existe la posibilidad de actualizar la conexión para sincronizar los usuarios y los grupos.

La tabla de la parte inferior muestra las correspondencias entre un servicio (IPsec XAuth, OpenVPN y L2TP) y el tipo de autenticación permitido. La única acción disponible para las asignaciones es Editar. Al hacer clic en Editar, aparecerá un formulario en el que un selector permitirá seleccionar qué backends de autenticación se utilizarán para ese servicio.

Al hacer clic en el enlace Añadir nuevo servidor de autenticación encima de las tablas, se abre un formulario en el que se pueden proporcionar todos los datos para configurar un nuevo servidor de autenticación.

Este formulario sustituye las tablas que muestran los servidores de autenticación ya definidos y permite configurar uno nuevo, especificando valores adecuados para las siguientes opciones de configuración.

Nombre
El nombre asignado al servidor de autenticación.
Activado
Marque la casilla para activar el servidor.
Tipo
Seleccione el tipo de servidor en el menú desplegable. Están disponibles las siguientes opciones:

  • LDAP/Active Directory

    Elija esta opción si quiere usar un servidor LDAP para autenticar los usuarios. Este tipo admite estas opciones:

    URI del servidor LDAP

    El URI del servidor LDAP.

    Tipo de servidor LDAP

    Este menú desplegable permite elegir el tipo de servidor de autenticación entre Genérico, Active Directory o Novell eDirectory. En función de la selección, se mostrarán u ocultarán campos adicionales.

    Nombre de usuario de LDAP bind DN

    El nombre completo de la cuenta LDAP que se usa para recuperar datos de usuario del servidor LDAP.

    Contraseña de LDAP bind DN

    La contraseña del usuario unido a DN.

    Las siguientes opciones dependen de la configuración del servidor y se usan para identificar a qué usuarios y grupos se concederá acceso al servidor OpenVPN del dispositivo Panda GateDefender: DN base de usuarios de LDAP, DN base de grupo de LDAP. Al usar un tipo de servidor LDAP genérico hay que configurar más parámetros: Filtro de búsqueda de usuarios de LDAP, Atributo de ID único de usuario de LDAP, Atributo de ID único de grupo de LDAP, Atributo de miembro de grupo de LDAP, Filtro de búsqueda de grupos de LDAP.

    Limitar a grupos especificados Esta opción permite seleccionar qué grupos del servidor LDAP pueden conectarse al servidor OpenVPN del dispositivo Panda GateDefender.

  • Local

    Elija esta opción si quiere crear y administrar usuarios de forma local. Está disponible la siguiente opción:

    Limitar a grupos especificados Esta opción permite seleccionar qué grupos del servidor LDAP pueden conectarse al servidor OpenVPN del dispositivo Panda GateDefender.

  • Contraseña de un solo uso

    Si elije esta opción, se habilitará la autenticación de dos factores. Como el tipo de servidor dividir datos (información de usuario y contraseña), este funciona como un proxy para dos proveedores diferentes. Además, agregará una autenticación de dos factores mediante contraseñas de un solo uso basadas en tiempo. Si elige este tipo, podrá seleccionar la fuente de la información de usuario y los proveedores de la contraseña. Estos son los campos que debe configurar:

    Puede configurarlo en estos campos:

    Proveedor de información del usuario Esta opción permite especificar de dónde se tomará la información específica del usuario.

    Proveedor de contraseña Esta opción permite elegir en una lista de servidores de autenticación configurados. El servidor elegido se usará para autenticar los usuarios.

  • RADIUS

    Elija esta opción si quiere configurar un servidor RADIUS. Tenga en cuenta que los servidores RADIUS solo se pueden usar como proveedores de contraseña en los servidores de autenticación Contraseña de un solo uso y Dividir datos. Para usar un servidor RADIUS, debe indicarse la siguiente información:

    Servidor RADIUS La dirección del servidor RADIUS.

    Secreto compartido RADIUS El secreto que comparten el servidor RADIUS y el dispositivo Panda GateDefender.

    Puerto de autenticación RADIUS El puerto TCP que se usa para la autenticación RADIUS.

    Puerto de cuentas RADIUS El puerto TCP que se usa para contabilidad.

    Identificador RADIUS El identificador RADIUS del dispositivo Panda GateDefender o identificador NAS.

  • Dividir datos (información de usuario y contraseña)

    Como el tipo de servidor Contraseña de un solo uso, este funciona como un proxy para dos proveedores diferentes, pero no agrega una autenticación de dos factores. Si elige este tipo, podrá seleccionar la fuente de la información de usuario y los proveedores de la contraseña. Estos son los campos que debe configurar:

    Proveedor de información del usuario Esta opción permite especificar de dónde se tomará la información específica del usuario.

    Proveedor de contraseña Esta opción permite elegir en una lista de servidores de autenticación configurados. El servidor elegido se usará para autenticar los usuarios.

Tabla de contenidos

Tema anterior

Portal

Siguiente tema

Certificados

Navegación

© Copyright 2012-2014, Panda Security SL. Última actualización: 09 de noviembre de 2015.