Traducido del inglés al español - www.onlinedoctranslator.

com

NO REIMPRIMIR
© FORTINET

FortiAuthenticator
Guía de estudio

para FortiAuthenticator 6.4

NO REIMPRIMIR
© FORTINET

Instituto de Capacitación Fortinet - Biblioteca

https://entrenamiento.fortinet.com

Documentación de productos de Fortinet

https://docs.fortinet.com

Base de conocimientos de Fortinet

https://kb.fortinet.com

Comunidad de usuarios de Fortinet Fuse

https://fusecommunity.fortinet.com/home

Foros de Fortinet

https://forum.fortinet.com

Soporte de productos de Fortinet

https://soporte.fortinet.com

Laboratorios FortiGuard

https://www.fortiguard.com

Información del programa de capacitación de Fortinet

https://www.fortinet.com/nse-entrenamiento

Fortinet | Vue Pearson

https://home.pearsonvue.com/fortinet

Servicio de asistencia del Instituto de Capacitación de Fortinet (preguntas de capacitación, comentarios, retroalimentación)

https://helpdesk.training.fortinet.com/support/home

15/7/2022
NO REIMPRIMIR
© FORTINET

TABLA DE CONTENIDO

01 Introducción y configuración inicial 02 4

Usuarios administrativos y alta disponibilidad 03 39
Administración y autenticación de usuarios 73
04 Administración de usuarios y solución de problemas de 112
autenticación 05 Autenticación de dos factores 149
06 Proceso y métodos de FSSO 196
07 Implementación y resolución de problemas de FSSO 08 230
Servicios del portal 260
09 PKI y FortiAuthenticator como una 311
gestión de certificados CA 10 340
11 Autenticación 802.1X 376
12 SAML 414
13 Autenticación FIDO2 460
 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá sobre las funciones y los conceptos clave de FortiAuthenticator y cómo configurar
FortiAuthenticator para la configuración inicial.

FortiAuthenticator es el dispositivo central para cualquier infraestructura de autenticación.

Guía de estudio de FortiAuthenticator 6.4 4

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.

Guía de estudio de FortiAuthenticator 6.4 5

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en la autenticación y el rol de FortiAuthenticator, podrá definir la autenticación

y comprender el rol de FortiAuthenticator en su propia red.

Guía de estudio de FortiAuthenticator 6.4 6

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

La autenticación es el acto, o proceso, de verificar la validez de una identidad reclamada. La confirmación de identidad es
necesaria en el mundo digital, porque otorgar acceso a un recurso, aprobar una solicitud de transacción, confiar en la validez
de un documento, etc., antes de verificar que una persona es quien dice ser, puede conducir a una red seria. violación de la
seguridad.

Entonces, ¿cómo se confirma la identidad de un usuario digital? Puede confirmar las identidades de los usuarios en función de algo
que el usuario sepa (por ejemplo, una contraseña o un PIN), algo que tenga el usuario (por ejemplo, un certificado digital o token), o
una combinación de ambos métodos.

Guía de estudio de FortiAuthenticator 6.4 7

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

FortiAuthenticator es un dispositivo que proporciona autenticación segura basada en estándares a toda la infraestructura de la
red. Es decir, verifica la validez de una identidad reclamada. FortiAuthenticator acepta muchos métodos diferentes de
identificación de usuarios (token, certificado digital, etc.) a través de diferentes puntos de acceso (local, remoto, inalámbrico,
invitado, etc.).

FortiAuthenticator también centraliza la administración y el almacenamiento de la información de identidad del usuario, lo que
aumenta la eficiencia de la administración y aumenta el control sobre quién accede a la red.

El ejemplo que se muestra en esta diapositiva demuestra la ventaja de la autenticación de dos factores. El nombre de
usuario y la contraseña del usuario han sido comprometidos por un malhechor (esto se hace a menudo mediante ataques
de phishing o phishing selectivo), pero debido a que el malhechor no posee el token, se le negará el acceso.

Guía de estudio de FortiAuthenticator 6.4 8

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Esta diapositiva cubre todos los modelos virtuales y de hardware disponibles.

La versión de máquina virtual (VM) de FortiAuthenticator es popular entre los clientes que tienen una infraestructura virtual existente.
Uno de los principales beneficios de la versión VM es que puede agregar CPU y RAM a sus sistemas a medida que crecen sus
necesidades. Luego compra licencias de usuario para las máquinas virtuales que se adaptan a las necesidades de sus clientes. Estas
licencias son apilables, lo que las hace ideales para clientes que buscan expandirse con el tiempo.

Guía de estudio de FortiAuthenticator 6.4 9

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Guía de estudio de FortiAuthenticator 6.4 10

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende la autenticación y el rol de FortiAuthenticator.

Ahora, aprenderá sobre las funciones clave de FortiAuthenticator y las comparaciones entre
FortiAuthenticator y FortiGate.

Guía de estudio de FortiAuthenticator 6.4 11

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en la comprensión de las características clave de FortiAuthenticator y las comparaciones

entre FortiAuthenticator y FortiGate, podrá usar el dispositivo de manera efectiva en su propia red.

Guía de estudio de FortiAuthenticator 6.4 12

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

FortiAuthenticator es un dispositivo de gestión de identidad y autenticación de usuarios. Algunas de las características clave incluyen:
autenticación de dos factores, autenticación por cable o inalámbrica mediante el estándar 802.1X, administración de certificados,
servicios de portal e inicio de sesión único (FSSO) de Fortinet.

La autenticación multifactor aumenta la seguridad de la red al requerir múltiples elementos de identificación (conocidos
como factores). Combina algo que túsabercon algo que tutenerpara confirmar de forma fiable su identidad.

FortiAuthenticator admite redes cableadas e inalámbricas con el estándar IEEE 802.1X. La autenticación 802.1X proporciona una
barrera de seguridad adicional para su intranet. Así como un cliente inalámbrico autenticado debe enviar un conjunto de credenciales
para ser validado antes de que se le permita el acceso, un cliente con cable 802.1X también debe realizar la autenticación antes de
poder enviar tráfico a través de su puerto de conmutador.

FortiAuthenticator tiene varias funciones que involucran certificados digitales, incluida la actuación como autoridad de
certificación (CA), un servidor SCEP, la autenticación de usuarios en un servidor LDAP externo y la autenticación de usuarios
mediante el Protocolo de autenticación extensible (EAP). Explorará más la gestión de certificados en elGestión de
certificadoslección.

FSSO permite que FortiAuthenticator aproveche el sistema de autenticación existente de su red para la autenticación de
firewall. Una vez que un usuario inicia sesión, puede acceder a otros recursos de la red sin tener que volver a autenticarse;
la autenticación es transparente. Explorará más FSSO en elInicio de sesión único de Fortinetlección.

Los servicios del portal le permiten conceder a los usuarios remotos acceso a partes específicas de su red mediante la autenticación
delegada. En este escenario, la autenticación requiere que el usuario asocie su dispositivo con el SSID invitado, según lo publicado por
el controlador inalámbrico FortiGate.

Guía de estudio de FortiAuthenticator 6.4 13

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

La tabla de esta diapositiva muestra algunas de las diferencias clave en las capacidades de RADIUS entre FortiGate y
FortiAuthenticator.

Como servidor RADIUS, FortiAuthenticator proporciona autenticación y autorización tanto como servidor como proxy. Las reglas de
RADIUS se pueden usar para las actualizaciones de FSSO.

