Juniper Networks Secure Access

Guía de Administración

Versión 6.3

Juniper Networks, Inc.

1194 North Mathilda Avenue
Sunnyvale, CA 94089
EE. UU.
408-745-2000
www.juniper.net

Número de pieza: 63A091008-ES

This product includes the Envoy SNMP Engine, developed by Epilogue Technology, an Integrated Systems Company. Copyright © 1986–1997, Epilogue
Technology Corporation. All rights reserved. This program and its documentation were developed at private expense, and no part of them is in the public
domain.

This product includes memory allocation software developed by Mark Moraes, copyright © 1988, 1989, 1993, University of Toronto.

This product includes FreeBSD software developed by the University of California, Berkeley, and its contributors. All of the documentation and software
included in the 4.4BSD and 4.4BSD-Lite Releases is copyrighted by The Regents of the University of California. Copyright © 1979, 1980, 1983, 1986, 1988,
1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved.

GateD software copyright © 1995, The Regents of the University. All rights reserved. Gate Daemon was originated and developed through release 3.0 by
Cornell University and its collaborators. Gated is based on Kirton’s EGP, UC Berkeley’s routing daemon (routed), and DCN’s HELLO routing protocol.
Development of Gated has been supported in part by the National Science Foundation. Portions of the GateD software copyright © 1988, Regents of the
University of California. All rights reserved. Portions of the GateD software copyright © 1991, D. L. S. Associates.

Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, the NetScreen logo, NetScreen-Global Pro, ScreenOS, and GigaScreen are
registered trademarks of Juniper Networks, Inc. in the United States and other countries.

The following are trademarks of Juniper Networks, Inc.: ERX, E-series, ESP, Instant Virtual Extranet, Internet Processor, J2300, J4300, J6300, J-Protect,
J-series, J-Web, JUNOS, JUNOScope, JUNOScript, JUNOSe, M5, M7i, M10, M10i, M20, M40, M40e, M160, M320, M-series, MMD, NetScreen-5GT,
NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400,
NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-SA 1000 Series,
NetScreen-SA 3000 Series, NetScreen-SA 5000 Series, NetScreen-SA Central Manager, NetScreen Secure Access, NetScreen-SM 3000, NetScreen-Security
Manager, NMC-RX, SDX, Stateful Signature, T320, T640, T-series, and TX Matrix. All other trademarks, service marks, registered trademarks, or registered
service marks are the property of their respective owners. All specifications are subject to change without notice.

Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that are owned by or licensed
to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312, 6,429,706, 6,459,579, 6,493,347,
6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785.

Copyright © 2008, Juniper Networks, Inc.

All rights reserved. Printed in USA.

Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify, transfer, or
otherwise revise this publication without notice.

Year 2000 Notice

Juniper Networks hardware and software products are Year 2000 compliant. The JUNOS software has no known time-related limitations through the year
2038. However, the NTP application is known to have some difficulty in the year 2036.

Software License

The terms and conditions for using this software are described in the software license contained in the acknowledgment to your purchase order or, to the
extent applicable, to any reseller agreement or end-user purchase agreement executed between you and Juniper Networks. By using this software, you
indicate that you understand and agree to be bound by those terms and conditions.

Generally speaking, the software license restricts the manner in which you are permitted to use the software and may contain prohibitions against certain
uses. The software license may state conditions under which the license is automatically terminated. You should consult the license for further details.

For complete product documentation, please see the Juniper Networks Web site at www.juniper.net/techpubs.

End User License Agreement

READ THIS END USER LICENSE AGREEMENT ("AGREEMENT") BEFORE DOWNLOADING, INSTALLING, OR USING THE SOFTWARE. BY
DOWNLOADING, INSTALLING, OR USING THE SOFTWARE OR OTHERWISE EXPRESSING YOUR AGREEMENT TO THE TERMS CONTAINED HEREIN, YOU
(AS CUSTOMER OR IF YOU ARE NOT THE CUSTOMER, AS A REPRESENTATIVE/AGENT AUTHORIZED TO BIND THE CUSTOMER) CONSENT TO BE BOUND
BY THIS AGREEMENT. IF YOU DO NOT OR CANNOT AGREE TO THE TERMS CONTAINED HEREIN, THEN (A) DO NOT DOWNLOAD, INSTALL, OR USE THE
SOFTWARE, AND (B) YOU MAY CONTACT JUNIPER NETWORKS REGARDING LICENSE TERMS.

1. The Parties. The parties to this Agreement are Juniper Networks, Inc. and its subsidiaries (collectively “Juniper”), and the person or organization that
originally purchased from Juniper or an authorized Juniper reseller the applicable license(s) for use of the Software (“Customer”) (collectively, the “Parties”).

2. The Software. In this Agreement, “Software” means the program modules and features of the Juniper or Juniper-supplied software, and updates and
releases of such software, for which Customer has paid the applicable license or support fees to Juniper or an authorized Juniper reseller.

3. License Grant. Subject to payment of the applicable fees and the limitations and restrictions set forth herein, Juniper grants to Customer a non-exclusive
and non-transferable license, without right to sublicense, to use the Software, in executable form only, subject to the following use restrictions:

a. Customer shall use the Software solely as embedded in, and for execution on, Juniper equipment originally purchased by Customer from Juniper or an
authorized Juniper reseller, unless the applicable Juniper documentation expressly permits installation on non-Juniper equipment.

b. Customer shall use the Software on a single hardware chassis having a single processing unit, or as many chassis or processing units for which Customer
has paid the applicable license fees.

c. Product purchase documents, paper or electronic user documentation, and/or the particular licenses purchased by Customer may specify limits to
Customer’s use of the Software. Such limits may restrict use to a maximum number of seats, registered endpoints, concurrent users, sessions, calls,
connections, subscribers, clusters, nodes, or transactions, or require the purchase of separate licenses to use particular features, functionalities, services,
applications, operations, or capabilities, or provide throughput, performance, configuration, bandwidth, interface, processing, temporal, or geographical
limits. Customer’s use of the Software shall be subject to all such limitations and purchase of all applicable licenses.

The foregoing license is not transferable or assignable by Customer. No license is granted herein to any user who did not originally purchase the applicable
license(s) for the Software from Juniper or an authorized Juniper reseller.
4. Use Prohibitions. Notwithstanding the foregoing, the license provided herein does not permit the Customer to, and Customer agrees not to and shall not:
(a) modify, unbundle, reverse engineer, or create derivative works based on the Software; (b) make unauthorized copies of the Software (except as necessary
for backup purposes); (c) rent, sell, transfer, or grant any rights in and to any copy of the Software, in any form, to any third party; (d) remove any
proprietary notices, labels, or marks on or in any copy of the Software or any product in which the Software is embedded; (e) distribute any copy of the
Software to any third party, including as may be embedded in Juniper equipment sold in the secondhand market; (f) use any ‘locked’ or key-restricted
feature, function, service, application, operation, or capability without first purchasing the applicable license(s) and obtaining a valid key from Juniper, even
if such feature, function, service, application, operation, or capability is enabled without a key; (g) distribute any key for the Software provided by Juniper to
any third party; (h) use the Software in any manner that extends or is broader than the uses purchased by Customer from Juniper or an authorized Juniper
reseller; (i) use the Software on non-Juniper equipment where the Juniper documentation does not expressly permit installation on non-Juniper equipment;
(j) use the Software (or make it available for use) on Juniper equipment that the Customer did not originally purchase from Juniper or an authorized Juniper
reseller; or (k) use the Software in any manner other than as expressly provided herein.
5. Audit. Customer shall maintain accurate records as necessary to verify compliance with this Agreement. Upon request by Juniper, Customer shall furnish
such records to Juniper and certify its compliance with this Agreement.
6. Confidentiality. The Parties agree that aspects of the Software and associated documentation are the confidential property of Juniper. As such, Customer
shall exercise all reasonable commercial efforts to maintain the Software and associated documentation in confidence, which at a minimum includes
restricting access to the Software to Customer employees and contractors having a need to use the Software for Customer’s internal business purposes.
7. Ownership. Juniper and Juniper’s licensors, respectively, retain ownership of all right, title, and interest (including copyright) in and to the Software,
associated documentation, and all copies of the Software. Nothing in this Agreement constitutes a transfer or conveyance of any right, title, or interest in the
Software or associated documentation, or a sale of the Software, associated documentation, or copies of the Software.
8. Warranty, Limitation of Liability, Disclaimer of Warranty. The warranty applicable to the Software shall be as set forth in the warranty statement that
accompanies the Software (the “Warranty Statement”). Nothing in this Agreement shall give rise to any obligation to support the Software. Support services
may be purchased separately. Any such support shall be governed by a separate, written support services agreement. TO THE MAXIMUM EXTENT
PERMITTED BY LAW, JUNIPER SHALL NOT BE LIABLE FOR ANY LOST PROFITS, LOSS OF DATA, OR COSTS OR PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES, OR FOR ANY SPECIAL, INDIRECT, OR CONSEQUENTIAL DAMAGES ARISING OUT OF THIS AGREEMENT, THE SOFTWARE, OR ANY JUNIPER
OR JUNIPER-SUPPLIED SOFTWARE. IN NO EVENT SHALL JUNIPER BE LIABLE FOR DAMAGES ARISING FROM UNAUTHORIZED OR IMPROPER USE OF
ANY JUNIPER OR JUNIPER-SUPPLIED SOFTWARE. EXCEPT AS EXPRESSLY PROVIDED IN THE WARRANTY STATEMENT TO THE EXTENT PERMITTED BY
LAW, JUNIPER DISCLAIMS ANY AND ALL WARRANTIES IN AND TO THE SOFTWARE (WHETHER EXPRESS, IMPLIED, STATUTORY, OR OTHERWISE),
INCLUDING ANY IMPLIED WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT. IN NO EVENT DOES
JUNIPER WARRANT THAT THE SOFTWARE, OR ANY EQUIPMENT OR NETWORK RUNNING THE SOFTWARE, WILL OPERATE WITHOUT ERROR OR
INTERRUPTION, OR WILL BE FREE OF VULNERABILITY TO INTRUSION OR ATTACK. In no event shall Juniper’s or its suppliers’ or licensors’ liability to
Customer, whether in contract, tort (including negligence), breach of warranty, or otherwise, exceed the price paid by Customer for the Software that gave
rise to the claim, or if the Software is embedded in another Juniper product, the price paid by Customer for such other product. Customer acknowledges and
agrees that Juniper has set its prices and entered into this Agreement in reliance upon the disclaimers of warranty and the limitations of liability set forth
herein, that the same reflect an allocation of risk between the Parties (including the risk that a contract remedy may fail of its essential purpose and cause
consequential loss), and that the same form an essential basis of the bargain between the Parties.
9. Termination. Any breach of this Agreement or failure by Customer to pay any applicable fees due shall result in automatic termination of the license
granted herein. Upon such termination, Customer shall destroy or return to Juniper all copies of the Software and related documentation in Customer’s
possession or control.
10. Taxes. All license fees for the Software are exclusive of taxes, withholdings, duties, or levies (collectively “Taxes”). Customer shall be responsible for
paying Taxes arising from the purchase of the license, or importation or use of the Software.
11. Export. Customer agrees to comply with all applicable export laws and restrictions and regulations of any United States and any applicable foreign
agency or authority, and not to export or re-export the Software or any direct product thereof in violation of any such restrictions, laws or regulations, or
without all necessary approvals. Customer shall be liable for any such violations. The version of the Software supplied to Customer may contain encryption
or other capabilities restricting Customer’s ability to export the Software without an export license.
12. Commercial Computer Software. The Software is “commercial computer software” and is provided with restricted rights. Use, duplication, or
disclosure by the United States government is subject to restrictions set forth in this Agreement and as provided in DFARS 227.7201 through 227.7202-4,
FAR 12.212, FAR 27.405(b)(2), FAR 52.227-19, or FAR 52.227-14(ALT III) as applicable.
13. Interface Information. To the extent required by applicable law, and at Customer's written request, Juniper shall provide Customer with the interface
information needed to achieve interoperability between the Software and another independently created program, on payment of applicable fee, if any.
Customer shall observe strict obligations of confidentiality with respect to such information and shall use such information in compliance with any
applicable terms and conditions upon which Juniper makes such information available.
14. Third Party Software. Any licensor of Juniper whose software is embedded in the Software and any supplier of Juniper whose products or technology
are embedded in (or services are accessed by) the Software shall be a third party beneficiary with respect to this Agreement, and such licensor or vendor
shall have the right to enforce this Agreement in its own name as if it were Juniper. In addition, certain third party software may be provided with the
Software and is subject to the accompanying license(s), if any, of its respective owner(s). To the extent portions of the Software are distributed under and
subject to open source licenses obligating Juniper to make the source code for such portions publicly available (such as the GNU General Public License
(“GPL”) or the GNU Library General Public License (“LGPL”)), Juniper will make such source code portions (including Juniper modifications, as appropriate)
available upon request for a period of up to three years from the date of distribution. Such request can be made in writing to Juniper Networks, Inc., 1194 N.
Mathilda Ave., Sunnyvale, CA 94089, ATTN: General Counsel. You may obtain a copy of the GPL at http://www.gnu.org/licenses/gpl.html, and a copy of the
LGPL at http://www.gnu.org/licenses/lgpl.html.
15. Miscellaneous. This Agreement shall be governed by the laws of the State of California without reference to its conflicts of laws principles. The
provisions of the U.N. Convention for the International Sale of Goods shall not apply to this Agreement. For any disputes arising under this Agreement, the
Parties hereby consent to the personal and exclusive jurisdiction of, and venue in, the state and federal courts within Santa Clara County, California. This
Agreement constitutes the entire and sole agreement between Juniper and the Customer with respect to the Software, and supersedes all prior and
contemporaneous agreements relating to the Software, whether oral or written (including any inconsistent terms contained in a purchase order), except that
the terms of a separate written agreement executed by an authorized Juniper representative and Customer shall govern to the extent such terms are
inconsistent or conflict with terms contained herein. No modification to this Agreement nor any waiver of any rights hereunder shall be effective unless
expressly assented to in writing by the party to be charged. If any portion of this Agreement is held invalid, the Parties agree that such invalidity shall not
affect the validity of the remainder of this Agreement. This Agreement and associated documentation has been written in the English language, and the
Parties agree that the English version will govern. (For Canada: Les parties aux présentés confirment leur volonté que cette convention de même que tous
les documents y compris tout avis qui s'y rattaché, soient redigés en langue anglaise. (Translation: The parties confirm that this Agreement and all related
documentation is and will be in the English language)).
Contenido
Acerca de esta guía xxiii
Audiencia .................................................................................................... xxiii
Información complementaria...................................................................... xxiii
Documentación para administradores y desarrolladores ...................... xxiii
Documentación relacionada con los mensajes de error ........................ xxiv
Documentación sobre hardware........................................................... xxiv
Descargas del producto ........................................................................ xxiv
Convenciones ............................................................................................. xxiv
Documentación............................................................................................ xxv
Notas de versión.................................................................................... xxv
Acceso web ........................................................................................... xxv
Contactar al servicio de soporte técnico ....................................................... xxv

Parte 1 Guía de inicio

Capítulo 1 Verificación inicial y conceptos clave 3

Verificar la accesibilidad del usuario ................................................................ 3
Crear un supuesto de prueba para aprender los conceptos y prácticas
recomendadas con IVE .............................................................................. 6
Definir un rol de usuario............................................................................ 7
Definición de un perfil de recurso.............................................................. 9
Definición de un servidor de autenticación.............................................. 11
Definición de un territorio de autenticación............................................. 15
Definir una directiva de inicio de sesión .................................................. 18
Utilización del supuesto de prueba .......................................................... 21
Configurar ajustes predeterminados para administradores ............................ 23

Capítulo 2 Introducción al IVE 25

¿Qué es el IVE?............................................................................................... 25
¿Qué puedo hacer con el IVE? ........................................................................ 27
¿Puedo usar el IVE para proporcionar seguridad en el tráfico de todas
las aplicaciones, servidores y páginas web de mi empresa? .............. 28
¿Puedo usar mis servidores actuales para autenticar a los usuarios
del IVE?............................................................................................. 29
¿Puedo ajustar con mayor precisión el acceso al IVE y a los recursos
para los que proporciona intermediación? ........................................ 30
¿Puedo crear una integración sin fisuras entre el IVE y los recursos
para los que proporciona intermediación? ........................................ 31
¿Puedo usar el IVE para proporcionar protección contra equipos
infectados y otras amenazas a la seguridad? ..................................... 31

Contenido „ v
 Guía de administración de Secure Access de Juniper Networks

¿Puedo garantizar la redundancia en el entorno de mi IVE? .................... 32

¿Puedo hacer que la interfaz del IVE coincida con la apariencia
y aspecto de mi empresa?.................................................................32
¿Puedo habilitar usuarios de equipos y dispositivos diversos para
que usen el IVE?................................................................................ 33
¿Puedo proporcionar acceso seguro a los usuarios internacionales? ........ 33
¿Cómo comienzo a configurar el IVE? ............................................................ 34
Uso de Network and Security Manager con el IVE.......................................... 35
La manera en que se comunican el IVE y el NSM .................................... 35
Resumen de tareas: Configuración de las comunicaciones DMI
para el NSM ...................................................................................... 37
Administración de grandes archivos de datos binarios ............................ 39

Parte 2 Marco de administración de acceso

Capítulo 3 Administración de acceso general 51

Licencia: Disponibilidad de la administración de acceso ................................ 52
Vista general de las directivas, reglas, restricciones y condiciones ................. 52
Acceso a territorios de autenticación ....................................................... 52
Acceso a los roles de usuario ................................................................... 53
Acceso a directivas de recursos ............................................................... 54
Evaluación de las directivas, reglas, restricciones y condiciones .................... 54
Evaluación dinámica de directivas .................................................................57
Comprensión de la evaluación dinámica de directivas............................. 57
Comprensión de la evaluación de directivas estándar.............................. 58
Habilitación de la evaluación dinámica de directivas ............................... 59
Configuración de los requisitos de seguridad ................................................. 60
Especificación de las restricciones de acceso de la dirección
IP de origen ...................................................................................... 60
Especificación de las restricciones de acceso para exploradores.............. 62
Especificación de las restricciones de acceso para certificados ................ 65
Especificación de las restricciones de acceso para contraseñas ............... 66
Especificación de las restricciones de acceso para Host Checker ............. 67
Especificación de las restricciones de acceso para Cache Cleaner............ 67
Especificación de las restricciones de límite ............................................ 67

Capítulo 4 Roles de usuario 69

Licencia: Disponibilidad de roles de usuario................................................... 70
Evaluación de rol de usuario .......................................................................... 70
Pautas de combinación permisiva ........................................................... 72
Configuración de los roles de usuario............................................................. 72
Configuración de las opciones generales del rol....................................... 73
Configuración de restricciones de rol....................................................... 74
Especificación de alias de IP de origen basados en roles ......................... 75
Especificación de las opciones de sesión ................................................. 76
Especificación de las opciones de UI........................................................ 79
Definición de opciones predeterminadas para roles de usuario ............... 84
Personalización de las vistas de UI para roles de usuario ............................... 86

vi „ Contenido
 Contenido

Capítulo 5 Perfiles de recursos 91

Licencia: Disponibilidad de perfiles de recursos ............................................. 92
Resumen de tareas: Configuración de perfiles de recursos............................. 92
Componentes de los perfiles de recursos ....................................................... 92
Definición de recursos ............................................................................. 95
Definición de directivas automáticas ....................................................... 96
Definición de roles................................................................................... 98
Definición de marcadores........................................................................ 98
Plantillas de los perfiles de recursos ............................................................... 99

Capítulo 6 Directivas de recursos 101

Licencia: Disponibilidad de directivas de recursos........................................102
Componentes de las directivas de recursos..................................................103
Especificación de los recursos para una directiva de recursos ...............103
Evaluación de las directivas de recursos.......................................................106
Creación de reglas detalladas para las directivas de recursos .......................108
Escritura de una regla detallada.............................................................109
Personalización de las vistas de la interfaz de usuario de directivas
de recursos ............................................................................................110

Capítulo 7 Servidores de autenticación y de directorios 111

Licencia: Disponibilidad de servidores de autenticación...............................112
Resumen de tareas: configuración de servidores de autenticación...............113
Definición de una instancia de servidor de autenticación.............................114
Definición de una instancia de servidor de autenticación ......................115
Modificación de una instancia de servidor de autenticación existente ...115
Configuración de una instancia de servidor anónimo...................................115
Restricciones de servidores anónimos ...................................................116
Definición de una instancia de servidor anónimo ..................................116
Configuración de una instancia de ACE/Server.............................................117
Definición de una instancia de ACE/Server ............................................118
Generación de un archivo de configuración de ACE/Agent ....................119
Configuración de una instancia de Active Directory o dominio NT...............120
Definición de una instancia de servidor Active Directory o dominio
de Windows NT ..............................................................................121
Autenticación de usuarios de varios dominios .......................................124
Compatibilidad con consulta de grupos de Active Directory y NT ..........125
Configuración de una instancia de servidor de certificados ............................ 126
Configuración de una instancia de servidor LDAP ........................................128
Definición de una instancia de servidor LDAP .......................................129
Configuración de los atributos de búsqueda de LDAP para creadores
de reuniones ...................................................................................132
Supervisión y eliminación de sesiones de usuario activas......................132
Habilitación de la administración de contraseñas de LDAP ...................133
Configuración de una instancia de servidor de autenticación local...............138
Definición de una instancia de servidor de autenticación local ..............138
Creación de cuentas de usuario en un servidor local de autenticación...140
Administración de cuentas de usuario ...................................................142
Delegación de derechos de administración de usuarios a usuarios
finales .............................................................................................142
Configuración de una instancia de servidor NIS ...........................................144

Contenido „ vii
 Guía de administración de Secure Access de Juniper Networks

Configuración de una instancia de servidor de RADIUS ...............................145

Experiencia de los usuarios de RADIUS .................................................146
Configuración del IVE para trabajar con el servidor backend RADIUS ...147
Habilitación de la contabilidad RADIUS .................................................151
Configuración de una instancia de servidor eTrust SiteMinder .....................160
Información general sobre eTrust SiteMinder ........................................161
Configuración de SiteMinder para que funcione con el IVE....................165
Configuración del IVE para que funcione con SiteMinder ......................172
Depuración de SiteMinder y problemas del IVE .....................................186
Configuración de una instancia de servidor de SAML ...................................187
Uso del perfil de artefacto y del perfil POST ..........................................187
Creación de una nueva instancia de servidor SAML...............................192

Capítulo 8 Territorios de autenticación 195

Licencia: disponibilidad de territorios de autenticación ................................196
Creación de un territorio de autenticación ...................................................196
Definición de directivas de autenticación .....................................................198
Creación de reglas de asignación de roles ....................................................199
Cómo especificar reglas de asignación de roles para un territorio
de autenticación..............................................................................201
Personalización de vistas de UI de territorios de usuario..............................209

Capítulo 9 Directivas de inicio de sesión 211

Licencia: Disponibilidad de directivas y páginas de inicio de sesión.............213
Resumen de tareas: Configuración de directivas de inicio de sesión ............213
Configuración de directivas de inicio de sesión ............................................214
Definición de las directivas de inicio de sesión ......................................214
Definición de directivas de acceso sólo con autorización.......................215
Definición de las directivas de inicio de sesión de reunión ....................217
Habilitación y inhabilitación de directivas de inicio de sesión................219
Especificación del orden de evaluación de las directivas de inicio
de sesión.........................................................................................219
Configuración las páginas de inicio de sesión...............................................220
Configuración de las páginas de inicio de sesión estándares .................221

Capítulo 10 Inicio de sesión único 223

Licencia: Disponibilidad de inicio de sesión único........................................223
Información general de inicio de sesión único .............................................224
Información general de credenciales de inicios de sesión múltiples .............226
Resumen de tareas: configuración de múltiples servidores
de autenticación..............................................................................226
Resumen de tareas: Activación de SSO para recursos protegidos
por autenticación básica .................................................................227
Resumen de tareas: Activación de SSO para recursos protegidos
por NTLM........................................................................................227
Ejecución de credenciales de inicios de sesión múltiples .......................229
Configuración de SAML ................................................................................234
Configuración de perfiles SAML SSO ............................................................237
Creación de un perfil de artefacto..........................................................237
Creación de un perfil POST....................................................................242
Creación de una directiva de control de acceso .....................................245
Creación de una relación de confianza entre sistemas habilitados
por SAML ........................................................................................249

viii „ Contenido
 Contenido

Parte 3 Defensa en el punto final

Capítulo 11 Host Checker 257

La arquitectura TNC dentro de Host Checker ...............................................257
Vista general de Host Checker......................................................................258
Licencia: Disponibilidad de Host Checker.....................................................258
Resumen de tareas: Configuración de Host Checker ....................................259
Creación de directivas de Host Checker globales..........................................261
Habilitación de directivas predefinidas del lado cliente
(solo en Windows) ..........................................................................262
Creación y configuración de nuevas directivas del lado cliente ....................267
Búsqueda de aplicaciones de terceros usando reglas predefinidas
(sólo en Windows) .................................................................................268
Configuración de una regla de antivirus predefinida con opciones
de corrección ..................................................................................269
Configuración de una regla de cortafuegos predefinida con opciones
de corrección ..................................................................................272
Configuración de una regla predefinida de Spyware ..............................273
Configuración de la supervisión de la versión de la firma de virus
y de la supervisión de los datos de la evaluación de parches...........274
Especificación de requisitos personalizados usando reglas
personalizadas.......................................................................................276
Uso de un comodín o una variable de entorno en una regla de
Host Checker ..................................................................................283
Evaluación de varias reglas en una directiva única de Host Checker......284
Configuración de directivas de evaluación de parches ...........................285
Uso de Comprobadores de medición de integridad de terceros ...................289
Configuración de un servidor IMV remoto .............................................289
Implementación de la directiva para IMV de terceros ............................295
Combinación de varias reglas de medición de integridad con expresiones
personalizadas.......................................................................................296
Habilitación de directivas personalizadas del lado del servidor..............296
Implementación de las directivas del Host Checker .....................................298
Ejecución de las directivas del Host Checker .........................................299
Configuración de las restricciones de Host Checker...............................301
Corrección de las directivas de Host Checker ...............................................303
Experiencia del usuario en la corrección de Host Checker .....................304
Configuración de la corrección general de Host Checker .......................305
Definición de los túneles de acceso de autenticación previa de
Host Checker .........................................................................................310
Especificación de las definiciones de los túneles de acceso
de autenticación previa de Host Checker ........................................311
Especificación de las opciones generales de Host Checker ...........................314
Especificación de las opciones de instalación de Host Checker ....................316
Eliminación del control ActiveX de Juniper ............................................317
Uso de Host Checker con la función de inicio de sesión automática
de GINA ..........................................................................................318
Instalación automática de Host Checker ................................................318
Instale Host Checker de forma manual ..................................................319

Contenido „ ix
 Guía de administración de Secure Access de Juniper Networks

Uso de registros de Host Checker.................................................................319

Configuración de Host Checker para Windows Mobile .................................320
Uso de excepciones Proxy ...........................................................................321
Habilitación de Secure Virtual Workspace ....................................................321
Características de Secure Virtual Workspace .........................................322
Restricciones y ajustes predeterminados de Secure Virtual
Workspace ......................................................................................323
Configuración de Secure Virtual Workspace ..........................................324

Capítulo 12 Cache Cleaner 331

Licencia: Disponibilidad de Cache Cleaner ...................................................332
Ajuste de las opciones globales de Cache Cleaner ........................................332
Implementación de las opciones de Cache Cleaner......................................335
Ejecución de Cache Cleaner...................................................................336
Especificación de las restricciones de Cache Cleaner .............................338
Especificación de las opciones de instalación de Cache Cleaner...................339
Uso de los registros de Cache Cleaner..........................................................340

Parte 4 Acceso remoto

Elección de un mecanismo de acceso remoto..............................................344

Capítulo 13 Plantillas de applets de Java hospedados 345

Licencia: disponibilidad de applets de Java hospedados ...............................345
Resumen de tareas: hospedaje de applets de Java........................................346
Información general de applets de Java hospedados ....................................346
Carga de applets de Java al IVE..............................................................347
Firma de applets de Java cargados.........................................................348
Creación de páginas HTML que hacen referencia a los applets de
Java cargados ..................................................................................349
Acceso a los marcadores de applet de Java............................................349
Definición de perfiles de recursos: applets de Java hospedados ...................350
Definición de marcadores del applet de Java hospedado .......................352
Caso de uso: creación de un marcador de applet de Java Citrix JICA 9.5......357
Ejemplo de applet JICA 9.5 ....................................................................358
Ejemplo de JICA 8.x...............................................................................359

Capítulo 14 Plantillas de Citrix 361

Información general sobre las plantillas Web de Citrix.................................361
Comparación de los mecanismos de acceso del IVE para la
configuración de Citrix ..........................................................................362
Creación de perfiles de recursos mediante aplicaciones Web de Citrix ........365

