Mi Mundo Azul

Twitter E-mail RSS
Home Internet & tecnología Soporte Tecnico Solución cuando CISCO NAC no valida al usuario/máquina que está en dominio
formats

Solución cuando CISCO NAC no valida al usuario/máquina que está en dominio

Published on August 24, 2010 by in Soporte Tecnico

La entrada de hoy está relacionada con lo que he aprendido en mi periodo de practicas profesionales en una institución de gobierno. En ese lugar utilizan un sistema de seguridad en la red para que el numero de incidencias con respecto a computadoras sin actualizaciones, o determinados parámetros, se reduzca negándoles el acceso a la red a menos que tengan al día dichos requerimientos.

Utilizando la herramienta CISCO Network Access Control realizan esa labor. El problema que se presentó hace algunas semanas fue que muchos de los usuarios que se firmaban a dominio requerirán insertar un nombre de usuario y contraseña por parte del CISCO NAC Agent para autentificarse a la red.

Debido a que eso no debería de estar pasando -ya que el caso ideal es que el programa autentifique automáticamente y solo mande el mensaje de aceptado o denegado en la red- explico aquí cómo se resuelve dicho problema:

En general el problema está relacionado a la forma en que el CISCO NAC maneja el control de acceso con el servidor de la red mediante alguna encriptación integrada en Kerberos. Para los Sistemas Operativos Windows 7 y Windows Server 2008 el sistema de encriptación por Kerberos está deshabilitado por defecto.

Para habilitarlo se sigue la siguiente ruta:

Nota: Daré a conocer las rutas del sistema operativo Windows 7 en idioma inglés.

Cotrol Panel>Administrative Tools>Local Security Policy

Estando dentro de esa sección en la barra lateral hay que seleccionar: Local Policies>Security Options
Aquí una imagen más ilustrativa:

Da un clic para ver más grande y detallada la imagen.

Estando dentro de las opciones buscamos la que se llame Network security:Configure encryption types allowed for Kerberos. y en sus propiedades se activan las diferentes formas de encripción necesarias para la red. En mi caso seleccione todas menos la de Future encryption types.

Activando está sección se soluciona el problema y CISCO NAC valida a los usuarios en la red de una forma transparente, así también se evita el preguntar nombres de usuarios ni contraseñas para el CISCO NAC Agent.

Espero sea de ayuda. Saludos!!!

Más información de Kerveros en Windows 7 vía: Las cuentas de usuario/máquina configuradas para utilizar sólo DES no pueden obtener tickets Kerberos con la configuración por defecto de Windows 7 o Windows Server 2008 R2
VN:F [1.9.17_1161]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.17_1161]
Rating: 0 (from 0 votes)
StumbleUponGoogle ReaderFriendFeedPosterousTumblrWordPressEvernoteEmailShare
 
Tags: , , , , , , ,
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
8 Comments  comments 

Publica un comentario con tu cuenta de Facebook:

  • Pingback: Bitacoras.com

  • ssalinas

    Excelente el aporte, me ha ayudado a solucionar parte del problema. Pero cómo puedo solucionar el mismo problema con equipos que tienen windows xp profesional? cúales son los pasos a seguir? He revisado la ruta pero ésta no existe en win xp.

    Cualquier sugerencia la agradezco de antemano.

    VA:F [1.9.17_1161]
    Rating: 0 (from 0 votes)
  • http://www.mimundoazul.net Spideymang

    @ssalinas: Hola disculpa la tardanza de mi respuesta. Haciendo memoria en Xp el problema radicaba más en el xml que manejaba la carpeta de Cisco Agent para que entrara a la IP del servidor donde estaba la configuración del CISCO NAC. No nos metiamos con nada de Kerberos.

    La verdad era más transparente el asunto, solo que igual a la mejor ya no me tocó ver los problemas con Xp porque los chavos de redes lo habían configurado bien. Espero te pueda servir en algo :S

    VN:F [1.9.17_1161]
    Rating: 0 (from 0 votes)
  • ssalinas

    Gracias por la atención a mi consulta. Veré qué puedo hacer con lo que me dices.

    VA:F [1.9.17_1161]
    Rating: 0 (from 0 votes)
  • kanon

    Compadre, si fueras mujer..TE DARIA UN HIJO……..NOTABLE EL APORTE, me salvo del mejor cagazo de la historia, cliente aburrido al borde de tirar a la basura la solucion NAC, para variar CISCO ni se pronuncia al respecto, si no que tiene que ser los usuarios los que le resuelvan los probelmas….GRACIAS SE PASO AMIGO.

    VA:F [1.9.17_1161]
    Rating: 0 (from 0 votes)
    • http://www.mimundoazul.net Spideymang

      De nada es un placer compartir el conocimiento y saber que tenemos resultados positivos!

      Saludos!!!

      VA:F [1.9.17_1161]
      Rating: 0 (from 0 votes)
  • kanon

    Le falto un puro dato amigo….lo probaron en Windows 7 de 32 o 64 bits???
    En 32-bit funciona la raja……pero en 64-bits, no paso lo mismo…CUEK.
    A buscar nuevamente que hay por ahi….GRACIAS.

    VA:F [1.9.17_1161]
    Rating: 0 (from 0 votes)
    • Spideymang

      Lo probé en Sitstema Operativo de 32 bits, gracias por comentar, saludos!!

      VN:F [1.9.17_1161]
      Rating: 0 (from 0 votes)
© Mi Mundo Azul
credit