Introducción
NPS permite crear y aplicar directivas de acceso a la red de toda la organización para la autenticación y autorización de solicitudes de conexión. En esta guía protegeremos este servicio con IRONCHIP para poder utilizar IRONCHIP en otros servicios como RDP o VPN.
Requisitos
- Tener un Directorio Activo funcional
- Tener una aplicación MFA creada en la plataforma IRONCHIP
Implementar NPS en el servidor
Instala mediante agregar roles y características el rol ¨Servicios de acceso y directivas de redes¨
Crear política de red
Para crear la política de red, abra el servidor de políticas de redes, dentro de la pestaña directivas, haga click derecho en directivas de red y cree una nueva política.
Póngale un nombre identificativo (Este nombre se usará al instalar el plugin NPS para determinar qué política proteger.), y pulse siguiente.
En esta pestaña seleccionaremos el grupo de usuarios al que aplicara esta política.
En la siguiente pestaña, deje seleccionado Acceso concedido.
En la siguiente pantalla, configure los métodos de autenticación que utilizará. Haga clic en Siguiente.
La siguiente pantalla es para configurar la restricción para denegar automáticamente el acceso si no se cumple una de estas restricciones. Complétalo con las opciones que quieras. Haga clic en Siguiente.
En la siguiente pantalla, puede agregar la configuración que se aplicará cuando se cumplan las restricciones de la política. Haga clic en Siguiente.
La última pantalla es un resumen de la configuración seleccionada. Verifique que todo esté correcto y haga clic en Finalizar.
Ha agregado la política de red y todo está listo para crear el servicio e instalar el plugin NPS.
Plugin
Para instalar el complemento, necesita el archivo IRONCHIP Windows NPS, que se puede descargar desde la sección Complementos en el Tablero de Ironchip.
Después de descargar el complemento procederá a instalarlo.
Pulsamos Next, en la próxima pantalla se aceptarán los términos de uso y se volverá a pulsar Next.
En la siguiente pantalla deberá completarlo con la siguiente información:
- Tu anfitrión de Ironchip. Si utiliza nuestra solución en la nube, será api.ironchip.com. De lo contrario, proporcione su host personalizado.
- La API key de su empresa lograda al crear el servicio.
- El nombre de la política de red que desea proteger con Ironchip NPS. En el ejemplo, se utilizará la política creada, IronchipProtected (En caso de querer agregar mas de una pondremos los nombres separados por coma y espacio).
- Luego pulsamos Next para continuar.
Una vez en la siguiente pantalla y con todos los parámetros configurados de forma correcta, pulsamos Instalar
Si todo ha sido configurado de forma correcta y la instalación se ha realizado con éxito, veremos la siguiente pantalla. Por ultimo para terminar con la instalación se pulsará el botón Finish.
Sera necesario instalar el certificado de https://api.ironchip.com en todos los dispositivos que vayan a utilizar este servicio.
También tiene que crear la aplicación en el panel de IRONCHIP que haga referencia a la aplicación MFA .
Y por ultimo añadir usuarios a esa aplicación. (Utilizar el formato de nombre Dominio\Usuario)
Comprobar su funcionamiento
Para comprobar si esta todo configurado correctamente y funcionando, utilizaremos una herramienta de terceros, NTRadPing.
Descarga la aplicación desde https://ntradping.apponic.com/
Antes de entrar en la aplicación, tendremos que crear un servidor radius para poder hacer la prueba. Para ello habrá el servidor de directivas de redes y vaya a clientes y servidores RADIUS, cree uno nuevo con click derecho en clientes RADIUS.
En el panel que se a abierto tiene que insertar los siguientes datos:
- Nombre identificativo para RADIUS
- IP de el servidor en el que se va a instalar
- Una clave secreta para RADIUS
Ahora si abriremos NTRadPing y completaremos los campos que nos pide (Acuérdese de reiniciar el servicio para que apliquen los ajustes ).
- IP de tu servidor
- Puerto en el que se conectara (por defecto es 1645)
- Tiempo antes de abortar y cuantas veces se va a ejecutar
- Contraseña de el usuario
- Clave de el servidor RADIUS
- Usuario que se va a utilizar
Video tutorial
-png.png)
-png.png)
-png.png)
-png-1.png)
-png-1.png)
-png.png)
-png.png)
Solución de problemas
“El usuario XXX no está autenticado en el servicio XXX. Inténtalo de nuevo”.
El usuario no está autenticado o la autenticación no ha sido válida. Simplemente intente nuevamente la autenticación en la misma página.
“No se puede cargar la clave de licencia de IronChip. Verifique que sea la licencia correcta y vuelva a intentarlo. Si el problema persiste, comuníquese con el soporte de IronChip para obtener ayuda”.
Este error significa que el formato de la licencia no es válido. Póngase en contacto con info@ironchip.net con el error, y validaremos la clave de licencia utilizada y le proporcionaremos una válida si no es válida.
“Id. de evento 4402: no hay ningún controlador de dominio disponible para el dominio”
No es necesario cambiar el nombre de su dominio o retroceder rev. Pudo resolver este problema agregando la siguiente clave de registro para forzar la autenticación para usar el nombre DNS, en lugar del nombre NetBIOS:
- Nuevo valor de string (REG_SZ): dominio predeterminado.
- Datos: ejemplo.loc (o ejemplo.dominio.loc).
“La clave API proporcionada no es válida. Póngase en contacto con el soporte de IronChip y envíe los registros para obtener ayuda”.
Este error significa que la licencia tiene el formato correcto, pero es antigua o no válida. Póngase en contacto con info@ironchip.net con el error, y validaremos la clave de licencia utilizada y le proporcionaremos una válida si no es válida.
“Ironchip ha fallado. Lo sentimos. Póngase en contacto con el soporte para permitirnos resolver el problema”.
Este error significa que ha sucedido algo extraño. Si ve este error, comuníquese con el correo de soporte de IronChip, info@ironchip.net, proporcionando un registro de error impreso en los registros MFA de IronChip del visor de eventos.