2FA: Guía de uso

Estas aquí:
Tiempo estimado de lectura: 3 min

Guía complemento 2FA

Descripción

2FA es un complemento integrado en TSplus que protege las conexiones al servidor con una capa extra de seguridad. Todo usuario para el que se active el 2FA, deberá escribir un código adicional de validez temporal mediante una app de autenticación como Google Authenticator, Microsoft Authenticator o Authy.

De este modo, para que un usuario pueda iniciar sesión en el servidor se le requerirán dos cosas:

  1. Algo que conoce (su usuario y contraseña)
  2. Algo que tiene (su smartphone)

Activación

AdminTool > Aplicaciones > Autentificación de dos factores > Habilitar 2FA:
2FA

2FA

  • Opción 1: Para servidores independientes o bien para el servidor Gateway de una granja.
  • Opción 2: Para los servidores de aplicaciones de una granja.

Alta de usuarios

Consola 2FA > Gestión de usuarios:
2FA

Desde aquí se añaden los usuarios o grupos para los que se desea activar la protección 2FA.

Autenticación de usuarios

La próxima vez que un usuario dado de alta en el servicio inicie sesión en el portal web, le aparecerá un mensaje en pantalla mostrando un código QR, el cual contendrá su clave privada:

Esta clave privada deberá ser capturada por el usuario mediante su aplicación de autenticación, escaneando el código QR con la cámara. El siguiente ejemplo es de Google Authenticator:

Una vez hecho, la aplicación generará un código válido cada 30 segundos:

2FA

A partir de ese momento, además de las credenciales habituales, el portal web le exigirá un segundo factor de autenticación para iniciar sesión:

Reinicio de la clave privada

En caso de pérdida o rotura del dispositivo de autenticación de un usuario, se deberá reiniciar su clave privada. Para ello, realice los siguientes pasos:

  • Consola > Gestión de usuarios
  • Una vez seleccionado el usuario pulse el botón Reset.
  • A continuación, el usuario deberá volver a capturar su clave privada, tal como se describe en el punto anterior.

2FA

Acceso con el cliente RDP de TSplus (.connect)

Desde la versión 15.40 de TSplus, también es posible aprovechar la característica 2FA a través de un cliente RDP. Para ello, será necesario:

  • Crear el cliente (fichero .connect) con 2FA habilitado:
    2FA
  • Y tener el servidor web de TSplus a la escucha y accesible, para que el lado cliente pueda contactar y autenticarse.

Respecto a esto último, el cliente apuntará al puerto HTTPS que estuviese configurado en el servidor web de TSplus, en el momento de su creación. Si por cualquier motivo se necesitase cambiar el número de puerto a utilizar, podrá hacerse mediante la edición del parámetro -webport (puede ver cómo se edita un cliente aquí).

De esta forma, cuando el usuario lance la conexión se le pedirá que introduzca su código 2FA:
2FA

Si no fuese posible la conexión con el servidor web, aparecerá el siguiente mensaje:
2FA

Si para el usuario correspondiente aún no se hubiera activado 2FA mediante una primera autenticación sobre el portal web, aparecerá el siguiente mensaje instando a hacerlo:

2FA

Configuración

Consola 2FA > Configuración > Usuarios:
2FA

  • Lista blanca de usuarios:
    Los usuarios de la lista blanca podrán conectarse mediante clientes RDP con 2FA no habilitado, sin necesidad de un código de autenticación. Es decir:

    • Clientes .connect sin la casilla 2FA marcada
    • Clientes .connect antiguos
    • Clientes de terceros, como el mstsc de Microsoft

 

Consola 2FA > Configuración > Avanzado:
2FA

  • Discrepancia:
    Se trata del tiempo, en ambos sentidos y medido en ciclos de vida (30s), que el servidor acepta un código desde el momento de su generación. La intención de esta configuración es paliar desajustes en la hora entre el servidor y los dispositivos de autenticación. Se aconseja reducirla a sus necesidades.
  • Issuer:
    El nombre del servicio 2FA, el cual aparecerá en la aplicación móvil.
  • Validez tras la primera sesión:
    Es el periodo de tiempo, medido en minutos y contando a partir de la primera aplicación abierta, que se permite al usuario seguir abriendo aplicaciones desde el Portal de aplicaciones
  • Validez antes de la primera sesión:
    Es el periodo de tiempo, medido en segundos y contando a partir de la autenticación en el Portal de aplicaciones, que se permite al usuario abrir una aplicación
  • Dígitos:
    Longitud del código de autenticación en número de dígitos.
  • Mensaje de código de verificación del SMS:
    Plantilla del texto que recibirán los usuarios vía SMS .
  • Mostrar el dominio en la aplicación:
    Mostrar o no el nombre de dominio en la app de autenticación
  • Permitir HTML5 a los usuarios no configurados:
    Permitir o no que los usuarios sin el 2FA activado puedan conectar vía portal web.
Was this article helpful?
Dislike 0
Views: 1860
Siguiente: TSplus Advanced Security: comparativa ediciones