Integración de la autenticación RADIUS con Servidor Azure Multi-Factor AuthenticationIntegrate RADIUS authentication with Azure Multi-Factor Authentication Server

RADIUS es un protocolo estándar para aceptar las solicitudes de autenticación y procesar estas solicitudes.RADIUS is a standard protocol to accept authentication requests and to process those requests. Servidor Azure Multi-Factor Authentication puede actuar como servidor RADIUS.The Azure Multi-Factor Authentication Server can act as a RADIUS server. Insértelo entre el cliente RADIUS (aplicación VPN) y el destino de autenticación para agregar la verificación en dos pasos.Insert it between your RADIUS client (VPN appliance) and your authentication target to add two-step verification. El destino de autenticación puede ser Active Directory, un directorio LDAP u otro servidor RADIUS.Your authentication target could be Active Directory, an LDAP directory, or another RADIUS server. Para que Azure Multi-Factor Authentication (MFA) funcione, debe configurar Servidor Azure MFA para que pueda comunicarse con los servidores de cliente y el destino de autenticación.For Azure Multi-Factor Authentication (MFA) to function, you must configure the Azure MFA Server so that it can communicate with both the client servers and the authentication target. El Servidor Azure MFA acepta solicitudes de un cliente RADIUS, valida las credenciales en el destino de autenticación, agrega Azure Multi-Factor Authentication y envía una respuesta al cliente RADIUS.The Azure MFA Server accepts requests from a RADIUS client, validates credentials against the authentication target, adds Azure Multi-Factor Authentication, and sends a response back to the RADIUS client. La solicitud de autenticación se realizará correctamente solo si la autenticación principal y Azure Multi-Factor Authentication se ejecutan correctamente.The authentication request only succeeds if both the primary authentication and the Azure Multi-Factor Authentication succeed.

Importante

A partir del 1 de julio de 2019, Microsoft ya no ofrecerá el servidor MFA para implementaciones nuevas.As of July 1, 2019, Microsoft no longer offers MFA Server for new deployments. Los clientes nuevos que quieran exigir la autenticación multifactor (MFA) durante los eventos de inicio de sesión deben usar Azure Multi-Factor Authentication basado en la nube.New customers that want to require multi-factor authentication (MFA) during sign-in events should use cloud-based Azure Multi-Factor Authentication.

Para empezar a trabajar con MFA basado en la nube, consulte Tutorial: Protección de eventos de inicio de sesión de usuario con Azure Multi-Factor Authentication.To get started with cloud-based MFA, see Tutorial: Secure user sign-in events with Azure Multi-Factor Authentication.

Si usa MFA basada en la nube, consulte Integración de la infraestructura existente de NPS con Azure Multi-Factor Authentication.If you use cloud-based MFA, see Integrate your existing NPS infrastructure with Azure Multi-Factor Authentication.

Los clientes existentes que hayan activado el Servidor MFA antes del 1 de julio de 2019 podrán descargar la versión más reciente y las actualizaciones futuras, así como generar credenciales de activación como de costumbre.Existing customers that activated MFA Server before July 1, 2019 can download the latest version, future updates, and generate activation credentials as usual.

Nota

El servidor de MFA solo admite los protocolos RADIUS de PAP (protocolo de autenticación de contraseña) y MSCHAPv2 (protocolo de autenticación por desafío mutuo de Microsoft) cuando actúa como servidor RADIUS.The MFA Server only supports PAP (password authentication protocol) and MSCHAPv2 (Microsoft's Challenge-Handshake Authentication Protocol) RADIUS protocols when acting as a RADIUS server. Otros protocolos, como EAP (protocolo de autenticación extensible), se pueden usar cuando el servidor MFA actúa como un proxy RADIUS para otro servidor RADIUS que admite dicho protocolo.Other protocols, like EAP (extensible authentication protocol), can be used when the MFA server acts as a RADIUS proxy to another RADIUS server that supports that protocol.