Guía de estudio de FortiAuthenticator 6.4 14

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

La tabla de esta diapositiva muestra algunas de las diferencias clave en las capacidades de LDAP entre FortiGate y
FortiAuthenticator más allá de la sincronización del directorio activo.

Guía de estudio de FortiAuthenticator 6.4 15

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

FortiAuthenticator puede recuperar información de identidad FSSO de una variedad de fuentes, incluido el agente de movilidad
FortiClient, mensajería Syslog, sondeo de dominio de Windows y contabilidad RADIUS. FortiAuthenticator luego pasa la información
recopilada de usuarios, grupos y direcciones IP a los dispositivos FortiGate.

Puede usar FortiAuthenticator para restringir la cantidad de dispositivos por usuario de FSSO.

Guía de estudio de FortiAuthenticator 6.4 dieciséis

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

FortiAuthenticator ofrece compatibilidad con SAML para SSO de usuario final y puede actuar como proveedor de identidad (IdP) y como
proveedor de servicio (SP).

FortiAuthenticator puede actuar como una autoridad de certificación (CA) y proporcionar la inscripción automática de certificados mediante SCEP u
OCSP.

La autenticación social FortiAuthenticator brinda a los usuarios la capacidad de validar usando sitios de redes
sociales, como Facebook, Twitter, LinkedIn y Google.

Guía de estudio de FortiAuthenticator 6.4 17

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

FortiAuthenticator puede admitir hasta 1 millón de usuarios y ofrecer autenticación de dos factores.

FortiAuthenticator brinda la capacidad de administrar tokens de manera centralizada. Por ejemplo, se puede usar un solo token para acceder a
muchos dispositivos FortiGate en lugar de un token separado para cada FortiGate. Los tokens se pueden enviar mediante SMS.

Fast ID Online (FIDO) puede proporcionar autenticación segura sin contraseña.

Guía de estudio de FortiAuthenticator 6.4 18

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Guía de estudio de FortiAuthenticator 6.4 19

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende las características clave de FortiAuthenticator y las comparaciones entre
FortiAuthenticator y FortiGate.

Ahora, aprenderá sobre la configuración inicial.

Guía de estudio de FortiAuthenticator 6.4 20

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en la configuración inicial de FortiAuthenticator, podrá implementar

FortiAuthenticator en su propia red y realizar tareas administrativas básicas.

Guía de estudio de FortiAuthenticator 6.4 21

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Para iniciar sesión en FortiAuthenticator, necesita saber:

- La configuración predeterminada de fábrica: puede encontrarla en la Guía de inicio rápido para su modelo de FortiAuthenticator
- El nombre de usuario y la contraseña predeterminados

Para conectarse a la computadora de administración, necesita saber:

- La dirección IP del puerto 1 y la máscara de red
- Los protocolos de acceso de administración compatibles predeterminados

La cantidad de puertos para cada modelo de FortiAuthenticator varía; sin embargo, el puerto 1 es el puerto de administración y su dirección IP
predeterminada es 192.168.1.99.

Guía de estudio de FortiAuthenticator 6.4 22

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Si está utilizando la GUI para configurar FortiAuthenticator, debe conectar un cable Ethernet entre FortiAuthenticator y
la computadora de administración en el puerto 1. También debe configurar la computadora de administración para que
esté en la misma subred que la interfaz del puerto 1 de FortiAuthenticator.

Para iniciar sesión, abra un navegador compatible e ingrese la dirección IP predeterminada precedida porhttps://.En la pantalla de inicio de
sesión, use la información predeterminada de fábrica para la cuenta de administrador. el nombre de usuario esadministración.Cuando se
le solicite, no ingrese una contraseña. Durante el inicio de sesión inicial, FortiAuthenticator le pedirá que cree una contraseña.

Si está usando la herramienta de configuración CLI para configurar FortiAuthenticator, use una aplicación de emulación de
terminal, como PuTTY. Debido a la funcionalidad limitada de la CLI, no hayConsola CLIwidget en el administrador basado en la
web, como lo hay para otros productos de Fortinet.

En la aplicación de emulación de terminal, ingrese la dirección IP predeterminada del puerto 1 de FortiAuthenticator y seleccione un
protocolo de acceso de administración compatible. SSH es el único protocolo habilitado por defecto.

Guía de estudio de FortiAuthenticator 6.4 23

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

El panel de estado es la página de inicio para los administradores después de iniciar sesión. El tablero contiene widgets que
muestran diferentes tipos de información en tiempo real. Debería ser uno de los primeros lugares donde busque signos de
problemas cada vez que inicie sesión.

Guía de estudio de FortiAuthenticator 6.4 24

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Después de iniciar sesión, debe configurar la interfaz, las direcciones IP del servidor DNS primario y secundario, el enrutamiento
estático (que incluye la puerta de enlace predeterminada) y la hora del sistema. En aras de la simplicidad, en esta lección, la GUI se usa
para explicar los requisitos de configuración.

Usted realiza todas las tareas de configuración inicial en la misma área de la GUI. Hacer clicSistema>Red.

Debe cumplir con algunos requisitos para su red durante la configuración. Como mínimo, debe asegurarse de que los
puertos específicos estén abiertos en las políticas de seguridad entre los clientes de autenticación RADIUS y
FortiAuthenticator.

Guía de estudio de FortiAuthenticator 6.4 25

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Puede configurar los ajustes de red de la interfaz en elInterfacespágina. Esto incluye configurar una dirección IP y una
máscara de red, así como protocolos de sistema y acceso de administrador admitidos.

Debe editar la dirección IP y la máscara de red predeterminadas asociadas con la interfaz port1/MGMT, según su
propia red. Esto brinda más seguridad que usar la dirección IP predeterminada y, si hay más de un FortiAuthenticator
ubicado en la red, se requieren diferentes configuraciones de red (la interfaz de administración debe tener una
dirección dedicada). Puede asignar direcciones IPv4 e IPv6, que deben ser estáticas. El acceso de administrador para
IPv4 e IPv6 se separó, por lo que puede mezclar y combinar las opciones que desee.

También debe seleccionar los protocolos administrativos que desea admitir. Cualquier interfaz que se utilice para proporcionar
acceso de administración a FortiAuthenticator requiere al menos HTTP o HTTPS, para el acceso a la GUI, o SSH para el acceso a la CLI.
De forma predeterminada, HTTPS y SSH están habilitados en FortiAuthenticator.

Finalmente, debe seleccionar los servicios que desea permitir. Estos están vinculados a la funcionalidad que desea emplear y varios ya
están habilitados de forma predeterminada. Aprenderá sobre muchos de estos servicios a lo largo de la capacitación.

FortiAuthenticator admite la recepción de mensajes de una fuente de syslog a través de una conexión TLS mediante el puerto TCP
6514.

Guía de estudio de FortiAuthenticator 6.4 26

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Por razones de seguridad, los hosts pueden acceder a la GUI de FortiAuthenticator solo si están en el mismo dominio o en la
misma red que FortiAuthenticator e, incluso en ese caso, solo si la interfaz tiene habilitado HTTP o HTTPS para el acceso a la
GUI. Puede permitir hosts adicionales por dirección IP designada o nombre de dominio, desde elAcceso al sistemapágina.

Guía de estudio de FortiAuthenticator 6.4 27

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Puede definir el número de solicitudes de la API REST en elAcceso al sistemavista. Limitar la cantidad de
solicitudes es esencial para prevenir ataques DoS y también para brindar escalabilidad.

