Use la autenticación de Active Directory en su equilibrio de carga KEMP

La mayoría de los profesionales de TI utilizan Active Directory y su proceso de autenticación sin inconvenientes en sus estaciones de trabajo y servidores, así como también para las aplicaciones compartidas de Microsoft (Exchange, Skype for Business, SharePoint, File Server, etc.). En la mayoría de estos escenarios, el usuario se autentica en el dispositivo solo una vez y luego hace un buen uso de todos los demás programas que se ejecutan en esa sesión.

Sin embargo, la gran mayoría de los entornos de TI no son solo aplicaciones de Microsoft. Eventualmente podemos obtener varios componentes para la administración, como balanceo de carga, conmutadores, firewalls, software de protección contra correo no deseado y dispositivos en general. En la mayoría de los casos, he notado que los administradores mantienen la autenticación local en este tipo de dispositivo, lo que lo hace más seguro (como), pero genera molestias en la administración por varias razones:

  • Es difícil de administrar si tiene varios dispositivos y usan diferentes contraseñas.
  • Usar la misma contraseña o una similar para todos los dispositivos no es una buena práctica de seguridad.
  • Si el administrador deja la empresa, es un proceso manual y requiere el conocimiento de la contraseña actual. Si el administrador era el único que sabía la contraseña, y si se iba en una relación no muy buena, el nuevo administrador podría tener grandes problemas.
  • Si deshabilita una cuenta de Active Directory, el usuario aún tiene acceso a algunos componentes de su infraestructura.

En este artículo, revisamos el proceso de configuración de un balanceador de carga KEMP para usar Active Directory en el proceso de autenticación y autorización. KEMP Load Balancing es un dispositivo capaz de equilibrar el tráfico entre múltiples programas. Puede hacer mucho más, pero para los propósitos de este artículo usaremos un medio simple como se muestra en la imagen a continuación.

Dos balanceadores de carga en modo HA (alta disponibilidad) y con implementación a dos manos, cuando los servidores que se van a balancear están en una subred separada y el balanceador de carga es su puerta de enlace predeterminada, lo que significa que todo el tráfico en estos servidores y de estos pasa a través un equilibrador de carga.

Por defecto, cualquier KEMP usará un nombre de usuario bola y contraseña inicial 14. Se deben configurar algunas cosas en el equilibrio de carga antes de comenzar a configurar la integración de Active Directory:

  • Cree un grupo de Active Directory en el que los miembros de dicho grupo puedan acceder a los dispositivos KEMP. Para este tutorial usaremos Network-CA-SWAdmins.
  • Habilite la administración de sesiones en su dispositivo KEMP: haga clic en Certificados y seguridad, acceso de administrador WUI y marque la casilla Habilitar la gestión de sesiones.
  • El administrador bal y su contraseña nunca desaparecerán: son el administrador local de KEMP. Asegúrese de establecer una contraseña segura y guárdela en un sobre en caso de que la necesite en el futuro, pero no informe esta contraseña.
Índice

Paso 1: configurar el cliente RADIUS

En este punto, configuraremos una conexión entre KEMP y el servidor NPS.

El primer paso es obtener la dirección IP que utilizará KEMP para conectarse al servidor NPS. En el diagrama vemos que será 10.130.210.11; si no está seguro de cuál es la IP, implemente en la consola de administración de KEMP Configuración del sistema, Configuración de la red y haga clic en las interfaces disponibles eth0, eth1y así.

El segundo paso es crear un cliente en el servidor NPS. Cuando inicie sesión en la consola del Servidor de directivas de redes, expanda Clientes y servidores RADIUSbotón derecho del ratón clientes de RADIO y luego presione Nuevo. En la nueva ventana, asigne la IP obtenida del paso anterior y genere una Un secreto común y copiar esta información.

01

Es hora de volver a la consola KEMP. Expandir Certificados y seguridady haga clic en Acceso remotoluego haga clic en Configuración de autorización de WUI.

En la nueva página, especifique la dirección IP del servidor RADIUS y guarde Un secreto común que fue copiado del paso anterior. (No olvide hacer clic establecer un secreto para guardar la información.) Y por último, pero no menos importante, asegúrese de que las casillas de verificación Autenticación y Autorización estén configuradas en RADIO línea.

02

Paso 2: configurar la autorización

En este punto, configuraremos una política de red que permitirá que el grupo de Active Directory que ya hemos definido inicie sesión en el dispositivo KEMP. El proceso es fácil pero requiere atención. Estos son los pasos que debe seguir:

1. Inicie sesión en el servidor de políticas de red.

2. Ampliar Política, botón derecho del ratón Políticas de redy presiona Nuevo.

3. En el arte Especifique el nombre de la política de red y el tipo de conexión página, asigne un nombre a la política y haga clic en próximo.

4. En el arte Definir las condiciones página, haga clic en Agregar elegir Grupos de Windowshaga clic en Agregar grupos, ingrese un nombre para el grupo y presione OK dos veces. Necesitamos volver a la página de inicio del asistente. Hacer clic próximo.

5. En el arte Especificar derechos de acceso página, haga clic próximo.

6. En el arte Configurar métodos de autenticación página, deje solo las siguientes opciones seleccionadas: Autenticación cifrada de Microsoft (MS-CHAP), el usuario puede cambiar la contraseña después de su finalización y autenticación sin cifrar (PAP, SPAP). Hacer clic próximo.

7. En el arte Pon límites página, simplemente haga clic próximo.

8. En el arte Ajustar la configuración página... alégrate que sea un dolor. Lo mejor es eliminar todas las entradas enumeradas en Estándar elemento y luego agréguelos exactamente en el orden que se muestra en la figura a continuación y con los valores correspondientes. Después de eso, simplemente haga clic próximo.

04

9. En el arte Finalización de una nueva política de red página, haga clic en Terminar.

Paso 3: Ajustes finales y pruebas

Antes de comenzar la fase de prueba, debemos asegurarnos de que sea nuevo Política de red lo que creamos en el paso anterior, no especificado después de la política de red predeterminada: Conéctese al enrutamiento de Microsoft y elimine el servidor de acceso y Conectarse a otros servidores de accesoporque estos políticos niegan el acceso. Después de todo, queremos que nuestra póliza sea procesada antes de que se le niegue una póliza predeterminada.

Otra característica interesante que me gustaría usar para mis clientes es deshabilitar Autenticación básica y defina el texto que se mostrará antes de la autenticación. Podemos encontrar ambas opciones en Acceso de administrador de WUI el artículo a continuación Certificados y seguridad.

05

Después de eso, solo una prueba simple: vaya a la consola web de KEMP e ingrese su nombre de usuario y contraseña de Active Directory, ¡y listo!

Otro beneficio es que si un nuevo administrador requiere acceso al sistema a partir de ahora, solo es cuestión de agregarlo al grupo. ¡Sí, es así de simple!

Autor de la foto: wikimedia


Artículos de interés

Subir