Cómo rastrear el historial de inicio de sesión de RADIUS

A continuación se explica cómo puede ver un historial de eventos de inicio de sesión de RADIUS en Active Directory nativo.

Requisito previo: Antes de configurar una función de servidor RADIUS, puede comenzar creando un nuevo grupo en AD para usuarios (por ejemplo, un grupo llamado WFH_Users) que puedan autenticarse utilizando el protocolo RADIUS.

El protocolo RADIUS es parte del rol del servidor de directivas de red.

• 

• Paso 1: Instale el servidor RADIUS a través de NPS en Active Directory

• Inicie el “Administrador del servidor” en la instancia de Windows Server.
• Vaya a Agregar roles y características. Debe recorrer las diferentes etapas de instalación que se muestran en el panel izquierdo para finalizar la instalación.
• En el panel Antes de comenzar, haga clic en Siguiente. Se le trasladará al panel Tipo de instalación, donde deberá seleccionar el tipo de instalación: basada en roles o basada en caraterísticas y haga clic en Siguiente.

• Cuando vaya al panel “Selección de servidor”, puede elegir el servidor de Windows al que desea agregar el rol.

  

• En el panel “Roles del servidor”, seleccione el rol "Directiva de red y servicios de acceso" de la lista de roles del servidor proporcionada. Cuando pasa al panel “Características”, puede aplicar las características predeterminadas ya seleccionadas.

  

• Paso 2: Registre el servidor NPS en Active Directory

  Vaya al menú desplegable en “Herramientas” y seleccione Servidor de directivas de red.

  

• Esto abre el complemento NPS. Ahora puede hacer clic derecho en el árbol NPS (generalmente se muestra como “NPS local”) y seleccionar la opción “Registrar servidor en Active Directory”.

  

• Haga clic en “Aceptar” en el cuadro de diálogo de confirmación que se muestra. Este servidor NPS ahora se incluirá en los grupos de dominio predeterminados llamados “Servidores RAS e IAS”.

  

• Paso 3: Agregue un cliente RADIUS

Un cliente RADIUS es un dispositivo que reenvía solicitudes de inicio de sesión y autenticación a su NPS.

• En el complemento NPS, expanda el árbol NPS para encontrar la carpeta “Clientes y servidores RADIUS”. Expanda esta carpeta para ver los elementos “Clientes RADIUS” y “Servidor RADIUS remoto” que contiene.

  

• Haga clic derecho en el elemento “Cliente RADIUS” y seleccione “Nuevo”. Esto lo dirigirá a la ventana “Nuevo cliente RADIUS”. En la pestaña “Configuración”, seleccione “Habilitar este cliente RADIUS”. Después de eso, puede completar los campos: “Nombre descriptivo” (nombre del cliente RADIUS que está asignando) y la "Dirección IP/DNS" del cliente. Finalmente puede configurar una clave secreta compartida manualmente.

  

• En la pestaña “Avanzado”, seleccione el “Nombre del proveedor” asociado con su cliente RADIUS.

• Paso 4: Configurar directivas NPS para autenticación

Configurar una política NPS le permite autenticar un grupo distinto de usuarios remotos en su NPS con varios niveles de permisos de acceso.

• Debajo del árbol NPS (Local), expanda la pestaña “Directivas”. En la pestaña “Directivas”, haga clic derecho en “Directivas de red” y seleccione “Nuevo”.

  

• Puede nombrar su directiva y dejar el “Tipo de servidor de acceso a la red” sin especificar.

  

• Luego puede especificar reglas para permitir que solo los usuarios dentro de un grupo en particular (por ejemplo, WFH_Users) puedan autenticarse en NPS haciendo clic en “Agregar” en la opción "Grupos de Windows".

  

• En la opción “Nombre descriptivo del cliente”, “Agregar” el nombre descriptivo del cliente RADIUS que había especificado anteriormente.

• En el panel “Siguiente”, seleccione “Acceso concedido”.

  

• Paso 5: Configure la contabilidad para NPS

• Abra el complemento NPS.
• En el árbol de la consola, haga clic en Contabilidad.

• En el panel de detalles, seleccione Configurar contabilidad.

  

• Paso 6: Habilite auditoría NPS

Para ver un historial de fallos de inicio de sesión RADIUS en el Visor de sucesos, debe activar la auditoría para NPS.

• En el símbolo del sistema, puede activar la auditoría con el siguiente comando 
  auditpol/set/subcategory: “Servidor de políticas de red” //fallo:habilitar
• Si se habilitan tanto los eventos de éxito como los de fallos, el resultado debería ser:

Directiva de auditoría del sistema

Configuración de categoría/subcategoría

Iniciar sesión/Cerrar sesión

Fallo del servidor de directivas de red

• Paso 7: Vea los inicios de sesión RADIUS en el Visor de eventos.

Cuando un usuario al que se le ha otorgado acceso remoto y ha sido autenticado, el evento se registra en el Visor de eventos.

• Abra “Visor de eventos” y expanda “Registros de seguridad”. Expanda la pestaña “Iniciar sesión/Cerrar sesión” y luego expanda la pestaña “Servidor de directivas de red”.

•  

  • Seleccione “Filtrar registro actual” en el panel derecho y busque los siguientes ID de eventos
    1. EventID 6272: el servidor de directivas de red otorgó acceso a un usuario.
    2. EventID 6273: el servidor de directivas de red denegó el acceso a un usuario.
    3. EventID 6274: el servidor de directivas de red descartó la solicitud de un usuario.
    4. EventID 6275: el servidor de directivas de red descartó la solicitud de contabilidad de un usuario.
    5. EventID 6276: el servidor de directivas de red puso en cuarentena a un usuario.
    6. EventID 6277: el servidor de directivas de red otorgó acceso a un usuario pero lo puso a prueba porque el host no cumplió con la directiva de mantenimiento definida.
    7. EventID 6278: el servidor de directivas de red otorgó acceso completo a un usuario porque el host cumplió con la directiva de mantenimiento definida.
    8. EventID 6279: el servidor de directivas de red bloqueó la cuenta de usuario debido a repetidos intentos fallidos de autenticación.
    9. EventID 6280: el servidor de directivas de red desbloqueó la cuenta de usuario.

  

Con esta información puede ver el historial completo de inicios de sesión de RADIUS.