Capítulo 15 Plantillas de Lotus iNotes 371

Capítulo 16 Plantillas de Microsoft OWA 375

Capítulo 17 Plantillas de Microsoft Sharepoint 379

x „ Contenido
 Contenido

Capítulo 18 Reescritura web 383

Licencia: Disponibilidad de la reescritura web..............................................384
Resumen de tareas: configuración de la característica de
reescritura web......................................................................................384
Información general sobre la reescritura de URL web ..................................386
Información general de SSO remoto......................................................388
Información general de proxy passthrough ...........................................389
Definición de perfiles de recursos: Aplicaciones web personalizadas ...........392
Definición de URL de base.....................................................................394
Definición de una directiva automática de control de acceso web .........395
Definición de recursos Web...................................................................396
Definición de una directiva automática de inicio de sesión único ..........397
Definición de una directiva automática de almacenamiento
en caché .........................................................................................401
Definición de una directiva automática de control de acceso a Java ......404
Definición de una directiva automática de reescritura ...........................406
Definición de una directiva automática de compresión web..................411
Definición de un marcador web ............................................................412
Definición de los ajustes de rol: URL web.....................................................415
Creación de marcadores a través de perfiles de recursos existentes ......415
Creación de marcadores web estándar ..................................................416
Especificación de opciones generales de exploración web.....................418
Definición de directivas de recursos: Información general ...........................422
Definición de directivas de recursos: acceso web.........................................424
Definición de directivas de recursos: inicio de sesión único .........................425
Escritura de una directiva de recursos de intermediación de
autenticación básica o NTLM...........................................................426
Escritura de una directiva de recursos POST de formulario de
SSO remoto.....................................................................................429
Escritura de una directiva de recursos de encabezados/cookies
de SSO remoto................................................................................431
Definición de directivas de recursos: almacenamiento en caché..................433
Escritura de una directiva de recursos de almacenamiento en caché.....434
Creación de directivas de recursos de almacenamiento en
caché OWA y Lotus Notes ...............................................................437
Especificación de opciones generales de almacenamiento en caché......438
Definición de directivas de recursos: applets de Java externos.....................439
Escritura de una directiva de recursos de control de acceso a Java ........439
Escritura de una directiva de recursos de firma de código Java .............441
Definición de directivas de recursos: reescritura ..........................................443
Creación de una directiva de recursos de reescritura selectiva...............443
Creación de una directiva de recursos proxy passthrough .....................446
Creación de una directiva de recursos de encabezados
personalizados ................................................................................449
Creación de una directiva de recursos de parámetros ActiveX...............450
Restauración de las directivas de recursos ActiveX predeterminadas
del IVE ............................................................................................452
Creación de filtros de reescritura ...........................................................454
Definición de directivas de recursos: compresión web.................................454
Escritura de una directiva de recursos de compresión web ...................454
Definición de una directiva de recursos de compresión OWA ...............456
Definición de directivas de recursos: proxy web ..........................................456
Escritura de una directiva de recursos proxy web..................................456
Especificación de servidores proxy web ................................................458

Contenido „ xi
 Guía de administración de Secure Access de Juniper Networks

Definición de directivas de recursos: protocolo HTTP 1.1 ............................459

Definición de directivas de recursos: Acceso a dominio cruzado
(llamadas XMLHttpRequest) ..................................................................461
Definición de directivas de recursos: opciones generales .............................462
Administración de directivas de recursos: Personalización de vistas de UI...463

Capítulo 19 Reescritura de archivos 465

Licencia: Disponibilidad para la reescritura de archivos ...............................465
Definición de perfiles de recursos: Reescritura de archivo ...........................465
Definición de recursos de archivos ........................................................467
Definición de una directiva automática de control de acceso
a archivos .......................................................................................468
Definición de una directiva automática de compresión de archivos.......469
Definición de una directiva automática de inicio de sesión único
(sólo Windows) ...............................................................................470
Definición de un marcador de archivo...................................................471
Definición de los ajustes de rol: Recursos de Windows ................................473
Creación de marcadores avanzados para recursos de Windows ............474
Creación de marcadores de Windows que se asignan a servidores
LDAP...............................................................................................475
Definición de opciones generales para la exploración de archivos.........476
Definición de directivas de recursos: Recursos de archivos de Windows......476
Formato canónico: Recursos de archivos de Windows ..........................477
Escritura de una directiva de recurso de acceso para Windows .............478
Para escribir una directiva de recurso SSO para Windows.....................479
Para escribir una directiva de recurso de compresión para Windows ....481
Definición de opciones generales de escritura de archivos ....................482
Definición de los ajustes de rol: Recursos de archivos para UNIX/NFS .........483
Creación de marcadores avanzados a recursos de UNIX........................483
Definición de opciones generales para la exploración de archivos.........485
Definición de directivas de recursos: Recursos de archivos para
UNIX/NFS ..............................................................................................485
Formato canónico: Recursos de archivos para UNIX/NFS ......................486
Escritura de directivas de recursos para UNIX/NFS ................................487
Para escribir una directiva de recurso de compresión para
Unix/NFS.........................................................................................488
Definición de opciones generales de escritura de archivos ....................489

Capítulo 20 Secure Application Manager 491

Licencia: Disponibilidad de Secure Application Manager..............................492
Resumen de tareas: Configuración de WSAM ..............................................492
Información general de WSAM ....................................................................493
Tráfico de cliente/servidor seguro con WSAM........................................494
Compatibilidad del antivirus y la aplicación cliente VPN........................496
Inicio de Network Connect durante una sesión de WSAM .....................497
Depuración de problemas de WSAM .....................................................497
Definición de perfiles de recursos: WSAM....................................................498
Creación de perfiles de recursos de aplicaciones de cliente WSAM........498
Creación de perfiles de recursos de red de destino de WSAM................500
Definición de los ajustes de rol: WSAM ........................................................501
Especificación de aplicaciones y servidores para proteger
con WSAM ......................................................................................501
Especificación de aplicaciones que necesitan evitar WSAM ...................504

xii „ Contenido
 Contenido

Especificación de opciones WSAM a nivel de rol ...................................506

Descarga de aplicaciones WSAM ...........................................................507
Definición de directivas de recursos: WSAM ................................................508
Especificación de los servidores de aplicaciones a los
cuales los usuarios pueden tener acceso .........................................508
Especificación de opciones WSAM a nivel de recurso ............................510
Uso del iniciador de WSAM ..........................................................................510
Ejecución manual de scripts ..................................................................512
Ejecución automática de scripts.............................................................513
Resumen de tareas: Configuración de JSAM.................................................514
Información general de JSAM.......................................................................516
Uso de JSAM para comunicaciones cliente/servidor ...............................517
Compatibilidad con Linux y Macintosh ..................................................526
Compatibilidad con aplicaciones estándar: MS Outlook.........................526
Compatibilidad con aplicaciones estándar: Lotus Notes.........................528
Compatibilidad con aplicaciones estándar: Citrix Web Interface for
MetaFrame (NFuse Classic) .............................................................530
Compatibilidad con aplicaciones personalizadas: aplicaciones
publicadas de Citrix configuradas desde el cliente nativo ................531
Compatibilidad con aplicaciones personalizadas: Citrix Secure
Gateways ........................................................................................534
Definición de perfiles de recursos: JSAM ......................................................535
Definición de los ajustes de rol: JSAM ..........................................................540
Especificación de aplicaciones para proteger con JSAM .........................540
Especificación de opciones JSAM a nivel de rol......................................543
Definición de directivas de recursos: JSAM...................................................545
Inicio automático de JSAM.....................................................................545
Especificación de los servidores de aplicaciones a los cuales los
usuarios pueden tener acceso .........................................................547
Especificación de opciones JSAM a nivel de recurso ..............................548

Capítulo 21 Telnet/SSH 551

Licencia: Disponibilidad de Telnet/SSH ........................................................552
Resumen de tareas: Configuración de la característica Telnet/SSH...............552
Definición de perfiles de recursos: Telnet/SSH .............................................553
Definición de un marcador de perfil de recursos de Telnet/SSH ............554
Definición de los ajustes de rol: Telnet/SSH..................................................556
Creación de marcadores de sesión avanzada.........................................557
Configuración de las opciones generales de Telnet/SSH.........................558
Definición de directivas de recursos: Telnet/SSH..........................................559
Escritura de las directivas de recursos de Telnet/SSH.............................560
Coincidencia de direcciones IP con nombres de host ............................561

Capítulo 22 Terminal Services 563

Licencia: Disponibilidad de Terminal Services..............................................563
Resumen de tareas: Configuración de la característica Terminal Services ....564
Vista general de Terminal Services...............................................................565
Experiencia del usuario de Terminal Services ........................................566
Ejecución de Terminal Services .............................................................567
Configuración de Citrix para admitir el equilibrio de carga de ICA.........568
Definición de perfiles de recursos: Vista general de Terminal Services.........570

Contenido „ xiii
 Guía de administración de Secure Access de Juniper Networks

Definición de perfiles de recursos: Windows Terminal Services ...................572

Definición de directivas automáticas del applet de Java hospedado.......573
Definición de un marcador para un perfil de servicios de terminal
de Windows ....................................................................................575
Definición de perfiles de recursos: Terminal Services de Citrix
(ICA predeterminado) ............................................................................583
Definición de un marcador para un perfil Citrix usando los ajustes
de ICA predeterminados .................................................................584
Definición de perfiles de recursos: Terminal Services de Citrix
(ICA personalizado) ...............................................................................591
Definición de un marcador para un perfil Citrix usando un archivo
ICA personalizado ...........................................................................593
Definición de perfiles de recursos: Lista de aplicaciones Citrix.....................594
Definición de un marcador para las aplicaciones de la lista del perfil
de Citrix ..........................................................................................596
Definición de los ajustes de rol: Terminal Services .......................................599
Creación de marcadores de sesión de servicios de terminal
avanzados .......................................................................................600
Creación de enlaces desde un sitio externo a un marcador de
sesión de Terminal Services ............................................................608
Especificación de las opciones generales de Terminal Services .............612
Definición de directivas de recursos: Terminal Services ...............................615
Configuración de directivas de recursos de servicios de terminal ..........616
Especificación de la opción de recursos de Terminal Services ...............617

Capítulo 23 Secure Meeting 619

Licencia: Disponibilidad de Secure Meeting .................................................619
Resumen de tareas: Configuración de Secure Meeting .................................620
Información general de Secure Meeting .......................................................622
Programación de reuniones...................................................................622
Envío de correos electrónicos de notificación ........................................625
Entrar en una reunión ...........................................................................626
Asistencia a las reuniones......................................................................628
Dirección de reuniones..........................................................................629
Presentación de reuniones ....................................................................630
Creación de reuniones instantáneas y de reuniones de apoyo...............630
Creación de reuniones MySecureMeeting ..............................................632
Definición de los ajustes de rol: Secure Meeting...........................................633
Habilitación y configuración de Secure Meeting ....................................633
Pautas de fusión permisiva para Secure Meeting ...................................638
Especificación de los servidores a los que pueden acceder los
creadores de reuniones ...................................................................638
Configuración de los ajustes de reunión a nivel de sistema ..........................640
Resolución de problemas de Secure Meeting ...............................................643
Problemas conocidos.............................................................................644
Supervisión de Secure Meeting ....................................................................645

xiv „ Contenido
 Contenido

Capítulo 24 Email Client 647

Licencia: Disponibilidad de Email Client ......................................................648
Información general sobre Email Client .......................................................648
Elección de un Email Client ...................................................................648
Funcionamiento con un servidor de correo basado en estándares.........649
Funcionamiento con el servidor Microsoft Exchange.............................649
Funcionamiento con Lotus Notes y el servidor de correo de
Lotus Notes .....................................................................................651
Definición de los ajustes de rol: Email Client................................................652
Definición de directivas de recursos: Email Client........................................652

Capítulo 25 Network Connect 655

Resumen de tareas: Configuración de Network Connect..............................658
Información general de Network Connect....................................................660
Ejecución de Network Connect ..............................................................660
Perfiles de conexión de Network Connect compatibles con
ajustes de varios DNS......................................................................667
Aprovisionamiento de la red para Network Connect..............................668
Registro del lado cliente.........................................................................669
Compatibilidad de proxy de Network Connect ......................................669
Calidad de servicio de Network Connect................................................670
Soporte de multicast de Network Connect .............................................671
Definición de los ajustes de rol: Network Connect .......................................671
Definición de directivas de recursos: Network Connect................................674
Definición de directivas de control de acceso de Network Connect .......674
Creación de perfiles de conexión de Network Connect..........................675
Definición de directivas de división de encapsulamiento de
Network Connect ............................................................................682
Caso de uso: Configuración de directivas de recursos de
Network Connect ............................................................................683
Definición de directivas de administración de ancho de banda
de Network Connect .......................................................................684
Definición de los ajustes de sistema: Network Connect................................690
Especificación de filtros IP .....................................................................690
Descarga del instalador de Network Connect.........................................690
Dependencias del proceso de instalación de Network Connect .............691
Dependencias del proceso de desinstalación de Network Connect ........693
Uso del iniciador de Network Connect (iniciador de NC) ..............................694
Solución de errores de Network Connect .....................................................697
nc.windows.app.23792 .........................................................................697
Conflicto de versiones al cambiar a una anterior ...................................697

Contenido „ xv
 Guía de administración de Secure Access de Juniper Networks

Parte 5 Administración de sistema

Capítulo 26 Administración general del sistema 701

Licencia: Disponibilidad de la administración del sistema............................701
Resumen de tareas: Configuración de las funciones de administración........702
Configuración de los ajustes de la red ..........................................................702
Puertos de enlace ..................................................................................703
Configuración de los ajustes generales de la red ....................................703
Configuración de los puertos internos y externos ..................................706
Configuración de puertos SFP................................................................708
Configuración del puerto de administración ..........................................708
Configuración de VLAN..........................................................................709
Configuración de puertos virtuales ........................................................711
Resumen de tareas: Definición de los destinos de subred en
base a roles .....................................................................................713
Configuración de las rutas estáticas para el tráfico de red......................714
Creación de cachés ARP ........................................................................715
Especificación de nombres de host para que el IVE resuelva de
manera local ...................................................................................716
Especificación de filtros IP .....................................................................716
Uso de las características de administración central.....................................717
Modificación de los gráficos del panel de la administración central .......718
Configuración de las utilidades del sistema ..................................................720
Revisión de los datos del sistema ..........................................................720
Actualización o cambio a una versión anterior del IVE .........................721
Ajuste de las opciones del sistema.........................................................722
Descarga de los instaladores de aplicaciones .........................................724
Configuración de licencias, seguridad y NCP................................................727
Introducción o actualización de licencias de IVE....................................727
Activación y desactivación del modo de emergencia .............................734
Ajuste de las opciones de seguridad ......................................................735
Configuración de NCP y JCP ..................................................................738
Instalación de un paquete de actualización de software de Juniper........739
Configuración y uso del puerto de administración .......................................740
Configuración de los ajustes de red del puerto de administración .........741
Inclusión de rutas estáticas en la tabla de rutas de administración ........742
Asignación del certificado al puerto de administración ..........................743
Control del acceso de inicio de sesión del administrador.......................743
Inicio de sesión a través del puerto de administración ..........................744
Ajuste de las reglas de asignación de roles a través de expresiones
personalizadas ................................................................................744
Resolución de problemas del puerto de administración.........................745
Uso del puerto de administración en un clúster .....................................746
Importación de las configuraciones a un sistema con el puerto de
administración habilitado................................................................746

xvi „ Contenido
 Contenido

Capítulo 27 Certificados 749

Licencia: Disponibilidad de certificados .......................................................750
Uso de certificados de dispositivo ................................................................750
Importación de certificados en el IVE ....................................................751
Descarga de un certificado de dispositivo del IVE ..................................754
Creación de una solicitud de firma de certificado (CSR) para un
nuevo certificado ............................................................................754
Uso de los certificados de CA de servidor intermedio ............................755
Uso de varios certificados de dispositivo del IVE ...................................756
Uso de CA de cliente de confianza ...............................................................758
Habilitación de CA de cliente de confianza ............................................759
Habilitación de jerarquías de CA cliente.................................................767
Habilitación de CRL ...............................................................................768
Habilitación de OCSP.............................................................................771
Uso de CA del servidor de confianza ............................................................774
Carga de certificados de CA del servidor de confianza...........................775
Renovación del certificado de CA de servidor de confianza ...................775
Eliminación del certificado de CA del servidor de confianza ..................776
Visualización de detalles del certificado de CA del servidor
de confianza ...................................................................................776
Uso de certificados de firma de código ........................................................776
Consideraciones adicionales para los usuarios de SUN JVM ...................778
Resumen de tareas: configurar el IVE para que firme o vuelva
a firmar los applets .........................................................................778
Importación de un certificado de firma de código .................................778

Capítulo 28 Archivado del sistema 781

Licencia: Disponibilidad de archivado del sistema .......................................781
Archivado de archivos de configuración binarios del IVE .............................782
Creación de copias de seguridad locales de los archivos de
configuración del IVE.............................................................................784
Importación y exportación de archivos de configuración del IVE .................787
Exportación de un archivo de configuración del sistema .......................788
Importación de un archivo de configuración del sistema .......................788
Exportación de cuentas de usuario locales o directivas de recursos .......789
Importación de cuentas de usuario locales o directivas de recursos.......790
Importación de ajustes de configuración IVS .........................................790
Importación de ajustes de configuración IVS .........................................791
Importación y exportación de archivos de configuración XML .....................791
Creación y modificación de instancias XML...........................................794
Restricciones de integridad referencial ..................................................797
Asignación de instancia XML a componentes UI....................................798
Descarga del archivo de esquema..........................................................800
Estrategias para trabajar con instancias XML.........................................800
Reinicios del sistema .............................................................................808
Casos de uso de XML Import/Export......................................................810
Importación de un sistema con el puerto de administración .................814
Uso de los atributos de operación..........................................................814
Configuraciones de envío de un IVE a otro...................................................816
Definición de los IVE de destino ............................................................818
Envío de ajustes de configuración..........................................................819
Archivado de Secure Meetings .....................................................................821

Contenido „ xvii
 Guía de administración de Secure Access de Juniper Networks

Capítulo 29 Registro y supervisión 823

Licencia: Disponibilidad de registro y supervisión ........................................823
Información general de registro y supervisión .............................................824
Niveles de gravedad del archivo de registro...........................................825
Archivos de registro personalizado del filtro ..........................................826
Filtros de registro dinámicos .................................................................826
Visualización y eliminación de sesiones de usuario ...............................827
Configuración de las características de supervisión de registro ....................828
Configuración de eventos, acceso de usuario, acceso de administrador
y sensor IDP .........................................................................................828
Creación, restablecimiento o guardado de una consulta de registro
dinámico.........................................................................................829
Especificación de los eventos que se guardarán en el archivo
de registro.......................................................................................830
Creación, edición o eliminación de filtros ..............................................831
Creación de filtros y formatos personalizados para sus archivos
de registro.......................................................................................832
Supervisión del IVE como un agente de SNMP .............................................833
Visualización de estadísticas del sistema......................................................840
Habilitación de registros del lado cliente ......................................................840
Habilitación de registros y opciones globales del lado cliente ................841
Habilitación de cargas de registro del lado cliente .................................842
Visualización de registros cargados del lado cliente ...............................843
Visualización del estado general...................................................................844
Visualización del uso de la capacidad del sistema..................................844
Especificación del rango de tiempo y los datos que aparecen en
los gráficos......................................................................................845
Configuración de la apariencia del gráfico .............................................845
Visualización de eventos críticos del sistema .........................................846
Descarga del paquete de servicio actual ................................................846
Edición de la fecha y hora del sistema...................................................847
Supervisión de usuarios activos....................................................................847
Visualización y cancelación de reuniones programadas. ..............................849

Capítulo 30 Resolución de problemas 851

Licencia: Disponibilidad de la resolución de problemas ...............................851
Simulación o seguimiento de eventos ..........................................................852
Simulación de eventos que causan un problema ...................................852
Rastreo de eventos usando el seguimiento de directivas .......................854
Grabación de sesiones..................................................................................856
Creación de imágenes instantáneas del estado del sistema IVE ...................857
Creación de archivos de volcado TCP...........................................................859
Prueba de la conectividad de red del IVE .....................................................861
Protocolo de resolución de direcciones (ARP) ........................................861
Ping .......................................................................................................861
Traceroute .............................................................................................861
NSlookup ...............................................................................................862
Ejecución de las herramientas de depuración de forma remota ...................862
Creación de registros de depuración ............................................................863
Supervisión de los nodos del clúster.............................................................864
Configuración de la supervisión de la comunicación del grupo en
un clúster...............................................................................................865
Configuración de la supervisión de la conectividad de red en un clúster ......866

xviii „ Contenido
 Contenido

Capítulo 31 Creación de clústeres 869

Licencia: Disponibilidad para creación de clústeres......................................870
Resumen de tareas: Implementación de un clúster ......................................870
Creación y configuración de un clúster ........................................................872
Definición e inicialización de un clúster.................................................873
Integración en un clúster existente ........................................................874
Configuración de las propiedades del clúster ...............................................877
Implementación de dos nodos en un clúster activo/pasivo ....................877
Implementación de dos o más unidades en un clúster activo/activo......879
Sincronización del estado del clúster .....................................................881
Configuración de las propiedades del clúster .........................................883
Administración y configuración de clústeres ................................................885
Adición de nodos múltiples al clúster.....................................................885
Administración de los ajustes de red para los nodos del clúster.............886
Actualización de nodos en clúster..........................................................886
Actualización del paquete de servicio del clúster ...................................887
Eliminación de un clúster ......................................................................888
Reinicio o rearranque de nodos en clúster.............................................889
Procedimientos de la consola de administración ...................................889
Supervisión de clústeres ........................................................................891
Resolución de problemas de clústeres ...................................................892
Procedimientos de la consola serie ..............................................................894
Integración de un IVE en un clúster a través de su consola serie ...........894
Inhabilitación de un IVE en clúster por medio de su consola serie.........897

Capítulo 32 Delegación de los roles de administrador 899

Licencia: Disponibilidad de roles de administrador delegado .......................900
Creación y configuración de roles de administrador ....................................900
Creación de las roles de administrador..................................................901
Modificación de los roles de administrador ...........................................902
Eliminación de los roles de administrador .............................................902
Especificación de tareas de administración para delegar..............................903
Delegación de tareas de administración de sistema...............................903
Delegación de la administración de usuarios y roles..............................904
Delegación de la administración del territorio de usuarios.....................905
Delegación de la gestión administrativa.................................................906
Delegación de la administración de las directivas de recursos ...............907
Delegación de la administración de los perfiles de recursos ..................908
Definición de ajustes generales del rol de administrador de sistema............909
Definición de opciones predeterminadas para los roles de
administrador .................................................................................909
Administración de los ajustes y opciones generales de los roles ............910
Especificación de opciones de administración de acceso para el rol ......910
Especificación de opciones generales de sesión.....................................911
Especificación de las opciones de la interfaz de usuario ........................912
Eliminación del acceso a los sistemas IVS..............................................913

Contenido „ xix
 Guía de administración de Secure Access de Juniper Networks

Capítulo 33 Sistema IVS 915

Licencia: Disponibilidad de IVS ....................................................................916
Implementación de un IVS...........................................................................916
Arquitectura del IVE virtualizado ...........................................................918
Inicio de sesión en el sistema raíz o el IVS ...................................................920
Inicio de sesión usando el prefijo de dirección URL de inicio
de sesión.........................................................................................920
Inicio de sesión en puertos virtuales ......................................................922
Inicio de sesión en una interfaz de VLAN...............................................923
Navegación al IVS ..................................................................................924
Determinación del perfil del suscriptor ........................................................924
Hoja de trabajo de la configuración de IVS ............................................924
Administración del sistema raíz.............................................................926
Configuración del administrador raíz.....................................................926
Aprovisionamiento de un IVS.......................................................................927
Comprensión del proceso de aprovisionamiento .........................................928
Configuración de los puertos de inicio de sesión ..........................................930
Configuración del puerto externo ..........................................................931
Configuración de un puerto virtual para iniciar sesión en el
puerto externo ................................................................................931
Configuración de un puerto virtual para iniciar sesión en el
puerto interno .................................................................................932
Configuración de una red de área local virtual (VLAN)..................................932
Configuración de VLAN en el IVE virtualizado........................................934
Adición de rutas estáticas a la tabla de rutas de VLAN ...........................935
Eliminación de una VLAN ......................................................................936
Carga del servidor de certificados ................................................................936
Creación de un sistema virtual (perfil de IVS) ...............................................937
Definición del perfil de IVS ....................................................................937
Configuración inicial de IVS mediante una copia del sistema raíz
o de otro IVS ...................................................................................940
Inicio de sesión en el IVS directamente como administrador de IVS ............941
Configuración de alias de IP de origen basados en roles ..............................942
Asociación de roles con VLAN y la dirección IP de origen......................943
Configuración de puertos virtuales para una VLAN ................................943
Asociación de roles con direcciones IP de origen en un IVS...................943
Configuración de reglas de enrutamiento de directivas en el IVS .................944
Reglas de enrutamiento.........................................................................945
Superposición de espacios de dirección IP.............................................946
Definición de directivas de recursos ......................................................946
Creación de clústeres en un IVE virtualizado................................................946
Configuración del DNS para el IVS ...............................................................948
Acceso a un servidor de DNS en la red del MSP.....................................948
Acceso a un servidor de DNS en la intranet de una empresa
suscriptora ......................................................................................948
Configuración de Network Connect para uso en un IVE virtualizado ............950
Configuración del perfil de conexión de Network Connect ....................950
Configuración de Network Connect en enrutadores backend ................951
Configuración de un servidor DHCP centralizado.........................................954
Configuración de servidores de autenticación ..............................................955
Reglas que rigen el acceso a los servidores de autenticación .................956
Configuración de la autenticación en un servidor RADIUS.....................956
Configuración de la autenticación en Active Directory...........................957
Delegación del acceso administrativo a los sistemas IVS..............................957

xx „ Contenido
 Contenido

Acceso a los instaladores independientes.....................................................958

Realización de la exportación y la importación de los archivos
de configuración del IVS ........................................................................959
Exportación e importación de la configuración del sistema raíz ............959
Supervisión de los suscriptores ....................................................................961
Suspensión del acceso de un suscriptor al IVS .......................................961
Resolución de problemas de las VLAN .........................................................962
Realización de TCPDump en una VLAN .................................................962
Uso de comandos en una VLAN (ping, traceroute, NSLookup, ARP) ......963
Casos de uso del IVS ....................................................................................963
Caso de uso de la resolución de las reglas del enrutamiento
de directivas para IVS......................................................................964
Configuración de un servidor de autenticación global para varios
suscriptores.....................................................................................970
Configuración de una dirección IP del servidor DNS/WINS
por suscriptor..................................................................................970
Configuración del acceso a las aplicaciones Web y a la navegación
Web para cada suscriptor................................................................970
Configuración del acceso a la exploración de archivos para cada
suscriptor ........................................................................................971
Configuración de varias direcciones IP de subred para los usuarios
finales de un suscriptor ...................................................................973
Configuración de varios sistemas IVS para permitir el acceso al
servidor compartido........................................................................973

Capítulo 34 Interoperabilidad de IVE e IDP 975

Licencia: Disponibilidad de IDP....................................................................976
Escenarios de implementación ....................................................................976
Configuración del IVE para interactuar con IDP ...........................................977
Configuración de las conexiones IDP.....................................................978
Interacción entre el IVE y el sensor IDP.................................................980
Definición de directivas de eventos de sensor de respuesta
automática ......................................................................................981
Identificación y administración manual de usuarios en cuarentena.......983

Parte 6 Servicios de sistema

Capítulo 35 IVE Consola serie 987

Licencia: Disponibilidad de la consola serie .................................................987
Conexión a la consola serie de un dispositivo IVE ........................................987
Retroactivación a un estado anterior del sistema .........................................988
Retroactivación a un estado anterior del sistema a través de la
consola de administración ..............................................................989
Retroactivación a un estado anterior del sistema a través de la
consola serie ...................................................................................989
Restablecimiento de un dispositivo IVE con la configuración de fábrica.......990
Tareas comunes de recuperación.................................................................993

Contenido „ xxi
 Guía de administración de Secure Access de Juniper Networks

Capítulo 36 UI personalizables para el administrador y el usuario final 995

Licencia: Disponibilidad de UI personalizables .............................................995
Información general de los elementos personalizables de la consola
de administración..................................................................................996
Información general de los elementos configurables de la interfaz
de usuario final......................................................................................997

Capítulo 37 Secure Access 6000 999

Hardware estándar ......................................................................................999
Unidades reemplazables in situ para el SA 6000 ........................................ 1001

Capítulo 38 Secure Access 4500 y 6500 1003

Hardware estándar .................................................................................... 1003
Unidades reemplazables in situ para el SA 6500 ........................................ 1005
Reemplazo de los ventiladores de refrigeración ......................................... 1006
Extracción e instalación de un ventilador de refrigeración...................1006
Reemplazo de un disco duro ...................................................................... 1007
Extracción e instalación de un disco duro............................................ 1007
Reemplazo de módulos IOC....................................................................... 1007
Instalación de un IOM ......................................................................... 1008
Extracción de un IOM.......................................................................... 1008
Reemplazo de una fuente de alimentación de CA ...................................... 1009
Extracción e instalación de una fuente de alimentación de CA ............ 1009
Extracción e instalación de una fuente de alimentación de CC ............ 1009

Capítulo 39 Secure Access FIPS 1011

Licencia: Disponibilidad de Secure Access FIPS.......................................... 1012
Ejecución de Secure Access FIPS................................................................ 1012
Creación de tarjetas de administrador........................................................ 1013
Precauciones con la tarjeta de administrador ...................................... 1014
Implementación de un clúster en un entorno Secure Access FIPS.............. 1015
Creación de un entorno de seguridad nuevo .............................................. 1017
Creación de un entorno de seguridad en un IVE independiente IVE .... 1018
Creación de un entorno de seguridad en un entorno de clústeres........ 1019
Reemplazo de tarjetas de administrador ............................................. 1019
Recuperación de un entorno de seguridad archivado................................. 1020
Importación de un entorno de seguridad en un IVE independiente ..... 1021
Importación de un entorno de seguridad a un clúster.......................... 1022

Capítulo 40 Compresión 1023

Licencia: Disponibilidad de compresión ..................................................... 1023
Ejecución de la compresión ....................................................................... 1023
Tipos de datos admitidos ........................................................................... 1025
Habilitación de la compresión en el nivel de sistema ................................. 1026
Creación de perfiles y directivas de recursos de compresión...................... 1026

Capítulo 41 Compatibilidad con varios idiomas 1027

Licencia: Disponibilidad de varios idiomas................................................. 1028
Codificación de archivos ............................................................................ 1028
Traducción de la interfaz de usuario .......................................................... 1029
Traducción de páginas de inicio de sesión y sistema personalizadas.......... 1029

xxii „ Contenido
 Contenido

Capítulo 42 Dispositivos de mano y PDA 1031

Licencia: Disponibilidad de soporte para dispositivos de mano y PDA ....... 1032
Resumen de tareas: Configuración del IVE para PDA y dispositivos
de mano .............................................................................................. 1032
Definición de tipos de clientes ................................................................... 1034
Habilitación de WSAM en PDA................................................................... 1036
Habilitación de Activesync ......................................................................... 1037

Parte 7 Información complementaria

Apéndice A Escritura de expresiones personalizadas 1041

Licencia: Disponibilidad de expresiones personalizadas............................. 1041
Expresiones personalizadas ....................................................................... 1041
Coincidencia con comodines ............................................................... 1045
Variables y funciones de DN................................................................ 1046
Variables del sistema y ejemplos................................................................ 1046
Uso de variables del sistema en territorios, roles y directivas
de recursos ..........................................................................................1054
Uso de atributos de varios valores ....................................................... 1055
Especificación de los atributos de búsqueda en un territorio ............... 1057
Especificación del atributo homeDirectory para LDAP......................... 1057

Contenido „ xxiii
 Guía de administración de Secure Access de Juniper Networks

xxiv „ Contenido
Acerca de esta guía

Esta guía proporciona la información necesaria para entender el funcionamiento,

configurar y hacer mantenimiento al dispositivo Instant Virtual Extranet (IVE) de
Juniper Networks, el cual incluye:

„ Material general para familiarizarse con los productos Secure Access y el

sistema de administración de accesos subyacente

„ Material general que describe las características básicas y avanzadas, además

de las opciones de actualización

„ Instrucciones para configurar y administrar el clúster o dispositivo IVE

Audiencia
Esta guía está destinada a los administradores de sistema responsables de
configurar los productos Secure Access y Secure Access FIPS.