La configuración del proxy entrante permite que FortiAuthenticator determine el origen de la dirección IP de origen después de que el
tráfico se haya reenviado a través de un proxy:
* Del encabezado HTTP REENVIADO
* Del encabezado HTTP X_FORWARDED

También puede configurar FortiAuthenticator para restringir el acceso de administrador en función de subredes o direcciones IP de confianza, mediante la
configuración de valores "por" REENVIADOS válidos.

Guía de estudio de FortiAuthenticator 6.4 28

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

El sistema de nombres de dominio (DNS) garantiza que los nombres de host amigables para los humanos se traduzcan a direcciones IP: el
DNS resuelve los nombres de host. Las funcionalidades específicas de FortiAuthenticator se basan en el uso del DNS, por ejemplo, cualquier
característica que requiera el envío de correos electrónicos de notificación a los usuarios o administradores. Por esta razón, FortiAuthenticator
debe tener una conexión confiable y estable a un servidor DNS.

Puede configurar el DNS en elDNSpágina. Los servidores DNS deben ser accesibles desde las redes a las que se
conecta FortiAuthenticator y deben especificar dos direcciones diferentes: una primaria y una secundaria. El
servidor DNS secundario se utiliza en los casos en que no hay respuesta del servidor DNS primario.

Las direcciones del servidor DNS primario y secundario predeterminados son los servidores DNS de FortiGuard. Puede
usar estos o cambiar la dirección a otra.

Tenga en cuenta que en un entorno de Active Directory (AD) y con la autenticación de AD, debe utilizar los servidores DNS
del dominio como servidores DNS.

Guía de estudio de FortiAuthenticator 6.4 29

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Puede configurar la puerta de enlace predeterminada asociada con la interfaz en elenrutamiento estaticopágina.

La puerta de enlace predeterminada es el siguiente salto que enruta el tráfico interno a otra red, generalmente externa. Para simplificar, una
puerta de enlace predeterminada actúa como un punto de entrada y salida en una red. Todas las computadoras en su red local necesitan
conocer la dirección IP de la puerta de enlace predeterminada para poder acceder a Internet. Para configurar, haga clic enEditary agregue la
dirección IP del siguiente salto de FortiAuthenticator alPuertacampo.

Si desea configurar otro puerto en FortiAuthenticator, puede asignar rutas estáticas IPv4 o IPv6 específicas a una puerta de
enlace diferente para que los paquetes se entreguen por una ruta diferente. Hacer clicCrear nuevopara crear una nueva ruta.
Aquí, debe configurar la dirección IP y la máscara de destino, la puerta de enlace y la interfaz (puerto).

Puede crear, editar y eliminar las rutas estáticas.

Guía de estudio de FortiAuthenticator 6.4 30

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Puede configurar manualmente la hora y la fecha del sistema FortiAuthenticator, o configurar FortiAuthenticator para mantener
automáticamente la hora del sistema correcta mediante la sincronización con un servidor NTP. NTP es un protocolo estándar
utilizado para la sincronización del reloj. Debe sincronizar FortiAuthenticator con un servidor NTP porque, para que muchas
funciones funcionen, la hora del sistema FortiAuthenticator debe ser precisa.

Por ejemplo, para que el método de contraseña de un solo uso basado en el tiempo (TOTP) que se usa en la autenticación de dos
factores funcione correctamente, es fundamental que el tiempo sea preciso y estable. Los servidores NTP proporcionan esta precisión y
estabilidad necesarias.

Puede configurar servidores NTP en elInformación del sistemaartilugio. En elHora del sistemacampo, haga clicCambio y
luego habilitarNTP habilitadoy escriba la dirección IP del servidor NTP. De forma predeterminada, FortiAuthenticator utiliza
servidores NTP de Fortinet (ntp1.fortinet.net).

Guía de estudio de FortiAuthenticator 6.4 31

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Siempre es una buena idea asegurarse de que todas las configuraciones integrales estén en su lugar, como:
• Interfaces de red
• Servidores DNS (requeridos para registro de token/SMS/licencia)
• Zona horaria y servidor NTP (crítico si se usan tokens basados en tiempo)
• Licencia (la licencia de prueba proporciona una funcionalidad limitada)
• Servidores de correo (después de la configuración, ¡no olvide configurar el servidor de correo predeterminado!)

Guía de estudio de FortiAuthenticator 6.4 32

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Como práctica recomendada, después de completar la implementación de FortiAuthenticator, debe hacer una copia de seguridad en su computadora
de administración. ÉlRestaurar copia de seguridadLa opción se encuentra en la lista desplegable en la parte superior derecha de la GUI.

La copia de seguridad incluye las configuraciones del dispositivo CLI y GUI. También incluye información sobre usuarios, grupos de usuarios,
la lista de dispositivos FortiToken, la lista de clientes de autenticación, el árbol de directorios LDAP, la configuración de FSSO, LDAP remoto y
certificados. El archivo de respaldo está encriptado para evitar la manipulación. Puede crear múltiples copias de seguridad, desde diferentes
puntos en el tiempo. Asegúrese de nombrar el archivo para indicar la hora de la copia de seguridad.

Si realiza cambios en FortiAuthenticator que afectan negativamente a su red, puede restaurar una configuración desde cualquiera de
las copias de seguridad.

Los archivos de copia de seguridad se pueden cifrar mediante una contraseña. El administrador debe proporcionar la contraseña al restaurar un archivo
de configuración cifrado. El cifrado está deshabilitado de forma predeterminada. Los archivos de copia de seguridad se pueden proteger con contraseña
para evitar la restauración no autorizada.

Tenga en cuenta que puede restaurar la configuración solo a la misma compilación y versión de hardware.

Guía de estudio de FortiAuthenticator 6.4 33

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Este diagrama muestra todos los puertos de FortiAuthenticator. Es una referencia útil que puede usar cuando
configura su FortiAuthenticator.

Guía de estudio de FortiAuthenticator 6.4 34

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Finalmente, para ubicar información general del sistema y de diagnóstico, puede ingresar elestadoyinformación de
hardwarecomandos en la CLI.

Élobtener el estado del sistemaEl comando muestra el número de compilación del firmware, el número de serie de la unidad, la hora del sistema, el
uso y el tamaño del disco y el estado de HA.

Élobtener hardwareEl comando muestra información sobre la CPU, la memoria, la NIC, el disco y RAID.

Guía de estudio de FortiAuthenticator 6.4 35

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Guía de estudio de FortiAuthenticator 6.4 36

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

¡Felicidades! Has completado esta lección.

Ahora, revisará los objetivos que cubrió en esta lección.

Guía de estudio de FortiAuthenticator 6.4 37

 Introducción y configuración inicial

NO REIMPRIMIR
© FORTINET

Esta diapositiva muestra los objetivos que cubrió en esta lección.

Al dominar los objetivos cubiertos en esta lección, aprendió sobre las características clave de FortiAuthenticator y cómo
configurar FortiAuthenticator para la configuración inicial.

Guía de estudio de FortiAuthenticator 6.4 38

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá sobre las funciones y los conceptos clave de FortiAuthenticator y cómo configurar
FortiAuthenticator para la configuración inicial.

FortiAuthenticator es el dispositivo central para cualquier infraestructura de autenticación.

Guía de estudio de FortiAuthenticator 6.4 39

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.

Guía de estudio de FortiAuthenticator 6.4 40

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en la configuración inicial de FortiAuthenticator, podrá configurar privilegios de

administrador y proporcionar roles de administrador a los usuarios.

