Contenido    

Atributos de autenticación LDAP

Los atributos de autenticación de LDAP son atributos de organización. Los valores aplicados a estos atributos en "Configuración de servicio" se convierten en los valores predeterminados para la plantilla de autenticación de LDAP. Es necesario crear la plantilla de servicio después de registrar el servicio para la organización. El administrador de la organización puede cambiar los valores predeterminados después del registro. Los atributos de organización no los heredan las entradas de la organización. Los atributos de autenticación de LDAP son:

Servidor LDAP principal

Este campo indica el nombre de host y el número de puerto del servidor LDAP principal especificado durante la instalación de Access Manager. Este servidor es el primero al que se recurre para la autenticación de LDAP. El formato es nombre_de_host:puerto (Si no aparece ningún número de puerto, de forma predeterminada es 389).

Si Access Manager está implementado en múltiples dominios, puede especificar el vínculo de comunicación entre instancias específicas de Access Manager y el servidor de directorios, utilizando el siguiente formato (las entradas múltiples deben incluir como prefijo el nombre del servidor local):

nombreservidor_local|servidor:puerto nombreservidor2_local|servidor2:puerto2 ...

Por ejemplo, si hay dos instancias de Access Manager implementadas en ubicaciones distintas (L1-máquina1-IS y L2- máquina2-IS) comunicándose con instancias distintas del Servidor de Directorios (L1-máquina1-DS y L2-máquina2-DS), quedaría como sigue:

L1-máquina1-IS.ejemplo.com|L1-máquina1-DS.ejemplo.com:389 L2-máquina2-IS.ejemplo.com|L2-máquina2-DS.ejemplo.com:389

Servidor LDAP secundario

Este campo especifica el nombre de host y el número de puerto de un servidor LDAP secundario disponible para la plataforma Access Manager. Si el servidor LDAP principal no responde a una solicitud de autenticación, se recurrirá a este servidor. Si el servidor principal está en funcionamiento, Access Manager volverá al mismo. El formato es también nombre_de_host:puerto. Las entradas múltiples deben aparecer precedidas del nombre del servidor local como prefijo.


Precaución

Cuando autentique usuarios de un servidor de directorios que se encuentre lejos de la empresa de Access Manager, es importante que existan valores para el puerto del servidor LDAP principal y el del servidor LDAP secundario. Se puede utilizar el valor de una ubicación de un servidor de directorios para ambos campos.


DN para iniciar búsqueda de usuario

Este campo especifica el DN del nodo en el que debe comenzar la búsqueda de un usuario. (Por razones de rendimiento, este DN debe ser lo más específico posible). El valor predeterminado es la raíz del árbol de directorio. Se reconocerá cualquier DN válido. Si OBJETO está seleccionado en el atributo Ámbito de búsqueda, el DN debería especificar el nivel inmediato superior al nivel donde existe el perfil.

Las entradas múltiples deben aparecer precedidas del nombre del servidor local como prefijo. El formato es el siguiente:

nombreservidor|dn de búsqueda

Para entradas múltiples

nombreservidor1|dn de búsqueda nombreservidor2|dn de búsqueda nombreservidor3|dn de búsqueda...

Si se encuentran varios usuarios en la misma búsqueda, la autenticación fallará.

DN para enlace de superusuario (root)

Este campo especifica el DN del usuario que se utilizará para conectar con el servidor de directorios especificado en el campo "Puerto y servidor LDAP principales" como administrador. El módulo de autenticación necesita establecer una conexión utilizando este DN para buscar un DN de usuario coincidente en el Id. de inicio de sesión del usuario. El valor predeterminado es amldapuser. Se reconocerá cualquier DN válido.

Asegúrese de que la contraseña sea la correcta antes de cerrar sesión, dado que de no ser así se le bloqueará el ingreso. Si esto ocurriera, puede iniciar sesión con el DN de superusuario de la propiedad com.iplanet.authentication.super.user en el archivo AMConfig.Properties. Ésta es la cuenta amAdmin con la que normalmente iniciaría sesión en forma predeterminada, aunque en este caso utilizará el DN completo. Por ejemplo:

uid_amAdmin,ou=Personas,AccessManager-base

Contraseña para conexión de superusuario (root)

Este campo contiene la contraseña para el perfil de administrador especificado en el campo "DN para conexión de superusuario (root)". No hay ningún valor predeterminado. Sólo se reconocerá la contraseña LDAP válida del administrador.

Contraseña para conexión de superusuario (root) (confirmar)

Confirmación de la contraseña.