Información complementaria
Documentación para administradores y desarrolladores
„ Para descargar una versión PDF de esta guía de administración, diríjase
a la página IVE OS Product Documentation del Juniper Networks Customer
Support Center.

„ Para obtener más información sobre los cambios que los clientes Secure Access
realizan en los equipos cliente, incluidos los archivos instalados y los cambios
de registro, además de información sobre los derechos necesarios para instalar
y ejecutar clientes Secure Access, consulte la guía Client-side Changes Guide.

„ Para obtener más información sobre cómo desarrollar aplicaciones Web

compatibles con el motor de intermediación de contenido de IVE, consulte la
guía Content Intermediation Engine Best Practices Guide.

„ Para obtener información sobre cómo personalizar la apariencia de las páginas

de autenticación previa, administración de contraseña y páginas de Secure
Meeting que el sistema IVE muestra a los usuarios finales y administradores,
consulte la guía Custom Sign-In Pages Solution Guide.

Audiencia „ xxv
 Guía de administración de Secure Access de Juniper Networks

Documentación relacionada con los mensajes de error

„ Para obtener información sobre los mensajes de error que Network Connect y
WSAM muestran a los usuarios finales, consulte la guía Network Connect and
WSAM Error Messages.

„ Para obtener información sobre los mensajes de error que Secure Meeting
muestra a usuarios finales administradores, consulte la guía Secure Meeting
Error Messages.

Documentación sobre hardware

„ Para obtener ayuda para la instalación, consulte la guía Quick Start Guide que
viene con el producto.

„ Para obtener información sobre la seguridad de Secure Access y Secure Access

FIPS, consulte la guía Juniper Networks Security Products Safety Guide.

„ Para obtener información sobre cómo instalar discos duros, fuentes de

alimentación y ventiladores en los dispositivos Secure Access 6000, consulte la
guía Secure Access 6000 Field Replaceable Units Guide.

Descargas del producto

„ Para descargar la última versión del sistema Secure Access y Secure Access
FIPS, con las notas de la versión, diríjase a la página IVE OS Software del
Juniper Networks Customer Support Center.

Convenciones
La Tabla 1 define los iconos de avisos y la Tabla 2 define las convenciones de texto
que se utilizan en esta guía.

Tabla 1: Iconos de aviso

Icono Significado Descripción

Nota de información Indica instrucciones o características importantes.

Cuidado Indica que puede estar en riesgo de perder datos o dañar

el hardware.

Advertencia Alerta sobre el riesgo de sufrir una lesión personal.

Tabla 2: Convenciones de texto (salvo por sintaxis de comandos)

Convención Descripción Ejemplos

Negrita Indica botones, nombre de campos, Use las fichas Scheduling y Appointment para
nombre de cuadros de diálogo y otros programar una reunión.
elementos de la interfaz de usuario.

xxvi „ Convenciones
 Acerca de esta guía

Tabla 2: Convenciones de texto (salvo por sintaxis de comandos) (continuación)

Convención Descripción Ejemplos

Tipo de letra sans serif sin estilos Representa:
„ Códigos, comandos y palabras clave
„ Direcciones URL, nombres de archivo
y directorios
Cursiva Identifica:
„ Términos definidos en el texto
„ Elementos variables
„ Nombres de libros
Ejemplos:
„ Código:
certAttr.OU = 'Retail Products Group'
„ URL:
Descargue la aplicación JRE desde el sitio:
http://java.sun.com/j2se/
Ejemplos:
„ Término definido:
Un cliente RDP es un componente de Windows
que permite una conexión entre un servidor de
Windows y el equipo del usuario.
Elemento variable:
Utilice la configuración de la página Users >
User Roles > Seleccionar rol > Terminal
Services para crear una sesión de emulación
del terminal.
„ Nombre de libro:
Consulte el documento IVE Supported
Platforms.

Documentación
Notas de versión
Las notas de versión vienen incluidas con el software del producto y están
disponibles en Internet.

En las Notas de versión, puede encontrar la última información disponible sobre

características, cambios, problemas conocidos y resolución de problemas. Si
existiera alguna diferencia entre la información de las Notas de versión y la que se
halla en el conjunto de documentación, siga las recomendaciones de esta última.

Acceso web
Para ver la documentación en Internet, diríjase al sitio:

http://www.juniper.net/techpubs/

Contactar al servicio de soporte técnico

Para acceder al servicio de soporte técnico, comuníquese con Juniper Networks
escribiendo a support@juniper.net o llamando al 1-888-314-JTAC (en los Estados
Unidos) o al 408-745-9500 (fuera de Estados Unidos).

Documentación „ xxvii
 Guía de administración de Secure Access de Juniper Networks

xxviii „ Contactar al servicio de soporte técnico

Parte 1
Guía de inicio

El IVE es un dispositivo de red blindado que proporciona una férrea seguridad al

proporcionar una intermediación entre el flujo de datos que fluye entre los usuarios
externos y los recursos internos. Esta sección contiene la siguiente información
sobre cómo comenzar a usar y entender el funcionamiento del IVE:

„ “Verificación inicial y conceptos clave” en la página 3

„ “Introducción al IVE” en la página 25

„ 1
 Guía de administración de Secure Access de Juniper Networks

2 „
Capítulo 1
Verificación inicial y conceptos clave

Este tema describe las tareas que se deben realizar después de la instalación y
configuración inicial del IVE. Esto supone que ya ha seguido la Guía de tareas en la
consola de administración para actualizar su imagen de software y crear y aplicar
su clave de licencia de Secure Access.

Verificar la accesibilidad del usuario

Puede crear fácilmente una cuenta de usuario en el servidor de autenticación del
sistema para verificar la accesibilidad de ese usuario a su IVE. Después de crear la
cuenta a través de la consola de administración, inicie una sesión como usuario en
la página de inicio de sesión de usuarios de IVE.

Para verificar la accesibilidad de los usuarios:

1. Seleccione Authentication > Auth. Servers desde la consola de

administración.

2. Seleccione el vínculo System Local.

Aparecerá la página System Local.

3. Seleccione la ficha Users.

4. Haga clic en New.

Aparecerá la página New Local User.

5. Escriba testuser1 como nombre de usuario, introduzca una contraseña y luego

haga clic en Save Changes. El IVE creará la cuenta “testuser1”.

6. En otra ventana del explorador, introduzca la URL del equipo para acceder
a la página de inicio de sesión de usuarios. La URL está en el formato:
https://a.b.c.d, donde a.b.c.d es la dirección IP del equipo que introdujo en la
consola serie al configurar en un comienzo el IVE.

7. Cuando aparezca el aviso de seguridad preguntando si desea proceder sin un

certificado firmado, haga clic en Yes. Aparecerá la página de inicio de sesión
del usuario, lo que indica que se habrá conectado correctamente a su
dispositivo IVE. Consulte la Figura 1.

Verificar la accesibilidad del usuario „ 3

 Guía de administración de Secure Access de Juniper Networks

Figura 1: Página User Sign-in

8. Introduzca el nombre de usuario y la contraseña que creó para la cuenta del

usuario y haga clic en Sign In para acceder a la página inicial para usuarios IVE.
Consulte la Figura 2.

Figura 2: Página inicial del usuario (predeterminada)

4 „ Verificar la accesibilidad del usuario

 Capítulo 1: Verificación inicial y conceptos clave

9. Introduzca la URL de un servidor web interno en el cuadro de direcciones

y haga clic en Browse. El IVE abrirá la página web en la misma ventana del
explorador, por lo que para regresar a la página inicial de IVE, deberá hacer clic
en el botón central de la barra de herramientas que aparece en la página web
de destino. Consulte la Figura 3.

Figura 3: Página web interna de ejemplo con la barra de herramientas para examinar
archivos

10. Introduzca la URL de su sitio corporativo externo en la página inicial IVE

(consulte la Figura 2), luego haga clic en Browse. El IVE abre la página web en
la misma ventana del explorador, por lo tanto, deberá utilizar el botón de la
barra de herramientas para regresar a la página inicial de IVE.

11. Haga clic en Browsing > Windows Files de la página inicial IVE (consulte la
Figura 2) para examinar a través de los recursos compartidos disponibles para
Windows o en Browsing > UNIX/NFS Files para examinar a través de los
archivos compartidos disponibles en redes UNIX NFS.

Después de verificar la accesibilidad de los usuarios, regrese a la consola de

administración para pasar por una introducción de conceptos clave, como se
describe en “Crear un supuesto de prueba para aprender los conceptos y prácticas
recomendadas con IVE” en la página 6.

Verificar la accesibilidad del usuario „ 5

 Guía de administración de Secure Access de Juniper Networks

Crear un supuesto de prueba para aprender los conceptos y prácticas

recomendadas con IVE
El IVE es un sistema flexible de administración de accesos que facilita la
personalización de los accesos remotos de un usuario mediante el uso de roles,
directivas de recursos, servidores de autenticación, territorios de autenticación y
directivas de inicio de sesión. Para que pueda comenzar a trabajar rápidamente con
estas entidades, el IVE se suministra de fábrica con ajustes predeterminados para
cada una de ellas. Esta sección describe estos valores predeterminados del sistema
y muestra cómo crear cada entidad de administración de accesos mediante las
siguientes tareas:

„ “Definir un rol de usuario” en la página 7

„ “Definición de un perfil de recurso” en la página 9

„ “Definición de un servidor de autenticación” en la página 11

„ “Definición de un territorio de autenticación” en la página 15

„ “Definir una directiva de inicio de sesión” en la página 18

„ “Utilización del supuesto de prueba” en la página 21

NOTA: El IVE reconoce dos tipos de usuarios:

„ Administradores: Un administrador es una persona que puede ver y modificar

los ajustes de configuración del IVE. Creará la primera cuenta de administrador
a través de la consola serie.

„ Usuarios: Un usuario es una persona que utiliza el IVE para acceder a los
recursos corporativos de acuerdo con la configuración definida por un
administrador. Ya creó la primera cuenta de usuario (testuser1) en “Verificar
la accesibilidad del usuario” en la página 3.

El siguiente supuesto de prueba se centra en utilizar los elementos de administración

de accesos del IVE para configurar los parámetros de acceso de un usuario.
Para obtener información sobre los ajustes predeterminados del sistema para
administradores, consulte “Configurar ajustes predeterminados para
administradores” en la página 23.

6 „ Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
 Capítulo 1: Verificación inicial y conceptos clave

Definir un rol de usuario

El IVE se suministra preconfigurado con un rol de usuario llamado “Users”. Este rol
predefinido habilita las características de acceso a web y archivos, permitiendo
a cualquier usuario asignado al rol Users acceder a Internet, a servidores web
corporativos y a cualquier servidor de archivos Windows o UNIX NFS disponible.
Puede ver este rol en la página User Roles.

NOTA: Después de habilitar una característica de acceso para un rol, configure las
opciones correspondientes apropiadas que estén accesibles desde la ficha de
configuración de características de acceso.

Para definir un rol de usuario:

1. Seleccione Users > User Roles desde la consola de administración. Aparecerá

la página Roles.

2. Haga clic en New Role. Aparecerá la página New Roles. Consulte la Figura 4.

3. Introduzca Test Role en el cuadro Name y luego haga clic en Save Changes.
Espere a que IVE muestre la página Test Role con la Ficha general y el enlace de
Información general seleccionados. Consulte la Figura 8.

4. Seleccione la casilla de verificación Web debajo de Access features y luego haga

clic en Save Changes.

5. Seleccione Web > Options.

6. Seleccione la casilla de verificación User can type URLs in the IVE browser
bar y luego haga clic en Save Changes.

Una vez completados estos pasos, habrá definido un rol de usuario. Cuando cree
perfiles de recursos, podrá aplicarlos a este rol. También podrá asignar usuarios a
este rol mediante reglas de asignación definidas para un territorio de autenticación.

NOTA: Para crear rápidamente un rol de usuario que habilite el acceso a la web
y a examinar archivos, duplique el rol Users y habilite las características de acceso
adicionales que desee.

Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE „ 7
 Guía de administración de Secure Access de Juniper Networks

Figura 4: Página New Role

Figura 5: Página Test Role

8 „ Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
 Capítulo 1: Verificación inicial y conceptos clave

Definición de un perfil de recurso

Un perfil de recurso es un conjunto de opciones de configuración que contiene todas
las directivas de recursos, asignaciones de roles y los marcadores de usuario final
requeridos para proporcionar el acceso a un recurso individual.

Dentro de un perfil de recurso, una directiva de recurso especifica los recursos a los
que se aplican las directivas (tales como URLs, servidores y archivos) y si IVE
permite el acceso a un recurso o ejecuta una acción. Tenga en cuenta que el IVE
está preconfigurado con dos tipos de directivas de recursos:

„ Web Access: La directiva de recursos predefinida Web Access permite a todos

los usuarios acceder a Internet y a todos los servidores web corporativos a
través del IVE. De forma predeterminada, esta directiva de recursos es aplicable
al rol Users.

„ Windows Access: La directiva de recursos predefinida Windows Access permite

a todos los usuarios asignados al rol Users acceder a todos los servidores
corporativos de archivos Windows. De forma predeterminada, esta directiva
de recursos es aplicable al rol Users.

NOTA: Si le preocupa que los usuarios tengan acceso a todos sus contenidos web y
de archivos, elimine las directivas predeterminadas de acceso a web y a archivos,
Web Access y Windows Access.

Para definir un perfil de recursos:

1. Seleccione Users > Resource Profiles > Web desde la consola de

administración. Aparecerá la página Web Applications Resource Profile.

2. Haga clic en New Profile. Aparecerá la página Web Applications Resource

Profile. Consulte la Figura 6.

Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE „ 9
 Guía de administración de Secure Access de Juniper Networks

Figura 6: Página New Web Application Resource Profile

3. Complete la siguiente información:

a. Mantenga la opción predeterminada (Custom) en el cuadro Type.

b. Escriba Test Web Access en el cuadro Name.

c. Escriba http://www.google.com en la casilla Base URL.

d. Debajo de Autopolicy: Web Access Control seleccione la casilla de

verificación situada junto a la directiva predeterminada creada por IVE
(http://www.google.com:80/*) y luego la opción Delete.

e. Escriba http://www.google.com en el cuadro Resource, seleccione Deny

desde la lista Action y haga clic en Add.

f. Haga clic en Save and Continue. Aparecerá la página Test Web Access.

10 „ Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
 Capítulo 1: Verificación inicial y conceptos clave

4. Haga clic en la ficha Roles.

a. Seleccione Test Role en el cuadro Available Roles y haga clic en Add para
moverlo al cuadro Selected Roles.

b. Haga clic en Save Changes.

El IVE agrega Test Web Access a la página Web Application Resource Policies y
automáticamente crea un marcador correspondiente que vincula a google.com.

Una vez completados estos pasos, habrá configurado un perfil de recursos Web
Access. Aunque el IVE se suministra con una directiva de recursos que habilita el
acceso a todos los recursos web, se prohíbe a los usuarios asignados a Test Role
acceder a http://www.google.com. Se les niega el acceso debido a que la
autodirectiva que creó durante la configuración tiene preferencia sobre la directiva
de acceso web predeterminada suministrada por IVE.

Definición de un servidor de autenticación

Un servidor de autenticación es una base de datos que almacena las credenciales de
los usuarios (nombre y contraseña) y, normalmente, información sobre el grupo
y atributos. Cuando un usuario se conecta al IVE, debe especificar un territorio de
autenticación que está asociado a un servidor de autenticación. El IVE reenvía las
credenciales del usuario a este servidor de autenticación para verificar su identidad.

El IVE admite los servidores de autenticación más comunes, incluyendo dominios

de Windows NT, Active Directory, RADIUS, LDAP, NIS, RSA ACE/Server y Netegrity
SiteMinder, permitiendo crear una o más bases de datos locales de usuarios que son
autenticados por el IVE. El IVE viene preconfigurado con un servidor de
autenticación local para usuarios llamado “System Local”. Este servidor de
autenticación local predefinido es una base de datos del IVE que permite crear
rápidamente cuentas del usuario para su autenticación. Esta funcionalidad
proporciona la flexibilidad necesaria para realizar pruebas y para permitir el acceso
a terceros, eliminando la necesidad de crear cuentas de usuario en un servidor de
autenticación externo.

Puede ver el servidor de autenticación local predeterminado en la página

Authentication Servers.

NOTA: El IVE también es compatible con servidores de autorizaciones. Un servidor

de autorizaciones (o servidor de directorios) es una base de datos que almacena
información sobre los atributos de los usuarios y grupos. Puede configurar un
territorio de autenticación de modo que utilice un servidor de directorios con el fin
de consultar atributos del usuario o información del grupo, que se utilizarán en las
reglas y directivas de recursos durante la asignación de roles.

Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE „ 11
 Guía de administración de Secure Access de Juniper Networks

Para definir un servidor de autenticación:

1. Seleccione Authentication > Auth. Servers desde la consola de

administración. Aparecerá la página Authentication Servers.

2. Seleccione Local Authentication desde la lista New y haga clic en New Server.
Aparecerá la página New Local Authentication. Consulte la Figura 7.

Figura 7: Página New Local Authentication

3. Introduzca Test Server en el cuadro Name y luego haga clic en Save Changes.
Espere a que el IVE notifique que los cambios se han guardado, después de lo
cual aparecerán fichas de configuración adicionales.

4. Haga clic en la ficha Users y luego en New. Aparecerá la página New Local User.
Consulte la Figura 8.

12 „ Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
 Capítulo 1: Verificación inicial y conceptos clave

Figura 8: Página New Local User

5. Introduzca testuser2 en el cuadro Username, introduzca una contraseña y haga

clic en Save Changes para crear la cuenta de usuario en el servidor de
autenticación Test Server. Consulte la Figura 9.

Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE „ 13
 Guía de administración de Secure Access de Juniper Networks

Figura 9: Página Test Server

Una vez completados estos pasos, habrá creado un servidor de autenticación que
contendrá una cuenta de usuario. Este usuario podrá conectarse a un territorio de
autenticación que utilice el servidor de autenticación Test Server.

NOTA: La consola de administración proporciona estadísticas del último acceso

para cada cuenta de usuario en las respectivas páginas de servidores de
autenticación en la ficha Users, bajo un conjunto de columnas con el título Last
Sign-in Statistic. Los informes de estadísticas incluyen la fecha y hora del último
inicio de sesión exitoso de cada usuario, la dirección IP del usuario y el tipo y
versión del agente o explorador.

14 „ Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
 Capítulo 1: Verificación inicial y conceptos clave

Definición de un territorio de autenticación

Un territorio de autenticación es una agrupación de recursos de autenticación,
que incluye:

„ Un servidor de autenticación, que verifica la identidad del usuario. El IVE

reenvía las credenciales enviadas desde la página de inicio de sesión a un
servidor de autenticación.

„ Una directiva de autenticación, que especifica qué requisitos de seguridad

del territorio deberán cumplirse para que el IVE envíe las credenciales a un
servidor de autenticación para su verificación.

„ Un servidor de directorios, que es un servidor LDAP que proporciona

información de atributos de usuario y de grupo al IVE para su uso en las reglas
de asignación de roles y directivas de recursos (opcional).

„ Las reglas de asignación de roles son condiciones que debe cumplir un usuario
para que el IVE le asigne uno o más roles. Estas condiciones se basan en la
información devuelta por el servidor de directorios del territorio, el nombre
de usuario de la persona o los atributos del certificado.

El IVE se suministra preconfigurado con un territorio de usuario llamado “Users”.

Este territorio predefinido utiliza el servidor de autenticación System Local, una
directiva de autenticación que requiere una longitud de contraseña mínima de
cuatro caracteres, no utiliza servidor de directorios y contiene una regla de
asignación de roles que asigna un rol Users a todos los usuarios que inicien sesión
en el territorio Users. La cuenta “testuser1” que se creó en “Verificar la accesibilidad
del usuario” en la página 3 forma parte del territorio Users debido a que se creó en
el servidor de autenticación System Local. La cuenta “testuser2” creada
en“Definición de un servidor de autenticación” en la página 11 no forma parte del
territorio Users, porque se creó en el nuevo servidor de autenticación “Test Server”,
que ese territorio no utiliza.

Puede ver el territorio de autenticación de usuarios predeterminado en la página Users

Authentication Realms.

Para definir un territorio de autenticación:

1. Seleccione Users > User Realms desde la consola de administración.

Aparecerá la página User Authentication Realms.

2. Haga clic en New. Aparecerá la página New Authentication Realms. Consulte la

Figura 10.

Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE „ 15
 Guía de administración de Secure Access de Juniper Networks

Figura 10: Página New Authentication Realm

3. Introduzca Test Realm en la casilla Name.

4. Seleccione Test Server desde la lista de Authentication.

5. Haga clic en Save Changes. Espere a que el IVE le notifique que los cambios
han sido guardados y a que aparezcan las fichas de configuración del territorio.

6. Haga clic en la ficha Role Mapping si no está seleccionada y luego en New

Rule. Aparecerá la página Role Mapping Rule. Consulte la Figura 11.

16 „ Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
 Capítulo 1: Verificación inicial y conceptos clave

Figura 11: Página Role Mapping Rule

7. Introduzca testuser2 en el cuadro de texto.

8. En la sección ...then assign these roles, seleccione Test Role desde la lista
Available Roles y haga clic en Add para moverlo al cuadro Selected Roles.

9. Haga clic en Save Changes.

Una vez completados estos pasos, habrá terminado de crear un territorio de

autenticación. Este territorio utiliza Test Server para autenticar usuarios y una regla
de asignación de roles que asigna “testuser2” a la función Test Role. Dado que la
directiva de recursos Test Web Access es aplicable a Test Role, ningún usuario
asignado a este rol puede acceder a http://www.google.com.

Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE „ 17
 Guía de administración de Secure Access de Juniper Networks

Definir una directiva de inicio de sesión

Una directiva de inicio de sesión es una regla del sistema que especifica:

„ La URL en la que un usuario puede iniciar una sesión en el IVE

„ Una página de inicio de sesión para mostrar al usuario

„ Si el usuario debe o no escribir o seleccionar un territorio de autenticación

al que el IVE envía credenciales

„ Los territorios de autenticación a los que la directiva es aplicable

Todos los dispositivos IVE Secure Access y Secure Access FIPS vienen
preconfigurados con una directiva de inicio de sesión aplicable a los usuarios: */.
Esta directiva predeterminada de inicio de sesión de usuarios (*/) especifica
que cuando un usuario introduce la URL del IVE, el IVE muestra la página
predeterminada de inicio de sesión y exige al usuario seleccionar un territorio
de autenticación (si existe más de uno). La directiva */ de inicio de sesión está
configurada para ser aplicable al territorio de autenticación Users, por lo que esta
directiva de inicio de sesión no es aplicable al territorio de autenticación creado en
“Definición de un territorio de autenticación” en la página 15.

Puede ver la directiva predeterminada de inicio de sesión en la página Signing In.

Si su IVE dispone de una licencia de actualización Secure Meeting Upgrade, la
directiva de inicio de sesión */meeting también aparece en esta página. Esta
directiva permite personalizar la página de inicio de sesión para reuniones seguras.

18 „ Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
 Capítulo 1: Verificación inicial y conceptos clave

Para definir una directiva de inicio de sesión:

1. Seleccione Authentication > Signing in > Sign-in Policies desde la consola de

administración. Aparecerá la página Signing In.

2. Haga clic en */ bajo User URLs. Aparecerá la página */. Consulte la Figura 12.

Figura 12: La página */

3. Introduzca test a continuación de */ en la casilla Sign-in URL.

4. Bajo el territorio de autenticación, seleccione la opción User picks from a list

of authentication realms, luego seleccione Test Realm desde la lista Available
Realms y haga clic en Add para moverlo a la casilla Selected Realm. (Repita este
proceso para el rol Users si aún no se encuentra en el cuadro Selected Realms).

5. Haga clic en Save Changes.

Una vez completados estos pasos, habrá terminado de modificar la directiva

predeterminada de inicio de sesión de usuarios.

Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE „ 19
 Guía de administración de Secure Access de Juniper Networks

Opcional:
1. Seleccione Authentication > Signing In > Sign In Pages y haga clic en
New Page.

2. Introduzca Test Sign-in Page en el campo Name, escriba #FF0000 (rojo) en el

cuadro Background color y a continuación haga clic en Save Changes.

3. Seleccione Authentication > Signing In > Signing In Policies y haga clic en

New URL. Aparecerá la página New Sign-in Policy.

4. Escriba */test/ en el cuadro Sign-in URL, seleccione Default Sign-in Page desde
la lista y haga clic en Sign-in Page.

5. Seleccione Authentication > Signing In > Sign In Policies y haga clic*/test/

bajo User URLs. Aparecerá la página */test/. Consulte la Figura 13.

Figura 13: La página */test/

6. Seleccione Test Sign-in Page desde la lista Sign-in page y haga clic en
Save Changes.

Después de completar estos pasos opcionales, habrá terminado de definir una

nueva página de inicio de sesión asociada a la directiva de inicio de sesión */test/.

20 „ Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
 Capítulo 1: Verificación inicial y conceptos clave

Utilización del supuesto de prueba

El supuesto de prueba le permite realizar las siguientes tareas:

„ Acceder a la consola web del usuario utilizando la directiva predeterminada

modificada de inicio de sesión.

„ Iniciar una sesión como el usuario creado en Test Server para asignarlo al
territorio Test Realm.

„ Comprobar sus posibilidades de navegación web, que dependen de una

configuración correcta de Test Role y Test Web Access.

Para utilizar el supuesto de prueba:

1. En un explorador web, introduzca la URL del equipo seguida de /test para

acceder a la página de inicio de sesión del usuario. La URL está en el formato:
https://a.b.c.d/test, donde a.b.c.d es la dirección IP del equipo que ha
introducido en la consola serie durante la configuración inicial.

2. Cuando aparezca el aviso de seguridad preguntando si proceder sin un

certificado firmado, haga clic en Yes. Si aparece la página de inicio de sesión
del usuario, significa que se habrá conectado correctamente a su dispositivo
IVE. Consulte la Figura 14.

Figura 14: Página User Sign-in

NOTA: Si realizó los pasos de configuración opcionales en “Definir una directiva de

inicio de sesión” en la página 18, el color del encabezado será rojo.

Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE „ 21
 Guía de administración de Secure Access de Juniper Networks

3. Introduzca el nombre de usuario y la contraseña que creó para la cuenta del

usuario en Test Server, escriba Test Realm en la casilla Realm y a continuación
haga clic en Sign In para acceder a la página inicial de IVE para usuarios.
Consulte la Figura 15.

El IVE reenviará las credenciales a Test Realm, configurado para utilizar Test
Server. Tras la verificación correcta por parte de este servidor de autenticación,
el dispositivo IVE procesa la regla de asignación de roles definida para Test
Realm, que asigna “testuser2” a la función Test Role. Test Role habilitará la
navegación web para los usuarios.

Figura 15: Página inicial del usuario

4. En la casilla Address del explorador, introduzca la URL de su página web

corporativa y haga clic en Browse. El IVE abrirá la página web en la misma
ventana del explorador, por lo que para regresar a la página inicial del IVE,
deberá hacer clic en el icono central de la barra de herramientas de navegación
que aparece en la página web de destino.

5. En la página inicial del IVE, escriba www.google.com y haga clic en Browse.

El IVE mostrará un mensaje de error, porque la directiva de recursos Test Web
Access deniega el acceso a este sitio a todos los usuarios asignados a Test Role.
Consulte la Figura 16.

Figura 16: Ejemplo de un mensaje de error de recurso denegado

22 „ Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
 Capítulo 1: Verificación inicial y conceptos clave

6. Regrese a la página inicial del IVE, haga clic en Sign Out y luego regrese a la
página de inicio de sesión del usuario.

7. Introduzca las credenciales para testuser1, especifique el territorio Users y haga

clic en Sign In.

8. En la página inicial del IVE, escriba www.google.com y haga clic en Browse.

El IVE abrirá la página web en la misma ventana del explorador.

El supuesto de prueba demuestra los mecanismos básicos de administración de

accesos del IVE. Puede crear reglas de asignación de roles y directivas de recursos
muy sofisticadas para controlar el acceso de los usuarios en función de factores
tales como una directiva de autenticación de un territorio, la pertenencia de un
usuario a un grupo y otras variables. Para obtener más información sobre la
administración de accesos del IVE, recomendamos que se tome unos minutos
para leer la ayuda en línea y familiarizarse con su contenido.

NOTA:

„ Cuando configure el IVE para su empresa, le recomendamos que configure los

accesos de usuarios en el orden presentado en esta sección.

„ Para obtener información detallada acerca de la configuración, consulte las

instrucciones en otras secciones de esta guía.

„ Antes de poner el IVE a disposición de sitios externos, recomendamos que

importe un certificado de firma digital de una autoridad de certificación
fiable (CA).

Configurar ajustes predeterminados para administradores

Igual que para los usuarios, el IVE proporciona ajustes predeterminados que
permiten configurar rápidamente cuentas de administradores. Esta lista resume
los ajustes predeterminados del sistema para los administradores:

„ Roles de administrador: Existen dos tipos de roles de administrador

integrados.