Guía de estudio de FortiAuthenticator 6.4 41

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

FortiAuthenticator incluye dos perfiles de administrador por defecto (PatrocinadoryAdministrador de solo lectura).
Puede crear perfiles de administrador adicionales mediante los conjuntos de permisos y los permisos individuales.

Un perfil de administrador comprende uno o más conjuntos de permisos. Un conjunto de permisos, a su vez, comprende permisos
individuales. por ejemplo, elServicio LDAP localEl permiso que se muestra en esta diapositiva incluye los permisos individuales dentro de
este conjunto de permisos. Tenga en cuenta que la lista de permisos que se muestra en esta diapositiva no es la lista completa.

Los perfiles administrativos son útiles para dividir responsabilidades y controlar el acceso de los administradores. Por ejemplo,
un usuario administrador al que se le ha concedido sólo laGestión de certificadosEl conjunto de permisos no puede agregar ni
eliminar usuarios locales, porque esos permisos se asignan, de forma predeterminada, a un conjunto de permisos diferente
(usuarios y dispositivos).

Por defecto, eladministraciónel administrador tiene acceso completo, que incluye todos los conjuntos de permisos y los permisos
asociados.

Guía de estudio de FortiAuthenticator 6.4 42

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Puede crear perfiles de administrador en elPerfiles de administradorpágina. Debe asignar un nombre al perfil y, opcionalmente,
proporcionar una descripción.

Puede especificar si el perfil de administrador:

• No debe tener uno de los conjuntos de permisos predeterminados, seleccionandoNingunojunto al conjunto de permisos
• Debe tener acceso de lectura a ese conjunto de permisos solamente, seleccionandoSolo lecturajunto al conjunto de permisos
• Debe tener acceso de lectura y escritura a ese conjunto de permisos, seleccionandoLeer escribirjunto al conjunto
de permisos.

Para ver qué permisos individuales componen un conjunto de permisos, haga clic enConjuntos de permisosy, a continuación, haga clic en el nombre del
conjunto de permisos.

Guía de estudio de FortiAuthenticator 6.4 43

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Después de hacer clicConjuntos de permisos, se abre la lista completa de conjuntos de permisos integrados.

Los conjuntos de permisos integrados son estáticos. No puede agregar o eliminar permisos individuales; sin embargo, puede clonar los
conjuntos de permisos integrados y luego personalizar los conjuntos de permisos clonados.

En esta lección, verá cómo clonar y modificar un conjunto de permisos integrado y crear uno nuevo personalizado.

Guía de estudio de FortiAuthenticator 6.4 44

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Para clonar un conjunto de permisos existente para personalizarlo, seleccione el conjunto de permisos que desea clonar y
haga clic en Clon. Se abre una página que le muestra qué permisos están actualmente asociados con el conjunto de permisos
clonado (estos se encuentran en laPermisos de usuario seleccionadospanel), y qué permisos están disponibles para usar
(estos se encuentran en elPermisos de usuario disponiblescristal). Puede mover permisos hacia y desde estos dos paneles
usando los botones de flecha.

Guía de estudio de FortiAuthenticator 6.4 45

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Si prefiere crear un nuevo conjunto de permisos que clonar uno existente, haga clic enCrear nuevo. Proporcione su nuevo
conjunto de permisos con un nombre y luego mueva los permisos individuales delPermisos de usuario disponibles panel a la
Permisos de usuario seleccionadoscristal.

Puede continuar agregando o eliminando permisos en cualquier momento. Solo asegúrese de que el nombre o la descripción identifique adecuadamente
el conjunto de permisos después de la modificación.

Guía de estudio de FortiAuthenticator 6.4 46

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Una vez que tenga algunos perfiles de administrador, puede crear cuentas de usuario administrador y asignar perfiles. Puede crear
una cuenta de usuario administrador en elUsuarios localespágina haciendo clicCrear nuevo. Debe establecer un nombre de usuario y
una contraseña.

Hay tres formas de manejar la contraseña. Puede especificar una contraseña y comunicársela al usuario administrador,
hacer que FortiAuthenticator cree una contraseña aleatoria y enviarla automáticamente por correo electrónico al usuario
administrador (debe asignar un correo electrónico al usuario), o especificar autenticación basada en token en lugar de
autenticación basada en contraseña . Con la última opción, FortiAuthenticator agrega la cuenta, pero se deshabilita hasta
que asocia un FortiToken con la cuenta de usuario. Examinará FortiTokens más a fondo en otra lección.

Guía de estudio de FortiAuthenticator 6.4 47

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

En elRolecampo, seleccioneAdministradorpara convertir al usuario en un usuario administrador. Como puede ver, las cuentas de
administrador en FortiAuthenticator son cuentas de usuario estándar (usuarios locales o remotos) marcadas como administradores.
Aprenderá a crear usuarios finales en otra lección.

Puede asignar al administrador permisos completos, que proporcionan todos los conjuntos de permisos y permisos asociados
como un superusuario (esto es lo que se asigna al administrador), o seleccionar un perfil de administrador preconfigurado en el
Perfiles de administradorla lista desplegable.

Guía de estudio de FortiAuthenticator 6.4 48

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Después de agregar la cuenta de usuario administrador, se le presentan configuraciones de cuenta adicionales que puede
configurar, como:

• Perfiles de administrador:Puede aplicar varios perfiles de administrador a una cuenta administrativa. Se

aplicará la más permisiva de la unión.
• Acceso a servicios web: permite a los administradores acceder a los servicios web mediante la API REST o una aplicación
cliente.
• Restrinja el inicio de sesión de administrador solo desde subredes de administración confiables: Le permite restringir el
acceso del administrador a la GUI según la dirección IP. Incluso puede restringir a un administrador a una sola dirección IP si define
solo una IP de host confiable. Sin embargo, FortiAuthenticator le permite configurar hasta 10 hosts confiables.

También puede expandir cada una de las secciones que se muestran en la diapositiva para configurar ajustes adicionales. Esto incluye especificar
información adicional del usuario (dirección, número de teléfono/móvil, idioma y organización), direcciones de correo electrónico alternativas, grupos,
enrutamiento de correo electrónico y más. También puede establecer opciones de recuperación de contraseña. Aquí, FortiAuthenticator puede enviar a
los usuarios locales un enlace de recuperación de contraseñas perdidas u olvidadas, por correo electrónico o en un navegador, en respuesta a una
pregunta de seguridad preestablecida. A continuación, el usuario debe establecer una nueva contraseña.

Guía de estudio de FortiAuthenticator 6.4 49

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Puede definir enlaces de certificados y atributos de RADIUS como parte de una configuración de usuario local para usar
durante la autenticación. Los enlaces de certificados requieren una designación del nombre común (CN) en el certificado, así
como la autoridad de certificación (CA). Los atributos de RADIUS definidos se pasarán tras la autenticación al autenticador.
Estos atributos pueden especificar información relacionada con el usuario.

Guía de estudio de FortiAuthenticator 6.4 50

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Cuando complete la creación de un usuario administrativo, o intente aplicar modificaciones a un usuario administrativo
existente, debe proporcionar la contraseña del usuario administrativo conectado actualmente como validación. Esta validación
proporciona una capa adicional de seguridad. Si la validación no es exitosa, FortiAuthenticator finaliza la sesión del usuario.

Guía de estudio de FortiAuthenticator 6.4 51

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Guía de estudio de FortiAuthenticator 6.4 52

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende los perfiles de administrador de FortiAuthenticator.

Ahora aprenderá sobre los modos de alta disponibilidad (HA) y los servicios de mensajería.

