En esta guía se detalla el proceso de implementación y configuración del servicio RADIUS en Sophos, así como su integración con un servidor NPS en un entorno de Active Directory.
Implementar el servicio Radius en Sophos
Iremos al apartado de Autenticación:
Ahora en la sección de Servers le daremos a ADD para añadir el servicio de Radius:
A continuación seleccionamos en el Server Type (Radius Server) y completamos los siguientes campos que nos aparecerán:
1- Nombre del Servidor NPS
2- Ip del Servidor NPS
3- Puerto de autenticación (por defecto está en el 1812, lo cambiaremos al 1645 que es el puerto por defecto de Radius)
4- Tiempo de espera para la autenticación
5- Secreto Compartido
6- Group name attribute (para probar la conexión de momento lo dejaremos en group)
Comprobamos la conexión con el servidor, hemos de indicar unos credenciales que hayan sido dados de alta en el servicio NPS del Panel de Ironchip:
Ahora si queremos usar la autenticación de Radius en un servicio de Sophos, nos dará fallo de autenticación porque los usuarios nos dé encuentran disponibles en la base de datos local de Sophos, para solucionar este problema crearemos un grupo en Sophos que es donde se almacenarán los usuarios con permisos de Autenticación:
Vamos a la sección de grupos y le damos a Add. (Esta opción no es necesaria si ya tenemos un grupo creado)
Rellenamos los campos obligatorios.
Añadir atributo a una política de red
Una vez que hemos añadido el grupo, le indicaremos al servidor NPS mediante un atributo que grupo va a ser el que maneje los usuarios de autenticación.
Para ello primero iremos a la directiva de red anteriormente generada y le añadiremos el atributo Filter-Id:
Hacemos doble clic sobre la directiva.
Hacemos doble clic sobre la directiva y vamos al apartado de configuración.
En el apartado de Atributos Radius elegiremos Estándar y le daremos a agregar y seleccionamos el atributo Filter-Id y le damos a agregar.
En la ventana que nos sale a continuación le indicaremos el valor del atributo, va a ser cadena y debajo le indicamos el grupo que hemos creado previamente en el Sophos.
Una vez añadido el atributo el Servidor NPS, le tendremos que indicar en el Sophos el atributo que acabamos de añadir.
Para ello iremos al apartado de Autenticación, en la sección de Servers editamos la configuración hecha previamente y en el apartado de Group Name Attribute, y le indicaremos el atributo Filter-Id.
Funcionamiento
Una vez configurado, es hora de probarlo en un servicio de Sophos. En la sección de Services tenemos todos los servicios de Sophos en los que podemos implementarlo, en este caso lo comprobaremos con el portal de Usuario de Sophos.
Vamos al apartado User portal authentication methods, le activamos la casilla de radius y lo movemos encima del Local para que tenga prioridad y le damos a aplicar.
A continuación, ingresamos en el portal de usuario, en apartado de Administración, en la sección de Admin and Users settings hay un apartado con los puertos en los que se encuentran los diferentes portales que tiene Sophos.
En este caso está en el 4443, así que entraremos en el portal de usuario e iniciaremos con un usuario que se encuentre en el Dominio y este configurado en el panel de Ironchip. En este caso yo usaré un usuario llamado Prueba.
Podemos comprobar que cuando haces una conexión con un usuario inexistente en la base de datos local de Sophos, nos lo crea y nos lo añade al grupo que le hemos indicado en la Directiva de Red.
Una vez que introducimos las credenciales nos llegará una notificación del Autenticador de Ironchip para que la aceptemos.
Por último, si quisiéramos usarlo para el servicio de VPN haremos un proceso similar, iremos al apartado de Authentication, vamos al apartado VPN SSL, le activamos la casilla de Radius y lo ponemos por encima de Local para que tenga prioridad. Descargamos el archivo de configuración desde el portal de Usuarios y lo añadimos al cliente VPN