„ .Administrators: Este rol integrado permite a los administradores

administrar todos los aspectos del IVE. El usuario administrador que creó
a través de la consola serie está asignado a este rol.

„ .Read-Only Administrators: Este rol integrado permite a usuarios

asignados al rol ver (pero no configurar) todos los ajustes del IVE. Si desea
restringir los accesos de los administradores, deberá asignarles este rol.

„ Administrators local authentication server: El servidor de autenticación local

Administrators es una base de datos de IVE en la que se almacenan cuentas de
administradores. La primera cuenta de administrador en este servidor se crea
a través de la consola serie. (El IVE agrega a este servidor todas las cuentas de
administrador creadas a través de la consola serie.) No puede eliminar este
servidor local.

Configurar ajustes predeterminados para administradores „ 23

 Guía de administración de Secure Access de Juniper Networks

„ Admin Users authentication realm: El territorio de autenticación Admin Users

utiliza el servidor de autenticación local predeterminado Administrators, una
directiva de autenticación que requiere una longitud mínima de contraseña de
cuatro caracteres, ningún servidor de directorios y una regla de asignación de
roles que asigna a todos los usuarios que inicien una sesión en el territorio
Admin Users al rol Administrators. La cuenta de administrador que creó a través
de la consola serie es parte del territorio Admin Users.

„ */admin sign-in policy: La directiva predeterminada de inicio de sesión

(*/admin) especifica que cuando un usuario introduce la URL al IVE seguida
de /admin, el IVE muestra la página predeterminada de inicio de sesión para
administradores. Esta directiva también requiere que el administrador
seleccione un territorio de autenticación (si existe más de uno). La directiva
de inicio de sesión */admin está configurada para ser aplicable al territorio de
autenticación Admin Users, por lo que esta directiva de inicio de sesión es
aplicable a la cuenta de administrador creada a través de la consola serie.

24 „ Configurar ajustes predeterminados para administradores

Capítulo 2
Introducción al IVE

La plataforma Juniper Networks Instant Virtual Extranet (IVE) funciona como

hardware y software subyacente para los dispositivos VPN SSL de Juniper Networks.
Estos productos permiten dar a los empleados, socios y clientes acceso seguro
y controlado a sus datos y aplicaciones corporativas tales como servidores de
archivos, servidores web, clientes de mensajería y correo electrónico nativos,
servidores hospedados y otros desde fuera de su red fiable usando solamente
un navegador web.

Este tema contiene la siguiente información sobre el IVE:

„ “¿Qué es el IVE?” en la página 25

„ “¿Qué puedo hacer con el IVE?” en la página 27

„ “¿Cómo comienzo a configurar el IVE?” en la página 34

„ “Uso de Network and Security Manager con el IVE” en la página 35

¿Qué es el IVE?
El IVE es un sistema operativo para redes blindado que funciona como plataforma
para todos los productos Secure Access de Juniper Networks. Estos dispositivos
proporcionan una gama de características de escalabilidad de categoría mundial,
alta disponibilidad y seguridad que brindan un acceso remoto seguro a recursos
de red.

El IVE proporciona una férrea seguridad al proporcionar una intermediación entre

su empresa y los usuarios externos que tienen acceso a los recursos internos de
ella. El acceso a los recursos autorizados se autentica mediante una sesión de
extranet hospedada por el dispositivo. Durante la intermediación, el IVE recibe
solicitudes seguras de usuarios externos autenticados que luego reenvía a los
recursos internos en representación de éstos. Al proporcionar de esta manera
intermediación del contenido, el IVE elimina la necesidad de implantar kits de
herramientas de extranet en una DMZ tradicional o proporcionar acceso remoto
de VPN a los empleados.

¿Qué es el IVE? „ 25
 Guía de administración de Secure Access de Juniper Networks

La página principal del IVE es muy fácil de utilizar: para acceder, sólo es necesario
que los empleados, socios y clientes usen un navegador web que admita SSL y
tengan conexión a Internet. Está página proporciona la ventana desde la cual se
puede navegar por la web o explorar servidores de archivos de forma segura, usar
aplicaciones empresariales habilitadas con HTML, iniciar el proxy de aplicaciones
de cliente/servidor, comenzar una sesión en Windows, Citrix, o terminal
Telnet/SSH, tener acceso a servidores de correo electrónico corporativos, iniciar un
túnel seguro de capa 3 o programar o asistir a una reunión segura en línea. Consulte
la Figura 17.

NOTA: Estas capacidades dependen del producto Secure Access de

Juniper Networks y de las opciones de actualización que haya comprado.

Figura 17: El IVE funcionando en una LAN

Se puede configurar un dispositivo Secure Access de Juniper Networks de la

siguiente manera:

„ Proporcionar acceso seguro a una variedad de recursos. El IVE proporciona

intermediación del acceso a muchos tipos de aplicaciones y recursos, tales
como aplicaciones empresariales basadas en web, aplicaciones Java, recursos
compartidos, hosts terminales y otras aplicaciones cliente/servidor como
Microsoft Outlook, Lotus Notes, Citrix ICA Client y pcAnywhere. Además,
los administradores pueden proporcionar un método de acceso que permite
conectividad completa de capa 3, con el mismo nivel de acceso que una
LAN corporativa.

„ Ajustar los detalles del acceso de usuarios al dispositivo, los tipos de recursos
o los recursos particulares según factores como la pertenencia a un grupo,
la dirección IP de origen, los atributos del certificado y el estado de seguridad
del punto final. Por ejemplo, se puede usar autenticación de factor dual y
certificados digitales del lado cliente para autenticar a los usuarios en el IVE
y usar la pertenencia a un grupo LDAP para autorizar el acceso a aplicaciones
particulares.

26 „ ¿Qué es el IVE?
 Capítulo 2: Introducción al IVE

„ Evaluar el estado de seguridad de los equipos de los usuarios verificando la

presencia de herramientas de defensa en el punto final tales como un software
antivirus actualizado, cortafuegos y parches de seguridad. Se le puede conceder
acceso o no a los usuarios al dispositivo, los tipos de recursos o los recursos
particulares de acuerdo con el estado de seguridad del equipo.

El IVE funciona como una puerta de enlace segura en la capa de aplicación que
proporciona intermediación de todas las solicitudes entre la Internet pública y los
recursos corporativos internos. Todas las solicitudes que introducen al IVE ya
vienen encriptadas desde el explorador del usuario final mediante SSL/HTTPS de
128 bits o 168 bits. Las solicitudes que no están encriptadas se descartan. Debido a
que el IVE proporciona una férrea capa de seguridad entre la Internet pública y los
recursos internos, los administradores no necesitan administrar constantemente las
directivas de seguridad y las vulnerabilidades de seguridad de los parches para la
amplia variedad de aplicaciones y servidores web que se implantan en la DMZ de
cara al público.

¿Qué puedo hacer con el IVE?

El IVE ofrece un amplia variedad de características que se pueden usar para
proporcionar seguridad a los recursos de su empresa y mantener su entorno con
facilidad. Los siguientes temas responden a preguntas que podría tener respecto de
las cualidades de seguridad y administración del IVE:

„ “¿Puedo usar el IVE para proporcionar seguridad en el tráfico de todas las

aplicaciones, servidores y páginas web de mi empresa?” en la página 28

„ “¿Puedo usar mis servidores actuales para autenticar a los usuarios del IVE?”
en la página 29

„ “¿Puedo ajustar con mayor precisión el acceso al IVE y a los recursos para los
que proporciona intermediación?” en la página 30

„ “¿Puedo crear una integración sin fisuras entre el IVE y los recursos para los
que proporciona intermediación?” en la página 31

„ “¿Puedo usar el IVE para proporcionar protección contra equipos infectados y

otras amenazas a la seguridad?” en la página 31

„ “¿Puedo garantizar la redundancia en el entorno de mi IVE?” en la página 32

„ “¿Puedo hacer que la interfaz del IVE coincida con la apariencia y aspecto de
mi empresa?” en la página 32

„ “¿Puedo habilitar usuarios de equipos y dispositivos diversos para que usen el

IVE?” en la página 33

„ “¿Puedo proporcionar acceso seguro a los usuarios internacionales?” en la

página 33

¿Qué puedo hacer con el IVE? „ 27

 Guía de administración de Secure Access de Juniper Networks

¿Puedo usar el IVE para proporcionar seguridad en el tráfico de todas las aplicaciones,
servidores y páginas web de mi empresa?
El IVE le permite brindar un acceso seguro a una amplia variedad de aplicaciones,
servidores y otros recursos por medio de sus mecanismos de acceso remoto.
Cuando haya escogido los recursos que desea usar, podrá escoger el mecanismo
de acceso correspondiente.

Por ejemplo, si desea proporcionar acceso seguro a Microsoft Outlook, puede usar
Secure Application Manager (SAM). Secure Application Manager proporciona
intermediación del tráfico hacia aplicaciones cliente/servidor como Microsoft
Outlook, Lotus Notes y Citrix. Asimismo, si lo que desea es proporcionar acceso
seguro a la Intranet de su empresa, puede usar la característica de reescritura web.
Esta característica usa el motor de intermediación de contenido del IVE para
proporcionar intermediación del tráfico hacia las aplicaciones basadas en web
y las páginas web.

El IVE comprende mecanismos de acceso remoto que proporcionan intermediación

de los siguientes tipos de tráfico:

„ Tráfico basado en web, incluidas las páginas web y las aplicaciones basadas
en web: Use la característica de reescritura web para proporcionar
intermediación de este tipo de contenido. La característica de reescritura web
incluye plantillas que le permiten configurar el acceso a aplicaciones como
Citrix, OWA, Lotus iNotes y Sharepoint fácilmente. Además, puede usar la
opción de configuración personalizada de la escritura web para proporcionar
intermediación en el tráfico de una amplia variedad de aplicaciones web y
páginas web adicionales, entre ellas, las aplicaciones web hechas a medida.

„ Applets de Java, incluidas las aplicaciones web que las utilizan: Use la
característica de applets de Java hospedados para proporcionar intermediación
de este tipo de contenido. La característica permite albergar applets de Java y
las páginas HTML a las que hacen referencia directamente en el IVE en lugar de
mantener un servidor Java independiente.

„ Tráfico de archivos, incluidos servidores de archivos y directorios: Use la

característica de reescritura de archivos para proporcionar intermediación y
“webificar” los recursos compartidos de manera dinámica. La característica de
reescritura le permite ofrecer tráfico seguro hacia una variedad de servidores,
directorios y recursos compartidos basados en Windows y Unix.

„ Aplicaciones cliente/servidor: Use la característica Secure Application

Manager (SAM) para proporcionar intermediación de este tipo de contenido.
Esta característica está disponible en versión Windows (WSAM) y en versión
Java (JSAM). Las características WSAM y JSAM incluyen plantillas que le
permiten configurar el acceso a aplicaciones como Lotus Notes, Microsoft
Outlook, exploración de archivos NetBIOS y Citrix. Además, se pueden usar las
opciones de configuración personalizada de WSAM y JSAM para proporcionar
intermediación del tráfico de una variedad de aplicaciones cliente/servidor
adicionales y redes de destino.

28 „ ¿Qué puedo hacer con el IVE?

 Capítulo 2: Introducción al IVE

„ Sesiones de emulación de terminales Telnet y SSH: Use la característica

Telnet/SSH para proporcionar intermediación de este tipo de contenido. Esta
característica le permite configurar con facilidad el acceso a una variedad de
dispositivos en red que utilizan sesiones de terminal, entre otros, servidores
UNIX, dispositivos de red y otras aplicaciones antiguas.

„ Sesiones de emulación de terminales de Windows Terminal Server y

servidores Citrix: Use la característica Terminal Services para proporcionar
intermediación de este tipo de contenido. Esta característica le permite
configurar con facilidad el acceso a servidores Windows Terminal, Citrix
MetaFrame y Citrix Presentation (antes conocidos como Nfuse). También se
puede usar esta característica para ofreces los clientes de servicios de
terminales directamente desde el IVE, lo que elimina la necesidad de usar otro
servidor web para albergarlos.

„ Clientes de correo electrónico basados en los protocolos IMAP4, POP3 y

SMTP: Use la característica de cliente de correo electrónico para proporcionar
intermediación de este tipo de contenido. Esta característica le permite
configurar con facilidad el acceso a cualquier servidor de correo corporativo
basado en los protocolos IMAP4, POP3, y SMTP, tales como Microsoft Exchange
Server y Lotus Notes Mail.

„ Todo el tráfico de red: Use la característica Network Connect para crear un

túnel seguro de capa 3 sobre la conexión SSL, lo que permite tener acceso a
cualquier tipo de aplicación disponible en la red corporativa. Esta característica
le permite conectar con facilidad a usuarios remotos a su red al encapsular el
tráfico de red en el puerto 443, lo que les concede acceso completo a todos los
recursos de red sin tener que configurar el acceso para servidores, aplicaciones
y recursos particulares.

Para obtener más información sobre cómo ofrecer seguridad de tráfico mediante
los mecanismos de acceso remoto del IVE, consulte “Acceso remoto” en la
página 343.

¿Puedo usar mis servidores actuales para autenticar a los usuarios del IVE?
Se puede configurar fácilmente el IVE para que use los servidores actuales de su
empresa para autenticar a los usuarios finales. Los usuarios no tienen que aprender
un nuevo nombre de usuario ni contraseña para tener acceso al IVE. El IVE admite
la integración con LDAP, RADIUS, NIS, Windows NT Domain, Active Directory,
eTrust SiteMinder, SAML y RSA ACE/Server.

Si prefiere no usar uno de estos servidores estándar, puede almacenar los nombres
de usuario y credenciales directamente en el IVE y usarlo directamente como
servidor de autenticación. Además, puede optar por autenticar a los usuarios de
acuerdo con atributos contenidos en declaraciones de autenticación generadas por
autoridades SAML o certificados del lado cliente. Si prefiere no exigir a sus usuarios
que inicien sesión en el IVE, puede usar el servidor de autenticación anónima del
IVE, que permite tener acceso a este sin proporcionar un nombre de usuario ni
contraseña.

Para obtener más información sobre protección del acceso al IVE mediante
servidores de autenticación, consulte “Servidores de autenticación y de directorios”
en la página 111.

¿Qué puedo hacer con el IVE? „ 29

 Guía de administración de Secure Access de Juniper Networks

¿Puedo ajustar con mayor precisión el acceso al IVE y a los recursos para los que
proporciona intermediación?
Además de usar servidores de autenticación para controlar el acceso al IVE,
se puede controlar el acceso a este y a los recursos para los que proporciona
intermediación mediante una variedad de verificaciones adicionales del lado
cliente. El IVE le permite crear un método de capas múltiples para protegerlo
y proteger también los recursos:

1. En primer lugar, se pueden llevar a cabo verificaciones de preautenticación

que controlan el acceso de los usuarios a la página de inicio de sesión del IVE.
Por ejemplo, se podría configurar el IVE para que compruebe si el equipo del
usuario está ejecutando una versión en particular de Norton Antivirus. Si no la
está ejecutando, se puede determinar que el equipo de ese usuario no es seguro
y se puede inhabilitar el acceso a la página de inicio de sesión del IVE mientras
el usuario no actualice el software antivirus del equipo.

2. Cuando un usuario haya tenido acceso satisfactorio a la página de inicio de

sesión del IVE, se puede llevar a cabo una verificación de nivel de territorio para
determinar si el usuario puede tener acceso a la página de inicio para usuarios
finales del IVE. La verificación de nivel de territorio más común es la que lleva a
cabo un servidor de autenticación. (El servidor determina si el usuario introdujo
un nombre de usuario y contraseña válidos.) No obstante, se pueden llevar a
cabo otros tipos de verificaciones de nivel de territorio, tales como verificar que
la dirección IP del usuario esté dentro de su red o que esté usando el tipo de
explorador web que usted especifique.

Si el usuario supera las verificaciones de nivel de territorio especificadas, puede

tener acceso a la página de inicio para usuarios finales del IVE. De lo contrario,
el IVE no permitirá al usuario iniciar la sesión o mostrará una versión
simplificada de la página de inicio que usted creó. Por lo general, la versión
simplificada contiene muchas menos funcionalidades que las que están
disponibles para los usuarios estándar, debido a la falta de cumplimiento de
todos los criterios de autenticación. El IVE proporciona definiciones de directiva
extremadamente flexibles, lo que le permite alterar de forma dinámica el
acceso a los recursos de los usuarios finales de acuerdo con las directivas de
seguridad de la empresa.

3. Una vez que el IVE asigna satisfactoriamente al usuario a un territorio, el

dispositivo lo asigna a un rol de acuerdo con los criterios de selección que se
definan. Los roles especifican los mecanismos de acceso que tiene un grupo de
usuarios. También controla las opciones de sesión y de la interfaz de usuario
para el grupo de usuarios. Se puede usar una amplia variedad de criterios para
asignar usuarios a los roles. Por ejemplo, se pueden asignar usuarios a distintos
roles de acuerdo con las verificaciones de seguridad de punto final o con base
en atributos obtenidos de un certificado de servidor LDAP o del lado cliente.

4. En la mayoría de los casos, las asignaciones de rol de un usuario controlan los

recursos particulares a los que puede tener acceso. Por ejemplo, se podría
configurar acceso a la página de Intranet de su empresa mediante un perfil de
recursos web y luego especificar que todos los miembros del rol Empleado
tengan acceso a ese recurso.

30 „ ¿Qué puedo hacer con el IVE?

 Capítulo 2: Introducción al IVE

No obstante, se puede optar por ajustar con mayor precisión el acceso a

determinados recursos individuales. Por ejemplo, se puede permitir a los
miembros del rol Empleado tener acceso a la Intranet de su empresa (como se
mencionó antes), pero añadir una regla detallada de directiva de recursos que
exija a los usuarios cumplir determinados criterios adicionales para tener
acceso al recurso. Por ejemplo, se puede exigir a los usuarios ser miembros del
rol Empleado e iniciar sesión en el IVE durante la jornada laboral para tener
acceso a la Intranet de la empresa.

Para obtener más información sobre ajustar con mayor precisión el acceso al IVE
y a los recursos a los que proporciona intermediación, consulte “Marco de
administración de acceso” en la página 49.

¿Puedo crear una integración sin fisuras entre el IVE y los recursos para los que
proporciona intermediación?
En una configuración típica del IVE, se pueden agregar marcadores directamente a
la página de inicio para usuarios finales del IVE. Estos marcadores son vínculos a los
recursos para los que el IVE proporciona intermediación. Al agregar estos
marcadores, los usuarios podrán iniciar sesión en un solo lugar (el IVE) y encontrar
una sola lista con todos los recursos disponibles.

Con esta configuración típica, se puede racionalizar la integración entre el IVE y los
recursos para los que proporciona intermediación mediante la habilitación del
inicio de sesión único (SSO). El SSO es un proceso que permite que los usuarios
preautenticados en el IVE tengan acceso a otras aplicaciones o recursos que están
protegidos con otro sistema de administración del acceso sin tener que volver a
introducir sus credenciales. Durante la configuración del IVE, se puede habilitar el
SSO indicando las credenciales de usuario que desea que traspase el IVE a los
recursos para los que proporciona intermediación. Consulte “Inicio de sesión único”
en la página 223.

Si prefiere no centralizar los recursos de usuario en la página de inicio para usuarios

finales del IVE, puede crear vínculos a los recursos para los que el IVE proporciona
intermediación desde otra página web. Por ejemplo, se pueden configurar
marcadores en el IVE y después agregar vínculos en la Intranet de su empresa que
apunten hacia ellos. Los usuarios pueden entonces iniciar sesión en la Intranet de la
empresa y hacer clic en los vínculos que allí encuentren para tener acceso a los
recursos para los que el IVE proporciona intermediación, sin tener que entrar a la
página de inicio de éste. Al igual que con los marcadores estándar del IVE, se puede
habilitar el SSO para estos vínculos externos.

¿Puedo usar el IVE para proporcionar protección contra equipos infectados y otras
amenazas a la seguridad?
El IVE le permite proporcionar protección contra virus, ataques y otras amenazas
a la seguridad mediante la característica Host Checker. Host Checker lleva a cabo
verificaciones de seguridad en los clientes que se conectan al IVE. Por ejemplo, se
puede usar la característica Host Checker para verificar que los sistemas del usuario
final contengan software antivirus actualizado, firewalls, parches urgentes de
software y otras aplicaciones que protegen los equipos de los usuarios. Se puede
permitir o negar a los usuarios tener acceso a las páginas de inicio de sesión del
IVE, territorios, roles y recursos según los resultados que devuelva Host Checker.
También se pueden mostrar instrucciones de corrección a los usuarios para que
puedan adecuar sus equipos.

¿Qué puedo hacer con el IVE? „ 31

 Guía de administración de Secure Access de Juniper Networks

También se puede usar la característica Host Checker para crear un espacio de

trabajo protegido en clientes que funcionan con Windows 2000 o Windows XP. A
través de Host Checker, se puede habilitar la característica Secure Virtual Workspace
(SVW) para crear un espacio de trabajo protegido en el escritorio del cliente, lo que
garantiza que cualquier usuario final que inicie sesión en su Intranet lleve a cabo su
trabajo dentro de un entorno totalmente protegido. La característica Secure Virtual
Workspace encripta la información que escriben las aplicaciones en el disco o
registro y luego destruye cualquier dato propio o relacionado con el IVE cuando
termina la sesión.

También se puede proporcionar seguridad a la red ante un intruso hostil al integrar

su IVE con un sensor IDP de Juniper Networks que detecta y previene intrusiones.
Se pueden usar los dispositivos IDP para detectar y bloquear la mayoría de los
gusanos de la red que aprovechan vulnerabilidades del software; los troyanos que
no se basan en archivos; los efectos del spyware, adware y registradores de
pulsaciones de teclas; muchos tipos de malware; y ataques de día cero, mediante el
uso de detección de anomalías.

Para obtener más información sobre Host Checker y otros mecanismos de defensa
de punto final del IVE, consulte “Defensa en el punto final” en la página 255. Para
obtener más información sobre la integración del IVE con el sensor IDP, consulte
“Interoperabilidad de IVE e IDP” en la página 975.

¿Puedo garantizar la redundancia en el entorno de mi IVE?

Se puede garantizar la redundancia en el entorno del IVE utilizando su característica
de clústeres. Con esta característica se pueden implantar dos o más dispositivos en
un clúster, lo que asegura que no habrá tiempo de inactividad ante la eventualidad
de una falla. También garantiza que haya una homologación completa que
sincronice la configuración del usuario, la configuración del sistema y los datos de
sesión del usuario.

Estos dispositivos admiten configuraciones activo/pasivo o activo/activo en una LAN

o WAN. En modo activo/pasivo, uno de los IVE atiende activamente las solicitudes
de usuarios mientras que el otro funciona pasivamente en segundo plano para
sincronizar los datos de estado. Si el IVE que está activo queda fuera de línea, el IVE
inactivo comienza automáticamente a atender las solicitudes de usuarios. En modo
activo/activo, todos los equipos del clúster manejan activamente las solicitudes de
usuarios que se envían por medio de un equilibrador de carga externo o un DNS de
ronda recíproca. El equilibrador de carga alberga la VIP del clúster y enruta las
solicitudes de usuarios a un IVE definido en su grupo de clústeres basándose en la
IP de origen. Si un IVE queda fuera de línea, el equilibrador de carga ajusta la carga
entre los IVE que se mantienen activos.

¿Puedo hacer que la interfaz del IVE coincida con la apariencia y aspecto de mi
empresa?
El IVE permite personalizar una variedad de elementos en la interfaz de usuario
final. Con las características de personalización, se puede actualizar la apariencia
y aspecto de la consola de usuario final del IVE para que se parezca a una de las
páginas web estándar de su empresa o a sus aplicaciones.

32 „ ¿Qué puedo hacer con el IVE?

 Capítulo 2: Introducción al IVE

Por ejemplo, se pueden personalizar fácilmente los encabezados, colores de fondo

y logotipos que muestra el IVE en su página de inicio de sesión y en la consola de
usuario final para que coincida con el estilo de su empresa. También se puede
personalizar fácilmente el orden en que el IVE muestra los marcadores y el sistema
de ayuda que muestra a los usuarios.

Si prefiere no mostrar la página de inicio del IVE para usuarios finales a los usuarios
(ya sea en la forma estándar o personalizada), se puede redireccionarlos a una
página distinta (como la Intranet de su empresa) la primera vez que inicien sesión
en la consola del IVE. Si escoge esta opción, puede agregar vínculos a los
marcadores del IVE en la página nueva, como se explica en “¿Puedo crear una
integración sin fisuras entre el IVE y los recursos para los que proporciona
intermediación?” en la página 31.

Si desea seguir personalizando la página de inicio de sesión del IVE, puede usar la
característica de páginas de inicio de sesión personalizadas del IVE. A diferencia de
las opciones de personalización estándar que se pueden configurar mediante la
consola de administración del IVE, la característica de páginas de inicio de sesión
personalizada no limita la cantidad de personalizaciones que puede hacer a las
páginas. Con esta característica, se puede usar un editor HTML para desarrollar una
página de inicio de sesión que coincida exactamente con sus especificaciones.

Para obtener más información sobre personalización de la apariencia y aspecto del

IVE, consulte “UI personalizables para el administrador y el usuario final” en la
página 995.

¿Puedo habilitar usuarios de equipos y dispositivos diversos para que usen el IVE?
Además de permitir a los usuarios acceder al IVE desde estaciones de trabajo y
equipos públicos estándar que ejecuten sistemas operativos Windows, Macintosh y
Linux, el IVE permite a los usuarios finales tener acceso a él desde PDA, dispositivos
de mano y teléfonos inteligentes conectados, como i-mode y Pocket PC. Cuando un
usuario se conecta desde un PDA o un dispositivo portátil, el IVE determina cuáles
de sus páginas y qué funcionalidad mostrar según los ajustes que haya configurado.

Para obtener más información sobre especificación de las páginas que muestra el
IVE a dispositivos distintos, consulte el documento sobre plataformas admitidas por
el IVE que está disponible en la página IVE OS Software del sitio Juniper Networks
Customer Support Center.

Para obtener más información sobre los sistemas operativos, PDA y dispositivos de
mano específicos que admite el IVE, consulte “Dispositivos de mano y PDA” en la
página 1031.

¿Puedo proporcionar acceso seguro a los usuarios internacionales?

El IVE admite los idiomas inglés de (EEUU), francés, alemán, español, chino
simplificado, chino tradicional, japonés y coreano. Cuando los usuarios inician
sesión en el IVE, éste detecta automáticamente el idioma que corresponde de
acuerdo con los ajustes del explorador web del usuario. También puede usar las
opciones de localización y páginas de inicio de sesión personalizadas para
especificar manualmente el idioma que desea mostrar a sus usuarios finales.

Para obtener más información sobre localización, consulte “Compatibilidad con

varios idiomas” en la página 1027.

¿Qué puedo hacer con el IVE? „ 33

 Guía de administración de Secure Access de Juniper Networks

¿Cómo comienzo a configurar el IVE?

Para habilitar usuarios para que comiencen a usar el dispositivo Secure Access, debe
empezar por lo siguiente:

1. Enchufe el dispositivo, conéctelo a la red y configure los ajustes iniciales del

sistema y de la red. Este sencillo y rápido paso se detalla en la Secure Access
Quick Start Guide.

2. Cuando conecte el IVE a su red, deberá fijar la fecha y hora del sistema,
actualizarlo para tener el último paquete de servicio e instalar sus licencias
de producto. Cuando inicie sesión por primera vez en la consola de
administración, el IVE muestra un manual de tareas de configuración inicial
que le indica los pasos a seguir en el proceso.

3. Tras la instalación de las licencias de producto, se necesita configurar el marco

de gestión de acceso para permitir a los usuarios autenticarse y tener acceso a
los recursos. Los pasos de configuración son:

a. Definir un servidor de autenticación que verifique los nombres y

contraseñas de los usuarios.

b. Crear roles que permitan tener acceso a mecanismos, opciones de sesión

y opciones de interfaz de usuario para los grupos.

c. Crear un territorio de autenticación de usuarios que especifique las

condiciones que deben cumplir para iniciar sesión en el IVE.

d. Definir una directiva de inicio de sesión que especifique la URL a la que

deben tener acceso los usuarios para iniciar sesión en el IVE y la página
que verán al iniciar la sesión.

e. Crear perfiles de recursos que controlen el acceso a éstos, especificar los

roles que pueden tener acceso a ellos e incluir marcadores que vinculen
los recursos.

El IVE incluye un manual de tareas en la consola de administración que señala

los pasos a seguir en el proceso. Para tener acceso al manual de tareas, haga
clic en el vínculo Guidance ubicado en la esquina superior derecha de la
consola de administración. Luego, bajo Recommended Task Guides, seleccione
Base Configuration. También puede usar el tutorial que se incluye en este
manual. Para obtener más información, consulte “Verificación inicial y
conceptos clave” en la página 3.

Cuando haya completado los pasos básicos descritos, su dispositivo Secure Access
estará listo para usarse. Puede comenzar a usarlo como está o puede configurar
características avanzadas tales como la defensa de punto final y los clústeres.

34 „ ¿Cómo comienzo a configurar el IVE?

 Capítulo 2: Introducción al IVE

Uso de Network and Security Manager con el IVE

Network and Security Manager (NSM) es la herramienta de Juniper Networks para
administrar redes y permite ejercer administración distribuida de los dispositivos
de red. Se puede usar la aplicación NSM para centralizar la supervisión de estado,
los registros y comunicaciones y para administrar las configuraciones del IVE.

Con el NSM se pueden administrar la mayoría de los parámetros que se pueden

configurar a través de la consola de administración del IVE. Las pantallas de
configuración que muestra el NSM son parecidas a la interfaz nativa del IVE.

El NSM incorpora un marco amplio de administración de las configuraciones que

permite la coadministración con otros métodos. Se puede importar y exportar XML
mediante la interfaz de la consola de administración del IVE o se puede ejercer la
administración desde la consola de administración del IVE.