Atributo LDAP utilizado para recuperar el perfil de usuario

Después de una autenticación satisfactoria por parte del usuario, se recupera su perfil de usuario. El valor de este atributo se utiliza para realizar la búsqueda. El campo especifica el atributo LDAP que debe utilizarse. De forma predeterminada, Access Manager asume que las entradas de usuario se identifican mediante el atributo uid. Si su servidor de directorios utiliza un atributo distinto (como cualquiernombre) especifique en este campo el nombre del atributo.


Nota

El filtro de búsqueda de usuario será una combinación del atributo de filtro de búsqueda y el atributo de LDAP utilizado para recuperar el perfil de usuario.


Atributos LDAP utilizados para buscar un usuario que se va a autenticar

Este campo muestra los atributos que se van a utilizar para formar el filtro de búsqueda para un usuario que se va a autenticar y permite que el usuario se autentique con más de un atributo en la entrada del usuario. Por ejemplo, si este campo se define como uid, númeroempleado y correo, el usuario se podrá autenticar con cualquiera de esos nombres.

Filtro de búsqueda de usuario

Este campo especifica un atributo que se utilizará para buscar al usuario en el campo "DN para iniciar búsqueda de usuario". Funciona con el atributo de nombre de entrada de usuario. No hay ningún valor predeterminado. Se reconocerá cualquier atributo de entrada de usuario válido.

Ámbito de búsqueda

Este menú indica el número de niveles de Directory Server en los que se buscará un perfil de usuario coincidente. La búsqueda empieza a partir del nodo especificado en el atributo DN para iniciar búsqueda de usuario. El valor predeterminado es SUBTREE. Se puede elegir una de las siguientes opciones de la lista:

Habilitar acceso SSL al servidor LDAP

Esta opción permite que SSL acceda al servidor de directorios especificado en los campos "Puerto y servidor LDAP principales y secundarios". De forma predeterminada, esta opción está inhabilitada, por lo que no se utilizará el protocolo SSL para acceder al servidor de directorios. Sin embargo, con la habilitación de este atributo puede conectarse a un servidor que no sea SSL.

Devolver a la autenticación el DN de usuario

Si el directorio de Access Manager es el mismo que el directorio configurado para LDAP, puede que esta opción aparezca activada. En ese caso, esta opción permite que el módulo de autenticación LDAP devuelva el DN en lugar de userId y no es necesario realizar ninguna búsqueda. Normalmente, un módulo de autenticación devuelve sólo el userId y el módulo de autenticación busca al usuario en el LDAP local de Access Manager. Si se utiliza un directorio LDAP externo, esta opción, normalmente, no está activada.

Intervalo de comprobación de servidor LDAP

Este atributo se utiliza para recuperación tras error del servidor LDAP. Define el número de minutos durante los que un subproceso "dormirá" antes de verificar que el servidor LDAP principal está en funcionamiento.

Atributos de creación de usuario

Este atributo es utilizado por el módulo de autenticación LDAP cuando el servidor LDAP se configura como un servidor LDAP externo. Contiene una asignación de atributos entre un servidor de directorios local y uno externo. Este atributo tiene el siguiente formato:

attr1|externalattr1

attr2|externalattr2

Cuando se cumplimenta este atributo, los valores de los atributos externos se leen del servidor de directorios local y se establecen para los atributos del servidor de directorios interno. Los valores de los atributos externos se establecen sólo en los atributos internos cuando el atributo Perfil de usuario (en el módulo de autenticación "Principal") se establece en “Creado dinámicamente” y el usuario no existe en la instancia del servidor de directorios local. El usuario recientemente creado contendrá los valores de los atributos internos, especificados en "Lista de atributos de creación de usuario", con los valores de atributos externos a los que se asignan.

Nivel de autenticación

El nivel de autenticación se define por separado para cada método de autenticación. El valor indica en qué medida se debe confiar en una autenticación. Cuando un usuario se ha autenticado, este valor se almacena en el token SSO para la sesión. Cuando el token SSO se presenta a una aplicación a la que desea acceder el usuario, la aplicación utiliza el valor almacenado para determinar si el nivel es suficiente para permitir el acceso al usuario Si el nivel de autenticación almacenado en el token SSO no cumple el valor mínimo necesario, la aplicación puede solicitar al usuario que se vuelva a autenticar a través de un servicio con un nivel de autenticación más alto. El valor predeterminado es 0.


Nota

Si no se especifica ningún nivel de autenticación, el token SSO almacena el valor especificado en el "Nivel de autenticación predeterminado" del atributo de autenticación "Principal".



Contenido