Sinopsis de RADIUS - Metasys - LIT-12011279 - General System Information - Metasys System - 10.1

Boletín técnico de orientaciones sobre redes y TI

Brand
Metasys
Product name
Metasys System
Document type
Technical Bulletin
Document number
LIT-12011279
Version
10.1
Revision date
2020-11-13
Language
Español (España)

Existe la opción de configurar el servidor y motores de red seguros para autenticar el acceso de usuarios no locales mediante un servidor RADIUS (Remote autenticación Dial-In User Service, servicio de autenticación remota telefónica de usuario). RADIUS lo utiliza el servidor y los motores de red para autenticar la identidad de los usuarios no locales autorizados del sistema.

Todos los usuarios de RADIUS deben tener definido un usuario del sistema Metasys para el que se crea y mantiene la autorización de Metasys. La implementación de RADIUS en el servidor y los motores de red se rige por los siguientes documentos RFC de Internet:

  • RFC 2865 - Remote Authentication Dial In User Service
  • RFC 2548 - Microsoft Vendor-specific RADIUS Attributes
  • RFC 2759 - Microsoft Point-to-Point Protocol (PPP) Challenge Handshake Authentication Protocol (CHAP) Extensions, Version 2

La implementación de RADIUS en el sistema Metasys es la siguiente:

  • El sistema Metasys no importa la autorización; todos los usuarios del sistema Metasys, tanto locales (Metasys) como no locales (RADIUS), se autorizan mediante una configuración efectuada en línea en SMP que después se almacena en la base de datos de seguridad de Metasys.
  • El ID de usuario debe coincidir con lo que se espera autentique el servidor RADIUS, con o sin @domain definido por la implementación local de RADIUS.
  • Como el sistema Metasys no autentica localmente a los usuarios no locales, todas las funciones de contraseña no están disponibles o se omiten al crear y mantener cuentas de usuarios no locales de Metasys. Las contraseñas de RADIUS nunca se almacenan en la base de datos de seguridad de Metasys.
  • La autorización del usuario de RADIUS puede configurarse como administrador, usuario, operador, mantenimiento o cualesquiera roles personalizados que se creen en el sistema Metasys.
  • Cuando un usuario no local recibe un número de fallos consecutivos de autenticación de RADIUS y la cuenta se ha configurado para bloquearse tras recibir ese número de intentos fallidos de inicio de sesión, la autorización del sistema Metasys se bloquea, impidiendo al usuario acceder al dispositivo del sistema Metasys hasta que un administrador del sistema Metasys desbloquee la cuenta.

  • Cuando el sistema RADIUS autentica un usuario no local y la programación del sistema Metasys prohíbe el acceso durante el inicio de sesión, falla el intento de inicio de sesión del usuario.

Cuando se suministra al sistema Metasys un nombre de usuario no local para iniciar sesión, tras confirmar que la contraseña introducida cumple las reglas de complejidad de Metasys, el controlador transfiere las credenciales, incluyendo el nombre de usuario y la contraseña, al servidor RADIUS configurado para la autenticación. Una vez que el servidor RADIUS haya confirmado el acceso autenticado, se le concederá autorización como se especifica en la base de datos de seguridad de Metasys.

Los mensajes de error de autenticación de RADIUS se ocultan adrede para obstaculizar posibles intrusiones de usuarios no autorizados. En Errores de RADIUS se describen algunas situaciones que pueden provocar mensajes de error. Los mensajes descriptivos de fallo de inicio de sesión del sistema Metasys se presentan al usuario solo cuando el servicio RADIUS está desactivado. Cuando RADIUS está activado, los mensajes de fallo de autenticación locales y no locales son idénticos y confusos.