La manera en que se comunican el IVE y el NSM

El IVE y la aplicación del NSM se comunican mediante la interfaz de administración
de dispositivos (DMI). La DMI es una colección de protocolos controlados por
esquemas, que se ejecutan sobre un transporte común (TCP). La DMI está
diseñada para funcionar con plataformas de Juniper Networks para hacer
que la administración de dispositivos sea uniforme en todos los territorios de
administración. Los protocolos DMI admitidos son NetConf (para administración
de inventario, configuración basada en XML, configuración basada en texto,
supervisión de alarmas y comandos específicos de dispositivos), syslog
estructurado y flujo de amenazas para creación de perfiles de red. La DMI admite
sistemas de administración de red de terceros que incorporen el estándar DMI.
Sin embargo, se admite sólo un agente basado en DMI por dispositivo.

La configuración del IVE se representa como un árbol jerárquico de elementos de

configuración. Esta estructura está expresada en XML, que puede manipularse con
NetConf. NetConf es un protocolo de administración de red que usa XML. La DMI
usa las capacidades genéricas de administración de configuraciones de NetConf y
las aplica para permitir que se configure el dispositivo de manera remota.

Para permitir que el NSM administre el IVE mediante el protocolo DMI, el NSM debe
importar los archivos de esquema y metadatos desde el Juniper Update Repository,
un recurso de acceso público que se actualiza con cada versión del dispositivo.

El Juniper Update Repository brinda acceso a los archivos XSD y XML definidos
para cada dispositivo, modelo y versión del software.

Antes de intentar proporcionar comunicaciones con el NSM, debe completar la

configuración inicial del IVE. La configuración inicial incluye los ajustes de interfaz
de red, los ajustes de DNS, las licencias y la administración de contraseñas.

Si tiene varios IVE que se configurarán en un entorno de clústeres, debe en primer

lugar configurar el clúster en la interfaz de usuario de administración del IVE y
luego agregar los nodos al objeto de clúster del NSM. El NSM no puede detectar
automáticamente la pertenencia a un clúster.

Uso de Network and Security Manager con el IVE „ 35

 Guía de administración de Secure Access de Juniper Networks

Una vez terminada la configuración de red inicial, se puede configurar el IVE para
proporcionar comunicaciones con el NSM de acuerdo con la información de red
correspondiente. Una vez configurado para comunicarse con el NSM, el IVE
establece contacto con el NSM e inicia una sesión de DMI por medio del
establecimiento de una conexión inicial TCP.

Todas las comunicaciones entre el IVE y el NSM suceden sobre SSH a fin de
garantizar la integridad de los datos.

Una vez que el IVE establece contacto inicial con el NSM y se establece una sesión
TCP, la interacción entre ambos está controlada por el NSM, que envía comandos
para obtener los detalles sobre el hardware, software y licencias del IVE. El NSM se
conecta al Juniper Update Repository para descargar el esquema de configuración
que corresponde al IVE.

Cuando el IVE y el NSM están comunicándose, el primero proporciona información

de syslog y de sucesos al segundo.

Una vez que se conecte el NSM con el IVE, podrá hacer cualquier cambio de
configuración directamente en el IVE, pasando por alto el NSM. Actualmente no hay
una característica de reimportación automática en el NSM. Si se hacen cambios
directamente en el IVE, se deben comunicar manualmente al NSM.

Al hacer cambios a la configuración del IVE mediante el NSM, se deben traspasar

los cambios al dispositivo llevando a cabo la operación Update Device.

Cuando se hace doble clic en el ícono del dispositivo IVE en Device Manager y se
selecciona la ficha Config, aparece el árbol de configuraciones en el área principal
de la pantalla con la misma orientación con que aparecen los elementos en la
interfaz del IVE.

Servicios y opciones de configuración disponibles

Los siguientes servicios y opciones del IVE están disponibles en el NSM:

„ Servicio de administración de inventario: El servicio de administración de

inventario permite administrar los detalles de software, hardware y licencias
del IVE. No se pueden agregar o eliminar licencias, ni cambiar la versión del
software.

„ Servicio de supervisión de estado: El servicio de supervisión de estado

permite obtener el estado del IVE, incluido su nombre, dominio, versión del
sistema operativo, estado de sincronización, detalles de conexión y alarmas
actuales.

„ Servicio de registro: El servicio de registro permite obtener los registros del IVE
en el orden en que fueron generados. El registro de detalles de configuración
que están fijados en el IVE se aplicarán al NSM.

„ Servicio de administración de configuraciones basada en XML: El servicio de

administración de configuraciones permite al NSM administrar la configuración
del IVE. Consulte “Importación y exportación de archivos de configuración
XML” en la página 791.

36 „ Uso de Network and Security Manager con el IVE

 Capítulo 2: Introducción al IVE

Los siguientes elementos de la configuración del dispositivo no se admiten:

„ Modificar la información de licencia, (aunque pueden verse las licencias)

„ Creación de clústeres, unión de nodos a clústeres o habilitar o inhabilitar nodos

de clústeres

„ Empaquetar archivos de registro o depurar archivos para análisis remoto

„ Agregar certificados de dispositivos

Resumen de tareas: Configuración de las comunicaciones DMI para el NSM

Para configurar el IVE para que se comunique con el NSM, se deben coordinar
acciones entre los administradores del IVE y del NSM. Los administradores del IVE
y del NSM deben compartir elementos como la dirección IP, contraseña, clave
HMAC (contraseña para usar una sola vez) e identificación del dispositivo.

Para conectar el IVE con el NSM debe hacer lo siguiente:

„ Instalar y configurar el IVE.

„ Agregar el IVE como dispositivo en el NSM.

„ Configurar y activar el agente DMI en el IVE.

„ Confirmar la conectividad e importar la configuración del IVE al NSM.

Configurar el IVE para la conexión inicial DMI

Para permitir que el IVE y el NSM establezcan la configuración inicial, se debe
agregar un usuario administrativo de NSM a la configuración del IVE. Esta sección
resume el procedimiento para agregar un administrador de NSM y configurar el
agente DMI para permitir las comunicaciones entre el IVE y el NSM. La
configuración completa del IVE para la autenticación de usuarios está fuera del
ámbito de esta sección.

Para iniciar una sesión DMI para las comunicaciones entre el IVE y el NSM:

1. Asegúrese de que la información básica sobre la conexión esté configurada en

el IVE (dirección de red, DNS, contraseña).

2. Asegúrese de que las licencias correspondientes estén instaladas en el IVE.

Uso de Network and Security Manager con el IVE „ 37

 Guía de administración de Secure Access de Juniper Networks

3. En el Device Manager de la interfaz de usuario del NSM, haga clic en el icono

Add y seleccione Device para abrir el asistente Add Device e introducir la
información correspondiente para agregar un IVE al NSM. Consulte
Juniper Networks NetScreen Security Manager Administrator’s Guide.

NOTA: Se debe introducir un nombre de usuario y contraseña de administrador de

NSM únicos en la interfaz del NSM. El nombre de usuario se usará en el IVE como
nombre de usuario de la cuenta de administrador que se usará para administrar el
IVE. El NSM debe tener un inicio de sesión único con la cuenta para evitar que se
interrumpan las comunicaciones con el IVE. El NSM genera automáticamente una
identificación única que se usa para la clave HMAC.

4. En la consola de administración del IVE, seleccione Authentication > Auth.

servers e introduzca el nombre de usuario y la contraseña del administrador
de NSM con las credenciales que introdujo en el NSM en el servidor de
autenticación correspondiente. Use el nombre de usuario y la contraseña del
NSM que introdujo en la interfaz de usuario del NSM. Consulte “Servidores de
autenticación y de directorios” en la página 111.

NOTA: Sólo pueden usarse servidores de autenticación basados en contraseñas.

No se admite la autenticación con una contraseña que se pueda utilizar solamente
una vez.

5. En la interfaz del NSM, seleccione el menú Domain y elija el dominio al que se

agregará el IVE.

6. En el Device Manager, haga clic en el icono Add y seleccione Device para abrir
el asistente Add Device e introducir la información correspondiente para
agregar un IVE al NSM. Consulte Juniper Networks NetScreen Security Manager
Administrator’s Guide.

NOTA:

„ En un entorno de clústeres, cada nodo del clúster debe tener su propio y único
agente DMI y su propia identificación de dispositivo y clave HMAC, ya que
cada nodo del clúster mantiene su propia conexión persistente de DMI con
la aplicación administrativa.

„ Se aplica el algoritmo hash a la clave HMAC y a la identificación de dispositivo

para identificar los dispositivos en la aplicación. Juniper recomienda que use
una contraseña robusta para el valor de la clave HMAC a fin de garantizar que
nadie la adivine.

7. Cuando se haya agregado el IVE al NSM, seleccione System > Configuration >
DMI Agent en la consola de administración del IVE y llene los campos NSM
Primary Server IP address or hostname (dirección IP o nombre de host del
servidor NSM principal), Primary Port (puerto principal), Backup Server
(servidor de respaldo) y Backup Port (puerto de respaldo, si corresponde),
Device ID (identificación de dispositivo) y HMAC Key (clave HMAC).

8. Seleccione el territorio de administración que configuró para el agente DMI.

38 „ Uso de Network and Security Manager con el IVE

 Capítulo 2: Introducción al IVE

9. Seleccione la opción Enabled.

El IVE inicia una conexión TCP con el NSM. Una vez que el IVE está identificado en
el NSM mediante la clave HMAC y el hash de identificación del dispositivo, tanto el
IVE como el NSM negocian un túnel SSH y el NSM solicita autenticación al IVE
mediante nombre de usuario y contraseña.

Si necesita desconectar el dispositivo del NSM, se puede inhabilitar el agente de

DMI del dispositivo o se puede eliminar éste de la interfaz del NSM. Cuando se
reestablece la conexión DMI posteriormente, el NSM recuperará automáticamente
los cambios de configuración y los registros acumulados en ese lapso.

Agregar clústeres del IVE

Para agregar un clúster del IVE al NSM, primero agregue el clúster y después
cada uno de los miembros. Agregar un miembro es similar a agregar un IVE
independiente. Es necesario tener un objeto de clúster, con todos sus miembros
definidos en el NSM, para que éste pueda tener acceso al clúster.

Administración de grandes archivos de datos binarios

Los grandes archivos de datos binarios que son parte de la configuración de los
dispositivos Secure Access se manejan de manera distinta que el resto de la
configuración en el NSM. El tamaño de estos archivos binarios podría hacer que las
configuraciones fueran tan grandes que se sobrecargaran los recursos del servidor
NSM. Por consiguiente, sólo los grandes archivos binarios que se especifique se
importarán al NSM y se configurarán como objetos compartidos, lo que evita que se
dupliquen al aplicarse a varios dispositivos.

Con el NSM, los grandes archivos de datos binarios no son importados con el resto
de la configuración durante una operación normal de importación de dispositivos.
En lugar de ello, el archivo se representa en el árbol de configuración del dispositivo
mediante una ruta interna que contiene un hash MD5 y la designación de la
longitud del archivo. Si necesita manejar un archivo así en el NSM, cárguelo de
forma independiente y configúrelo como un objeto compartido. Para incluir el
archivo como parte del objeto del dispositivo en el NSM, se debe establecer un
vínculo entre el nodo en el árbol de configuración del dispositivo y el objeto
compartido de datos binarios. Cuando se establece el vínculo, el hash MD5 y la
longitud se reemplazan por un puntero hacia el objeto compartido.

Después de establecer el vínculo, una directiva de Update Device lleva todos los
archivos de datos binarios que han sido vinculados hacia el dispositivo junto con
el resto de la configuración. No se llevan datos binarios para los nodos que siguen
conteniendo hash MD5 y designadores de longitud.

Si no necesita manejar un gran archivo de datos binarios desde el NSM, no necesita

incluirlo en la configuración de objetos del dispositivo. Por ejemplo, suponga que
tiene un applet de Java que reside en un dispositivo Secure Access y que ni tiene
intención de actualizarlo. En este caso, no es necesario crear el objeto compartido
ni cargar el archivo. Los objetos de dispositivo en el NSM contendrán solo la ruta
interna con el hash MD5 para estos puntos finales. Cualquier operación de
configuración delta entre el NSM y el dispositivo indicará configuraciones idénticas
porque el hash MD5 en el NSM coincidirá con el archivo en el dispositivo. Por el
mismo motivo, una directiva Update Device no tendrá efecto sobre el dispositivo.

Uso de Network and Security Manager con el IVE „ 39

 Guía de administración de Secure Access de Juniper Networks

Las siguientes secciones proporcionan instrucciones detalladas sobre

administración de grandes archivos de datos binarios en el NSM y proporcionan
instrucciones específicas para cargar cada archivo y vincularlo al objeto de
configuración del dispositivo.

„ “Carga y vinculación de grandes archivos de datos binarios” en la página 40

„ “Importación de páginas de inicio de sesión personalizadas” en la página 41

„ “Importación de ajustes Liveupdate del antivirus” en la página 42

„ “Importación de paquetes de complemento de evaluación de seguridad de

punto final (ESAP)” en la página 43

„ “Vinculación a un objeto compartido de directiva de Host Checker de terceros”

en la página 45

„ “Vinculación a un objeto compartido de una imagen de papel tapiz de Secure

Virtual Workspace” en la página 45

„ “Importación de applets de Java hospedadas” en la página 46

„ “Importación de un archivo .cab personalizado del cliente de Citrix” en la

página 47

Carga y vinculación de grandes archivos de datos binarios

Este tema describe todo el procedimiento para descargar un gran archivo de datos
binarios y vincularlo al árbol de configuración del dispositivo Secure Access.
Las secciones subsiguientes proporcionan detalles sobre cada archivo.

Para cargar y vincular un gran archivo de datos binarios, haga lo siguiente:

1. En el Device Manager, haga clic en el icono del dispositivo y seleccione Import

Device de la lista para importar la configuración del dispositivo Secure Access.

Cuando termine la importación, la configuración del objeto del dispositivo

tendrá rutas internas MD5 para cada gran archivo binario de datos.

2. Cargue cada archivo que necesite en la estación de trabajo cliente del NSM.

Necesitará obtener algunos archivos del dispositivo Secure Access. Otros, como
los archivos de configuración ESAP, deben descargarse desde el sitio original.
Use la interfaz web del dispositivo para cargar los archivos binarios desde el
dispositivo Secure Access.

3. Para crear un objeto compartido en el NSM Object Manager para el archivo

binario:

a. En el panel Configure del árbol de navegación del NSM, seleccione Object

Manager > Binary data y haga clic en el icono Add.

b. En el cuadro de diálogo Binary Data, introduzca un nombre para el objeto,

seleccione un color para el icono del objeto, agregue un comentario si lo
desea y seleccione el archivo que cargó en el paso 2. Haga clic en OK.

40 „ Uso de Network and Security Manager con el IVE

 Capítulo 2: Introducción al IVE

4. Vincule el objeto compartido al nodo correspondiente en el árbol de

configuración del dispositivo:

a. En el Device Manager, haga doble clic en el dispositivo Secure Access para

abrir el editor de dispositivos y seleccione la ficha Configuration.

b. Navegue hasta el nodo en la configuración donde desea cargar el archivo

binario.

Por ejemplo, para cargar un paquete ESAP, amplíe Authentication

y seleccione Endpoint Security. En la ficha Host Checker, seleccione
Endpoint Security Assessment Plug-Ins y haga clic en el icono Add.

c. Seleccione el objeto compartido.

Para seguir con el ejemplo de ESAP, en el cuadro de diálogo New Endpoint

Security Assessment Plug-Ins, introduzca un número de versión, seleccione
un objeto compartido de datos binarios de la lista Path to Package. Esto
incluye todos los objetos compartidos de datos binarios. Haga clic en OK.

Si el objeto que busca no está en la lista, puede agregarlo a la lista de datos

binarios compartidos haciendo clic en el icono Add. Aparece el cuadro de
diálogo Binary Data como en el paso 3.

d. Haga clic en OK para guardar los vínculos configurados.

Importación de páginas de inicio de sesión personalizadas

La característica de páginas de inicio de sesión personalizadas es una característica
con licencia que le permite usar sus propias páginas de acceso en lugar de tener
que modificar la página de inicio de sesión que viene con el dispositivo Secure
Access.

Para crear un vínculo desde un árbol de configuración Secure Access a un objeto

compartido que contiene una página de inicio de sesión personalizada, haga lo
siguiente:

1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.

2. Amplíe Authentication.

3. Amplíe Signing-In.

4. Amplíe Sign-in Pages.

5. Seleccione Users/Administrator Sign-in Pages y haga clic en el icono Add en el

panel derecho.

6. Introduzca un nombre para la página de acceso.

7. Seleccione Custom Sign-in Pages.

Uso de Network and Security Manager con el IVE „ 41

 Guía de administración de Secure Access de Juniper Networks

8. Seleccione un objeto compartido de datos binarios de la lista Custom Pages

Zip File.

9. Haga clic en OK una vez para guardar el vínculo y otra vez para guardar la
configuración.

Para crear un vínculo desde un árbol de configuración Secure Access a un objeto

compartido que contiene una página de inicio de sesión personalizada para
reuniones, haga lo siguiente:

1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.

2. Amplíe Authentication.

3. Amplíe Signing-In.

4. Amplíe Sign-in Pages.

5. Seleccione Meeting Sign-in Pages y haga clic en el icono Add en el panel

derecho.

6. Introduzca un nombre para la página de reuniones.

7. Seleccione Custom Sign-in Page.

8. Seleccione un objeto compartido de datos binarios de la lista Blob.

9. Haga clic en OK una vez para guardar el vínculo y otra vez para guardar la
configuración.

Importación de ajustes Liveupdate del antivirus

Recupere el último archivo liveupdate del antivirus desde el sitio web de descargas
de Juniper.

En concreto, puede encontrar este archivo en

https://download.juniper.net/software/av/uac/epupdate_hist.xml.

Recupere el último archivo parche desde el sitio web de descargas de Juniper en

https://download.juniper.net/software/hc/patchdata/patchupdate.dat.

Para crear un vínculo desde un árbol de configuración del dispositivo Secure Access
a un objeto compartido que contiene un archivo liveupdate del antivirus (AV), haga
lo siguiente:

1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.

2. Amplíe Authentication.

3. Seleccione Endpoint Security.

4. En la ficha Host Checker, seleccione Live Update Settings.

42 „ Uso de Network and Security Manager con el IVE

 Capítulo 2: Introducción al IVE

5. Seleccione un objeto compartido de datos binarios de la lista Manually import

virus signature.

6. Haga clic en OK para guardar la configuración.

Para crear un vínculo desde un árbol de configuración Secure Access a un objeto

compartido que contiene un parche del AV, haga lo siguiente:

1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.

2. Amplíe Authentication.

3. Seleccione Endpoint Security.

4. En la ficha Host Checker, seleccione Live Update Settings.

5. Seleccione un objeto compartido de datos binarios de la lista Manually import

patch management data.

6. Haga clic en OK para guardar la configuración.

Importación de paquetes de complemento de evaluación de seguridad de

punto final (ESAP)
El complemento de evaluación de seguridad de punto final (ESAP) del dispositivo
Secure Access comprueba que las aplicaciones de terceros o puntos finales cumplan
con las reglas predefinidas en la directiva de Host Checker.

Para cargar el ESAP desde el Juniper Networks Customer Support Center a su

equipo cliente de NSM, haga lo siguiente:

1. Abra la siguiente página:

https://www.juniper.net/customers/csc/software/ive/

2. Para tener acceso al Customer Support Center, introduzca un nombre de

usuario y contraseña de una cuenta de soporte técnico de Juniper Networks.

3. Haga clic en el vínculo ESAP.

4. Haga clic en el vínculo ESAP Download Page.

5. Busque la versión de ESAP que necesita.

6. Cargue el archivo zip con el complemento a su equipo.

Para crear un vínculo desde un árbol de configuración Secure Access a un objeto

compartido que contiene un paquete ESAP, haga lo siguiente:

1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.

2. Amplíe Authentication.

3. Seleccione Endpoint Security.

Uso de Network and Security Manager con el IVE „ 43

 Guía de administración de Secure Access de Juniper Networks

4. En la ficha Host Checker, seleccione Endpoint Security Assessment Plug-Ins

y haga clic en el icono Add.

5. En el cuadro de diálogo New Endpoint Security Assessment Plug-Ins, introduzca

el número de versión del ESAP.

6. Seleccione un objeto compartido binario de la lista Path to Package.

7. Haga clic en OK una vez para guardar el vínculo y otra vez para guardar la
configuración.

Carga de una directiva Host Checker de terceros

Para que el dispositivo reconozca un archivo de definición de paquetes, debe hacer
lo siguiente:

1. Poner un nombre al archivo de definición de paquetes MANIFEST.HCIF e

incluirlo en una carpeta llamada META-INF.

2. Crear un paquete de directivas Host Checker creando un archivo zip. El archivo

debe contener la carpeta META-INF que contiene el archivo MANIFEST.HCIF junto
con la DLL de interfaz y cualquier archivo de inicialización. Por ejemplo,
un paquete de directivas Host Checker podría contener lo siguiente:

META-INF/MANIFEST.HCIF

hcif-myPestPatrol.dll

hcif-myPestPatrol.ini

3. Cargue el paquete (o paquetes) Host Checker al objeto compartido de NSM. Se

pueden cargar varios paquetes de directivas a los objetos compartidos de NSM,
cada uno de los cuales contiene un archivo MANIFEST.HCIF distinto.

NOTA: Después de cargar un paquete de directivas Host Checker al objeto

compartido NSM, no se puede modificar el contenido del paquete. En su lugar,
debe modificar el paquete en su sistema local y cargar la versión modificada
al NSM.

4. Implemente la directiva en los niveles de territorio, rol o directiva de recursos

usando las opciones. Consulte el Secure Access Administration Guide o el
Unified Access Control Administration Guide para obtener información sobre
cómo configurar las restricciones de Host Checker.

Si desea verificar que el paquete está instalado y ejecutándose en el equipo

del cliente (en lugar de si una directiva específica del paquete se cumple o no),
se puede usar el nombre que especificó al cargar el paquete de directivas
(por ejemplo, miPestPatrol). Para hacer cumplir una directiva específica del
paquete use la sintaxis nombrepaquete.nombredirectiva. Por ejemplo, para
hacer cumplir la directiva FileCheck del paquete miPestPatrol, use
miPestPatrol.FileCheck.

44 „ Uso de Network and Security Manager con el IVE

 Capítulo 2: Introducción al IVE

Vinculación a un objeto compartido de directiva de Host Checker

de terceros
Para crear un vínculo desde un árbol de configuración del dispositivo Secure Access
a un objeto compartido que contiene una directiva Host Checker de terceros, haga
lo siguiente:

1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.

2. Amplíe Authentication.

3. Seleccione Endpoint Security.

4. En la ficha Host Checker, seleccione la ficha Settings y haga clic en el icono Add
en el cuadro Policies.

5. En la lista Policy type, seleccione 3rd Party Policy.

6. Ponga un nombre a la directiva.

7. Seleccione un objeto compartido de datos binarios de la lista Package.

8. Haga clic en OK para guardar la configuración.

Vinculación a un objeto compartido de una imagen de papel tapiz de

Secure Virtual Workspace
Para crear un vínculo desde un árbol de configuración del dispositivo Secure Access
a un objeto compartido que contiene una imagen de papel tapiz de Secure Virtual
Workspace, haga lo siguiente:

1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.

2. Amplíe Authentication.

3. Seleccione Endpoint Security.

4. En la ficha Host Checker, seleccione la ficha Settings y haga clic en el icono Add
en el cuadro Policies.

5. En la lista Policy type, seleccione Secure Virtual Workspace Policy.

6. Seleccione la ficha Options.

7. Seleccione un objeto compartido de datos binarios de la lista Desktop

wallpaper image.

8. Haga clic en OK para guardar la configuración.

Uso de Network and Security Manager con el IVE „ 45

 Guía de administración de Secure Access de Juniper Networks

Importación de applets de Java hospedadas

Se pueden almacenar applets de Java como objetos compartidos en el NSM sin
tener que usar un servidor web independiente para albergarlos. Así se pueden
usar para proporcionar intermediación del tráfico de varios tipos de aplicaciones
mediante el dispositivo Secure Access. Por ejemplo, se pueden cargar los applets
3270 o 5250 o el applet Java de Citrix a los objetos compartidos de NSM. Estos
applets permiten que los usuarios establezcan sesiones en los servidores de
codificación de IBM, AS/400s y Citrix MetaFrame mediante emuladores de
terminal. Para habilitar el cliente ICA de Citrix en Java mediante una sesión del IVE,
se deben cargar varios archivos .jar y .cab de Citrix o configurar un perfil de
recursos de Citrix Terminal Services para albergar los applets de Java.

Se pueden cargar archivos individuales .jar y .cab o archivos de almacenamiento

.zip, .cab, o .tar a los objetos compartidos de NSM. Los archivos de almacenamiento
pueden contener applets de Java y los archivos a los que hacen referencia los
applets. En el archivo .zip, .cab, o .tar, el applet de Java debe residir en el
primer nivel.

Para garantizar la compatibilidad con máquinas virtuales de Java (JVM) en Sun y

Microsoft, se deben cargar tanto archivos .jar como .cab. La JVM de Sun usa los
archivos .jar y la JVM de Microsoft usa los archivos .cab.

NOTA: Cuando se cargan applets de Java al NSM, este pide que se lea el acuerdo
legal antes de terminar de instalarlos. Lea atentamente el acuerdo, pues le obliga a
asumir toda la responsabilidad por la legalidad, operación y compatibilidad de los
applets de Java que está cargando.

La carga de applets de Java requiere applets de ActiveX o Java firmados a fin de

que se habiliten dentro el explorador para descargar, instalar e iniciar las
aplicaciones cliente.

Para crear un vínculo desde un árbol de configuración del dispositivo Secure Access
a un objeto compartido que contiene un applet de Java, haga lo siguiente:

1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.

2. Amplíe Users.

3. Amplíe Resource Profiles.

4. Seleccione Hosted Java Applets y haga clic en el icono Add en el panel

derecho.

5. Ponga un nombre al applet y al archivo.

6. Seleccione un objeto compartido de datos binarios de la lista Applet file to be

uploaded.

7. Haga clic en OK una vez para guardar el vínculo y otra vez para guardar la
configuración.

46 „ Uso de Network and Security Manager con el IVE

 Capítulo 2: Introducción al IVE

Importación de un archivo .cab personalizado del cliente de Citrix

El archivo personalizado del cliente de Citrix le permite proporcionar éste desde el
dispositivo Secure Access en lugar de pedirle que esté preinstalado en los equipos
del usuario final o que se descargue de algún otro servidor web.

Para crear un vínculo desde un árbol de configuración del dispositivo Secure Access
a un objeto compartido que contiene un archivo .cab personalizado del cliente de
Citrix, haga lo siguiente:

1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.

2. Amplíe Users.

3. Seleccione User Roles.

4. Seleccione la ficha Global Role Options.

5. En la ficha Global Terminal Services Role Options, seleccione un objeto

compartido de datos binarios de la lista Citrix Client CAB File.

6. Haga clic en OK para guardar la configuración.

Uso de Network and Security Manager con el IVE „ 47

 Guía de administración de Secure Access de Juniper Networks

48 „ Uso de Network and Security Manager con el IVE

Parte 2
Marco de administración de acceso

El IVE protege los recursos usando los siguientes mecanismos de administración

de accesos:

„ Territorio de autenticación: La accesibilidad a los recursos comienza con

el territorio de autenticación. Un territorio de autenticación especifica las
condiciones que los usuarios deben cumplir para iniciar sesión en el IVE.
Una especificación de territorio de autenticación incluye varios componentes,
como un servidor de autenticación que verifica que el usuario es quien dice ser.
El usuario debe cumplir con los requisitos de seguridad definidos para la
directiva de autenticación del territorio. De lo contrario, el IVE no reenviará
las credenciales del usuario al servidor de autenticación.

„ Roles de usuario: La configuración de roles sirve como el segundo nivel de

control de acceso a los recursos. Un rol es una entidad definida que especifica
las propiedades de la sesión del IVE para los usuarios asignados a ese rol. Un rol
no es la única forma de especificar los mecanismos de acceso disponibles para
un usuario; usted también puede especificar las restricciones que deben
cumplir los usuarios antes de asignarlos a un rol.

„ Directiva de recursos: Una directiva de recursos sirve como el tercer nivel

de control de acceso a los recursos. Una directiva de recursos es un conjunto
de nombres de recursos (tales como direcciones URL, nombres de hosts,
y combinaciones de la dirección IP y la máscara de red) a los que usted
concede o deniega el acceso u otras acciones específicas para los recursos,
como rescribir y almacenar la caché. Aunque es el rol el que puede conceder
acceso a determinados tipos de características de acceso y recursos (como
marcadores y aplicaciones), son las directivas de recursos las que controlan si
un usuario puede o no tener acceso a un recurso específico. Tenga en cuenta
que puede crear directivas de recursos separadas o puede crear directivas de
recursos automáticas (llamadas directivas automáticas) durante la
configuración del perfil de recursos (recomendado).

Esta sección contiene la siguiente información acerca del marco de administración

de acceso del IVE:

„ “Administración de acceso general” en la página 51

„ “Roles de usuario” en la página 69

„ “Perfiles de recursos” en la página 91

„ “Directivas de recursos” en la página 101

„ 49
 Guía de administración de Secure Access de Juniper Networks

„ “Servidores de autenticación y de directorios” en la página 111

„ “Territorios de autenticación” en la página 195

„ “Directivas de inicio de sesión” en la página 211

„ “Inicio de sesión único” en la página 223

50 „
Capítulo 3
Administración de acceso general

El IVE le permite asegurar los recursos de su empresa usando territorios de

autenticación, roles de usuario y directivas de recursos. Estos tres niveles de
accesibilidad le permiten controlar el acceso desde un nivel muy amplio (controlar
quién puede iniciar sesión en el IVE) hasta un nivel muy particular (controlar qué
usuarios autenticados pueden tener acceso a una dirección URL o a un archivo
en especial). Puede especificar los requisitos de seguridad que los usuarios deben
cumplir para iniciar sesión en el IVE, para obtener acceso a las características del
IVE e incluso para tener acceso a direcciones URL, archivos y otros recursos del
servidor específicos. El IVE aplica las directivas, reglas, restricciones y condiciones
que usted configure para evitar que los usuarios se conecten o descarguen recursos
y contenidos no autorizados.