Guía de estudio de FortiAuthenticator 6.4 53

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en HA y servicios de mensajería, podrá explicar los diferentes modos de HA; enumere los roles de alta
disponibilidad; configurar los ajustes de mensajes para SMTP, correo electrónico y puerta de enlace SMS; y configurar SNMP.

Guía de estudio de FortiAuthenticator 6.4 54

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Si su implementación tiene más de un dispositivo FortiAuthenticator, puede optar por operar los dispositivos FortiAuthenticator
como un clúster HA, para brindar una confiabilidad aún mayor. Todos los dispositivos deben ejecutar la misma versión de firmware.

Puede configurar HA en los siguientes modos:

• Modo clúster (activo-pasivo) (Miembro del clústerdesignación en la GUI): En este modo, todo está sincronizado y es
solo de conmutación por error. Usted designa un dispositivo como principal y otro como secundario. Se requiere
conectividad de capa 2 para la sincronización de datos.
• Un clúster activo-pasivo puede tener hasta 10 balanceadores de carga.
• Los clústeres activo-pasivo no pueden ser una combinación de dispositivos físicos y virtuales.
• Equilibrio de carga (modo activo-activo o geo-HA). En este modo, un dispositivo actúa como principal (Primaria
independientedesignación en la GUI) con hasta 10 sistemas de equilibrio de carga (Equilibrador de cargadesignación en
la GUI). Puede separar los balanceadores de carga geográficamente y puede distribuir la carga entre los dispositivos
usando su método preferido, como DNS de turno rotativo o distribución de carga de cliente Auth/NAS. También puede
utilizar dispositivos de equilibrio de carga externos. Este tipo de configuración está diseñado para dos implementaciones
de FortiAuthenticator porque sincroniza la configuración de autenticación de usuario (como usuarios, grupos, tokens, etc.).
No sincroniza FSSO y certificados.
• El equilibrio de carga puede utilizar una combinación de dispositivos físicos y virtuales.

Guía de estudio de FortiAuthenticator 6.4 55

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Puede configurar el equilibrio de carga como parte de un clúster activo-pasivo de FortiAuthenticator para lograr la tolerancia a
fallas. En el ejemplo que se muestra en esta diapositiva, Ottawa y Ottawa-DR están configurados en una configuración HA
activa-pasiva. Se requiere conectividad de capa 2 entre Ottawa y la ubicación de Ottawa-DR para la sincronización. Si Ottawa
dejaba de responder, Ottawa-DR ya no recibiría actualizaciones y se convertiría en el principal. Seleccione un puerto para
dedicarlo a la sincronización de datos entre el FortiAuthenticator activo y en espera. La interfaz no debe tener una dirección IP
ya asignada y debe ser la misma interfaz tanto en el dispositivo principal como en el de reserva. Fortinet recomienda una
conexión directa por cable para la sincronización de datos.

Puede sincronizar cuentas de administrador o patrocinador. Cada cuenta de administrador y patrocinador tiene una opción para
incluir la cuenta en las configuraciones de alta disponibilidad de equilibrio de carga. Además, FortiAuthenticator sincroniza los enlaces
de certificados para usuarios locales y remotos.

Guía de estudio de FortiAuthenticator 6.4 56

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Habilita HA en elAlta disponibilidadpágina. Según el rol de alta disponibilidad que seleccione, aparecerán diferentes campos
para configurar ese rol en particular.

Miembro del clúster: En el rol de miembro del clúster, un dispositivo está activo y el otro está en espera (pasivo). Si el dispositivo activo falla, el
standby se activa. El clúster está configurado como un único servidor de autenticación en FortiGate. Las solicitudes de autenticación realizadas
durante una conmutación por error de un dispositivo a otro se pierden, pero las solicitudes posteriores se completan con normalidad. El
proceso de conmutación por error tarda aproximadamente 30 segundos. Puede configurar hasta 10 dispositivos de equilibrio de carga.

Utilice uno de los modos de mantenimiento cuando necesite realizar cambios en la configuración de un sistema y vuelva rápidamente a su
función HA. Las tres opciones del modo de mantenimiento son:

• Desactivado: La unidad no está en modo de mantenimiento.

• Habilitado con sincronización: La unidad está en modo de mantenimiento y continúa sincronizando datos, similar a la
unidad pasiva en un despliegue activo-pasivo.
• Habilitado sin sincronización: Modo de mantenimiento completo, sin participar en HA.

Interfaz: La interfaz que se usará para la sincronización de datos entre el FortiAuthenticator primario y
en espera. La dirección IP para esta interfaz se configura aquí.

Contraseña: Se debe ingresar una contraseña para usarla como clave compartida para el cifrado de IPsec, y debe ser la
misma en los dispositivos principal y en espera.

Guía de estudio de FortiAuthenticator 6.4 57

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Puede usar el balanceo de carga como un método HA en ubicaciones separadas geográficamente y redes de capa 3. En esta
configuración, FortiAuthenticator se designa como el dispositivo principal independiente. Se pueden configurar hasta otros 10
dispositivos FortiAuthenticator como balanceadores de carga. El dispositivo principal independiente mantiene los equilibradores de
carga sincronizados y el tráfico se equilibra mediante un método externo elegido por el administrador.

Guía de estudio de FortiAuthenticator 6.4 58

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Configure el equilibrio de carga distribuido geográficamente en elAlta disponibilidadpágina.

ÉlRolela configuración para el FortiAuthenticator principal independiente debe serprincipal independiente. El principal
independiente es el sistema principal donde se configuran los usuarios, grupos y tokens. Los equilibradores de carga están
sincronizados con el principal. Para mejorar la resiliencia del sistema principal, se pueden configurar hasta 10 dispositivos de
balanceo de carga.

ÉlContraseñaEl campo debe configurarse en la configuración principal independiente y nuevamente en las configuraciones del balanceador
de carga.

Los dispositivos FortiAuthenticator de equilibrio de carga deben agregarse alEquilibradores de cargalista usando elAgregar
balanceador de carga secundariobotón. Debe proporcionar un nombre y una dirección IP para cada balanceador de carga.

Guía de estudio de FortiAuthenticator 6.4 59

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

ÉlRolela configuración para cada FortiAuthenticator que participará como balanceador de carga debe serEquilibrador de carga. Él
Dirección IP principal de equilibrio de cargaEl campo debe contener la dirección IP del principal independiente. Él ContraseñaEl
campo debe coincidir con la contraseña establecida en la configuración principal independiente.

Guía de estudio de FortiAuthenticator 6.4 60

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

FortiAuthenticator también se puede configurar como un clúster activo-pasivo con equilibrio de carga distribuido
geográficamente. En el ejemplo que se muestra en esta diapositiva, Ottawa y Ottawa-DR están configurados en una
configuración HA activa-pasiva.

Independientemente de qué miembro del clúster activo-pasivo esté actualmente activo, la carga se distribuye a través de los balanceadores de
carga, utilizando su método preferido, como DNS de turno rotativo, distribución de carga del cliente Auth/NAS o dispositivos de balanceo de
carga externos. Los sistemas primario y secundario también pueden funcionar cada uno como un dispositivo primario independiente.

FortiAuthenticator sincroniza los enlaces de certificados a los balanceadores de carga para usuarios locales y remotos.

Guía de estudio de FortiAuthenticator 6.4 61

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

ÉlEstado de alta disponibilidadpágina muestra el estado actual del dispositivo, incluyendotipo de nodo(por ejemplo,Miembro
del clúster,Primaria independiente, oEquilibrador de carga),Prioridad(alto o bajo),Número de serie, yEstado.

