Identidad de Windows
Windows Identity es un servicio de identidad que utiliza tanto la Integración Autenticada de Windows como la entrada manual del usuario para autenticar a los usuarios. En los casos en que se requiere la entrada de contraseña (Inscripción o Cambio de Contraseña), la contraseña se cifra en el navegador utilizando la clave pública del Gatekeeper para enviar la contraseña cifrada al Gatekeeper.
Nota
NTLM es un protocolo heredado, que solo está disponible para clientes antiguos de Specops. Los nuevos clientes tendrán el servicio de identidad deshabilitado por defecto, y solo podrán elegir entre Deshabilitado o Kerberos.
Nota
Aunque puede ver en Specops Authentication Web qué protocolo está activado, la configuración solo se puede alterar en la Herramienta de Administración del Gatekeeper. Por lo tanto, todas las instrucciones y menciones de configuraciones y parámetros a continuación se refieren a la Herramienta de Administración del Gatekeeper.
Windows Integrated Authentication permite que las credenciales de Active Directory de los usuarios pasen a través de su navegador a un servidor web, enviadas con hash (NTLM) o cifradas (Kerberos). Configurar la Autenticación Integrada para el usuario autenticará automáticamente al usuario con Windows Identity y otorgará el token de autenticación de Windows Identity.
Habilitar la Autenticación Integrada
Por defecto, la Autenticación Integrada está deshabilitada para nuevos clientes. Si desea utilizar la Autenticación Integrada, haga lo siguiente:
Nota
Se recomienda utilizar el tipo de cuenta de Cuentas de Servicio Administradas por Grupo durante la instalación de los Gatekeepers. Para obtener más información, consulte gMSA.
- En la Herramienta de Administración del Gatekeeper, seleccione Windows Identity.
- En el campo Configuración de Autenticación Integrada, haga clic en Editar.
-
En el menú desplegable Seleccionar protocolo de autenticación, seleccione el protocolo que desea utilizar: NTLM o Kerberos.
Nota
No se recomienda utilizar el protocolo NTLM. NTLM es un protocolo heredado que proporciona menos seguridad. Considere utilizar el protocolo Kerberos en su lugar.
-
Haga clic en OK.
-
Agregue la url de Autenticación Integrada a la Intranet Local en Opciones de Internet para cada cliente.
Nota
Esto se puede hacer agregando la URL a la lista de Sitios de Confianza en el Panel de Control de Windows > Opciones de Internet > Pestaña de Seguridad > Intranet Local > Sitio, luego agregue la URL. También se puede hacer a través del registro. Más información sobre esto último se puede encontrar aquí: Formas Alternativas de Actualizar Sitios de Confianza. Tenga en cuenta que la publicación del blog referenciada aquí trata con una URL diferente, aunque el proceso es el mismo.
NTLM
Windows New Technology LAN Manager (NTLM) es un conjunto de protocolos de seguridad ofrecidos por Microsoft para autenticar la identidad de los usuarios y proteger la integridad y confidencialidad de su actividad. En su núcleo, NTLM es una herramienta de inicio de sesión único (SSO) que se basa en un protocolo de desafío-respuesta para confirmar al usuario sin requerir que envíen una contraseña.
La configuración para NTLM consiste en confiar en la URL que se muestra en la Herramienta de Administración del Gatekeeper bajo la pestaña de Windows Identity. Se puede implementar como un GPO, por computadora o por usuario.
Nota
NTLM es un conjunto de protocolos de seguridad heredados de Microsoft. NTLM ha sido reemplazado por el protocolo Kerberos más nuevo y seguro. Si todavía está utilizando NTLM, considere utilizar el protocolo Kerberos en su lugar.
Parámetros
| Parámetro | Descripción |
|---|---|
| Proveedor Activo | Indica el protocolo actualmente utilizado para este Gatekeeper |
| url de Autenticación Integrada | La URL de autenticación que debe agregarse a los sitios de confianza para todos los clientes |
Kerberos
Kerberos es un protocolo de seguridad de red informática que autentica solicitudes de servicio entre dos o más hosts de confianza a través de una red no confiable, como Internet. Utiliza criptografía de clave secreta y una tercera parte de confianza para autenticar aplicaciones cliente-servidor y verificar las identidades de los usuarios.
Kerberos asegura que solo los usuarios autorizados puedan acceder a los recursos de la red. Además, proporciona seguridad AAA: Autenticación, Autorización y Contabilidad.
Kerberos proporciona un protocolo de autenticación más seguro y eficiente que su contraparte heredada, NTLM, permitiendo un cifrado más fuerte y un riesgo reducido de ataques de contraseña.
Para usar Kerberos, se requiere utilizar una Cuenta de Servicio Administrada por Grupo (gMSA). Más información sobre gMSA se puede encontrar aquí.