Este tema contiene la siguiente información acerca del marco de administración

de acceso:

„ “Licencia: Disponibilidad de la administración de acceso” en la página 52

„ “Vista general de las directivas, reglas, restricciones y condiciones” en la

página 52

„ “Evaluación de las directivas, reglas, restricciones y condiciones” en la

página 54

„ “Evaluación dinámica de directivas” en la página 57

„ “Configuración de los requisitos de seguridad” en la página 60

„ 51
 Guía de administración de Secure Access de Juniper Networks

Licencia: Disponibilidad de la administración de acceso

El marco de administración de acceso del IVE está disponible en todos los
productos Secure Access. Las componentes de la administración de acceso, como
los territorios, roles, directivas de recursos y servidores, son la base de la plataforma
del IVE sobre la que se construyen todos los productos Secure Access.

Vista general de las directivas, reglas, restricciones y condiciones

El IVE le permite asegurar los recursos de su empresa usando territorios de
autenticación, roles de usuario y directivas de recursos. Estos tres niveles de
accesibilidad le permiten controlar el acceso desde un nivel muy amplio (controlar
quién puede iniciar sesión en el IVE) hasta un nivel muy particular (controlar qué
usuarios autenticados pueden tener acceso a una dirección URL o a un archivo
en especial).

Esta sección contiene la siguiente información acerca de las directivas, reglas,

restricciones y condiciones de la administración de acceso:

„ “Acceso a territorios de autenticación” en la página 52

„ “Acceso a los roles de usuario” en la página 53

„ “Acceso a directivas de recursos” en la página 54

Acceso a territorios de autenticación

La accesibilidad a los recursos comienza con el territorio de autenticación.
Un territorio de autenticación es una agrupación de recursos de autenticación,
que incluye:

„ Un servidor de autenticación, que verifica que el usuario es quien dice ser.

El IVE reenvía las credenciales que envía el usuario a través de la página de
inicio de sesión a un servidor de autenticación. Para obtener más información,
consulte “Servidores de autenticación y de directorios” en la página 111.

„ Una directiva de autenticación, que especifica los requisitos de seguridad del

territorio que deberán cumplirse para que el IVE envíe las credenciales del
usuario a un servidor de autenticación para verificarlas. Para obtener más
información, consulte “Definición de directivas de autenticación” en la
página 198.

„ Un servidor de directorio, que corresponde a un servidor LDAP que le

proporciona al IVE información del usuario y del grupo que éste utiliza para
asignar usuarios a uno o más roles. Para obtener más información, consulte
“Servidores de autenticación y de directorios” en la página 111.

52 „ Licencia: Disponibilidad de la administración de acceso

 Capítulo 3: Administración de acceso general

„ Reglas de la asignación de roles, que son las condiciones que un usuario

debe cumplir para que el IVE lo asigne a uno o más roles de usuario. Estas
condiciones se basan en la información del usuario devuelta por el servidor
de directorio del territorio o en el nombre de usuario. Para obtener más
información, consulte “Creación de reglas de asignación de roles” en la
página 199.

Puede asociar uno o más territorios de autenticación con una página de inicio de
sesión del IVE. Cuando exista más de un territorio para una página de inicio de
sesión, el usuario debe especificar un territorio antes de enviar sus credenciales.
Cuando el usuario envía sus credenciales, el IVE comprueba la directiva de
autenticación definida para el territorio escogido. El usuario debe cumplir con los
requisitos de seguridad definidos para la directiva de autenticación del territorio.
De lo contrario, el IVE no reenviará las credenciales del usuario al servidor de
autenticación.

A nivel de territorio, puede especificar los requisitos de seguridad basados en

distintos elementos, como la dirección IP de origen del usuario o la posesión de un
certificado del lado cliente. Si el usuario cumple con los requisitos que especifica la
directiva de autenticación del territorio, el IVE reenviará las credenciales del usuario
al servidor de autenticación correspondiente. Si el servidor autentica correctamente
al usuario, entonces el IVE evalúa las reglas de la asignación de roles definidas para
el territorio para determinar qué roles se deben asignar al usuario. Consulte
“Territorios de autenticación” en la página 195.

Acceso a los roles de usuario

Un rol es una entidad definida que especifica las propiedades de la sesión del
IVE para los usuarios asignados a ese rol. Entre estas propiedades de sesión se
encuentran los tiempos de espera y los componentes de acceso habilitados para la
sesión. La configuración de un rol sirve como el segundo nivel de control de acceso
a los recursos. Un rol no es la única forma de especificar los mecanismos de acceso
disponibles para un usuario; usted también puede especificar las restricciones que
deben cumplir los usuarios antes de asignarlos a un rol. El usuario debe cumplir
estos requisitos de seguridad para que el IVE le asigne un rol.

A nivel de rol, puede especificar los requisitos de seguridad basándose en

elementos como la dirección IP de origen del usuario y la posesión de un certificado
del lado cliente. Si el usuario cumple los requisitos especificados, ya sea por una
regla de asignación de roles o por las restricciones para un rol, entonces el IVE
asigna al usuario a un rol. Cuando un usuario realiza una solicitud a los recursos
backend disponibles para el rol, el IVE evalúa las directivas de recursos de los
componentes de acceso correspondientes.

Tenga en cuenta que puede especificar los requisitos de seguridad para un rol en
dos lugares: en las reglas de la asignación de roles de un territorio de autenticación
(usando expresiones personalizadas) o al señalar las restricciones en la definición
del rol. El IVE evalúa los requisitos especificados en ambas áreas para asegurarse de
que el usuario los cumple antes de asignarlo a un rol. Consulte “Roles de usuario”
en la página 69.

Vista general de las directivas, reglas, restricciones y condiciones „ 53

 Guía de administración de Secure Access de Juniper Networks

Acceso a directivas de recursos

Una directiva de recursos es un conjunto de nombres de recursos (tales como
direcciones URL, nombres de hosts, y combinaciones de dirección IP y máscara de
red) a los que se concede o deniega el acceso u otras acciones específicas para los
recursos, como rescribir y almacenar la caché. Una directiva de recursos sirve como
el tercer nivel de control de acceso a los recursos. Aunque es el rol el que puede
conceder acceso a determinados tipos de características de acceso y recursos
(como marcadores y aplicaciones), son las directivas de recursos las que controlan
si un usuario puede o no tener acceso a un recurso específico. Estas directivas
pueden incluso especificar las condiciones que, de cumplirse, concederán acceso al
usuario a los recursos compartidos o a los archivos del servidor. Estas condiciones
pueden basarse en requisitos de seguridad especificados por usted. El usuario debe
cumplir estos requisitos de seguridad para que el IVE procese su solicitud.

A nivel de recursos, puede especificar los requisitos de seguridad basándose en

elementos como la dirección IP de origen del usuario o la posesión de un
certificado del lado cliente. Si el usuario cumple con los requisitos especificados por
las condiciones de la directiva de recursos, entonces el IVE concederá acceso al
recurso solicitado. Por ejemplo, puede habilitar acceso a través de la Web en un
nivel de roles y el usuario asignado a ese rol podrá realizar solicitudes a través de la
Web. También puede configurar una directiva de recursos en Web para denegar
solicitudes a una dirección URL o ruta específica cuando el Host Checker encuentra
un archivo inaceptable en el equipo del usuario. En este caso, el IVE comprueba si
el Host Checker se está ejecutando e indica que el equipo del usuario cumple con
la directiva requerida del Host Checker. Si el equipo del usuario cumple con la
directiva, lo que significa que no hay un archivo inaceptable, entonces el IVE le
concede acceso al usuario para el recurso Web solicitado.

Tenga en cuenta que puede crear directivas de recursos separadas o puede crear
directivas de recursos automáticas (llamadas directivas automáticas) durante la
configuración del perfil de recursos (recomendado). Para obtener más información,
consulte:

„ “Componentes de los perfiles de recursos” en la página 92

„ “Directivas de recursos” en la página 101

Evaluación de las directivas, reglas, restricciones y condiciones

El siguiente diagrama ilustra las comprobaciones de la seguridad de la
administración de acceso que realiza el IVE cuando un usuario intenta obtener
acceso a los recursos a través del IVE. Después del diagrama encontrará una
descripción detallada de cada paso.

54 „ Evaluación de las directivas, reglas, restricciones y condiciones

 Capítulo 3: Administración de acceso general

Figura 18: Comprobaciones de seguridad realizada por el IVE durante una sesión
de usuario

1. El usuario escribe la dirección URL de la consola del usuario final del IVE
(como http://empleados.suempresa.com/marketing) en un navegador Web.

2. El IVE evalúa sus directivas de inicio de sesión (comenzando con las

direcciones URL del administrador y siguiendo con las URL del usuario) hasta
que encuentra una coincidencia con el nombre del host que el usuario
introdujo.

3. El IVE evalúa las restricciones de la autenticación previa y determina si el

sistema del usuario aprueba las comprobaciones del host y otros requisitos.
Si la comprobación de autenticación previa no se aprueba, el IVE denegará el
acceso al usuario. Si se aprueba la comprobación, el IVE le solicitará al usuario
que escriba el nombre de usuario y la contraseña para los territorios en los que
tuvo éxito la comprobación de autenticación previa. (Si el territorio lo requiere,
el IVE le indica al usuario que escriba dos grupos de credenciales). Si existe más
de un territorio, el usuario deberá introducir un territorio o escoger uno de
la lista.

Evaluación de las directivas, reglas, restricciones y condiciones „ 55

 Guía de administración de Secure Access de Juniper Networks

4. El IVE evalúa las restricciones de autenticación posterior y determina si la

contraseña del usuario satisface los límites y requisitos específicos. Si la
comprobación de autenticación posterior no se aprueba, el IVE denegará
el acceso al usuario. Si se aprueba la comprobación, el IVE enviará las
credenciales del usuario al servidor de autenticación del territorio.

5. El IVE reenvía el nombre de usuario y la contraseña del usuario al servidor de

autenticación, que devuelve un resultado correcto o erróneo. (Un servidor de
autenticación RADIUS o SiteMinder también devuelve atributos para que los
use el IVE para asignación de roles.) Si el servidor de autenticación devuelve un
error, el IVE denegará el acceso al usuario. Si el servidor devuelve un resultado
correcto, el IVE almacenará las credenciales del usuario. Si el territorio tiene un
servidor de autorización LDAP separado, el IVE también consulta al servidor
LDAP los atributos y la información del grupo y guarda la información que
devuelve el LDAP. Si el territorio cuenta con un servidor de autenticación
secundario, el IVE repite el proceso con ese servidor.

6. El IVE evalúa las reglas de la asignación de roles del territorio y determina los
roles a los que puede optar el usuario. El IVE determina la aptitud del usuario
usando la información de los servidores LDAP o RADIUS o el nombre de
usuario del usuario.

7. El IVE evalúa las restricciones de los roles disponibles, habilitando al usuario

a tener acceso a los roles que tienen restricciones que cumple el equipo del
usuario. Las restricciones pueden incluir la dirección IP de origen, el tipo de
navegador, el certificado del lado cliente, Host Checker y Cache Cleaner.

8. El IVE crea un “rol de sesión” y determina los permisos para la sesión del
usuario. Si habilita la combinación de permisos, el IVE determina los permisos
para la sesión combinando todos los roles válidos y permitiendo el acceso a los
recursos de cada rol válido. Si no habilita la combinación de permisos, el IVE da
al usuario el primer rol al que él está asignado. Para obtener más información,
consulte “Evaluación de rol de usuario” en la página 70.

9. Cuando el usuario solicita un recurso, el IVE comprueba si la característica

de acceso correspondiente está habilitada para el rol del usuario de la sesión.
En caso contrario, el IVE deniega el acceso del usuario. Si la característica de
acceso está habilitada, el IVE evalúa las directivas de recursos.

10. El IVE evalúa los perfiles y las directivas de recursos relacionadas con la
solicitud del usuario, procesando cada una de forma secuencial hasta que
encuentra el perfil o la directiva que tiene la lista de recursos y los roles
designados que coinciden con la solicitud del usuario. El IVE deniega el acceso
al usuario al recurso si la directiva o el perfil lo especifican así. Por otra parte,
si la directiva o el perfil habilitan el acceso, el IVE intermedia la solicitud del
usuario. Para obtener más información, consulte “Evaluación de las directivas
de recursos” en la página 106.

11. El IVE intermedia la solicitud del usuario reenviando su solicitud y sus

credenciales (si es necesario) al servidor adecuado. Luego, el IVE reenvía la
respuesta de servidor al usuario.

56 „ Evaluación de las directivas, reglas, restricciones y condiciones

 Capítulo 3: Administración de acceso general

12. El usuario obtiene acceso al recurso o al servidor solicitado. La sesión del

usuario finaliza cuando el usuario se desconecta o cuando termina el tiempo
de espera de la sesión debido a los límites de tiempo o de inactividad. El IVE
también puede forzar la salida del usuario de la sesión si habilita la evaluación
dinámica de directivas y el usuario no cumple con una directiva. Para obtener
más información, consulte “Comprensión de la evaluación dinámica de
directivas” en la página 57.

NOTA: Si habilita la evaluación dinámica de directivas, el IVE realiza

comprobaciones adicionales más allá de las mencionadas aquí. Para obtener más
información, consulte “Comprensión de la evaluación dinámica de directivas” en
la página 57.

Evaluación dinámica de directivas

La evaluación dinámica de directivas le permite actualizar automática o
manualmente los roles asignados de los usuarios al evaluar la directiva de
autenticación del territorio, las asignaciones de roles, las restricciones de los
roles y las directivas de recursos. Cuando el IVE realiza una evaluación dinámica,
comprueba si el estado del cliente ha cambiado. (Por ejemplo, es posible que el
estado del Host Checker del cliente haya cambiado. O bien, si el usuario es móvil,
es posible que la dirección IP del equipo haya cambiado). Si el estado cambia, el
IVE habilita o deniega el acceso al usuario a los territorios, roles o directivas de
recursos que dependen de ese estado.

NOTA: El IVE no comprueba cambios en los atributos del usuario desde un

servidor RADIUS, LDAP o SiteMinder cuando realiza la evaluación dinámica de
directivas. En cambio, el IVE reevalúa las reglas y directivas basándose en los
atributos originales del usuario que obtuvo cuando el usuario inició sesión en
el IVE.

Esta sección contiene la siguiente información acerca de la evaluación dinámica

de directivas:

„ “Comprensión de la evaluación dinámica de directivas” en la página 57

„ “Comprensión de la evaluación de directivas estándar” en la página 58

„ “Habilitación de la evaluación dinámica de directivas” en la página 59

Comprensión de la evaluación dinámica de directivas

Durante la evaluación dinámica de directivas, el IVE evalúa los siguientes tipos de
directivas de recursos:

„ Windows Secure Application Manager

„ Java Secure Application Manager

„ Network Connect

Evaluación dinámica de directivas „ 57

 Guía de administración de Secure Access de Juniper Networks

„ Telnet/SSH

„ Terminal Services (Windows y Citrix)

„ Java Access

„ Firma de código (para applets java)

NOTA: Debido a que el IVE evalúa las directivas de recursos de la Web y los
archivos cada vez que el usuario realiza una solicitud para un recurso, la
evaluación dinámica de directivas no es necesaria para estos elementos. El IVE no
usa la evaluación dinámica de directivas para directivas de recursos de reuniones
o de clientes de correo electrónico.

Si después de una evaluación dinámica de directivas el IVE determina que un

usuario ya no cumple con los requisitos de seguridad de una directiva o rol, el IVE
finaliza la conexión con el usuario inmediatamente. El usuario podría experimentar
el cierre de una conexión de TCP o de una aplicación, o el término de una sesión de
usuario para Network Connect, Secure Application Manager, Terminal o Telnet/SSH.
El usuario debe tomar las medidas necesarias para cumplir los requisitos de
seguridad de la directiva o el rol y luego iniciar sesión nuevamente en el IVE.

El IVE registra la información acerca de la evaluación de las directivas y los cambios

en los roles o en el acceso en el Registro de Eventos.

Comprensión de la evaluación de directivas estándar

Si no usa la evaluación dinámica de directivas, el IVE evalúa las directivas y los roles
sólo cuando ocurren los siguientes eventos:

„ Cuando el usuario intenta entrar a la página de inicio del IVE por primera vez,
el IVE evalúa las directivas del Host Checker y de Cache Cleaner (si las hubiera)
para un territorio.

„ Inmediatamente después de la autenticación inicial del usuario, el IVE evalúa

las restricciones del territorio del usuario en la directiva de autenticación, las
reglas de la asignación de roles y las restricciones de roles.

„ Cada vez que el usuario realiza una solicitud por un recurso, el IVE evalúa las
directivas de recursos.

„ Cada vez que cambia el estado del Host Checker y Cache Cleaner en el equipo
del cliente, el IVE evalúa las directivas del Host Checker y de Cache Cleaner
(si las hubiera) para un rol.

Si no usa la evaluación dinámica de directivas y realiza cambios en una directiva de

autenticación, en las reglas de la asignación de roles, en las restricciones de roles o
en las directivas de recursos, el IVE aplica esos cambios sólo cuando ocurren dichos
eventos. (Para obtener más información, consulte “Vista general de las directivas,
reglas, restricciones y condiciones” en la página 52.)

58 „ Evaluación dinámica de directivas

 Capítulo 3: Administración de acceso general

Si usa la evaluación de directivas dinámica, el IVE aplica los cambios cuando

ocurren los eventos descritos anteriormente y también aplica los cambios en
los momentos que usted especifique. Para obtener más información, consulte
“Habilitación de la evaluación dinámica de directivas” en la página 59.

Habilitación de la evaluación dinámica de directivas

Puede usar la evaluación dinámica de directivas de las siguientes formas:

„ Evaluar a todos los usuarios que inician sesión en un territorio: Puede

actualizar automática o manualmente los roles de todos los usuarios que
actualmente han iniciado sesión en un territorio, a través de la ficha General de
las páginas Administrators > Admin Realms > Seleccionar territorio o Users >
User Realms > Seleccionar territorio. Puede activar el IVE para realizar una
evaluación dinámica de directivas a nivel del territorio, basándose en:

„ Un temporizador automático: Puede especificar un intervalo de

actualización que determine la frecuencia (por ejemplo, cada 30 minutos)
con la que el IVE realiza la evaluación automática de directivas de todos los
usuarios del territorio actualmente conectados. Al usar el intervalo de
actualización, también puede ajustar el rendimiento del IVE al especificar
si desea o no actualizar los roles y las directivas de recursos, además de la
directiva de autenticación, las reglas de la asignación de roles y las
restricciones de roles.

„ A petición: En cualquier momento puede evaluar de forma manual la

directiva de autenticación, las reglas de la asignación de roles, las
restricciones de roles y las directivas de recursos de todos los usuarios
del territorio actualmente conectados. Esta técnica es especialmente útil
si realiza cambios en una directiva de autenticación, en las reglas de la
asignación de roles, en las restricciones de roles y desea actualizar de
forma inmediata los roles de los usuarios de un territorio.

„ Evaluar a todos los usuarios conectados en todos los territorios: En cualquier

momento puede actualizar de forma manual los roles de todos los usuarios
conectados a todos los territorios mediante las configuraciones de la página
System > Status >Active Users. Para obtener más información, consulte
“Supervisión de usuarios activos” en la página 848.

„ Evaluar usuarios individuales: Puede actualizar de forma automática los roles

de los usuarios individuales habilitando la evaluación dinámica de directivas
para Host Checker en la página Authentication > Endpoint Security > Host
Checker. Host Checker puede activar el IVE para que evalúe las directivas de
recursos cada vez que el estado de Host Checker de un usuario cambia. (Si no
habilita la evaluación dinámica de directivas para Host Checker, el IVE no
evaluará las directivas de recursos pero sí evaluará la directiva de autenticación,
las reglas de la asignación de roles y las restricciones de roles cada vez que el
estado del Host Checker del usuario cambie). Para obtener más información,
consulte “Especificación de las opciones generales de Host Checker” en la
página 314.

Evaluación dinámica de directivas „ 59

 Guía de administración de Secure Access de Juniper Networks

Configuración de los requisitos de seguridad

Puede especificar requisitos de seguridad adicionales en el IVE a través de las
opciones y características que se describen en las siguientes secciones:

„ “Especificación de las restricciones de acceso de la dirección IP de origen”

en la página 60

„ “Especificación de las restricciones de acceso para exploradores” en la

página 62

„ “Especificación de las restricciones de acceso para certificados” en la página 65

„ “Especificación de las restricciones de acceso para contraseñas” en la

página 66

„ “Especificación de las restricciones de acceso para Host Checker” en la

página 67

„ “Especificación de las restricciones de acceso para Cache Cleaner” en la

página 67

Especificación de las restricciones de acceso de la dirección IP de origen

Use una restricción para la dirección IP de origen en el nivel de rol o territorio para
controlar las direcciones IP desde las que los usuarios pueden tener acceso a un
recurso, a una página de inicio de sesión de IVE, o desde las cuales se les pueden
asignar roles.

Use una restricción para la dirección IP de origen para controlar las direcciones IP
desde las que los usuarios pueden tener acceso a un recurso, a una página de inicio
de sesión de IVE o desde la cual se les pueda asignar a un rol.

Puede restringir el acceso a los recursos por la dirección de IP de origen:

„ Cuando los administradores o los usuarios intenten iniciar sesión en el IVE:

El usuario debe iniciar sesión desde un equipo que tenga una combinación de
dirección IP y máscara de red que cumpla con los requisitos especificados para
la dirección IP de origen para el territorio de autenticación seleccionado. Si el
equipo del usuario no tiene la combinación de dirección IP y máscara de red
requerida por el territorio, el IVE no reenviará las credenciales del usuario al
servidor de autenticación y el usuario no tendrá acceso al IVE. Puede permitir
o denegar el acceso a cualquier combinación de dirección IP y máscara de red.
Por ejemplo, puede negar el acceso a todos los usuarios de una red inalámbrica
(10.64.4.100) y permitir el acceso a los usuarios de todas las otras redes
(0.0.0.0).

„ Cuando se les asigna un rol a los administradores o a los usuarios: El usuario

autenticado debe iniciar sesión desde un equipo que tenga una combinación de
dirección IP y máscara de red que cumpla con los requisitos especificados para
la dirección IP de origen para cada rol al que el IVE pueda asignar al usuario. Si
el equipo del usuario no tiene la combinación de dirección IP y máscara de red
que requiere el rol, entonces el IVE no asigna al usuario a ese rol.

60 „ Configuración de los requisitos de seguridad

 Capítulo 3: Administración de acceso general

„ Cuando los usuarios solicitan un recurso: El usuario autenticado y autorizado

debe realizar una solicitud desde un equipo que tenga una combinación de
dirección IP y máscara de red que cumpla los requisitos para la dirección IP de
origen especificados para la directiva de recursos correspondiente a la solicitud
del usuario. Si el equipo del usuario no tiene la combinación de dirección IP y
máscara de red que requiere el recurso, entonces el IVE no le concede acceso al
usuario a ese recurso.

Para especificar las restricciones de la dirección IP de origen:

1. Seleccione el nivel donde quiere implementar las restricciones de dirección IP:

„ Nivel de territorio: diríjase a:

‰ Administrators > Admin Realms > Seleccionar territorio >

Authentication Policy > Source IP

‰ Users > User Realms > Seleccionar territorio > Authentication

Policy > Source IP

„ Nivel de rol: diríjase a:

‰ Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Source IP

‰ Users > User Roles > Seleccionar rol > General > Restrictions >
Source IP

„ Nivel de directiva de recursos: diríjase a: Users > Resource Policies >

Seleccionar recurso > Seleccionar directiva > Detailed Rules >
Seleccionar|Crear regla > Campo de condición

2. Escoja una de las siguientes opciones:

„ Allow users to sign in from any IP address: Habilita a los usuarios para
que inicien sesión en el IVE desde cualquier dirección IP para satisfacer el
requisito de administración de acceso.

„ Allow or deny users from the following IP addresses: Especifica si se

permite o se restringe el acceso de los usuarios al IVE desde todas las
direcciones IP que aparecen en la lista, en función de sus configuraciones.
Para especificar el acceso desde una dirección IP:

i. Escriba la dirección IP y la máscara de red.

ii. Seleccione una de estas opciones:

‰ Allow para permitir que los usuarios inicien sesión desde las
direcciones IP especificadas.

Configuración de los requisitos de seguridad „ 61

 Guía de administración de Secure Access de Juniper Networks

‰ Deny para impedir que los usuarios inicien sesión desde las
direcciones IP especificadas.

iii. Haga clic en Add.

iv. Si agrega múltiples direcciones IP, mueva las restricciones de más alta
prioridad al principio de la lista seleccionando la casilla de verificación
junto a la dirección IP y luego haga clic en el botón de la flecha hacia
arriba. Por ejemplo, para denegar el acceso a todos los usuarios de una
red inalámbrica (10.64.4.100) y permitir el acceso a los usuarios de
todas las otras redes (0.0.0.0), mueva la dirección de la red inalámbrica
(10.64.4.100) hacia el principio de la lista y mueva la red (0.0.0.0)
debajo de la red inalámbrica.

„ Enable administrators to sign in on the external port: Habilita a los

administradores para que inicien sesión en el IVE desde la interfaz externa.
Debe habilitar el puerto externo antes de configurar esta opción.

3. Haga clic en Save Changes para guardar sus ajustes.

Especificación de las restricciones de acceso para exploradores

Use una restricción de navegadores para controlar los navegadores de web desde
los que los usuarios pueden tener acceso a un recurso, a una página de inicio de
sesión de IVE o desde la cual se les puede asignar un rol. Si un usuario intenta
iniciar sesión en el IVE usando un navegador que no es compatible, el intento de
iniciar sesión fallará y aparecerá un mensaje indicando que se está utilizando un
navegador que no es compatible. Esta característica también le permite asegurarse
de que los usuarios inician sesión en el IVE desde navegadores que son compatibles
con las aplicaciones corporativas o están aprobados por las directivas de seguridad
corporativas.

Puede restringir el acceso al IVE y a los recursos por tipo de navegador:

„ Cuando los administradores o los usuarios intentan iniciar sesión en el IVE:

El usuario debe iniciar sesión desde un navegador que tenga una cadena de
agente de usuario que cumpla los requisitos especificados para el patrón de la
cadena de agente de usuario para el territorio de autenticación seleccionado. Si
el territorio “permite” la cadena de agente de usuario del navegador, entonces
el IVE envía las credenciales del usuario al servidor de autenticación. Si el
territorio “restringe” la cadena de agente de usuario del navegador, entonces el
IVE no envía las credenciales del usuario al servidor de autenticación.

„ Cuando se les asigna un rol a los administradores o a los usuarios: El usuario

autenticado debe iniciar sesión desde un navegador que tenga una cadena de
agente de usuario que cumpla con los requisitos especificados para la cadena
de agente de usuario para cada rol al que el IVE pueda asignar al usuario.
Si la cadena de agente de usuario no cumple los requisitos “permitido” o
“restringido” para un rol, entonces el IVE no asigna al usuario a ese rol.

62 „ Configuración de los requisitos de seguridad

 Capítulo 3: Administración de acceso general

„ Cuando los usuarios solicitan un recurso: El usuario autenticado y autorizado

debe realizar una solicitud desde un navegador que tenga una cadena de
agente de usuario que cumpla los requisitos “permitido” o “restringido” para
la cadena de agente de usuario especificados para la directiva de recursos
correspondiente a la solicitud del usuario. Si la cadena de agente de usuario no
cumple los requisitos “permitido” o “restringido” para un recurso, entonces el
IVE no le concede al usuario acceso a ese recurso.

NOTA: La característica de restricciones del navegador no fue ideada como un

control de acceso estricto, ya que la cadena de agente de usuario del navegador
la puede cambiar un usuario avanzado. Sirve como un control de acceso de
advertencia para escenarios de uso normales.

Especificación de las restricciones para exploradores

Para especificar las restricciones para el navegador:

1. Seleccione el nivel donde quiere implementar las restricciones para

el navegador:

„ Nivel de territorio: diríjase a:

‰ Administrators > Admin Realms > Seleccionar territorio >

Authentication Policy > Browser

‰ Users > User Realms > Seleccionar territorio > Authentication

Policy > Browser

„ Nivel de rol: diríjase a:

‰ Administrators > Admin Realms > Seleccionar territorio > Role

Mapping > Selecccionar|Crear regla > Expresiones personalizadas

‰ Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Browser

‰ Users > User Realms > Seleccionar territorio > Role Mapping >
Selecccionar|Crear regla > Expresión personalizada

‰ Users > User Roles > Seleccionar rol > General > Restrictions >
Browser

„ Nivel de directiva de recursos: diríjase a: Users > Resource Policies >

Seleccionar recurso > Seleccionar directiva > Detailed Rules >
Selecccionar|Crear regla > Campo de condición

2. Escoja una de las siguientes opciones:

„ Allow all users matching any user-agent string sent by the browser:
Permite a los usuarios tener acceso al IVE o a los recursos utilizando
cualquier navegador Web compatible.

Configuración de los requisitos de seguridad „ 63

 Guía de administración de Secure Access de Juniper Networks

„ Only allow users matching the following User-agent policy: Permite

definir las reglas de control de acceso para navegadores. Para crear
una regla:

i. Para el User-agent string pattern, escriba una cadena en el formato

*<browser_string>*

donde el asterisco (*) es un carácter opcional que se usa para coincidir

con cualquier carácter y <browser_string> es un patrón que distingue
mayúsculas y minúsculas que debe coincidir con una subcadena en el
encabezado de agente de usuario que envía el navegador. Tenga en
cuenta que no puede incluir caracteres de escape (\) en las
restricciones para el navegador.

ii. Seleccione una de estas opciones:

‰ Allow para permitir que los usuarios utilicen un navegador que tenga
un encabezado de agente de usuario que contenga la subcadena
<browser_string>.

‰ Deny para impedir que los usuarios utilicen un navegador que tenga
un encabezado de agente de usuario que contenga la subcadena
<browser_string>.

iii. Haga clic en Add.

