Identidad de Windows
Windows Identity es un servicio de identidad que utiliza tanto la Integración Autenticada de Windows como la entrada manual del usuario para autenticar a los usuarios. En los casos donde se requiere la entrada de contraseña (Inscripción o Cambio de Contraseña), la contraseña se cifra en el navegador utilizando la clave pública del Gatekeeper para enviar la contraseña cifrada al Gatekeeper.
Nota
NTLM es un protocolo heredado, que solo está disponible para los clientes antiguos de Specops. Los nuevos clientes tendrán el servicio de identidad deshabilitado por defecto, y solo podrán elegir entre Deshabilitado o Kerberos.
Nota
Aunque puedes ver en Specops Authentication Web qué protocolo está activado, la configuración solo se puede alterar en la Herramienta de Administración de Gatekeeper. Todas las instrucciones y menciones de configuraciones y parámetros a continuación se refieren por lo tanto a la Herramienta de Administración de Gatekeeper.
La Autenticación Integrada de Windows permite que las credenciales de Active Directory de los usuarios pasen a través de su navegador a un servidor web, enviadas como hash (NTLM) o cifradas (Kerberos). Configurar la Autenticación Integrada para el usuario autenticará automáticamente al usuario con Windows Identity y otorgará el token de autenticación de Windows Identity.
Habilitar la Autenticación Integrada
Por defecto, la Autenticación Integrada está deshabilitada para nuevos clientes. Si deseas utilizar la Autenticación Integrada, haz lo siguiente:
Nota
Se recomienda utilizar el tipo de cuenta de Cuentas de Servicio Administradas de Grupo durante la instalación de los Gatekeepers. Para más información, consulta gMSA.
- En la Herramienta de Administración de Gatekeeper, selecciona Windows Identity.
- En el campo Configuración de Autenticación Integrada, haz clic en Editar.
-
En el menú desplegable Seleccionar protocolo de autenticación, selecciona el protocolo que deseas usar: NTLM o Kerberos.
Nota
No se recomienda utilizar el protocolo NTLM. NTLM es un protocolo heredado que proporciona menos seguridad. Por favor, considera usar el protocolo Kerberos en su lugar.
-
Haz clic en OK.
-
Agrega la url de Autenticación Integrada a la Intranet Local en Opciones de Internet para cada cliente.
Nota
Esto se puede hacer agregando la URL a la lista de Sitios de Confianza en el Panel de Control de Windows > Opciones de Internet > Pestaña de Seguridad > Intranet Local > Sitio, luego agrega la URL. También se puede hacer a través del registro. Consulta más información aquí. Ten en cuenta que la publicación del blog referenciada aquí trata sobre una URL diferente, aunque el proceso es el mismo.
NTLM
Windows New Technology LAN Manager (NTLM) es un conjunto de protocolos de seguridad ofrecidos por Microsoft para autenticar la identidad de los usuarios y proteger la integridad y confidencialidad de su actividad. En su núcleo, NTLM es una herramienta de inicio de sesión único (SSO) que se basa en un protocolo de desafío-respuesta para confirmar al usuario sin requerir que envíen una contraseña.
La configuración para NTLM consiste en confiar en la URL que se muestra en la Herramienta de Administración de Gatekeeper bajo la pestaña de Windows Identity. Se puede implementar como un GPO, por computadora o por usuario.
Nota
NTLM es un conjunto heredado de protocolos de seguridad de Microsoft. NTLM ha sido reemplazado por el protocolo Kerberos más nuevo y seguro. Si todavía estás usando NTLM, por favor considera usar el protocolo Kerberos en su lugar.
Parámetros
| Parámetro | Descripción |
|---|---|
| Proveedor Activo | Indica el protocolo actualmente utilizado para este Gatekeeper |
| url de Autenticación Integrada | La URL de autenticación que debe agregarse a los sitios de confianza para todos los clientes |
Kerberos
Kerberos es un protocolo de seguridad de redes informáticas que autentica solicitudes de servicio entre dos o más hosts de confianza a través de una red no confiable, como internet. Utiliza criptografía de clave secreta y un tercero de confianza para autenticar aplicaciones cliente-servidor y verificar las identidades de los usuarios.
Kerberos asegura que solo los usuarios autorizados puedan acceder a los recursos de la red. Además, proporciona seguridad AAA: Autenticación, Autorización y Contabilidad.
Kerberos proporciona un protocolo de autenticación más seguro y eficiente que su contraparte heredada, NTLM, permitiendo un cifrado más fuerte y reduciendo el riesgo de ataques de contraseña.
Para usar Kerberos, es necesario utilizar una Cuenta de Servicio Administrada de Grupo (gMSA). Más información sobre gMSA se puede encontrar aquí.
