Contenido
|
Atributos de autenticación de Active Directory
Los atributos de Autenticación de Active Directory son atributos de organización. Los valores aplicados a estos atributos en "Configuración de servicio" se convierten en los valores predeterminados para la plantilla de autenticación de Active Directory. Es necesario crear la plantilla de servicio después de registrar el servicio para la organización. El administrador de la organización puede cambiar los valores predeterminados después del registro. Los atributos de organización no los heredan las entradas de la organización. Los atributos de autenticacion de Active Directory son:
Servidor Principal de Active Directory
Este campo indica el nombre de host y el número de puerto del servidor principal de Active Directory especificado durante la instalación de Access Manager. Este servidor es el primero al que se recurre para la autenticación de Active Directory. El formato es nombre_de_host:puerto (Si no aparece ningún número de puerto, de forma predeterminada es 389).
Si Access Manager está implementado en múltiples dominios, puede especificar el vínculo de comunicación entre instancias específicas de Access Manager y el servidor de directorios, utilizando el siguiente formato (las entradas múltiples deben incluir como prefijo el nombre del servidor local):
nombreservidor_local|servidor:puerto nombreservidor2_local|servidor2:puerto2 ...
Por ejemplo, si hay dos instancias de Access Manager implementadas en ubicaciones distintas (L1-máquina1-IS y L2- máquina2-IS) comunicándose con instancias distintas del Servidor de Directorios (L1-máquina1-DS y L2-máquina2-DS), quedaría como sigue:
L1-máquina1-IS.ejemplo.com|L1-máquina1-DS.ejemplo.com:389 L2-máquina2-IS.ejemplo.com|L2-máquina2-DS.ejemplo.com:389
Servidor secundario de Active Directory
Este campo especifica el nombre de host y el número de puerto de un servidor Active Directory secundario disponible para la plataforma Access Manager. Si el servidor principal de Active Directory no responde a una solicitud de autenticación, se recurrirá a este servidor. Si el servidor principal está en funcionamiento, Access Manager volverá al mismo. El formato es también nombre_de_host:puerto. Las entradas múltiples deben aparecer precedidas del nombre del servidor local como prefijo.
DN para iniciar búsqueda de usuario
Este campo especifica el DN del nodo en el que debe comenzar la búsqueda de un usuario. (Por razones de rendimiento, este DN debe ser lo más específico posible). El valor predeterminado es la raíz del árbol de directorio. Se reconocerá cualquier DN válido. Si OBJETO está seleccionado en el atributo Ámbito de búsqueda, el DN debería especificar el nivel inmediato superior al nivel donde existe el perfil.
Las entradas múltiples deben aparecer precedidas del nombre del servidor local como prefijo. El formato es el siguiente:
nombreservidor|dn de búsqueda
Para entradas múltiples
nombreservidor1|dn de búsqueda nombreservidor2|dn de búsqueda nombreservidor3|dn de búsqueda...
Si se encuentran varios usuarios en la misma búsqueda, la autenticación fallará.
DN para enlace de superusuario (root)
Este campo especifica el DN del usuario que se utilizará para conectar con el servidor de directorios especificado en el campo "Puerto y servidor Active Directory principales" como administrador. El servicio de autenticación necesita establecer una conexión utilizando este DN para buscar un DN de usuario coincidente en el Id. de inicio de sesión del usuario. El valor predeterminado es amLDAPuser. Se reconocerá cualquier DN válido.
Asegúrese de que la contraseña sea la correcta antes de cerrar sesión, dado que de no ser así se le bloqueará el ingreso. Si esto ocurriera, puede iniciar sesión con el DN de superusuario de la propiedad com.iplanet.authentication.super.user en el archivo AMConfig.Properties. Ésta es la cuenta amAdmin con la que normalmente iniciaría sesión en forma predeterminada, aunque en este caso utilizará el DN completo. Por ejemplo:
uid_amAdmin,ou=Personas,AccessManager-base
Contraseña para conexión de superusuario (root)
Este campo contiene la contraseña para el perfil de administrador especificado en el campo "DN para conexión de superusuario (root)". No hay ningún valor predeterminado. Sólo se reconocerá la contraseña Active Directory válida del administrador.
Contraseña para conexión de superusuario (root) (confirmar)
Confirmación de la contraseña.