Guía de estudio de FortiAuthenticator 6.4 62

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

De forma predeterminada, FortiAuthenticator utiliza el servidor SMTP integrado. Esto se proporciona por conveniencia, pero no es necesariamente
óptimo para entornos de producción. Los métodos antispam pueden bloquear el correo, por lo que debe retransmitir el correo electrónico a través de un
servidor de correo externo oficial para su dominio.

Para configurar un nuevo servidor SMTP, necesita un nombre, una dirección IP del servidor, un puerto (predeterminado 25) y una dirección de
correo electrónico del remitente. También puede optar por utilizar una conexión segura al servidor de correo seleccionandoINICIOTLS. Tenga
en cuenta que debe importar el certificado de CA que valida el certificado del servidor para que funcione STARTTLS. Examinará los certificados
de CA en otra lección.

Por último, si el servidor de correo electrónico requiere que se autentique al enviar correo, puede habilitar la autenticación y configurar el
nombre de usuario y la contraseña de la cuenta.

Guía de estudio de FortiAuthenticator 6.4 63

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Puede seleccionar cualquier servidor SMTP configurado y hacer clic en elEstablecer por defectopara designar ese servidor como el
servidor SMTP predeterminado. Sobre elServicios de correo electrónicopágina, puede seleccionar el servidor que usarán los
administradores y el servidor que usarán los usuarios. ÉlServidor SMTPLa lista desplegable contendrá todos los servidores SMTP
configurados, así como una selección para usar el servidor marcado como predeterminado.

Guía de estudio de FortiAuthenticator 6.4 64

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Para proporcionar más información procesable, FortiAuthenticator proporciona un registro detallado de intentos de envío SMTP
fallidos para usuarios administrativos. Puede revisar estos registros en elRegistrosvista.

Guía de estudio de FortiAuthenticator 6.4 sesenta y cinco

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

FortiAuthenticator proporciona dos servicios de correo electrónico distintos: uno para administradores y otro para usuarios.

Para cada grupo de destinatarios (administradores y usuarios), puede especificar el servidor SMTP a utilizar, así como
personalizar la dirección pública, que es la dirección o el enlace al sitio que recibirán los destinatarios del correo electrónico. Las
opciones incluyen:

• Descubrimiento automático: Use el nombre de dominio DNS si está configurado, u obtenga automáticamente la dirección desde el
navegador o una interfaz de red activa.
• Especificar una dirección: Introduzca manualmente la dirección y el número de puerto.
• Usar la dirección IP para una interfaz de red: Seleccione una interfaz de red específica en la lista desplegable.

Guía de estudio de FortiAuthenticator 6.4 66

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Si desea enviar mensajes SMS a los usuarios, debe configurar las puertas de enlace SMS. La configuración de la puerta de enlace de
SMS de FortiAuthenticator difiere según el protocolo que utiliza su proveedor de SMS, como SMTP, HTTP o HTTPS, por lo que debe
solicitar a su proveedor de SMS información sobre el uso de su puerta de enlace.

Al configurar las puertas de enlace de SMS, puede especificar cómo se envía el número de móvil. Las opciones disponibles
son Cadena JSONyNúmero JSON.

Guía de estudio de FortiAuthenticator 6.4 67

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

SNMP le permite monitorear el hardware en su red. Puede configurar el hardware, como el agente SNMP de
FortiAuthenticator, para informar información del sistema y enviar trampas (alarmas o mensajes de eventos) a los
administradores de SNMP. Un administrador o host de SNMP suele ser una computadora que ejecuta una aplicación que
puede leer los mensajes de captura y eventos entrantes del agente y enviar consultas de SNMP a los agentes de SNMP.

Con un administrador de SNMP, puede acceder a trampas y datos de SNMP desde cualquier interfaz de FortiAuthenticator
configurada para el acceso de administración de SNMP. Parte de la configuración de un administrador SNMP es incluirlo como
host en una comunidad en el dispositivo FortiAuthenticator que estará monitoreando. De lo contrario, el monitor SNMP no recibe
capturas de ese dispositivo y no puede consultar ese dispositivo.

Tenga en cuenta que la implementación de SNMP de FortiAuthenticator es de solo lectura. Los administradores de SNMP v1, v2c y v3 tienen
acceso de solo lectura a la información del sistema a través de consultas y pueden recibir mensajes de captura de FortiAuthenticator.

Guía de estudio de FortiAuthenticator 6.4 68

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Puede configurar SNMP en elSNMPpágina. La configuración de SNMP le permite establecer los umbrales que activan varias trampas de
SNMP. Tenga en cuenta que una configuración de cero desactiva la trampa.

Sin embargo, antes de que pueda monitorear la información del sistema de FortiAuthenticator y recibir trampas de
FortiAuthenticator, debe hacer lo siguiente:

• Configure una o más interfaces para aceptar conexiones SNMP. Esto permite que un administrador SNMP remoto
se conecte al agente de Fortinet. Puede habilitar las conexiones SNMP al habilitar el servicio SNMP en la interfaz
requerida.
• Descargue los archivos MIB de Fortinet y FortiAuthenticator para su administrador SNMP. Una MIB es un archivo de texto
que enumera los objetos de datos SNMP que se aplican al dispositivo que se va a monitorear. Estos MIB proporcionan
información que el administrador de SNMP necesita para interpretar los mensajes de captura, evento y consulta de SNMP
enviados por el agente SNMP de FortiAuthenticator. Puede descargar los archivos MIB en elSNMPen la GUI o desde el
portal de Servicio y soporte al cliente enhttps://support.fortinet.com.Están ubicados en el Imágenes de firmwarecarpeta
para el producto FortiAuthenticator.

Guía de estudio de FortiAuthenticator 6.4 69

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Guía de estudio de FortiAuthenticator 6.4 70

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

¡Felicidades! Has completado esta lección.

Ahora, revisará los objetivos que cubrió en esta lección.

Guía de estudio de FortiAuthenticator 6.4 71

 Usuarios Administrativos y Alta Disponibilidad

NO REIMPRIMIR
© FORTINET

Esta diapositiva muestra los objetivos que cubrió en esta lección. Al dominar los objetivos cubiertos en esta lección, aprendió
sobre las características clave de FortiAuthenticator y cómo configurar FortiAuthenticator para la configuración inicial.

Guía de estudio de FortiAuthenticator 6.4 72

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

En esta lección, aprenderá cómo administrar las políticas de cuenta de usuario y la configuración de administración, y cómo
autenticar a los usuarios a través de LDAP y RADIUS, así como del portal de autoservicio.

Guía de estudio de FortiAuthenticator 6.4 73

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

En esta lección, explorará los temas que se muestran en esta diapositiva.

Guía de estudio de FortiAuthenticator 6.4 74

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en la creación de usuarios locales, podrá importar usuarios, agregar usuarios manualmente, asignar
funciones de usuario y describir los atributos de RADIUS.

Guía de estudio de FortiAuthenticator 6.4 75

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

Hay dos formas de agregar usuarios locales a FortiAuthenticator:

• Importar usuarios desde un archivo CSV o un archivo de configuración de FortiGate
• Agregar usuarios manualmente

Tenga en cuenta que FortiAuthenticator incluye un portal de autoservicio, por lo que los usuarios pueden registrarse ellos mismos. El
autorregistro se trata en esta lección.

Guía de estudio de FortiAuthenticator 6.4 76

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

Puede importar cuentas de usuario locales desde un archivo CSV o desde un archivo de configuración de FortiGate, en laUsuarios locales
página.