3. Haga clic en Save Changes para guardar sus ajustes.

NOTA:

„ Las reglas se aplican en orden, por lo que se aplicará la primera regla que
coincida.

„ Los caracteres literales en las reglas distinguen mayúsculas y minúsculas y se

permiten espacios como caracteres literales.

Por ejemplo, la cadena *Netscape* coincide con cualquier cadena de agente de

usuario que contenga la subcadena Netscape.

El siguiente conjunto de reglas concede acceso a los recursos sólo cuando los
usuarios inician sesión utilizando Internet Explorer 5.5x o Internet Explorer 6.x.
Este ejemplo considera algunos de los principales navegadores distintos a IE que
envían la subcadena 'MSIE' en sus encabezados de agente de usuario:

*Opera*Deny
*AOL*Deny
*MSIE 5.5*Allow
*MSIE 6.*Allow
* Deny

64 „ Configuración de los requisitos de seguridad

 Capítulo 3: Administración de acceso general

Especificación de las restricciones de acceso para certificados

Cuando instala un certificado del lado cliente en el IVE a través de la página
System > Configuration > Certificates > Trusted Client CAs de la consola de
administración, puede restringir el acceso al IVE y a los recursos al requerir
certificados del lado cliente:

„ Cuando los administradores o los usuarios intenten iniciar sesión en el IVE:

El usuario debe iniciar sesión desde un equipo que posea el certificado del lado
cliente especificado (desde una autoridad de certificación (CA) y que tenga,
de forma opcional, cualquier requisito del par campo/valor especificado). Si el
equipo del usuario no posee la información del certificado requerida por el
territorio, el usuario puede tener acceso a la página de inicio de sesión, pero
cuando el IVE determina que el navegador del usuario no posee el certificado,
el IVE no envía las credenciales del usuario al servidor de autenticación y el
usuario no puede obtener acceso a las características del IVE.

Para implementar las restricciones para certificado en el nivel de territorio,

diríjase a:

„ Administrators > Admin Realms > Seleccionar territorio >

Authentication Policy > Certificate

„ Users > User Realms > Seleccionar territorio > Authentication Policy >
Certificate

„ Cuando se les asigne un rol a los administradores o los usuarios: El usuario

autenticado debe iniciar sesión desde un equipo que cumpla con los requisitos
requeridos para certificado del cliente (otorgado por una autoridad de
certificación (CA) adecuada y, de forma opcional, que cumpla con los requisitos
del par campo/valor especificados) para cada rol al que el IVE pueda asignar
al usuario. Si el equipo del usuario no posee la información de certificado que
requiere el rol, entonces el IVE no asigna al usuario a ese rol.

Para implementar las restricciones para certificado en el nivel de rol, diríjase a:

„ Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Certificate

„ Users > User Realms > Seleccionar territorio > Role Mapping >
Seleccionar|Crear regla > Expresión personalizada

„ Users > User Roles > Seleccionar rol > General > Restrictions >
Certificate

Configuración de los requisitos de seguridad „ 65

 Guía de administración de Secure Access de Juniper Networks

„ Cuando los usuarios solicitan un recurso: El usuario autorizado y autenticado

debe hacer una solicitud por un recurso desde un equipo que cumpla los
requisitos especificados para el certificado del lado cliente (otorgado por una
autoridad de certificación (CA) adecuada y, de forma opcional, que cumpla
con los requisitos especificados para el par campo/valor) para la directiva de
recursos correspondiente a la solicitud del usuario. Si el equipo del usuario no
posee la información de certificado que requiere un recurso, entonces el IVE no
permite que el usuario tenga acceso a ese recurso.

Para implementar las restricciones para certificado en el nivel directiva de

recursos, diríjase a: Users > Resource Policies > Seleccionar recurso >
Seleccionar directiva > Detailed Rules > Seleccionar|Crear regla > Campo de
condición

Especificación de las restricciones de acceso para contraseñas

Puede restringir el acceso al IVE y a los recursos dependiendo de la longitud de la
contraseña cuando los administradores o usuarios intenten iniciar sesión en un IVE.
El usuario debe escribir una contraseña que tenga una longitud que cumpla con
los requisitos especificados para el territorio. Tenga en cuenta que los registros
del usuario y administrador locales se almacenan en el servidor de autenticación
del IVE. Este servidor requiere que la contraseña tenga una longitud mínima de
6 caracteres, independiente del valor que usted especifique para la directiva de
autenticación del territorio.

Para especificar las restricciones para la contraseña:

1. Seleccione un territorio de administrador o usuario para el que desea

implementar las restricciones para contraseña.

Desplácese hasta:

„ Administrators > Admin Realms > Seleccionar territorio >

Authentication Policy > Password

„ Users > User Realms > Seleccionar territorio > Authentication Policy >
Password

2. Elija una de las siguientes opciones:

„ Allow all users (passwords of any length): No aplica restricciones de

longitud de la contraseña a los usuarios que inicien sesión en el IVE.

„ Only allow users that have passwords of a minimum length: Requiere

que el usuario escriba una contraseña que tenga una longitud mínima
según el número especificado.

3. Seleccione Enable Password Management si desea habilitar la administración

de contraseñas. También debe configurar la administración de contraseñas en
la página de configuración del servidor de autenticación del IVE (servidor de
autenticación local) o a través de un servidor LDAP. Para obtener más
información acerca de la administración de contraseñas, consulte “Habilitación
de la administración de contraseñas de LDAP” en la página 133.

66 „ Configuración de los requisitos de seguridad

 Capítulo 3: Administración de acceso general

4. Si habilita un servidor de autenticación secundario, especifique las restricciones

para la longitud de la contraseña usando las restricciones mencionadas
anteriormente como guía.

5. Haga clic en Save Changes para guardar sus ajustes.

NOTA: De forma predeterminada, el IVE solicita que las contraseñas de usuario

introducidas en la página de inicio de sesión tengan cuatro caracteres como
mínimo. Es posible que el servidor de autenticación usado para validar las
credenciales de un usuario requiera una longitud mínima distinta. Por ejemplo,
la base de datos de autenticación local del IVE requiere contraseñas de usuario
de seis caracteres como mínimo.

Especificación de las restricciones de acceso para Host Checker

Para obtener más información acerca de la restricción de acceso a un usuario
al IVE, a un rol o a un recurso basado en el estado del Host Checker, consulte
“Implementación de las directivas del Host Checker” en la página 298.

Especificación de las restricciones de acceso para Cache Cleaner

Para obtener más información acerca de la restricción de acceso a un usuario
al IVE, a un rol o a un recurso basado en el estado de Cache Cleaner, consulte
“Implementación de las opciones de Cache Cleaner” en la página 335.

Especificación de las restricciones de límite

Además de las opciones de administración de acceso que puede especificar para
una directiva de autenticación, también puede especificar un límite para usuarios
simultáneos. Un usuario que escriba una dirección URL para una de las páginas de
inicio de sesión del territorio debe cumplir todos los requisitos especificados para la
administración de acceso y el límite de usuarios simultáneos antes de que el IVE
presente la página de inicio de sesión al usuario.

Use las restricciones de límite para establecer usuarios mínimos y máximos

simultáneos en el territorio.

Para especificar las restricciones de límites:

1. Seleccione un territorio de administrador o usuario para el que desea

implementar restricciones de límite.

Desplácese hasta:

„ Administrators > Admin Realms > Seleccionar territorio >

Authentication Policy > Limits

„ Users > User Realms > Seleccionar territorio > Authentication Policy >
Limits

Configuración de los requisitos de seguridad „ 67

 Guía de administración de Secure Access de Juniper Networks

2. Para poner un límite al número de usuarios simultáneos en el territorio,

seleccione Limit the number of concurrent users y luego especifique los
valores límites para estas opciones:

a. Guaranteed minimum: Puede especificar cualquier número de usuarios

entre cero (0) y el número máximo de usuarios simultáneos definido para
el territorio, o puede establecer el número hasta el máximo permitido por
su licencia si no existe un máximo para el territorio.

b. Maximum (opcional): Puede especificar cualquier número de usuarios

simultáneos desde el número mínimo que especifique hasta el número
máximo de usuarios con licencia. Si introduce un cero (0) en el campo
Maximum no se permitirá que ningún usuario inicie sesión en el territorio.

3. Haga clic en Save Changes.

68 „ Configuración de los requisitos de seguridad

Capítulo 4
Roles de usuario

Un rol de usuario es una entidad que define parámetros de sesión de usuario

(ajustes y opciones de sesión), ajustes de personalización (personalización y
marcadores de interfaz de usuarios) y roles de acceso habilitados (Web, archivo,
aplicación, Telnet/SSH, Terminal Services, red, reunión y acceso a correo
electrónico). Un rol de usuario no especifica control de acceso a recursos ni otras
opciones basadas en recursos para una solicitud individual. Por ejemplo, un rol de
usuario puede determinar si un usuario puede realizar una exploración Web o no.
No obstante, los recursos Web individuales a los que un usuario puede acceder se
definen según las directivas de recursos Web que debe configurar por separado.

El IVE reconoce dos tipos de roles de usuario:

„ Administradores: Un rol de administrador especifica los roles de

administración y las propiedades de sesión del IVE para los administradores
que se asignan al rol. Se puede personalizar un rol de administrador
seleccionando los conjuntos de características y roles de usuario del IVE que
pueden ver y administrar quienes comparten el rol de administración. Pueda
crear y configurar roles de administrador en la página Delegated Admin Roles.
Haga clic en Administrators > Admin Roles de la consola de administración.

„ Usuarios: Un rol de usuario es una entidad que define parámetros de sesión

de usuario, ajustes de personalización y roles de acceso habilitados. Se puede
personalizar un rol de usuario mediante la habilitación de características
específicas de acceso del IVE, definición Web, aplicación y marcadores de
sesión, y la configuración de los ajustes de sesión para las características de
acceso habilitadas. Puede crear y configurar roles de usuario en la página Roles.
Haga clic en Users > User Roles de la consola de administración.

Este tema incluye la siguiente información sobre roles:

„ “Licencia: Disponibilidad de roles de usuario” en la página 70

„ “Evaluación de rol de usuario” en la página 70

„ “Configuración de los roles de usuario” en la página 72

„ “Personalización de las vistas de UI para roles de usuario” en la página 86

„ 69
 Guía de administración de Secure Access de Juniper Networks

Licencia: Disponibilidad de roles de usuario

Los roles de usuario conforman un componente integral del marco de
administración de acceso del IVE y, por lo tanto, está disponibles en todos los
productos Secure Access. Sin embargo, sólo podrá acceder a estas características
a través del rol de usuario previa obtención de la licencia. Por ejemplo, si está
utilizando un dispositivo SA-700 y no ha adquirido una licencia de actualización
Core Clientless Access, no podrá habilitar la reescritura Web para un rol de usuario.

Evaluación de rol de usuario

El motor de asignación de roles del IVE determina un rol de sesión del usuario o
permisos combinados válidos para una sesión de usuario, según se ilustra en la
siguiente figura. A continuación del diagrama se muestra una descripción detallada
de los pasos a seguir.

Figura 19: Comprobaciones de seguridad realizadas por el IVE para crear un rol de sesión

70 „ Licencia: Disponibilidad de roles de usuario

 Capítulo 4: Roles de usuario

El IVE realiza las siguientes comprobaciones de seguridad para crear un rol

de sesión:

1. El IVE inicia una evaluación de reglas con la primera regla de la ficha Role
Mapping del territorio de autenticación en que el usuario ha iniciado sesión
correctamente. Durante la evaluación, el IVE determina si el usuario cumple
las condiciones de la regla. De ser así:

a. El IVE agrega los roles correspondientes a una lista de roles válidos

disponibles para el usuario.

b. El IVE determina si la característica para detenerse en coincidencias se

encuentra configurada. De ser así, el motor continúa en el paso 5.

2. El IVE evalúa la siguiente regla en la ficha Role Mapping del territorio de

autenticación según el proceso establecido en el paso 1 y repite este proceso
con cada una de las reglas siguientes. Cuando el IVE evalúa todas las reglas de
asignación de roles, genera una lista completa de roles válidos.

3. El IVE evalúa la definición de cada uno de los roles presentes en la lista de

elementos válidos para determinar si el usuario cumple alguna restricción de
rol. El IVE utiliza esta información para crear una lista de roles válidos, cuyos
requisitos también cumple el usuario.

Si la lista de roles válidos contiene sólo un rol, el IVE asigna esa rol al usuario.
De lo contrario, el IVE continúa con el proceso de evaluación.

4. El IVE evalúa el ajuste especificado en la ficha Role Mapping para los usuarios
a quienes se les asigna más de un rol:

„ Merge settings for all assigned roles: Si elige esta opción, el IVE realiza
una combinación permisiva de todos los roles de usuario válidas a fin de
determinar el rol de sesión general (red) para la sesión de un usuario.

„ User must select from among assigned roles: Si elige esta opción, el IVE
presenta una lista de roles válidos para un usuario autenticado. El usuario
debe seleccionar un rol de la lista y el IVE asigna al usuario dicho rol
durante la sesión del usuario.

„ User must select the sets of merged roles assigned by each rule: Si elige
esta opción, el IVE presenta una lista de reglas válidas para un usuario
autenticado (es decir, reglas cuyas condiciones debe cumplir el usuario).
El usuario debe seleccionar una regla de la lista y el IVE realiza una
combinación permisiva de todos los roles asignados a dicha regla.

NOTA: Si utiliza una evaluación dinámica de directivas (por tiempo) automática o

realiza una evaluación de directiva manual, el IVE repite el proceso de evaluación
de rol descrito en esta sección. Consulte “Evaluación dinámica de directivas” en la
página 57.

Evaluación de rol de usuario „ 71

 Guía de administración de Secure Access de Juniper Networks

Pautas de combinación permisiva

Una combinación permisiva es una combinación de dos o más roles que mezcla
características y ajustes habilitados siguiendo las siguientes pautas:

„ Cualquier característica de acceso habilitada en un rol tiene prioridad sobre el

mismo conjunto de características inhabilitado en otro rol. Por ejemplo, si un
usuario asigna dos roles, uno de los cuales inhabilita Secure Meeting y el otro la
habilita, el IVE permite que el usuario use Secure Meeting durante esa sesión.

„ En el caso de Secure Application Manager, el IVE habilita la versión

correspondiente al primer rol que habilita esta característica. Además,
el IVE combina los ajustes de todos los roles que corresponden con la
versión seleccionada.

„ En el caso de las opciones de interfaz de usuario, el IVE aplica los ajustes que
corresponden con el primer rol de usuario.

„ En el caso de los tiempos de espera de sesión, el IVE aplica el valor más alto de
todos los roles a la sesión del usuario.

„ Si más de un rol habilita la característica de sesión itinerante, el IVE combina

las máscaras de red para formular una máscara de red mayor para la sesión.

„ Al combinar dos roles asignados a un usuario (uno que abre los marcadores en
una ventana aparte y otro que los abre en la misma ventana), el rol combinado
abre los marcadores en la misma ventana.

„ Al combinar dos roles en que el primero inhabilita la barra de herramientas de

exploración y el segundo rol habilita la barra de herramientas estándar o
enmarcada, el rol de usuario usa los ajustes del segundo rol y muestra la barra
de herramientas de exploración especificada.

„ El rol combinado usa el valor más alto que aparece para el tiempo de espera de
conexión HTTP. Haga clic en Users > User Roles > Seleccionar rol > Web >
Options y después en View advanced options.

Configuración de los roles de usuario

Para crear un rol de usuario:

1. En la consola de administración, seleccione Users > User Roles.

2. Haga clic en New Role e introduzca un nombre y opcionalmente una

descripción. Este nombre aparece en la lista de Roles de la página Roles.

Una vez que haya creado un rol, puede hacer clic en el nombre del rol para
comenzar a configurarlo usando las instrucciones de las siguientes secciones:

„ “Configuración de las opciones generales del rol” en la página 73

„ “Configuración de restricciones de rol” en la página 74

„ “Especificación de alias de IP de origen basados en roles” en la página 75

72 „ Configuración de los roles de usuario

 Capítulo 4: Roles de usuario

„ “Especificación de las opciones de sesión” en la página 76

„ “Especificación de las opciones de UI” en la página 79

„ “Definición de opciones predeterminadas para roles de usuario” en la

página 84

NOTA:

„ Cuando elimina un rol, es posible que los marcadores personales, ajustes de

SAM y otros ajustes no se eliminen. Por lo tanto, si agrega un nuevo rol con el
mismo nombre, cualquier usuario agregado a ese nuevo rol puede adquirir los
marcadores y ajustes antiguos. En general, el IVE aplica reglas de integridad
referencial y no permite que elimine ningún objeto si se hace referencia a
ellos en otro lugar. Por ejemplo, si se usa un rol en alguna de las reglas de
asignación de roles del territorio, el IVE rechaza la eliminación del rol a menos
que modifique o elimine las reglas de asignación.

„ Para crear cuentas de usuario individuales, debe agregar a los usuarios

mediante el servidor de autenticación correspondiente (no el rol). Consulte
“Creación de cuentas de usuario en un servidor local de autenticación” en la
página 140. Si desea instrucciones para crear usuarios en los servidores de
terceros, consulte la documentación del producto correspondiente.

Configuración de las opciones generales del rol

Haga clic en Overview en la parte superior de la ficha General para editar el nombre
y la descripción de un rol, alternar las opciones de sesión e interfaz de usuario y
habilitar las características de acceso. Cuando habilite una característica de acceso,
asegúrese de crear las directivas de recursos correspondientes.

Para administrar los ajustes y opciones generales de los roles:

1. En la consola de administración, seleccione Users > User Roles > Nombre

de rol > General > Overview.

2. Modifique el nombre y la descripción y haga clic en Save Changes (opcional).

3. En Options, marque las opciones específicas que desea habilitar para ese rol.
Si no selecciona las opciones específicas del rol, el IVE usa los ajustes
predeterminados, como se describe en “Definición de opciones
predeterminadas para roles de usuario” en la página 84. Las opciones
específicas del rol incluyen:

„ VLAN/Source IP: Seleccione esta opción para aplicar los ajustes de

rol configurados en la página General > VLAN/Source IP. Consulte
“Especificación de alias de IP de origen basados en roles” en la página 75.

„ Session Options: Seleccione esta opción para aplicar los ajustes al rol de
la página General > Session Options. Consulte “Especificación de las
opciones de sesión” en la página 76.

„ UI Options: Seleccione esta opción para aplicar los ajustes al rol de la

página General > UI Options. Consulte “Especificación de las opciones
de UI” en la página 79.

Configuración de los roles de usuario „ 73

 Guía de administración de Secure Access de Juniper Networks

4. En Access features, marque las características que desea habilitar paral rol.
Las opciones son:

„ Web: Consulte “Reescritura web” en la página 383

„ Files (versión Windows o UNIX/NFS): Consulte “Reescritura de archivos”

en la página 465

„ Secure Application Manager (versión Windows o Java): Consulte “Secure

Application Manager” en la página 491

„ Telnet/SSH: Consulte “Telnet/SSH” en la página 551

„ Terminal Services: Consulte “Terminal Services” en la página 563

„ Meetings: Consulte “Secure Meeting” en la página 619

„ Email Client: Consulte “Email Client” en la página 647

„ Network Connect: Consulte “Network Connect” en la página 655

5. Haga clic en Save Changes para aplicar los ajustes al rol.

Configuración de restricciones de rol

Haga clic en Restrictions en la parte superior de la ficha General para especificar
las opciones de administración de acceso para el rol. El IVE considerará estas
opciones en el momento de determinar si asigna un usuario al rol. El IVE no asigna
usuarios a este rol a menos que cumplan las restricciones especificadas. Consulte
“Administración de acceso general” en la página 51.

Puede configurar la cantidad que desee de opciones de administración de acceso

para el rol. Si un usuario no cumple todas las restricciones, el IVE no asigna el
usuario a ese rol.

Para especificar opciones de administración de acceso para el rol:

1. En la consola de administración, seleccione Users > User Roles > Nombre

de rol > General > Restrictions.

2. Haga clic en la ficha que corresponde a la opción que desea configurar para el
rol y configúrela según las instrucciones de las siguientes secciones:

„ “Especificación de las restricciones de acceso de la dirección IP de origen”

en la página 60

„ “Especificación de las restricciones de acceso para exploradores” en la

página 62

„ “Especificación de las restricciones de acceso para certificados” en la

página 65

74 „ Configuración de los roles de usuario

 Capítulo 4: Roles de usuario

„ “Especificación de las restricciones de acceso para contraseñas” en la

página 66

„ “Especificación de las restricciones de acceso para Cache Cleaner” en la

página 67

„ “Especificación de las restricciones de acceso para Cache Cleaner” en la

página 67

Especificación de alias de IP de origen basados en roles

Haga clic en VLAN/Source IP en la parte superior de la ficha General para definir
los alias de IP de origen basados en roles. Si desea dirigir el tráfico hacia sitios
específicos basados en roles, puede definir un alias de IP para cada rol. Puede
utilizar estos alias para configurar puertos virtuales que podrá definir para la
dirección IP de origen de la interfaz interna. Un dispositivo back-end puede dirigir
el tráfico del usuario final según estos alias, siempre y cuando configure el
dispositivo, como un cortafuegos, para recibir a los alias de la dirección IP de origen
de la interfaz interna. Esta capacidad le permite dirigir varios usuarios finales a
sitios definidos según sus roles, aunque la totalidad del tráfico de usuarios posee la
misma dirección IP de origen de la interfaz interna.

NOTA: Debe definir puertos virtuales para aprovechar los alias de IP de origen
basados en roles. Para obtener más información sobre puertos virtuales, consulte
“Configuración de los puertos internos y externos” en la página 706 y
“Configuración de puertos virtuales” en la página 711.

Para especificar un alias de IP de origen para el rol:

1. En la consola de administración, seleccione Users > User Roles > Nombre

de rol > General > VLAN/Source IP.

2. Seleccione la VLAN que desea utilizar de la lista VLAN, si es que ha definido los
puertos de este componente en su sistema.

Si no ha definido los puertos VLAN, la opción se predetermina en la dirección

IP del puerto interno. Si ha dispuesto sistemas IVS, definido puertos VLAN y
desea que algunos de estos puertos VLAN aparezcan en la lista VLAN, deberá
incluir los puertos en el cuadro de texto Selected VLANs en la página de
configuración Root IVS.

3. Seleccione una dirección IP de origen de la lista.

4. Haga clic en Save Changes para aplicar los ajustes al rol.

NOTA:

„ Si se asigna un usuario final a varios roles y el IVE los combina, el IVE asocia
la dirección IP de origen configurada para el primer rol en la lista con el rol
combinado.

„ Se puede establecer la misma dirección IP de origen para varios roles.

No se pueden establecer varias direcciones IP de origen para un solo rol.

Configuración de los roles de usuario „ 75

 Guía de administración de Secure Access de Juniper Networks

Especificación de las opciones de sesión

Haga clic en Session Options en la parte superior de la ficha General para
especificar límites de tiempo de sesión, capacidades itinerantes, persistencia
de sesión y contraseña, opciones de continuación de solicitud y actividad de la
aplicación de tiempo de espera por inactividad. Seleccione la casilla de verificación
Session Options en la ficha Overview para habilitar estos ajustes para el rol.

Para especificar opciones generales de sesión:

1. En la consola de administración, haga clic en Users > User Roles > Nombre
de rol > General > Session Options.

2. En Session lifetime, especifique:

„ Idle Timeout: Especifique los minutos que una sesión activa no

administrativa puede permanecer abierta antes de que se termine.
El mínimo son cinco minutos. El límite predeterminado de la sesión
inactiva son diez minutos, lo que significa que si la sesión de un usuario
pasa diez minutos inactiva, el IVE termina la sesión y registra el evento
en el registro del sistema (a menos que haya habilitado las advertencias
de tiempo de espera de sesión descritas más adelante).

„ Max. Session Length: Especifique los minutos que una sesión activa
no administrativa puede permanecer abierta antes de que se termine.
El mínimo son seis minutos. El límite de tiempo predeterminado para una
sesión de usuario son sesenta minutos, tras lo cual el IVE termina la sesión
y registra el evento en el registro del sistema. Durante una sesión de
usuario final, antes de alcanzar el límite máximo de la sesión, el IVE solicita
al usuario que vuelva a introducir las credenciales de autenticación, lo que
evita que la sesión termine sin advertencia.

„ Reminder Time: Especifique el momento en que el IVE debe preguntar a

los usuarios no administrativos, advertirles de una sesión inminente o del
tiempo de espera por inactividad. Especifique los minutos antes de
alcanzar el tiempo de espera.

NOTA: Se recomienda que la diferencia entre Idle Timeout y Reminder Time sea
superior a dos minutos. Esto garantiza que aparecerá la ventana emergente de
recordatorio en el momento correcto.

NOTA: Si está utilizando Secure Meeting, puede configurar los límites de sesión de
reunión haciendo clic en Users > Resource Policies > Meetings de la consola de
administración. Consulte “Configuración de los ajustes de reunión a nivel de
sistema” en la página 640.

76 „ Configuración de los roles de usuario

 Capítulo 4: Roles de usuario

3. En Enable session timeout warning:

a. Enabled: Seleccione para notificar a los usuarios no administrativos cuando

estén por llegar al límite de tiempo de espera por inactividad o de sesión.

Estas advertencias solicitan al usuario que tome las acciones necesarias

cuando se aproxima el término de su sesión o tiempo de espera de
inactividad, lo que les permite guardar cualquier dato del formulario en
que se encuentren trabajando que, de lo contrario, se perdería. Cuando
un usuario se acerque al límite de tiempo de espera por inactividad, se le
solicitará que reactive su sesión. Cuando un usuario se acerque al límite de
tiempo de sesión, se le solicitará que guarde los datos.

Por ejemplo, un usuario del IVE puede alcanzar, sin saberlo, el tiempo de
espera por inactividad configurado para su rol mientras usa un cliente de
correo electrónico configurado para que funcione con el IVE, porque el IVE
no recibe datos mientras el usuario redacta el correo. Sin embargo, si se
habilita la advertencia de tiempo de espera de sesión, el IVE le solicita al
usuario que reactive su sesión en el IVE antes de que termine y cierra la
sesión en el IVE del usuario. Esta advertencia da al usuario la oportunidad
de guardar los correos electrónicos que no haya terminado de redactar.

b. Display sign-in page on max session time out: Seleccione esta opción si
desea mostrar una nueva página de inicio de sesión del explorador para el
usuario final cuando termine su sesión. Esta opción sólo aparece cuando
elige habilitar la advertencia de tiempo de espera de sesión.

NOTA:

„ Si no selecciona la opción Enable session timeout warning, el IVE sólo

muestra los mensajes de vencimiento a los usuarios; no les da la posibilidad
de extender sus sesiones, sino que los usuarios deben acceder a la página de
inicio de sesión del IVE y autenticarse en una nueva sesión.

„ La opción Enable session timeout warning sólo se aplica a los mensajes de

vencimiento que muestre el explorador del usuario final, pero no otros
clientes como WSAM o Network Connect.

4. En Roaming session, especifique:

„ Enabled: Seleccione esta opción para habilitar sesiones de usuario

itinerante para los usuarios asignados a este rol. Una sesión de usuario
itinerante funciona a través de las direcciones IP de origen, lo que permite
a los usuarios móviles (usuarios de equipos portátiles) que tienen
direcciones IP dinámicas iniciar sesión en el IVE desde una ubicación y
seguir trabajando desde otra. Inhabilite esta característica para evitar que
los usuarios tengan acceso a una sesión establecida anteriormente desde
una nueva dirección IP de origen. Así ayuda a la protección contra un
ataque que simule la sesión del usuario, siempre que el hacker haya podido
obtener una cookie válida de sesión del usuario.

Configuración de los roles de usuario „ 77

 Guía de administración de Secure Access de Juniper Networks

„ Limit to subnet: Seleccione esta opción para limitar la sesión itinerante

a la subred local especificada en el cuadro Netmask. Los usuarios pueden
iniciar sesión desde una dirección IP y seguir usando sus sesiones desde
otra dirección IP siempre y cuando la nueva dirección IP se encuentre
dentro de la misma subred.

„ Disabled: Seleccione esta opción para inhabilitar sesiones de usuario

itinerante para los usuarios asignados a este rol. Los usuarios que inicien
sesión desde una dirección IP no pueden continuar una sesión activa del
IVE desde otra dirección IP; las sesiones de usuario están vinculadas a la
dirección IP de origen del comienzo.

5. En Persistent session, seleccione Enabled para escribir la cookie de sesión del

IVE en el disco duro del cliente de modo que las credenciales del IVE del
usuario se guarden durante la sesión del IVE.

De forma predeterminada, la cookie de sesión del IVE se borra de la memoria

del explorador cuando éste se cierra. La duración de la sesión del IVE se
determina por los valores del tiempo de espera por inactividad y la duración
máxima de la sesión que se especificó para el rol. La sesión del IVE no concluye
cuando el usuario cierra el explorador; la sesión del IVE sólo concluye cuando el
usuario cierra la sesión del IVE.

NOTA: Si habilita la opción Persistent session y un usuario cierra la ventana del

explorador sin cerrar la sesión, cualquier usuario puede abrir otra instancia del
mismo explorador para acceder al IVE sin enviar credenciales válidas, lo que
representa un posible riesgo de seguridad. Se recomienda habilitar esta
característica sólo para los roles cuyos miembros necesiten acceder a las
aplicaciones que requieren las credenciales del IVE y asegurarse de que estos
usuarios comprenden la importancia de cerrar la sesión en el IVE cuando
terminan.

6. En Persistent password caching, seleccione Enabled para permitir que las

contraseñas en memoria caché continúen en las sesiones para un rol.

El IVE admite el protocolo de autenticación NT LAN Manager (NTLM) y la

autenticación básica HTTP y admite los servidores que están configurados para
aceptar los inicios de sesión NTLM y anónimos. El IVE almacena en la memoria
caché las contraseñas de NTLM y la autenticación básica HTTP que
proporcionan los usuarios para que no se les solicite repetidamente que
introduzcan las mismas credenciales usadas para iniciar sesión en el servidor
del IVE u otro recurso en el dominio NT. De forma predeterminada, el servidor
del IVE borra las contraseñas de la memoria caché cuando un usuario cierra la
sesión. El usuario puede eliminar las contraseñas en memoria caché en la
página Advanced Preferences. Después de que el usuario final inicia sesión
en el IVE, haga clic en Preferences y luego en la ficha Advanced.

