Autenticación

Opciones de autenticación

Fortinet dispone de numerosas soluciones de autenticación para cada una de las empresas basadas en Fortigate y FortiAuthenticator, sin embargo, a veces es complicado decidir qué  solución es mejor para cada entorno. En esta entrada vamos a repasar las distintas opciones y cuándo aplican.

Formas de autenticar

1)      FG con portal cautivo. Se trata de una autenticación explícita (no transparente) pero no es necesario montar ninguna infraestructura e incluso puede funcionar sin LDAP o RADIUS. Recomendada para redes de invitados o entornos con poca infraestructura.

2)      FG con LDAP Polling. Es la solución más básica de SSO, simplemente el firewall pregunta al LDAP para ir comprobando los nombres de usuarios. Tiene la ventaja de no necesitar desplegar agentes, pero el inconveniente de estar limitado a entornos no muy grandes ni complejos, por lo que se suele usar o en sitios pequeños o para pilotos.

3)      FG con DCAgent (TS-Agent y otros agentes).  En este despliegue, entran en juego agentes específicos en los Domain Controllers y Terminal Server para controlar la movilidad de los usuarios. Un colector (desplegado en un servidor o PC Windows) se encarga de aglutinar toda la información de los usuarios y enviarla a los Fortigate. Con esta solución podemos abordar el 80% de los proyectos habituales que no sean excesivamente complejos (uno o dos dominios) ni con exigencias excesivas de roaming.

4)      FAC como colector. Añadir FortiAuthenticator nos permitirá más granuralidad en la gestión de dominios, múltiples clústers de Fortigate y mezclar esos usuarios con otras fuentes como pueden ser LDAP, RADIUS o cualquier otra aplicación que gestione autenticaciones. Además permitirá añadir herramientas para facilitar la gestión de invitados, 2FA-tokens y automatismos.

Con esas 4 soluciones podremos cubrir cualquier método de autenticación, pero aún nos queda lidiar con el problema del roaming. En algunas redes, los equipos se autentican en un entorno (por ejemplo la red LAN) y después realizan otra autenticación distinta en otro entorno (por ejemplo en la WiFi). Mantener coherencia entre ambas autenticaciones puede ser complejo en algunas redes y para ello Fortinet dispone de las siguientes herramientas dependiendo de los escenarios:

Recordando además que en cualquier caso, FAC les facilitará el despliegue en entornos que tengan:

1)      2FA de forma general.

2)      Entornos multi-domain complejos.

3)      Entornos con varias fuentes de auth (Por ejemplo AD + OpenLDAP + RADIUS/802.1X)

4)      Entornos con una autenticación no estándar (por ejemplo una fuente no LDAP/RADIUS como puede ser SAML, Citrix, Google, O365…)

5)      Entornos con movilidad en los que se necesite un roaming inmediato entre dos autenticaciones.

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *