Este artículo explica cómo configurar los ajustes de Pre Login para proporcionar autenticación inicial para acceder de forma segura a redes y recursos.
Pre Login es un componente esencial de la Arquitectura de Red de Confianza Cero (ZTNA). Proporciona acceso a dispositivos basado en su Autenticación de Dispositivo y antes de que el usuario sea autenticado. La política granular de Pre Login define una política de acceso limitado de Destinos Permitidos que se aplican a dispositivos de confianza.
La característica de Pre Login de Cato aborda el problema de la autenticación inicial para un dispositivo, un ejemplo común es que un nuevo dispositivo se envía a un nuevo usuario remoto. El dispositivo necesita conectarse al Directorio Activo (AD) de la empresa para completar la autenticación del usuario. Sin embargo, dado que este es un Dispositivo nuevo, no hay credenciales de Usuarios de Windows en él, y no se permite a los Usuarios no autenticados conectar al AD.
La solución de Cato se basa en pre-desplegar un certificado de confianza y el Cato Client en el dispositivo. Esto establece suficiente confianza para permitir que el dispositivo se conecte a los recursos de Pre Login que usted configura. Entonces el usuario puede autenticarse de manera segura en el dispositivo.
Tan pronto como el dispositivo pueda conectarse al Internet público (por ejemplo, WiFi en la casa del usuario), o si un usuario de Windows cierra sesión, la función Pre Login de Cato permite que el dispositivo se conecte a los recursos de Pre Login.
Durante esta etapa de Pre Login, el dispositivo extrae su dirección IP del rango predeterminado de direcciones IP. Debe asegurarse de que su sistema esté activo para trabajar con el rango predeterminado.
El dispositivo Windows está preconfigurado con el Cato Client, un certificado de confianza, y el registro de Windows está configurado con el nombre de la cuenta. El Client luego se conecta a los recursos relevantes, por ejemplo, conectarse al AD y el usuario luego autentica el dispositivo. Una vez que el dispositivo Windows se autentica exitosamente con la Cato Cloud, las credenciales de usuario de Windows se guardan en el dispositivo, y en el futuro puede autenticarse y conectarse al AD según sea necesario.
Una vez autenticado el usuario, si coincide con una regla para una dirección IP estática o IP Dinámica, obtendrá su dirección de ese rango.
Los dispositivos Windows que cumplen con todos estos requisitos previos pueden utilizar la función de Pre Login de Cato.
-
Requisitos del Cato SDP Client:
-
Soportado desde la versión 5.4 del Cliente de Windows y posteriores
-
El Client está instalado en el dispositivo
-
-
Requisitos del certificado:
-
Suba un certificado de firma privado (no el certificado de Cato) a la Aplicación de Administración de Cato (Acceso > Acceso de Cliente > Certificados de firma)
Para más información sobre la carga de certificados, consulte este artículo.
-
Instale un certificado de dispositivo firmado en el dispositivo Windows
-
-
Configure el registro de Windows para el Client en el dispositivo Computer\HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN:
-
Habilitar Pre Login para este dispositivo
PreLogin (DWORD), valor de datos 1
-
Configure el nombre de la cuenta tal como aparece en la Cato Management Application
Subdomain (String), valor de datos <subdominio de la cuenta>
Por ejemplo, el nombre de la Cuenta SampleCo tiene el Dominio completo: sampleco.via.catonetworks.com
donde sampleco es el <subdominio de cuenta>Puede mostrar el subdominio de su cuenta en Acceso > Single Sign-On
-
Después de que el Client realice exitosamente la autenticación inicial con la Cato Cloud, el registro se actualiza automáticamente
-
(Opcional) Si está configurando Always-On desde el principio, defina la siguiente clave:
InitialAlwaysOn (DWORD), valor de datos 1
-
-
Para cuentas que usan un servidor DNS privado (incluyendo servidores AD internos), configure estos ajustes:
-
El servidor DNS privado se define como un Destino Permitido
Los servidores DNS definidos para la cuenta se incluyen automáticamente como un Destino Permitido
-
Encaminamiento DNS está habilitado y configurado para el servidor DNS privado
-
Por defecto, el Cato Client establece el servidor DNS como 10.254.254.1
Si su cuenta usa un rango de servicio personalizado, la dirección IP para DNS es x.y.z.3
-
-
Los SDP Clients que están configurados con Always-On, solo tienen permitido conectarse a:
-
WAN - Recursos definidos en Destinos Permitidos
-
Internet - Autenticar al usuario con el IdP
-
-
Los SDP Clients sin las configuraciones de Always-On (incluyendo dispositivos nuevos), tienen permitido conectarse a:
-
WAN - Recursos definidos en Destinos Permitidos
-
Internet - El dispositivo Windows puede conectarse a cualquier recurso en Internet
-
-
Por razones de seguridad, recomendamos que defina el rango de IP más pequeño para un Destino Permitido
Si tanto Pre Login como Conectar al iniciar están habilitados, después de que el dispositivo inicie, el Cliente entra en estado de Pre Login. Una vez que un usuario inicia sesión en el dispositivo, el Client intenta autenticar al usuario. Para más información, consulte Comprender el flujo de conexión del Cliente Cato.
-
Desafío - Un dispositivo Windows completamente nuevo se envía a un empleado en su casa. El AD corporativo está detrás de un Cato Site, por lo que el nuevo usuario no puede conectarse a él.
-
Solución - El dispositivo cumple con los requisitos previos de Pre Login mencionados anteriormente. El usuario enciende la computadora, se le permite conectarse al AD, y el usuario se autentica en el AD y se le permite conectarse a la red.
-
Use la pantalla de Pre Login para definir los recursos en los Destinos Permitidos a los que los dispositivos Windows preconfigurados pueden conectarse. Cuando el Client en el dispositivo intenta conectarse a la Cato Cloud, el dispositivo es reconocido como un dispositivo de Pre Login.
La Cato Cloud permite que el dispositivo se conecte a los recursos que están configurados como un Destino Permitido, y las reglas del firewall WAN e Interno no se aplican a esta conexión. Además, los requisitos de la Posición de Dispositivo no se aplican al tráfico de Pre Login. La Cato Cloud solo permite tráfico relacionado con el proceso de Pre Login.
Un Destino Permitido puede ser una dirección IP, un rango de IP, o un host (que está definido para un Site específico). Pre Login soporta hasta 48 Destinos Permitidos.
Para configurar su cuenta para soportar Pre Login:
-
Desde el menú de navegación, haga clic en Access > Client Access.
-
Expanda la sección de Pre Login.
-
Seleccione Enable Pre Login.
-
Desde el menú desplegable, seleccione el Host, la dirección IP, o el rango de IP para cada Destino Permitido.
Nota: Por razones de seguridad, no use el rango de IP 0.0.0.0 - 255.255.255.255 como un Destino Permitido
-
Haga clic en Guardar.
0 comentarios
Inicie sesión para dejar un comentario.