Identidad de Windows
Windows Identity es un servicio de identidad que utiliza tanto la Integración Autenticada de Windows como la entrada manual del usuario para autenticar a los usuarios. En los casos donde se requiere la entrada de contraseña (Inscripción o Cambio de Contraseña), la contraseña se cifra en el navegador utilizando la clave pública del Gatekeeper para enviar la contraseña cifrada al Gatekeeper.
Nota
NTLM es un protocolo heredado, que solo está disponible para clientes antiguos de Specops. Los nuevos clientes tendrán el servicio de identidad deshabilitado por defecto, y solo podrán elegir entre Deshabilitado o Kerberos.
Nota
Aunque puedes ver en Specops Authentication Web qué protocolo está activado, la configuración solo se puede alterar en la Herramienta de Administración de Gatekeeper. Todas las instrucciones y menciones de configuraciones y parámetros a continuación se refieren por lo tanto a la Herramienta de Administración de Gatekeeper.
La Autenticación Integrada de Windows permite que las credenciales de Active Directory de los usuarios pasen a través de su navegador a un servidor web, enviadas como hash (NTLM) o cifradas (Kerberos). Configurar la Autenticación Integrada para el usuario autenticará automáticamente al usuario con Windows Identity y otorgará el token de autenticación de Windows Identity.
Habilitar la Autenticación Integrada
Por defecto, la Autenticación Integrada está deshabilitada para nuevos clientes. Si deseas usar la Autenticación Integrada, haz lo siguiente:
Nota
Se recomienda usar el tipo de cuenta de Cuentas de Servicio Administradas por Grupo durante la instalación de Gatekeepers. Para más información, consulta gMSA.
- En la Herramienta de Administración de Gatekeeper, selecciona Windows Identity.
- En el campo Configuración de Autenticación Integrada, haz clic en Editar.
-
En el menú desplegable Seleccionar protocolo de autenticación, selecciona el protocolo que deseas usar: NTLM o Kerberos.
Nota
No se recomienda usar el protocolo NTLM. NTLM es un protocolo heredado que proporciona menos seguridad. Por favor, considera usar el protocolo Kerberos en su lugar.
-
Haz clic en Aceptar.
-
Agrega la url de Autenticación Integrada a la Intranet Local en Opciones de Internet para cada cliente.
Nota
Esto se puede hacer agregando la URL a la lista de Sitios de Confianza en el Panel de Control de Windows > Opciones de Internet > Pestaña de Seguridad > Intranet Local > Sitio, luego agrega la URL. También se puede hacer a través del registro. Más información sobre esto último se puede encontrar aquí: Formas Alternativas de Actualizar Sitios de Confianza. Ten en cuenta que la publicación del blog referenciada aquí trata con una URL diferente, aunque el proceso es el mismo.
NTLM
Windows New Technology LAN Manager (NTLM) es un conjunto de protocolos de seguridad ofrecidos por Microsoft para autenticar la identidad de los usuarios y proteger la integridad y confidencialidad de su actividad. En su núcleo, NTLM es una herramienta de inicio de sesión único (SSO) que se basa en un protocolo de desafío-respuesta para confirmar al usuario sin requerir que envíen una contraseña.
La configuración para NTLM consiste en confiar en la URL que se muestra en la Herramienta de Administración de Gatekeeper bajo la pestaña de Windows Identity. Se puede implementar como un GPO, por computadora o por usuario.
Nota
NTLM es un conjunto heredado de protocolos de seguridad de Microsoft. NTLM ha sido reemplazado por el protocolo Kerberos más nuevo y seguro. Si todavía estás usando NTLM, por favor considera usar el protocolo Kerberos en su lugar.
Parámetros
| Parámetro | Descripción |
|---|---|
| Proveedor Activo | Indica el protocolo actualmente usado para este Gatekeeper |
| url de Autenticación Integrada | La URL de autenticación que debe agregarse a los sitios de confianza para todos los clientes |
Kerberos
Kerberos es un protocolo de seguridad de red informática que autentica solicitudes de servicio entre dos o más hosts confiables a través de una red no confiable, como internet. Utiliza criptografía de clave secreta y un tercero confiable para autenticar aplicaciones cliente-servidor y verificar las identidades de los usuarios.
Kerberos asegura que solo los usuarios autorizados puedan acceder a los recursos de la red. Además, proporciona seguridad AAA: Autenticación, Autorización y Contabilidad.
Kerberos proporciona un protocolo de autenticación más seguro y eficiente que su contraparte heredada, NTLM, permitiendo un cifrado más fuerte y un riesgo reducido de ataques de contraseña.
Para usar Kerberos, es necesario usar una Cuenta de Servicio Administrada por Grupo (gMSA). Más información sobre gMSA se puede encontrar aquí.