Si está importando desde un archivo CSV, el archivo debe contener solo un registro por línea en el formato aceptado. El formato
aceptado está disponible en elGuía de administración de FortiAuthenticator. Si no incluye la contraseña opcional en el registro,
FortiAuthenticator envía por correo electrónico las credenciales de inicio de sesión temporales del usuario y solicita que el usuario
configure una nueva contraseña.

Si está importando desde un archivo de configuración de FortiGate, FortiAuthenticator ofrece las siguientes opciones:
• Importar solo usuarios
• Importar usuarios y solo su hardware FortiToken asociado
• Importe todos los usuarios y el hardware de FortiToken (también importa FortiTokens no asignados)

También debe ingresar la contraseña asociada con el archivo de configuración de FortiGate al importar, si se le
asigna una.

Guía de estudio de FortiAuthenticator 6.4 77

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

La otra forma de agregar usuarios locales es creándolos manualmente. Puedes hacer esto en el mismoUsuarios locales
página haciendo clicCrear nuevo.

Primero, debe establecer un nombre de usuario (253 caracteres o menos y puede incluir solo letras, dígitos y símbolos
específicos) y una contraseña. Hay tres formas de manejar la contraseña:

• Especificar una contraseña: El administrador asigna una contraseña inmediatamente y se la comunica al usuario.

• Establecer y enviar por correo electrónico una contraseña aleatoria: FortiAuthenticator crea una contraseña aleatoria y la envía automáticamente por
correo electrónico al nuevo usuario. Para usar esta opción, debe ingresar la dirección de correo electrónico del usuario.
• Sin contraseña, solo autenticación FortiToken: No se asigna ninguna contraseña porque solo se utilizará la
autenticación basada en token. Si selecciona esta opción, la cuenta de usuario se agrega, pero se deshabilita hasta que
asocie un FortiToken con la cuenta de usuario. Aprenderá más sobre FortiTokens más adelante en esta lección.
• Permitir autenticación RADIUS: Los usuarios creados localmente podrán autenticarse a través de RADIUS.

Guía de estudio de FortiAuthenticator 6.4 78

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

Después de configurar el nombre de usuario y la contraseña, debe asignar una función de usuario. Puedes elegirAdministradorpara crear una
cuenta de administrador, oUsuariopara crear una cuenta de usuario. Esta lección se centra en la creación de usuarios finales. Para crear un
usuario final, seleccioneUsuariocomo el papel. Después de seleccionar la función de usuario, puede habilitar la caducidad de la cuenta en caso
de que el usuario nunca active la cuenta o la cuenta esté destinada a ser temporal. Puede configurar la cuenta de usuario para que caduque
después de un período de tiempo determinado (por ejemplo, 8 horas) o en una fecha específica. Después de agregar la cuenta de usuario local,
FortiAuthenticator proporciona configuraciones de cuenta adicionales que puede configurar.

Al igual que los usuarios administradores, puede especificar información adicional de la cuenta de usuario (dirección, número de teléfono/móvil,
idioma y organización), direcciones de correo electrónico alternativas, opciones de recuperación de contraseña, grupos y enrutamiento de correo
electrónico.

Sin embargo, existen configuraciones adicionales específicas para las cuentas de usuario, que incluyen:
• Permitir navegación LDAP: Esto permite ver el contenido del directorio (es decir, operaciones de solo lectura que no modifican el
contenido del directorio LDAP). Se aplica solo a usuarios que no son administradores.
• Atributos de RADIO: Esto permite que FortiAuthenticator reciba información sobre un usuario autenticado a través de atributos
específicos del proveedor de RADIUS. Los atributos de las cuentas de usuario pueden especificar información relacionada con el
usuario. Aprenderá sobre los atributos de RADIUS con más detalle en esta lección.
• Enlaces de certificados: Esto le permite vincular un certificado local a la cuenta de un usuario.

ÉlPatrocinadorEl rol es equivalente a un administrador con permisos de lectura y escritura para elUsuarios invitadossubmenú solamente.

Guía de estudio de FortiAuthenticator 6.4 79

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

Algunos clientes RADIUS pueden recibir información sobre los usuarios a través de atributos RADIUS específicos del proveedor.
Cuando un usuario de RADIUS se autentica correctamente, FortiAuthenticator envía los atributos y valores de RADIUS del usuario al
cliente de RADIUS.

El ejemplo que se muestra en esta diapositiva pasaAdministradores de cortafuegosal cliente para el usuario remotoaduser1como
atributo de FortinetNombre del grupo de Fortinet. Como otro ejemplo, hay un atributo exclusivo de Fortinet llamado Dirección IP
del cliente de Fortinet. Especifica la dirección IP asignada a ese usuario específico al establecer un túnel VPN SSL. Por lo tanto,
puede configurar FortiAuthenticator y FortiGate para asignar siempre la misma dirección IP estática a un usuario. FortiAuthenticator
almacena las direcciones IP como parte de la información de la cuenta del usuario y las envía a FortiGate, después de que el usuario
se haya autenticado con éxito.

Puede configurar los atributos de RADIUS en elUsuarios localesoUsuarios remotospaginas

Guía de estudio de FortiAuthenticator 6.4 80

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

También puede configurar los atributos de RADIUS por grupo de usuarios en elGrupos de Usuariospágina. En el ejemplo que se muestra en
esta diapositiva, los miembros del grupoAdministrador de cortafuegostener el atributo FortinetNombre del grupo de Fortinet devuelto
con un valor deAdministradores remotos de AD. Si los atributos se han establecido tanto a nivel de usuario como de grupo, el cliente
determinará cómo manejar los múltiples atributos.

Guía de estudio de FortiAuthenticator 6.4 81

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

Guía de estudio de FortiAuthenticator 6.4 82

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende cómo crear usuarios locales.

Ahora, aprenderá a configurar servidores de autenticación remota.

Guía de estudio de FortiAuthenticator 6.4 83

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en la configuración de servidores de autenticación remota, podrá describir la

autenticación remota con LDAP y RADIUS, así como importar usuarios remotos.

Guía de estudio de FortiAuthenticator 6.4 84

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

Puede configurar FortiAuthenticator para conectarse a un servidor LDAP remoto en elLDAPpágina. Debe ingresar toda
la información requerida sobre el servidor LDAP remoto, como la dirección IP (o FQDN), así como el puerto de
conexión. También tiene la opción de configurar un servidor secundario. Al agregar el nombre distinguido base (dn) del
servidor LDAP remoto, debe usar el formato X.500 o LDAP correcto.

Al seleccionar un tipo de vinculación, que determina cómo se envía la información de autenticación al servidor, puede
seleccionar:
• Simple, para vincular utilizando la contraseña del usuario, que se envía al servidor en texto sin formato sin una búsqueda.
• Regular, para vincular utilizando el dn y la contraseña del usuario y luego realizar una búsqueda. Se requiere un enlace
normal si se busca un usuario en varios dominios.

Puede seleccionar un tipo de servidor y aplicar una plantilla asociada. La plantilla llena elElemento de consulta campos para
ese tipo de servidor.

Si desea tener una conexión segura entre FortiAuthenticator y el servidor LDAP remoto, habilite Conexión
segurae incluya el protocolo del servidor LDAP (LDAPS o STARTTLS), así como cualquier certificado de CA de
confianza.

Guía de estudio de FortiAuthenticator 6.4 85

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

Puede configurar FortiAuthenticator para conectarse a un servidor RADIUS remoto en elRADIOpágina. También puede usar esta
función para migrar fuera de las plataformas de autenticación de dos factores de terceros. La compatibilidad con RADIUS sobre TCP y
TLS (RADSEC) garantiza una seguridad completa.