Atributo Active Directory utilizado para recuperar el perfil de usuario
Después de una autenticación satisfactoria por parte del usuario, se recupera su perfil de usuario. El valor de este atributo se utiliza para realizar la búsqueda. El campo especifica el atributo Active Directory que debe utilizarse. De forma predeterminada, Access Manager asume que las entradas de usuario se identifican mediante el atributo uid. Si su servidor de directorios utiliza un atributo distinto (como cualquiernombre) especifique en este campo el nombre del atributo.
Nota
El filtro de búsqueda de usuario será una combinación del atributo de filtro de búsqueda y el atributo de Active Directory utilizado para recuperar el perfil de usuario.
Atributos de Active Directory utilizados para buscar un usuario que debe ser autenticado
Este campo muestra los atributos que se van a utilizar para formar el filtro de búsqueda para un usuario que se va a autenticar y permite que el usuario se autentique con más de un atributo en la entrada del usuario. Por ejemplo, si este campo se define como uid, númeroempleado y correo, el usuario se podrá autenticar con cualquiera de esos nombres.
Filtro de búsqueda de usuario
Este campo especifica un atributo que se utilizará para buscar al usuario en el campo "DN para iniciar búsqueda de usuario". Funciona con el atributo de nombre de entrada de usuario. No hay ningún valor predeterminado. Se reconocerá cualquier atributo de entrada de usuario válido.
Ámbito de búsqueda
Este menú indica el número de niveles de Directory Server en los que se buscará un perfil de usuario coincidente. La búsqueda empieza a partir del nodo especificado en el atributo "DN para iniciar búsqueda de usuario". El valor predeterminado es SUBTREE. Se puede elegir una de las siguientes opciones de la lista:
Habilitar acceso SSL al servidor de Active Directory
Esta opción permite que SSL acceda al servidor de directorios especificado en los campos "Puertos y servidores principal y secundario de Active Directory". De forma predeterminada, esta opción está inhabilitada, por lo que no se utilizará el protocolo SSL para acceder al servidor de directorios. Sin embargo, con la habilitación de este atributo puede conectarse a un servidor que no sea SSL.
Devolver a la autenticación el DN de usuario
Esta opción puede habilitarse cuando el directorio Access Manager es igual al directorio configurado para Active Directory. En ese caso, esta opción permite que el módulo de autenticación de Active Directory devuelva el DN en lugar de userId y no es necesario realizar ninguna búsqueda. Normalmente, un módulo de autenticación devuelve sólo el userId y el servicio de autenticación busca al usuario en el Active Directory local de Access Manager. Si se utiliza un directorio Active Directory externo, esta opción, normalmente, no está activada.
Intervalo de verificación de servidor de Active Directory
Este atributo se utiliza para recuperación tras error del servidor de Active Directory. Define el número de minutos durante los que un subproceso "dormirá" antes de verificar que el servidor principal de Active Directory está en funcionamiento.
Lista de atributos de creación de usuario
Este atributo es utilizado por el módulo de autenticación de Active Directory cuando el servidor Active Directory se configura como un servidor Active Directory externo. Contiene una asignación de atributos entre un servidor de directorios local y uno externo. Este atributo tiene el siguiente formato:
attr1|externalattr1
attr2|externalattr2
Cuando se cumplimenta este atributo, los valores de los atributos externos se leen del servidor de directorios local y se establecen para los atributos del servidor de directorios interno. Los valores de los atributos externos se establecen sólo en los atributos internos cuando el atributo Perfil de usuario (en el módulo de autenticación "Principal") se establece en “Creado dinámicamente” y el usuario no existe en la instancia del servidor de directorios local. El usuario recientemente creado contendrá los valores de los atributos internos, especificados en "Lista de atributos de creación de usuario", con los valores de atributos externos a los que se asignan.
Nivel de autenticación
El nivel de autenticación se define por separado para cada método de autenticación. El valor indica en qué medida se debe confiar en una autenticación. Cuando un usuario se ha autenticado, este valor se almacena en el token SSO para la sesión. Cuando el token SSO se presenta a una aplicación a la que desea acceder el usuario, la aplicación utiliza el valor almacenado para determinar si el nivel es suficiente para permitir el acceso al usuario Si el nivel de autenticación almacenado en el token SSO no cumple el valor mínimo necesario, la aplicación puede solicitar al usuario que se vuelva a autenticar a través de un servicio con un nivel de autenticación más alto. El valor predeterminado es 0.
Nota
Si no se especifica ningún nivel de autenticación, el token SSO almacena el valor especificado en el "Nivel de autenticación predeterminado" del atributo de autenticación "Principal".
Contenido |