Cuenta de Servicio Administrada por Grupo (gMSA)
La Cuenta de Servicio Administrada por Grupo (gMSA) es en muchos aspectos similar a las Cuentas de Servicio Administradas. Tiene gestión automática de contraseñas, una contraseña larga que se actualiza automáticamente de forma periódica. La diferencia entre las Cuentas de Servicio Administradas y gMSA es que múltiples máquinas pueden usar la misma cuenta. Entonces, si está ejecutando un servicio en una granja de servidores y desea utilizar la Autenticación Integrada, debe usar gMSA. Cuando el cliente solicita un ticket de Kerberos para acceder al servicio, no importa qué instancia en la granja de servidores procese la solicitud.
Para que gMSA funcione en el Active Directory, y como requisito previo para usar gMSA durante la instalación del Gatekeeper, el administrador del dominio debe crear la clave raíz del Servicio de Distribución de Claves. Eso se puede hacer iniciando sesión en un controlador de dominio (Windows Server 2012 o posterior) y ejecutando “Add-KdsRootKey -EffectiveImmediately” desde PowerShell que tiene el módulo Active Directory de Windows PowerShell instalado.
Nota
Aunque se utiliza el indicador -EffectiveImmediately, puede llevar algún tiempo para que el DC cree la clave raíz de KDS. Get-KdsRootKey se puede usar para verificar que la clave raíz de KDS ha sido creada.
Más información sobre gMSA: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview.
Más información sobre la creación de la clave raíz de KDS: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/create-the-key-distribution-services-kds-root-key.
Creación de gMSA durante la instalación del Gatekeeper
Los administradores pueden permitir que el proceso de instalación cree el gMSA o el administrador puede elegir un gMSA existente. El asistente de instalación del Gatekeeper configurará los permisos necesarios para que la máquina donde se instala el Gatekeeper pueda usar la cuenta gMSA. Si la cuenta gMSA se crea durante la instalación, el servidor que está instalando el Gatekeeper debe reiniciarse para obtener los tokens necesarios para acceder a la cuenta gMSA. El proceso de reinicio debe ser fluido y reabrir el asistente de instalación al iniciar sesión, lo que debería continuar desde antes del reinicio.
Configuración de Kerberos
En primer lugar, como se menciona en la sección sobre habilitar la Autenticación Integrada, la url de Autenticación Integrada debe agregarse a los Sitios de Confianza en Opciones de Internet para cada cliente.
Configuración del Nombre Principal del Servicio (SPN)
Para que el navegador sepa a qué cuenta debe solicitar el Centro de Distribución de Claves de Kerberos (KDC) un ticket de Kerberos, se debe configurar el Nombre Principal del Servicio. Esto se puede configurar con la Herramienta de Administración del Gatekeeper, también será verificado por la Herramienta de Administración del GK.
Los pasos en el proceso para verificar el SPN son los siguientes:
- Enumerar todos los Gatekeepers y sus cuentas
- Verificar si existe un SPN para HTTP/uniqueId.trust.specopsauthentication.com (para producción NA)
- Verificar que la cuenta sea la misma que la cuenta que está ejecutando los Gatekeepers
Si los Gatekeepers se están ejecutando bajo múltiples cuentas, se alertará a los administradores que es mejor ejecutarlos como un gMSA. La Autenticación Integrada también funcionará si múltiples Gatekeepers se están ejecutando bajo diferentes cuentas si el SPN coincide con la cuenta que el Gatekeeper principal está ejecutando. Sin embargo, si el Gatekeeper principal falla, la autenticación Kerberos dejará de funcionar.
Más información
Generación de SPN: https://www.chromium.org/developers/design-documents/http-authentication/
Configuración de Chrome para deshabilitar la búsqueda de cname: https://chromeenterprise.google/policies/?policy=DisableAuthNegotiateCnameLookup
Configuración de Edge para deshabilitar la búsqueda de cname: https://admx.help/?Category=EdgeChromium&Policy=Microsoft.Policies.Edge::DisableAuthNegotiateCnameLookup
Parámetros
| Parámetro | Descripción |
|---|---|
| Proveedor Activo | Indica el protocolo actualmente utilizado para este Gatekeeper |
| url de Autenticación Integrada | La URL de autenticación que debe agregarse a los sitios de confianza para todos los clientes |
| Estado de Configuración de SPN | Indica si el SPN ha sido configurado |
| Cuenta SPN | El nombre de la cuenta SPN, si el SPN ha sido configurado |
Múltiples Gatekeepers
Si se configuran múltiples Gatekeepers, todos los Gatekeepers deben configurarse para usar el protocolo Kerberos para que la Autenticación Integrada funcione correctamente. Todos los Gatekeepers deberán tener acceso a la misma cuenta de Kerberos (de lo contrario, la Autenticación Integrada no funcionará si uno de los Gatekeepers falla).
Dado que todos los Gatekeepers necesitan tener acceso a la misma cuenta, Specops Authentication proporciona soporte para Cuentas de Servicio Administradas por Grupo.