Debe ingresar toda la información requerida sobre el servidor RADIUS remoto, como la dirección IP, el puerto y el secreto
compartido. También tiene la opción de configurar un servidor secundario para la redundancia.

Si desea registrar y saber qué usuarios se están autenticando en este servidor RADIUS, habiliteHabilitar el modo
de aprendizajeen elMigración de usuariossección. Debe habilitar esta opción si necesita migrar usuarios del
servidor a FortiAuthenticator.

Guía de estudio de FortiAuthenticator 6.4 86

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

Agrega usuarios remotos de LDAP y RADIUS remotos a FortiAuthenticator de manera diferente.

Para usuarios LDAP remotos, debe importar usuarios a la base de datos de usuarios de FortiAuthenticator desde sus servidores
LDAP remotos.

Puede crear usuarios RADIUS remotos basados en un servidor RADIUS remoto. Puede migrar usuarios de RADIUS remotos a
usuarios de LDAP, así como editarlos y eliminarlos. También puede marcar usuarios remotos de RADIUS con la función de usuario o
la función de administrador.

Guía de estudio de FortiAuthenticator 6.4 87

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

Puede importar usuarios LDAP remotos en elUsuarios remotospágina. En la esquina superior derecha, asegúrese deUsuarios de LDAPestá
seleccionado y, a continuación, haga clic enImportar.

Debe seleccionar un servidor LDAP remoto preconfigurado y luego importar usuarios o importar usuarios por membresía
de grupo.

Después de que FortiAuthenticator se conecte a su servidor LDAP preconfigurado, puede ver a sus usuarios remotos según el filtro
LDAP predeterminado(&(objectClass=usuario)(objectCategory=persona)). La configuración predeterminada, que se muestra en esta
diapositiva, importa los atributos comúnmente asociados con las implementaciones LDAP de Microsoft Active Directory. El valor del
filtro varía según el tipo de servidor LDAP. También puede configurar los atributos de usuario para editar los atributos de asignación
de usuarios LDAP remotos.

Seleccione los usuarios que desea importar. Si tiene organizaciones configuradas, puede optar por agregar usuarios a una
organización específica.

Guía de estudio de FortiAuthenticator 6.4 88

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

Los atributos LDAP y los campos a los que están asignados se pueden definir mediante elAtributos de usuariobotón. Esto le
brinda la flexibilidad de personalizar los atributos que se importan.

Guía de estudio de FortiAuthenticator 6.4 89

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

FortiAuthenticator también le permite crear reglas de sincronización para controlar cómo y cuándo se sincronizan los usuarios de LDAP
remotos. Puedes hacer esto en elReglas de sincronización de usuarios remotospágina.

Como mínimo, debe:

• Seleccione el servidor LDAP remoto preconfigurado desde donde se sincronizarán los usuarios.
• Especificar las prioridades de sincronización de la autenticación basada en token. Arrastre y suelte las opciones hacia arriba y hacia abajo en la lista para
establecer un orden de prioridad.
• Especifique si desea sincronizar usuarios como usuarios LDAP remotos, usuarios RADIUS remotos o usuarios locales.
• Especifique si desea sincronizar la autenticación FIDO para las cuentas de usuario.
• Especifique con qué frecuencia FortiAuthenticator debe realizar la sincronización (por ejemplo, cada <x> minutos, cada <x>
horas o cada <x> días).

Al seleccionar sincronizar usuarios remotos como usuarios locales, FortiAuthenticator creará una contraseña para el registro. Toda la demás
información del usuario se sincronizará.
Puede asignar roles a nuevas cuentas de usuario y crear una asociación de grupo.

Guía de estudio de FortiAuthenticator 6.4 90

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

Puede crear usuarios RADIUS remotos en elUsuarios remotospágina. En la esquina superior derecha, seleccioneusuarios de RADIO,
luego haga clicCrear nuevo.

Debe seleccionar un servidor RADIUS remoto preconfigurado y crear un nombre de usuario para el usuario RADIUS
remoto. Puede especificar el tipo de autenticación y seleccionar el rol de usuario para asignar a la cuenta, ya sea
Administrador,Patrocinador, oUsuario.

Una vez creada, tiene la opción de realizar las siguientes tareas en una o más cuentas al mismo tiempo:
• Vuelva a habilitar las cuentas de usuario en caso de que estén deshabilitadas.
• Migrar usuarios de RADIUS a usuarios de LDAP.
• Establecer si FortiAuthenticator debe forzar la autenticación basada en token (si está configurada) o si debe
omitirla.

También tiene la opción de editar o eliminar cualquier cuenta de usuario de RADIUS remoto.

Guía de estudio de FortiAuthenticator 6.4 91

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

Guía de estudio de FortiAuthenticator 6.4 92

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

¡Buen trabajo! Ahora comprende cómo configurar servidores de autenticación remotos.

Ahora aprenderá a configurar los servicios LDAP y RADIUS.

Guía de estudio de FortiAuthenticator 6.4 93

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.

Al demostrar competencia en la configuración de los servicios LDAP y RADIUS, podrá configurar

FortiAuthenticator como un servidor RADIUS o LDAP.

Guía de estudio de FortiAuthenticator 6.4 94

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

Cuando configura el servicio LDAP en FortiAuthenticator, debe especificar la configuración del certificado del
servidor LDAP en elGeneralpágina. Esto incluye configurar:

• El certificado que presentará el servidor

• El tipo de autoridad certificadora (CA) (es decir, si es unaCA localoCA de confianza)
• El certificado de CA que emitió el certificado del servidor

ÉlAprovisionamiento automático de usuarios de LDAPLa configuración le permite seleccionar qué usuarios se aprovisionan (agregan) automáticamente
a la estructura de directorios LDAP de FortiAuthenticator. En el ejemplo que se muestra en esta diapositiva, el usuario usuario1, se creó manualmente en
la GUI como un usuario local. Luego, el Usuario1 se aprovisionó automáticamente al contenedor seleccionado en el árbol de directorios. Los usuarios se
pueden aprovisionar automáticamente cuando se crean utilizando cualquiera de los siguientes cuatro métodos:

• GUI (usuarios locales creados manualmente)

• GUI (usuarios locales importados)
• Auto-registro
• API

Guía de estudio de FortiAuthenticator 6.4 95

 Administración y autenticación de usuarios

NO REIMPRIMIR
© FORTINET

Otro elemento que debe configurar es el árbol de directorios LDAP. El árbol de directorios incluye un nombre
distinguido raíz (dn) y objetos subordinados, como contenedores y hojas.

El dn raíz es el nivel superior del directorio LDAP, comodc=entrenamiento,dc=laboratorio, y sólo puede haber uno.
Todo lo demás en su directorio se bifurca desde la raíz dn. Elija un dn que tenga sentido para su organización.

Coloque los objetos subordinados debajo de la raíz dn. Los objetos que agrega dependen de sus requisitos. Haga clic en el ícono
verde más al lado del dn raíz para agregar objetos. En el ejemplo que se muestra en esta diapositiva, el objeto es un contenedor
de unidad organizativa (ou)gente.

Tenga en cuenta que si su organización cambia su estructura o se expande, puede mover la rama en el árbol de
directorios LDAP. Haga clic y arrastre la sucursal desde su ubicación actual a su nueva ubicación.

Guía de estudio de FortiAuthenticator 6.4 96