Configurar la integración del servidor LDAP en controladores WHG de 4ipnet

Esta guía técnica tiene como objetivo explicar el flujo para la configurar de manera práctica y sencilla, la integración del servidor LDAP con los controladores WHG de 4ipnet.

Un Controlador WHG de 4ipnet, ofrece una integración simple al servidor LDAP con un flujo de inicio de sesión directo en el cual, los usuarios pueden utilizar el inicio de sesión basado en la web (o el método de acceso universal, UAM) para tener acceso a la red WiFi.

Con la funcionalidad integrada AAA, los controladores WHG permiten varios métodos de autenticación que utilizan diferentes servidores internos y externos, y LDAP es uno de los protocolos admitidos para comunicarse con servidores externos, además de RADIUS, POP3 y SIP.

Desde la interfaz de administración web del controlador WHG, los administradores de red pueden configurar las cespecificaciones para que se integre el servidor LDAP, que puede ser por ejemplo, un servidor Windows que admita Windows Active Directory o un servidor OpenLDAP.

Una vez integrados, los usuarios de la red podrán utilizar el inicio de sesión basado en web para autenticarse y acceder a la red WiFi.

Los usuarios autenticados a través del servidor LDAP, se pueden asignar a un grupo particular para la aplicación de diferentes políticas y términos. Además, estos usuarios autenticados también se pueden asignar a diferentes grupos basados ​​en diferentes atributos LDAP, utilizando la función de asignación de grupos de atributos para proporcionar una administración de usuarios flexible.

1. Comunicación entre el controlador WHG y el servidor LDAP

El siguiente diagrama ilustra la comunicación entre un controlador WHG de 4ipnet y el servidor LDAP configurado en el proceso de autenticación de usuario.

Comunicación entre el controlador WHG y el servidor LDAP

Primero, el usuario puede iniciar sesión enviando sus credenciales en la página de inicio de sesión. A continuación, el controlador enviaría las credenciales al servidor LDAP externo configurado. Luego, el servidor LDAP enviará una respuesta de autenticación (permitir o denegar) al controlador, que redirigirá al usuario a la página de acceso (si el inicio de sesión fue exitoso) y/o fallo de inicio de sesión (en el caso contrario).

2. Pasos para configurar la integración del servidor LDAP con un controlador de 4ipnet

Como ejemplo, la siguiente topología de red se usa con un servidor de Windows que soporta que Windows Active Directory sea el servidor LDAP.

configurar la integración del servidor LDAP

2.1 Configuración de Windows Active Directory (AD)

a. Crea una Unidad Organizacional.

Crea una Unidad Organizacional Unidad Organizacional

b. Crea un usuario

crear usuario

2.2 Configuración del navegador LDAP para consultar datos del servidor LDAP

Se puede usar un navegador LDAP para consultar los datos del servidor LDAP y verificar si el servidor funciona correctamente. Softerra es una herramienta que se usa para navegadores LDAP.

a. Crea un nuevo perfil

Softerra Softerra crear nuevo perfil

Después de configurar el nuevo perfil, el navegador LDAP consultará la información en Windows AD y mostrará la información.

el navegador LDAP consultará la información en Windows AD

2.3 Configuración del servidor LDAP en controladores WHG

a. Ve a Usuarios > Autenticación externa > LDAP, completa la información necesaria y elije Windows AD como Tipo de enlace.

elije Windows AD como Tipo de enlace

A continuación algunos de los términos en esta página.

Protocolo de servicio

  • LDAP: el protocolo de servicio LDAP original que usa TCP/UDP como protocolo de transporte y generalmente usa el puerto 389 para las conexiones. La conexión LDAP no está encriptada y la contraseña se envía y almacena en texto claro.
  • LDAPS: las conexiones de LDAPS completas se codifican con SSL y el tráfico se maneja en un puerto separado, típicamente el puerto 636.
  • LDAP + StartTLS: este protocolo permite que las conexiones se cifren mediante SSL o TLS utilizando el mismo puerto 389 que LDAP.

DN Base:

Nombre Base para la búsqueda LDAP. Esta información se puede encontrar usando el navegador LDAP.

Nombre Base para la búsqueda LDAP

Tipo de enlace:

Este enlace se refiere a la autenticación del Controller WHG por parte del servidor LDAP. El controlador debe estar autenticado para acceder al servidor LDAP.

  • Cuenta de usuario: un tipo de enlace heredado que se une a un determinado DN. El controlador solo puede consultar información del usuario en este DN, pero no en sus subdirectorios.
  • Anónimo: permite al controlador consultar información del usuario sin autenticación.
  • DN especificado: se debe configurar una cuenta para que el controlador pueda usar esa cuenta y consultar la información del usuario.
  • Windows AD: los nombres de dominio deben configurarse en Windows AD antes de que el controlador pueda buscar el nombre de inicio de sesión en Windows AD en función de las credenciales enviadas por los usuarios.
active directory user and computers

Atributo de la cuenta:

Atributo de cuenta proporciona opciones para usar UID, CN o sAMAccountName como credenciales de inicio de sesión. Cuál usar depende del servidor externo y sus configuraciones.

  • UID: ID de usuario, generalmente utilizado para OpenLDAP.
  • CN: Nombre común que generalmente es el nombre completo de una persona y admite el uso del espacio.
  • sAMAccountName: el nombre de inicio de sesión en Windows AD y no admite el uso de espacio.

Nota: Para la conmutación por error, se puede configurar un servidor LDAP secundario para que cuando el controlador no pueda alcanzar el servidor LDAP primario, el controlador envíe solicitudes de autenticación al servidor LDAP secundario.

2.4 Configuración de mapeo de grupos de atributos

Por defecto, los controladores de 4ipnet pueden asignar usuarios a un grupo en particular con sus políticas y términos definidos. Sin embargo, con la función de asignación de grupos de atributos, el controlador puede asignar usuarios a diferentes grupos en función de diferentes atributos LDAP para una administración de usuarios más flexible. En este ejemplo, se crea un grupo en Windows AD como un ejemplo de posibles atributos LDAP, y un usuario con este atributo iniciará sesión en el controlador y se le asignará un grupo particular en el controlador basado en diferentes atributos LDAP después de la autenticación.

a. Crea un grupo de usuarios y asigne el grupo a una cuenta de usuario en Windows AD

cuenta de usuario en Windows AD

b. Utiliza un navegador LDAP para consultar información de la cuenta y verificar si la cuenta tiene el atributo correcto

navegador LDAP

Ve a Usuarios > Autenticación externa > LDAP > Asignación de atributos LDAP, habilita la función, completa el Nombre de atributo LDAP y el Valor y elije el Grupo apropiado para mapeo.

Nota: Cuando una cuenta tiene asignación de atributos múltiples a diferentes grupos, el controlador usará la primera asignación.

using Account Attributes

La información de la cuenta también se puede consultar utilizando los Atributos de la cuenta.

Atributos de la cuenta

Después de la autenticación, los usuarios también pueden asignarse a diferentes grupos en el controlador en función de diferentes atributos LDAP utilizando la función de asignación de grupos de atributos para proporcionar una administración de usuario más flexible.

WifiSafe se dirige a profesionales, pequeñas y medianas empresas, grandes organizaciones y compañías o administraciones públicas, como una alternativa de solución segura y profesional.

CONOCE NUESTROS PRODUCTOS Y SOLUCIONES WIRELESS
.

Para obtener más información, ponte en contacto con el Departamento de Soporte 807 450 005 o el Departamento de Pedidos 902 506 100 o envía un correo electrónico a info@wifisafe.com

PRODUCTOS Y SOLUCIONES WIRELESS