jueves, 15 de noviembre de 2012

Demo de Dynamic Access Control 2 de 2

Hola.

Cómo hoy no se qué pasa pero no me deja publicar una entrada en este blog, vía writer. Os indico que  como siempre, la he publicado también en mi blog de ITPRO.ES.

La URL es esta: http://blogs.itpro.es/mhernandez/2012/11/15/demo-de-dynamic-access-control-2-de-2/

Saludos.

miércoles, 14 de noviembre de 2012

Network policy server, 802.1x, y validación según certificado emitido de equipo o usuario.

 

Hola.

Basándonos en la configuración de NPS creada en las entradas enumeradas a continuación, vamos a realizar los cambios oportunos para validar desde un servidor NPS con certificado de servidor, equipos o usuarios que dispongan de un certificado emitido por una CA de confianza.

http://undercpd.blogspot.com.es/2012/02/integrar-wifi-con-directorio-activo.html

http://undercpd.blogspot.com.es/2012/02/integrar-wifi-con-directorio-activo_28.html

No hace falta decir que a este entrada, le complementa como requisito previo, perfectamente la existencia de una CA corporativo y Autoenrollmen de equipo o usuario.

http://technet.microsoft.com/en-us/library/cc730811.aspx

Los cambios que conseguirán esta clase de validación son:

Configurar la parte servidor para que la conectividad sea EAP (PEAP) y “por debajo” Smart card or other certificate (así le llama Microsoft), lo que realmente estamos provocando es tráfico TLS bajo EAP.

Para llegar a esa configuración solo tenéis que seguir los pasos que subrayo en la captura:

image

Indiferentemente a esto, también podéis añadir en la condiciones la pertenencia de este equipo o usuario a un grupo concreto del AD.

 

Parte cliente:

Pues lo mismo, pero en la configuración de la red inalámbrica.

Aquí veis como tenemos doble factor, por un lado debemos marcar cual es la CA que asegura el certificado de la comunicación EAP y luego, la CA que asegura el certificado individual del equipo o usuario.

image

Previamente a esto, en el equipo debemos contar con un certificado explícito del equipo o usuario, emitido por la CA. El certificado de usuario puede estar albergado en una Smart Card.

Además de esto, en la configuración de la red inalámbrica, es donde distingues si quieres enviar el certificado de equipo o usuario.

image_thumb6[1]

Network Policy Server, Wireless, 802.1x y validación de cuentas de equipo.

 

Hola.

Aunque este no es demasiado demandado, realmente es sorprendente una red wireless con validación de equipo o usuario dependiente de ciertos condicionantes establecidos en el servidor NPS de Windows Server.

Ya hace un tiempo, os mostré como montar la validación por usuario:

http://undercpd.blogspot.com.es/2012/02/integrar-wifi-con-directorio-activo.html

http://undercpd.blogspot.com.es/2012/02/integrar-wifi-con-directorio-activo_28.html

Hoy os enseño lo que tenéis que hacer para que la validación sea por equipo. Realmente son un par de cambios, pero es verdad que la red está llena de consultas de gente que no ha sabido establecer esa comprobación.

Los pasos serían:

Aseguraros que en la especificación de la red wifi en el equipo local o difundida por gpo, el modo de autentificación sea por equipo

image

 

En la parte del servidor, quitar la pertenencia a grupos de usuario y añadir como condicionante la pertenencia a un grupo del Directorio Activo.

image

Por supuesto, podemos añadir condicionantes como validación de salud, tener activdo el firewall, etc.

Saludos.

jueves, 8 de noviembre de 2012

Compartir carpeta avanzada con Server Manager (Demo Dynamic Access Control #1)

 

Hola.

Vale, aunque en esta entrada, ya utilizaremos nuevas opciones en la forma de publicar y control de carpetas compartidas, esta no es una entrada especialmente técnica ni compleja. Podríamos decir que esta es la entrada nº 1 de las demo sobre Dynamic Access Control que realicé en el webcast sobre almacenamiento.

Como dije, mi intención es ir publicando las diferentes demos.

 

Previo

El rol relacionado con estas funcionalidades es File And Storage Services.

 

Paso a paso

1. Iniciar el asistente de creación de share y elegir la modalidad SMB Share Advanced.

 

image

 

image

 

image

 

image

 

image

He aquí el kit de la cuestión, debéis marcar

image

 

image

 

image

 

Saludos.