En esta configuración, los tokens SMS y OATH unidireccionales no funcionarán, ya que Servidor MFA no puede iniciar una respuesta de desafío de RADIUS correcta con protocolos alternativos.In this configuration, one-way SMS and OATH tokens don't work since the MFA Server can't initiate a successful RADIUS Challenge response using alternative protocols.

Autenticación de RADIUS en el servidor MFA

Incorporación de un cliente RADIUSAdd a RADIUS client

Para configurar la autenticación RADIUS, instale el servidor Azure Multi-Factor Authentication en un servidor Windows.To configure RADIUS authentication, install the Azure Multi-Factor Authentication Server on a Windows server. Si tiene un entorno de Active Directory, el servidor debe estar unido al dominio de dentro de la red.If you have an Active Directory environment, the server should be joined to the domain inside the network. Use el procedimiento siguiente para configurar el servidor Azure Multi-Factor Authentication.Use the following procedure to configure the Azure Multi-Factor Authentication Server:

  1. En Servidor Azure Multi-Factor Authentication, haga clic en el icono Autenticación de RADIUS en el menú izquierdo.In the Azure Multi-Factor Authentication Server, click the RADIUS Authentication icon in the left menu.

  2. Active la casilla Habilitar autenticación RADIUS.Check the Enable RADIUS authentication checkbox.

  3. En la pestaña Clientes, cambie los puertos de autenticación y control si el servicio RADIUS de Azure MFA debe escuchar las solicitudes RADIUS en puertos no estándar.On the Clients tab, change the Authentication and Accounting ports if the Azure MFA RADIUS service needs to listen for RADIUS requests on non-standard ports.

  4. Haga clic en Agregar.Click Add.

  5. Escriba la dirección IP del dispositivo o el servidor que se autenticará en el Servidor de Azure Multi-Factor Authentication, un nombre de aplicación (opcional) y un secreto compartido.Enter the IP address of the appliance/server that will authenticate to the Azure Multi-Factor Authentication Server, an application name (optional), and a shared secret.

    El nombre de la aplicación aparece en los informes puede mostrarse en los mensajes de autenticación SMS o de aplicación móvil.The application name appears in reports and may be displayed within SMS or mobile app authentication messages.

    El secreto compartido debe ser el mismo en el servidor de Azure Multi-Factor Authentication y en el dispositivo/servidor.The shared secret needs to be the same on both the Azure Multi-Factor Authentication Server and appliance/server.

  6. Active la casilla Requerir coincidencia de usuario de Multi-Factor Authentication si todos los usuarios se importaron al servidor y están sujetos a la autenticación multifactor.Check the Require Multi-Factor Authentication user match box if all users have been imported into the Server and subject to multi-factor authentication. Si aún no se importó al servidor un número significativo de usuarios o se van a excluir de la verificación en dos pasos, deje la casilla desactivada.If a significant number of users have not yet been imported into the Server or are exempt from two-step verification, leave the box unchecked.

  7. Active la casilla Habilitar token OATH de reserva si desea usar códigos de acceso OATH desde aplicaciones de comprobación por móvil como método de copia de seguridad.Check the Enable fallback OATH token box if you want to use OATH passcodes from mobile verification apps as a backup method.

  8. Haga clic en OK.Click OK.

Repita los pasos del 4 al 8 para agregar todos los clientes RADIUS adicionales necesarios.Repeat steps 4 through 8 to add as many additional RADIUS clients as you need.

