none
Autenticar a traves de radius contra dos Controladores de dominio diferentes

    Pregunta

  • Buenas,

    Necesito poder tener la posibilidad de autenticar un usuario que se conecta por VPN a un radius y que dependiendo del usuario pueda autenticar contra un controlador de dominio u otro pues se conectaran usuarios que perteneceran a uno de los dos, pero nunca a los dos.

    Para empezar no consigo registrar el servidor NPS a un controlador de dominio pùes la opción se encuentra deshabilitada.

    Como puedo registrar este servidor a los dos controladores de dominio sin tener que unirlo a ellos?

    Muchas Gracias

    Un saludo


    David

    miércoles, 14 de marzo de 2018 13:12

Respuestas

  • A ver ¿muchos usuarios o pocos? ¿cuánto estás dispuesto a trabajar? :)

    Cuando alguien se conecta a una VPN, puede ser autenticado con un usuario local del servidor si éste está en Grupo de Trabajo. Luego cuando se conecta a un compartido el que tiene el recurso debe autenticarlo nuevamente

    Si no son muchos usuarios y estás dispuesto a trabajar bastante podrías "espejar" los usuarios del Dominio en cuentas locales del servidor VPN

    Sí, ya sé, no es una buena solución, es sólo una posible, si no tienes NAT. Porque estuve buscando sobre el tema y el único protocolo que permite cambiar el puerto de escucha en el servidor es SSTP, pero el cliente siempre se conecta al 443

    https://blogs.technet.microsoft.com/rrasblog/2007/01/25/sstp-faq-part-3-server-specific/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta panthael miércoles, 14 de marzo de 2018 16:31
    miércoles, 14 de marzo de 2018 16:10
    Moderador
  • Ahí ya no puedo ayudarte más, habría que pasar bastante tiempo investigando el tema, te he dado una posibilidad, pero no puedo dedicarle tanto tiempo

    Hay bastante info con "NAT Traversal". Yo trataría por ese lado

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta panthael jueves, 15 de marzo de 2018 12:55
    jueves, 15 de marzo de 2018 12:53
    Moderador

Todas las respuestas

  • Hola David, que yo sepa un Radius se puede asociar sólo a un Dominio, y no hay forma que reenvíe la autenticación, que la hace en realidad el Controlador de Dominio, a uno u otro Dominio

    Si no permite registrarlo en el Dominio me da para pensar que ese Radius no es una máquina del Dominio ¿o si?

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 14 de marzo de 2018 15:13
    Moderador
  • Ahí tengo el problema,

    Solo una ip pública sin NAT para que usuarios de dos dominios diferentes se  puedan autenticar y obtener ip de sus respectivas redes. 

    Si uno el Servidor de Radius a uno de los dos dominios, no tengo alternativas para que los usuarios del otro dominio puedan autenticarse con la misma ip pública.


    David

    miércoles, 14 de marzo de 2018 15:24
  • A ver ¿muchos usuarios o pocos? ¿cuánto estás dispuesto a trabajar? :)

    Cuando alguien se conecta a una VPN, puede ser autenticado con un usuario local del servidor si éste está en Grupo de Trabajo. Luego cuando se conecta a un compartido el que tiene el recurso debe autenticarlo nuevamente

    Si no son muchos usuarios y estás dispuesto a trabajar bastante podrías "espejar" los usuarios del Dominio en cuentas locales del servidor VPN

    Sí, ya sé, no es una buena solución, es sólo una posible, si no tienes NAT. Porque estuve buscando sobre el tema y el único protocolo que permite cambiar el puerto de escucha en el servidor es SSTP, pero el cliente siempre se conecta al 443

    https://blogs.technet.microsoft.com/rrasblog/2007/01/25/sstp-faq-part-3-server-specific/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta panthael miércoles, 14 de marzo de 2018 16:31
    miércoles, 14 de marzo de 2018 16:10
    Moderador
  • :(

    todo el problema viene porque con clientes de Windows 10 para poder usar ipsec con certificado necesito una ip pública en el servidor de VPN para evitar  NAT si no, no funciona.

    tendré que buscar alternativas, tengo en un dominio 2000 usuarios y en el otro 300 con sso en todos los sistemas, no puedo tenerlos en el servidor local de NPS :-(

    en fin...

    Muchas gracias


    David

    miércoles, 14 de marzo de 2018 16:31
  • Estoy dispuesto a hacerte trabajar bastante :)

    Busca en la web por "NAT Traversal" que permite bajo ciertas circunstancia pasar IPSec por NAT, no siempre, no todas las opciones, no es fácil

    En los viejos XP el "NAT Traversal" funcionaba, hata que un parche de seguridad hizo que dejara de funcionar, había un tema de seguridad, pero por un NAT pasa, pero por dos NAT no pasaba más

    Investiga por ese lado porque creo que ahí está la solución de IPSec con NAT

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 14 de marzo de 2018 17:35
    Moderador
  • Gracias 

    Llevo dias leyendo documentación de NAT con IPsec, pero seguiré buscando.

    Lo que si he intentado como alternativa es usar una conexión de fibra que tenemos con telefónica, poniendo el router en monopuesto puedes crear un aconexión en windows que se conecte a telefónica y te den la ip pública, el problema es que el servidor de VPN no detecta esa conexión como una interface de red con lo cual no lo puedes seleccionar como red externa.

    Hay alguna posibilidad de poder usar esta alternativa?

    Si la informática fuera facil no sería divertida.

    Muchas Gracias

    Un Saludo


    David

    jueves, 15 de marzo de 2018 8:23
  • Ahí ya no puedo ayudarte más, habría que pasar bastante tiempo investigando el tema, te he dado una posibilidad, pero no puedo dedicarle tanto tiempo

    Hay bastante info con "NAT Traversal". Yo trataría por ese lado

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta panthael jueves, 15 de marzo de 2018 12:55
    jueves, 15 de marzo de 2018 12:53
    Moderador
  • Bueno, no pasa nada, estoy investigando,

    tengo la solución radical pero intento buscar otra cosa.

    Muchas Gracias

    Un Saludo


    David

    jueves, 15 de marzo de 2018 12:55