Cuenta de Servicio Administrada de Grupo (gMSA)
La Cuenta de Servicio Administrada de Grupo (gMSA) es en muchos aspectos similar a las Cuentas de Servicio Administradas. Tiene gestión automática de contraseñas, una contraseña larga que se actualiza automáticamente de forma periódica. La diferencia entre las Cuentas de Servicio Administradas y gMSA es que múltiples máquinas pueden usar la misma cuenta. Entonces, si estás ejecutando un servicio en una granja de servidores y deseas usar Autenticación Integrada, debes usar gMSA. Cuando el cliente solicita un ticket Kerberos para acceder al servicio, no importa qué instancia en la granja de servidores procese la solicitud.
Para que gMSA funcione en el Active Directory, y como requisito previo para usar gMSA durante la instalación de Gatekeeper, el administrador del dominio debe crear la clave raíz del Servicio de Distribución de Claves. Eso se puede hacer iniciando sesión en un controlador de dominio (Windows Server 2012 o posterior) y ejecutando “Add-KdsRootKey -EffectiveImmediately” desde PowerShell que tiene el módulo Active Directory de Windows PowerShell instalado.
Nota
Aunque se usa la bandera -EffectiveImmediately, puede tomar algún tiempo para que el DC cree la clave raíz KDS. Se puede usar Get-KdsRootKey para verificar que la clave raíz KDS ha sido creada.
Más información sobre gMSA: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview.
Más información sobre la creación de la clave raíz KDS: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/create-the-key-distribution-services-kds-root-key.
Creación de gMSA durante la instalación de Gatekeeper
Los administradores pueden permitir que el proceso de instalación cree el gMSA o el administrador puede elegir un gMSA existente. El asistente de instalación de Gatekeeper configurará los permisos necesarios para que la máquina donde se instala el Gatekeeper pueda usar la cuenta gMSA. Si la cuenta gMSA se crea durante la instalación, el servidor que está instalando el Gatekeeper debe reiniciarse para obtener los tokens necesarios para acceder a la cuenta gMSA. El proceso de reinicio debe ser fluido y reabrir el asistente de instalación al iniciar sesión, que debería continuar desde antes del reinicio.
Configuración de Kerberos
En primer lugar, como se menciona en la sección sobre habilitar la Autenticación Integrada, la url de Autenticación Integrada debe agregarse a los Sitios de Confianza en Opciones de Internet para cada cliente.
Configuración del Nombre Principal de Servicio (SPN)
Para que el navegador sepa qué cuenta debe solicitar al Centro de Distribución de Claves Kerberos (KDC) un ticket Kerberos, se debe configurar el Nombre Principal de Servicio. Esto se puede configurar mediante la Herramienta de Administración de Gatekeeper, también será verificado por la Herramienta de Administración de GK.
Los pasos en el proceso para verificar el SPN son los siguientes:
- Enumerar todos los Gatekeepers y sus cuentas
- Verificar si existe un SPN para HTTP/uniqueId.trust.specopsauthentication.com (para producción NA)
- Verificar que la cuenta sea la misma que la cuenta que está ejecutando los Gatekeepers
Si los Gatekeepers se están ejecutando bajo múltiples cuentas, se alertará a los administradores que es mejor ejecutarlo como un gMSA. La Autenticación Integrada también funcionará si múltiples Gatekeepers se están ejecutando bajo diferentes cuentas si el SPN coincide con la cuenta que el Gatekeeper principal está ejecutando. Sin embargo, si el Gatekeeper principal falla, la autenticación Kerberos dejará de funcionar.
Más información
Generación de SPN: https://www.chromium.org/developers/design-documents/http-authentication/
Configuración de Chrome para deshabilitar la búsqueda de cname: https://chromeenterprise.google/policies/?policy=DisableAuthNegotiateCnameLookup
Configuración de Edge para deshabilitar la búsqueda de cname: https://admx.help/?Category=EdgeChromium&Policy=Microsoft.Policies.Edge::DisableAuthNegotiateCnameLookup
Parámetros
| Parámetro | Descripción |
|---|---|
| Proveedor Activo | Indica el protocolo actualmente utilizado para este Gatekeeper |
| url de Autenticación Integrada | La URL de autenticación que debe agregarse a los sitios de confianza para todos los clientes |
| Estado de Configuración de SPN | Indica si el SPN ha sido configurado |
| Cuenta SPN | El nombre de la cuenta SPN, si el SPN ha sido configurado |
Múltiples Gatekeepers
Si se configuran múltiples Gatekeepers, todos los Gatekeepers deben configurarse para usar el protocolo Kerberos para que la Autenticación Integrada funcione correctamente. Todos los Gatekeepers deberán tener acceso a la misma cuenta Kerberos (de lo contrario, la Autenticación Integrada no funcionará si uno de los Gatekeepers falla).
Dado que todos los Gatekeepers necesitan tener acceso a la misma cuenta, Specops Authentication proporciona soporte para Cuentas de Servicio Administradas de Grupo.