Configuración del cliente RADIUSConfigure your RADIUS client

  1. Haga clic en la pestaña Destino.Click the Target tab.

    • Si el servidor de Azure MFA está instalado en un servidor unido a un dominio de un entorno de Active Directory, seleccione Dominio de Windows.If the Azure MFA Server is installed on a domain-joined server in an Active Directory environment, select Windows domain.
    • Si los usuarios deben autenticarse en un directorio LDAP, seleccione Enlace LDAP.If users should be authenticated against an LDAP directory, select LDAP bind. Seleccione el icono de integración de directorios y edite la configuración de LDAP en la pestaña Configuración para que el servidor pueda enlazar con su directorio.Select the Directory Integration icon and edit the LDAP configuration on the Settings tab so that the Server can bind to your directory. Puede encontrar instrucciones para configurar LDAP en la Guía de configuración de proxy LDAP.Instructions for configuring LDAP can be found in the LDAP Proxy configuration guide.
    • Si los usuarios deben autenticarse en otro servidor RADIUS, seleccione Servidores RADIUS.If users should be authenticated against another RADIUS server, select RADIUS server(s).
  2. Haga clic en Agregar para configurar el servidor al que el Servidor Azure MFA entregará las solicitudes RADIUS.Click Add to configure the server to which the Azure MFA Server will proxy the RADIUS requests.

  3. En el cuadro de diálogo Agregar servidor RADIUS, escriba la dirección IP del servidor RADIUS y un secreto compartido.In the Add RADIUS Server dialog box, enter the IP address of the RADIUS server and a shared secret.

    El secreto compartido debe ser el mismo en el Servidor Azure Multi-Factor Authentication y en el servidor RADIUS.The shared secret needs to be the same on both the Azure Multi-Factor Authentication Server and RADIUS server. Cambie el puerto de autenticación y el de cuentas si el servidor RADIUS usa puertos diferentes.Change the Authentication port and Accounting port if different ports are used by the RADIUS server.

  4. Haga clic en OK.Click OK.

  5. Agregue el Servidor Azure MFA como cliente RADIUS en el otro servidor RADIUS para que procese las solicitudes de acceso que se le envían desde el Servidor Azure MFA.Add the Azure MFA Server as a RADIUS client in the other RADIUS server so that it can process access requests sent to it from the Azure MFA Server. Use el mismo secreto compartido configurado en el Servidor Azure Multi-Factor Authentication.Use the same shared secret configured in the Azure Multi-Factor Authentication Server.

Repita estos pasos para agregar más servidores RADIUS.Repeat these steps to add more RADIUS servers. Configure el orden en el que el Servidor Azure MFA debe llamarlos con los botones Subir y Bajar.Configure the order in which the Azure MFA Server should call them with the Move Up and Move Down buttons.

Ha configurado correctamente Servidor Azure Multi-Factor Authentication.You've successfully configured the Azure Multi-Factor Authentication Server. Ahora, el servidor está escuchando en los puertos configurados las solicitudes de acceso RADIUS de los clientes configurados.The Server is now listening on the configured ports for RADIUS access requests from the configured clients.

Configuración del cliente RADIUSRADIUS Client configuration

Para configurar el cliente RADIUS, siga las siguientes instrucciones:To configure the RADIUS client, use the guidelines:

  • Configure el dispositivo/servidor para autenticarse mediante RADIUS en la dirección IP de Servidor Microsoft Azure Multi-Factor Authentication, que funciona como servidor RADIUS.Configure your appliance/server to authenticate via RADIUS to the Azure Multi-Factor Authentication Server's IP address, which acts as the RADIUS server.
  • Use el mismo secreto compartido que se configuró anteriormente.Use the same shared secret that was configured earlier.
  • Configure el tiempo de espera de RADIUS en un valor entre 30 y 60 segundos para que haya tiempo para validar las credenciales del usuario, realizar la verificación en dos pasos, recibir su respuesta y, a continuación, responder a la solicitud de acceso RADIUS.Configure the RADIUS timeout to 30-60 seconds so that there is time to validate the user's credentials, perform two-step verification, receive their response, and then respond to the RADIUS access request.

Pasos siguientesNext steps

Obtenga información sobre cómo integrar con la autenticación RADIUS si tiene Azure Multi-Factor Authentication en la nube.Learn how to integrate with RADIUS authentication if you have Azure Multi-Factor Authentication in the cloud.