Cuenta de Servicio Administrada por Grupo (gMSA)
La Cuenta de Servicio Administrada por Grupo (gMSA) es en muchos aspectos similar a las Cuentas de Servicio Administradas. Tiene gestión automática de contraseñas, una contraseña larga que se actualiza automáticamente de forma periódica. La diferencia entre las Cuentas de Servicio Administradas y gMSA es que múltiples máquinas pueden usar la misma cuenta. Entonces, si estás ejecutando un servicio en una granja de servidores y deseas usar Autenticación Integrada, debes usar gMSA. Cuando el cliente solicita un ticket de Kerberos para acceder al servicio, no importa qué instancia en la granja de servidores procesa la solicitud.
Para que gMSA funcione en el Active Directory, y como requisito previo para usar gMSA durante la instalación de Gatekeeper, el administrador del dominio tiene que crear la clave raíz del Servicio de Distribución de Claves. Eso se puede hacer iniciando sesión en un controlador de dominio (Windows Server 2012 o posterior) y ejecutando “Add-KdsRootKey -EffectiveImmediately” desde PowerShell que tiene instalado el módulo Active Directory de Windows PowerShell.
Nota
Aunque se use el indicador -EffectiveImmediately, puede tomar algún tiempo para que el DC cree la clave raíz de KDS. Se puede usar Get-KdsRootKey para verificar que la clave raíz de KDS ha sido creada.
Más información sobre gMSA: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview.
Más información sobre la creación de la clave raíz de KDS: https://learn.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/create-the-key-distribution-services-kds-root-key.
Creación de gMSA durante la instalación de Gatekeeper
Los administradores pueden dejar que el proceso de instalación cree el gMSA o el administrador puede elegir un gMSA existente. El asistente de instalación de Gatekeeper configurará los permisos necesarios para la máquina donde se instala el Gatekeeper para que se le permita usar la cuenta gMSA. Si la cuenta gMSA se crea durante la instalación, el servidor que está instalando el Gatekeeper debe reiniciarse para obtener los tokens necesarios para acceder a la cuenta gMSA. El proceso de reinicio debe ser fluido y volver a abrir el asistente de instalación al iniciar sesión, lo que debería continuar desde antes del reinicio.
Configuración de Kerberos
En primer lugar, como se menciona en la sección sobre habilitar la Autenticación Integrada, la url de Autenticación Integrada debe agregarse a los Sitios de Confianza en Opciones de Internet para cada cliente.
Configuración del Nombre Principal del Servicio (SPN)
Para que el navegador sepa a qué cuenta debe pedirle al Centro de Distribución de Claves de Kerberos (KDC) un ticket de Kerberos, se debe configurar el Nombre Principal del Servicio. Esto se puede configurar mediante la Herramienta de Administración de Gatekeeper, también será verificado por la Herramienta de Administración de GK.
Los pasos en el proceso para verificar el SPN son los siguientes:
- Enumerar todos los Gatekeepers y sus cuentas
- Verificar si existe un SPN para HTTP/uniqueId.trust.specopsauthentication.com (para producción NA)
- Verificar que la cuenta sea la misma que la cuenta que está ejecutando los Gatekeepers
Si los Gatekeepers están ejecutándose bajo múltiples cuentas, se alertará a los administradores que es mejor ejecutarse como un gMSA. La Autenticación Integrada también funcionará si múltiples Gatekeepers están ejecutándose bajo diferentes cuentas si el SPN coincide con la cuenta que el Gatekeeper principal está ejecutando. Sin embargo, si el Gatekeeper principal falla, la autenticación Kerberos dejará de funcionar.
Más información
Generación de SPN: https://www.chromium.org/developers/design-documents/http-authentication/
Configuración de Chrome para deshabilitar la búsqueda de cname: https://chromeenterprise.google/policies/?policy=DisableAuthNegotiateCnameLookup
Configuración de Edge para deshabilitar la búsqueda de cname: https://admx.help/?Category=EdgeChromium&Policy=Microsoft.Policies.Edge::DisableAuthNegotiateCnameLookup
Parámetros
| Parámetro | Descripción |
|---|---|
| Proveedor Activo | Indica el protocolo actualmente usado para este Gatekeeper |
| url de Autenticación Integrada | La URL de autenticación que debe agregarse a los sitios de confianza para todos los clientes |
| Estado de Configuración de SPN | Indica si el SPN ha sido configurado |
| Cuenta SPN | El nombre de la cuenta SPN, si el SPN ha sido configurado |
Múltiples Gatekeepers
Si se configuran múltiples Gatekeepers, todos los Gatekeepers deben configurarse para usar el protocolo Kerberos para que la Autenticación Integrada funcione correctamente. Todos los Gatekeepers deberán tener acceso a la misma cuenta de Kerberos (de lo contrario, la Autenticación Integrada no funcionará si uno de los Gatekeepers está inactivo).
Dado que todos los Gatekeepers necesitan tener acceso a la misma cuenta, Specops Authentication proporciona soporte para Cuentas de Servicio Administradas por Grupo.