7. En Browser request follow-through, seleccione Enabled para permitir que el

IVE complete la solicitud de un usuario hecha después de que la sesión terminó
tras la reautenticación del usuario.

78 „ Configuración de los roles de usuario

 Capítulo 4: Roles de usuario

8. En Idle timeout application activity, seleccione Enabled para omitir las

actividades iniciadas por las aplicaciones Web (como sondeos de correos
electrónicos) determinando si una sesión está activa. Si inhabilita esta opción,
la ejecución periódica del comando ping o de otra actividad de aplicación
puede evitar que se produzca un tiempo de espera por inactividad.

9. En Upload Logs, seleccione la opción Enable Upload Logs para permitir que el
usuario transmita (cargue) los registros de cliente en el IVE.

NOTA: Haga clic en la página System > Log/Monitoring > Client Logs >
Settings para habilitar completamente los registros del lado cliente para el
usuario. Consulte “Habilitación de registros del lado cliente” en la página 841.

10. Haga clic en Save Changes para aplicar los ajustes al rol.

Especificación de las opciones de UI

Haga clic en UI Options en la parte superior de la ficha General para especificar
los ajustes personalizados de la página de bienvenida del IVE y la barra de
herramientas de exploración de usuarios asignados a este rol. La página de
bienvenida del IVE (o página principal) es la interfaz Web que se presenta a los
usuarios autenticados del IVE. Haga clic en Overview en la parte superior de la
ficha General y seleccione la casilla de verificación UI Options para habilitar los
ajustes personalizados para el rol; en caso contrario, el IVE usa los ajustes
predeterminados.

Los ajustes de personalización incluyen la página de inicio de sesión, el encabezado

de la página, el pie de página y si se muestra o no la barra de herramientas de
exploración. Si se asigna al usuario a más de un rol, el IVE muestra la interfaz del
usuario correspondiente al primer rol que se le asignó.

Para personalizar la página de bienvenida del IVE para los usuarios de roles:

1. Haga clic en Users > User Roles > Nombre de rol > General > UI Options.

2. En Header, especifique un logotipo personalizado y cambie el color de fondo

del área del encabezado en la página de bienvenida del IVE (opcional):

„ Haga clic en el botón Browse y ubique el archivo de imagen personalizado.

El logotipo nuevo aparece en el cuadro Current appearance sólo después de
guardar los cambios.

NOTA: Sólo puede especificar un archivo JPEG o GIF para la imagen del logotipo
personalizado. No se pueden mostrar apropiadamente otros formatos gráficos en
la ventana de estado JSAM de algunas plataformas de sistemas operativos.

„ Escriba el número hexadecimal para el color de fondo o haga clic en el

icono Color Palette y elija el color deseado. El cuadro Current appearance
se actualiza de inmediato.

Configuración de los roles de usuario „ 79

 Guía de administración de Secure Access de Juniper Networks

3. En Sub-headers, seleccione el color de fondo y del texto (opcional):

„ Escriba el número hexadecimal para el color de fondo o haga clic en el

icono Color Palette y elija el color deseado. El cuadro Current appearance
se actualiza de inmediato.

„ Escriba el número hexadecimal para el color del texto o haga clic en el

icono Color Palette y elija el color deseado. El cuadro Current appearance
se actualiza de inmediato.

4. En la página Start, especifique la página de inicio que desea que vean los
usuarios después de iniciar sesión y cuando hagan clic en el icono Home de la
barra de herramientas:

„ Bookmarks page: Seleccione esta opción para mostrar la página

Bookmarks estándar del IVE.

„ Meetings page: Seleccione esta opción para mostrar la página de reuniones

estándar del IVE.

„ Custom page: Seleccione esta opción para mostrar una página de inicio
personalizada y especifique la URL en la página. El IVE vuelve a escribir la
URL y crea una regla de control de acceso para que los usuarios accedan a
la URL. (Tenga en cuanta que los usuarios también pueden introducir la
URL personalizada en el campo Browse del IVE en la barra de
herramientas.) El IVE evalúa la regla de control de acceso después de
evaluar todas las otras directivas, lo que significa que otra directiva puede
denegar el acceso a la URL.

„ Also allow access to directories below this url: Seleccione esta opción
para permitir que los usuarios obtengan acceso a los subdirectorios de la
URL de la página-personalizada. Por ejemplo, si especifica
http://www.domain.com/, los usuarios también pueden acceder a
http://www.domain.com/dept/.

5. En Bookmarks Panel Arrangement, ordene los paneles de la forma en que

desea que se muestren en la página de marcadores del usuario:

a. Para seleccionar el nombre de un panel, haga clic en la lista Left Column

o Right Column.

b. Para colocar un panel por encima o por debajo de otros paneles, haga clic
en Move Up o Move Down.

c. Para mover un panel al otro lado de la página de marcadores del usuario,

haga clic en Move > o < Move.

NOTA: El IVE muestra todos los paneles en Bookmarks Panel Arrangement para
todas las características con licencia sin importar si habilitó la característica
correspondiente para el rol.

80 „ Configuración de los roles de usuario

 Capítulo 4: Roles de usuario

6. En la página Help, seleccione las opciones para controlar la página Help que
aparece cuando el usuario hace clic en el botón Help de la barra de
herramientas:

„ Disable help link: Seleccione esta opción para evitar que los usuarios
muestren la ayuda, retirando el botón Help de la barra de herramientas.

„ Standard help page: Seleccione esta opción para mostrar la página Help
estándar del IVE para el usuario final.

„ Custom help page: Seleccione esta opción para mostrar una página Help
personalizada. Especifique la URL para la página de ayuda personalizada
y luego establezca un ancho y altura opcionales para la ventana de la
página de ayuda. El IVE vuelve a escribir la URL y crea una regla de control
de acceso para que los usuarios accedan a la URL. (Tenga en cuanta que
los usuarios también pueden introducir la URL personalizada en el campo
Browse del IVE en la barra de herramientas.) El IVE evalúa la regla de
control de acceso luego de todas las otras directivas, lo que significa
que otra directiva puede denegar el acceso a la URL. (Tenga en cuenta
que cuando elige esta opción, el IVE inhabilita el vínculo Tips junto al
campo Browse.)

„ Also allow access to directories below this url: Seleccione esta opción
para permitir que los usuarios obtengan acceso a los subdirectorios de la
URL de la página de ayuda personalizada. Por ejemplo, si especifica
http://www.domain.com/help, los usuarios también pueden acceder a
http://www.domain.com/help/pdf/.

7. En User Toolbar, seleccione las opciones de la barra de herramientas en la

página Bookmarks del IVE y en otras páginas de puerta de enlace segura
del IVE:

„ Home: Seleccione esta opción para mostrar el icono Home en la página

Bookmarks del IVE y en otras páginas de puerta de enlace segura del IVE.

„ Preferences: Seleccione esta opción para mostrar el botón Preferences.

„ Session Counter: Seleccione esta opción para mostrar un valor de tiempo

en la barra de herramientas del usuario que indique el tiempo restante
máximo permitido en la sesión actual del usuario. Tenga en cuenta que un
período de inactividad del usuario también podría terminar la sesión actual
antes de que transcurra este tiempo máximo.

„ Client Application Sessions: Seleccione esta opción para mostrar el botón

Client Apps en la barra de herramientas del usuario. Los usuarios pueden
hacer clic en este botón para mostrar la página Client Application Sessions
donde pueden iniciar aplicaciones cliente como Network Connect o Secure
Application Manager. Si no selecciona esta opción, el IVE muestra el panel
Client Application Sessions en la página Bookmarks del IVE.

Configuración de los roles de usuario „ 81

 Guía de administración de Secure Access de Juniper Networks

8. En la barra de herramientas Browsing, seleccione las opciones de la barra

de herramientas que los usuarios verán cuando exploren páginas que no se
encuentran en el IVE, como sitios Web externos:

„ Show the browsing toolbar: Seleccione esta opción para mostrar la barra
de herramientas de exploración.

„ Toolbar type: Seleccione el tipo de barra de herramientas de exploración

que desea mostrar:

‰ Standard: Esta barra de herramientas se puede mover al costado

superior izquierdo o derecho de la ventana del explorador. Los usuarios
también pueden contraer o ampliar la barra de herramientas.
Al contraerla, la barra de herramientas muestra sólo el logotipo
personalizado. El estado predeterminado de la barra de herramientas
es el ampliado y se encuentra en el costado superior derecho de la
ventana del explorador.

‰ Framed: Esta barra de herramientas permanece fija en la sección de

encabezado enmarcado en la parte superior de la página.

NOTA: Se recomienda no usar la variable superior cuando se trabaja con un

conjunto de marcos después de que el IVE intermedia la página, pues podría
hacer referencia a un marco distinto del esperado. Este cambio puede provocar
que la barra de herramientas enmarcada desaparezca o que la aplicación
intermediada funcione de manera errática o incorrecta. Consulte la guía Content
Intermediation Engine Best Practices del sitio Web de Juniper Networks.

„ Toolbar logo y Toolbar logo (mobile): Especifique un logotipo

personalizado (como el logotipo de la empresa) que desea mostrar en las
barras de herramientas estándar y enmarcada; para ello busque el archivo
de imagen (opcional). Cuando el usuario hace clic en el logotipo, aparece la
página especificada para la opción Logo links to. Entonces aparece el
logotipo actual para la barra de herramientas de exploración a un costado
de estas opciones.

„ Logo links to: Seleccione una opción para vincular el logotipo de la barra
de herramientas de exploración con una página que aparezca cuando el
usuario hace clic en el logotipo:

‰ Bookmarks page: Vincula el logotipo con la página Bookmarks del IVE.

‰ “Start Page” settings: Vincula el logotipo con la página de inicio

personalizada que especificó en la sección Start Page.

‰ Custom URL: Vincula el logotipo con la URL que introdujo en el cuadro

de texto asociado (opcional). Se debe poder acceder a este recurso en
el IVE. El IVE vuelve a escribir la URL y crea una regla de control de
acceso para que los usuarios accedan a la URL. (Tenga en cuenta que
los usuarios también pueden introducir la URL personalizada en el
campo Browse del IVE en la barra de herramientas.) El IVE evalúa la
regla de control de acceso después de evaluar todas las otras directivas,
lo que significa que otra directiva puede denegar el acceso a la URL.

82 „ Configuración de los roles de usuario

 Capítulo 4: Roles de usuario

‰ Also allow access to directories below this url: Seleccione esta

opción para permitir que los usuarios obtengan acceso a los
subdirectorios de la URL personalizada.

„ Especifique los elementos que desea mostrar en la barra de herramientas

de exploración:

‰ Enable "Home" link: Seleccione esta opción para mostrar el botón

Home Page, que está vinculado con la página Bookmarks del IVE.

‰ Enable "Add Bookmark" link: Seleccione esta opción para mostrar el

botón Bookmark this Page.

‰ Enable "Bookmark Favorites" link: Seleccione esta opción para

mostrar el botón Bookmark Favorites. Cuando el usuario hace clic en
este botón, el IVE muestra una lista de los marcadores que el usuario
especificó como favoritos en la página Add Web Bookmark de la puerta
de enlace segura.

‰ Display Session Counter: Seleccione esta opción para mostrar un valor

de tiempo en la barra de herramientas de exploración que indique
el tiempo restante máximo permitido en la sesión actual del usuario.
Tenga en cuenta que un período de inactividad del usuario también
podría terminar la sesión actual antes de que transcurra este tiempo
máximo.

‰ Enable "Help" link: Seleccione esta opción para mostrar el botón

Help, que se encuentra vinculado a la página Help que especificó en
la página Help.

NOTA: Si hace clic en Users > User Roles > Nombre de rol > Web > Options y
desmarca la casilla User can add bookmarks; el IVE no mostrará los botones
Bookmark this Page ni Bookmark Favorites en la barra de herramientas de
navegación aunque seleccione las opciones Enable "Add Bookmark" link y
Enable "Bookmark Favorites" link.

9. En Personalized greeting, especifique un mensaje de saludo y de notificación

en la página Bookmarks del IVE (opcional):

„ Enabled: Seleccione esta opción para mostrar el saludo personalizado.

El IVE muestra el nombre de usuario si el nombre completo no está
configurado.

Configuración de los roles de usuario „ 83

 Guía de administración de Secure Access de Juniper Networks

„ Show notification message: Seleccione esta opción e introduzca un

mensaje en el cuadro de texto asociado (opcional). El mensaje aparece en
la parte superior de la página Bookmarks del IVE después de guardar los
cambios y que el usuario actualiza esa página. Puede dar formato al texto
y agregar vínculos usando las siguientes etiquetas HTML: <i>, <b>, <br>,
<font> y <a href>. Sin embargo, el IVE no vuelve a escribir vínculos en la
página de inicio de sesión (puesto que el usuario aún no se ha autenticado),
de tal forma que sólo debe dirigirse a sitios externos. Los vínculos a los
sitios situados detrás de un cortafuegos fallarán. También puede usar las
variables y atributos de sistema del IVE en este campo, como se explica en
“Uso de variables del sistema en territorios, roles y directivas de recursos”
en la página 1054.

NOTA:

„ La extensión del mensaje personalizado no puede exceder los 12K o 12288

caracteres.

„ Si utiliza etiquetas HTML no admitidas en su mensaje personalizado, el IVE

puede mostrar la página principal del IVE del usuario final de forma
incorrecta.

10. En Other, especifique si desea mostrar el aviso y la etiqueta de copyright

en el pie de página (opcional). Este ajuste se aplica sólo a aquellos usuarios
cuya licencia les permite inhabilitar la notificación de copyright. Para obtener
más información acerca de esta característica, llame a soporte técnico de
Juniper Networks.

11. Haga clic en Save Changes. Los cambios surten efecto de inmediato, pero
puede ser necesario actualizar las sesiones de explorador del usuario actual
para verlos.

12. Haga clic en Restore Factory Defaults para restablecer todas las opciones de
interfaz de usuario en las opciones predeterminadas de fábrica (opcional).

Definición de opciones predeterminadas para roles de usuario

Puede definir opciones predeterminadas para todos los roles de usuario,
de la misma forma que los roles de administrador delegados. Las opciones
predeterminadas son, entre otras:

„ Opciones de sesión

„ Session lifetime: Definir en minutos el tiempo de espera por inactividad,

la duración máxima de la sesión y el tiempo de recordatorio.

„ Enable session timeout warning: Determinar si se mostrará la página de

advertencia e inicio de sesión.

„ Roaming Session: Definir el nivel de acceso móvil.

„ Persistent Session: Definir el estado en instancias del explorador.

84 „ Configuración de los roles de usuario

 Capítulo 4: Roles de usuario

„ Persistent password caching: Definir el estado de la contraseña en

las sesiones.

„ Browser request follow-through: Definir la respuesta para el término de la

sesión del explorador.

„ Idle timeout application activity: Definir la respuesta del IVE para la

actividad de sesión de la aplicación.

„ Opciones de UI

„ Header: Definir el logotipo y el color de fondo.

„ Sub-headers: Definir el color de fondo y del texto.

„ Start page: Definir qué página aparece después de que el usuario

inicia sesión.

„ Bookmarks Panel Arrangement: Definir los paneles que aparecen en la

página de marcadores del usuario.

„ Help Page: Mostrar la ayuda estándar o personalizada.

„ User Toolbar: Definir los vínculos que aparecen en la página principal

del usuario.

„ Browsing toolbar: Definir los vínculos que aparecen cuando el usuario

explora un sitio Web externo.

„ Personalized Greeting: Mostrar el nombre del usuario y el mensaje de

notificación en la página de bienvenida del usuario.

„ Other: Mostrar el aviso de copyright.

Definición de opciones predeterminadas para roles de usuario

Para definir las opciones predeterminadas de todos los roles de usuario:

1. Seleccione Users > User Roles.

2. Haga clic en Default Options.

3. Modifique los ajustes de las fichas Session Options, UI Options y Custom

Messages usando las instrucciones de “Configuración de las opciones generales
del rol” en la página 73 y “Personalización de mensajes” en la página 86.

4. Haga clic en Save Changes. Estas se convierten en las opciones

predeterminadas de los nuevos roles de usuario.

NOTA: Si no desea que los roles de usuario vean el aviso de copyright, también
puede desmarcar la casilla de verificación Show copyright notice and “Secured
by Juniper Networks” label in footers para los roles de usuario, en general.
De esa manera, todos los roles posteriores que cree no permitirán que el aviso
aparezca en la UI del usuario final.

Configuración de los roles de usuario „ 85

 Guía de administración de Secure Access de Juniper Networks

Personalización de mensajes
Puede personalizar tres mensajes básicos que se mostrarán a los usuarios finales
cuando inicien sesión en el IVE. Puede cambiar el texto del mensaje y agregar
versiones internacionales de los mensajes en chino (simplificado), chino
(tradicional), francés, alemán, japonés, coreano y español, además de inglés.

Para personalizar mensajes:

1. Seleccione Users > User Roles. Aparecerá la página Roles.

2. Haga clic en Default Options.

3. Seleccione la ficha Custom Messages.

4. Seleccione el idioma que desea utilizar en el menú.

5. Introduzca el texto en el cuadro Custom Message, debajo del mensaje

predeterminado que desea anular.

6. Haga clic en Save Changes.

7. Repita el proceso para crear mensajes en los idiomas adicionales.

Personalización de las vistas de UI para roles de usuario

Puede usar las opciones de personalización de la página Roles para ver
rápidamente los ajustes que se asocian con un rol específico o un conjunto de roles.
Por ejemplo, puede ver todos los roles de usuario y marcadores Web que haya
asociado. Además, puede utilizar estas vistas personalizadas para establecer
fácilmente vínculos a los marcadores y otros ajustes de configuración que haya
asociado a un rol.

Para ver un subconjunto de datos en la página Roles:

1. Haga clic en Users > User Roles.

2. Seleccione una opción de la lista View en la parte superior de la página.

La Tabla 3 describe estas opciones.

3. Seleccione una de las siguientes opciones de la lista For:

„ All roles: Muestra los marcadores seleccionados para todos los roles
de usuario.

„ Selected roles: Muestra los marcadores seleccionados para los roles de

usuario que eligió. Si selecciona esta opción, marque una o más de las
casillas de verificación de la lista Role.

4. Haga clic en Update.

86 „ Personalización de las vistas de UI para roles de usuario

 Capítulo 4: Roles de usuario

Tabla 3: Ver las opciones del menú

Opción Descripción
Enabled Settings Despliega un gráfico que detalla los mecanismos de acceso remoto
y las opciones generales que han sido habilitadas para los roles
especificados. También muestra los vínculos (las marcas de
verificación) que puede utilizar para obtener el acceso remoto
correspondiente y a las páginas generales de configuración
de opciones.
Restrictions Muestra las restricciones de Host Checker y Cache Cleaner que
debe habilitar para los roles especificados. También muestra
los vínculos que puede utilizar para acceder a las páginas
correspondientes de configuración de Host Checker y Cache
Cleaner.
Meetings Muestra los ajustes de Secure Meeting que configuró para los roles
especificados. También muestra los vínculos que puede utilizar
para acceder a las páginas correspondientes de configuración de
Secure Meeting.
Network Connect Muestra los ajustes de Secure Meeting que configuró para los roles
especificados. También muestra los vínculos que puede utilizar
para acceder a las páginas de configuración correspondientes de
Network Connect.
Role Mapping Rule & Muestra los territorios de autenticación asignados, las condiciones
Realms de reglas de asignación de roles y los ajustes de combinación
permisiva para los roles especificados. También muestra los
vínculos que puede usar para acceder a las páginas de
configuración de asignación de roles y territorios correspondientes.
Bookmarks: All Muestra los nombres y tipos de todos los marcadores que ha
habilitado para los roles especificados. También muestra los
vínculos que puede utilizar para acceder a las correspondientes
páginas de configuración de marcadores. (Tenga en cuenta que si
crea un marcador mediante un perfil de recursos, el vínculo
aparece en la columna Resource. De lo contrario, el vínculo
aparece en la columna Bookmark.)
Bookmarks: Web Muestra los marcadores Web que habilitó para los roles
especificados. También muestra los vínculos que puede utilizar
para acceder a las correspondientes páginas de configuración de
marcadores. (Tenga en cuenta que si crea un marcador mediante
un perfil de recursos, el vínculo aparece en la columna Resource.
De lo contrario, el vínculo aparecerá en la columna de
marcadores Web.)
Bookmarks: Files Muestra los marcadores de archivos de Windows que habilitó para
(Windows) los roles especificados. También muestra los vínculos que puede
utilizar para acceder a las correspondientes páginas de
configuración de marcadores. (Tenga en cuenta que si crea un
marcador mediante un perfil de recursos, el vínculo aparece en
la columna Resource. De lo contrario, el vínculo aparece en la
columna Windows File Bookmark.)
Bookmarks: Files (UNIX) Muestra los marcadores de archivos de UNIX/NFS que habilitó para
los roles especificados. También muestra los vínculos que puede
utilizar para acceder a las correspondientes páginas de
configuración de marcadores. (Tenga en cuenta que si crea un
marcador mediante un perfil de recursos, el vínculo aparece en
la columna Resource. De lo contrario, el vínculo aparecerá en la
columna UNIX File Bookmark.)

Personalización de las vistas de UI para roles de usuario „ 87

 Guía de administración de Secure Access de Juniper Networks

Tabla 3: Ver las opciones del menú (continuación)

Opción Descripción
Bookmarks: Telnet Muestra los marcadores de Telnet/SSH que habilitó para los roles
especificados. También muestra los vínculos que puede utilizar
para acceder a las correspondientes páginas de configuración de
marcadores. (Tenga en cuenta que si crea un marcador mediante
un perfil de recursos, el vínculo aparece en la columna Resource.
De lo contrario, el vínculo aparecerá en la columna Telnet/SSH
Session.)
Bookmarks: Terminal Muestra los marcadores de Terminal Services que habilitó para
Services los roles especificados. También muestra los vínculos que puede
utilizar para acceder a las correspondientes páginas de
configuración de marcadores. (Tenga en cuenta que si crea un
marcador mediante un perfil de recursos, el vínculo aparece en
la columna Resource. De lo contrario, el vínculo aparecerá en la
columna Terminal Services Session.)
ACL Resource Policies: All Muestra las directivas de recursos asociadas a los roles
especificados. Incluye el tipo, nombre, descripción, acción y
recursos de cada directiva. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de directivas.
ACL Resource Policies: Muestra las directivas de recursos Web asociadas a los roles
Web especificados. Incluye el tipo, nombre, descripción, acción y
recursos de cada directiva. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de directivas.
ACL Resource Policies: Muestra las directivas de recursos de archivos de Windows
Files (Windows) asociadas a los roles especificados. Incluye el tipo, nombre,
descripción, acción y recursos de cada directiva. También muestra
los vínculos que puede utilizar para acceder a las correspondientes
páginas de configuración de directivas.
ACL Resource Policies: Muestra las directivas de recursos de archivos de UNIX asociadas a
Files (UNIX) los roles especificados. Incluye el tipo, nombre, descripción, acción
y recursos de cada directiva. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de directivas.
ACL Resource Policies: Muestra las directivas de recursos de JSAM y WSAM asociadas a los
SAM roles especificados. Incluye el tipo, nombre, descripción, acción y
recursos de cada directiva. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de directivas.
ACL Resource Policies: Muestra las directivas de recursos de Telnet/SSH asociadas a los
Telnet roles especificados. Incluye el tipo, nombre, descripción, acción
y recursos de cada directiva. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de directivas.
ACL Resource Policies: Muestra las directivas de recursos de Terminal Services asociadas a
Terminal Services los roles especificados. Incluye el tipo, nombre, descripción, acción
y recursos de cada directiva. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de directivas.
ACL Resource Policies: Muestra las directivas de recursos de Network Connect asociadas a
Network Connect los roles especificados. Incluye el tipo, nombre, descripción, acción
y recursos de cada directiva. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de directivas.

88 „ Personalización de las vistas de UI para roles de usuario

 Capítulo 4: Roles de usuario

Tabla 3: Ver las opciones del menú (continuación)

Opción Descripción
Resource Profiles: All Muestra los perfiles de recursos asociados a los roles especificados.
Incluye el tipo, nombre, marcadores y directivas de soporte para
cada perfil. También muestra los vínculos que puede utilizar para
acceder a las correspondientes páginas de configuración de perfiles
de recursos.
Resource Profiles: Web Muestra los perfiles de recursos de la aplicación Web asociados a
Applications los roles especificados. Incluye el nombre, marcadores y directivas
de soporte para cada perfil. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de perfiles de recursos.
Resource Profiles: Web Muestra los perfiles de recursos de applets de Java hospedados
Hosted Java Applets asociados a los roles especificados. Incluye el nombre, marcadores
y directivas de soporte para cada perfil. También muestra los
vínculos que puede utilizar para acceder a las correspondientes
páginas de configuración de perfiles de recursos.
Resource Profiles: Files Muestra los perfiles de recursos de archivos de Windows asociados
(Windows) a los roles especificados. Incluye el nombre, marcadores y
directivas de soporte para cada perfil. También muestra los
vínculos que puede utilizar para acceder a las correspondientes
páginas de configuración de perfiles de recursos.
Resource Profiles: Files Muestra los perfiles de recursos de archivos de UNIX asociados a
(UNIX) los roles especificados. Incluye el nombre, marcadores y directivas
de soporte para cada perfil. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de perfiles de recursos.
Resource Profiles: SAM Muestra los perfiles de recursos de la aplicación de JSAM y WSAM
Client Applications asociados a los roles especificados. Incluye el nombre, marcadores
y directivas de soporte para cada perfil. También muestra los
vínculos que puede utilizar para acceder a las correspondientes
páginas de configuración de perfiles de recursos.
Resource Profiles: SAM Muestra los perfiles de recursos de destino de WSAM asociados a
WSAM destinations los roles especificados. Incluye el nombre, marcadores y directivas
de soporte para cada perfil. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de perfiles de recursos.
Resource Profiles: Muestra los perfiles de recursos de Telnet/SSH asociados a los
Telnet/SSH roles especificados. Incluye el nombre, marcadores y directivas de
soporte para cada perfil. También muestra los vínculos que puede
utilizar para acceder a las correspondientes páginas de
configuración de perfiles de recursos.
Resource Profiles: Muestra los perfiles de recursos de Terminal Services asociados a
Terminal Services los roles especificados. Incluye el nombre, marcadores y directivas
de soporte para cada perfil. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de perfiles de recursos.

Personalización de las vistas de UI para roles de usuario „ 89

 Guía de administración de Secure Access de Juniper Networks

90 „ Personalización de las vistas de UI para roles de usuario

Capítulo 5
Perfiles de recursos

Un perfil de recursos contiene todas las directivas de recursos, asignaciones de roles

y los marcadores de usuario final requeridos para proporcionar el acceso a un
recurso individual. Los perfiles de recursos simplifican la configuración de recursos
mediante la consolidación de los ajustes correspondientes de un recurso individual
en una sola página en la consola de administración.

El IVE cuenta con dos tipos de perfiles de recursos:

„ Los perfiles de recursos estándar permiten configurar ajustes para una

multiplicidad de tipos de recursos, como sitios web, aplicaciones
cliente/servidor, servidores de directorios y servidores de terminal. Cuando se
usa este método, se escoge un tipo de perfil que corresponda con el recurso en
particular y se proporcionan los detalles del recurso.

„ Las plantillas de perfiles de recursos le permiten configurar ajustes para

aplicaciones específicas. Cuando se usa este método, se escoge una aplicación
específica (como Citrix NFuse versión 4.0). Luego, el IVE rellena varios valores
en función de la aplicación escogida y le pide que configure ajustes adicionales
según necesite.

NOTA: Para los administradores que están acostumbrados a usar una versión del
IVE previa a la 5.3, tenga en cuenta que puede seguir usando el rol IVE y el marco
de directivas de recursos para crear marcadores y directivas asociadas.
Recomendamos de todas maneras que use los perfiles de recursos, ya que estos
proporcionan una estructura de configuración más simple y unificada.

Esta sección contiene la siguiente información sobre perfiles de recursos:

„ “Licencia: Disponibilidad de perfiles de recursos” en la página 92

„ “Resumen de tareas: Configuración de perfiles de recursos” en la página 92

„ “Componentes de los perfiles de recursos” en la página 92

„ “Plantillas de los perfiles de recursos” en la página 99

„ 91
 Guía de administración de Secure Access de Juniper Networks

Licencia: Disponibilidad de perfiles de recursos

Los perfiles de recursos forman parte integral del marco de administración de
acceso del IVE y por ello están disponibles en todos los productos Secure Access.
Sin embargo, solo puede tener acceso a los tipos de perfiles que corresponden a las
características para las que tiene licencia. Por ejemplo, si usa un dispositivo SA-700
y no ha comprado una licencia de actualización Core Clientless Access, no podrá
crear un perfil de recursos web.

Resumen de tareas: Configuración de perfiles de recursos

Para crear perfiles de recursos, debe hacer lo siguiente:

1. Crear roles de usuario mediante la página Users > User Roles de la consola de
administración. Para obtener instrucciones, consulte “Configuración de los
roles de usuario” en la página 72.

2. Crear perfiles de usuario mediante la página Users > Resource Profiles de la

consola de administración. Al crear el perfil de recursos, especifique el recurso,
cree directivas automáticas, asocie el perfil con roles de usuario y cree
marcadores según lo necesite. Para obtener más información, consulte
“Componentes de los perfiles de recursos” en la página 92.

Componentes de los perfiles de recursos

Los perfiles de recursos contienen los siguientes componentes:

„ Recursos: Cuando se define un perfil de recursos, se debe especificar el recurso

en particular que se desea configurar (como el sitio de Intranet de su empresa
o una aplicación Lotus Notes). Todos los demás ajustes principales del perfil se
desprenden de este recurso. Se puede configurar una multiplicidad de tipos de
recursos, como sitios web, aplicaciones cliente/servidor, servidores de
directorios y servidores de terminal. Para obtener más información, consulte
“Definición de recursos” en la página 95.

„ Directivas automáticas: Cuando se define un perfil de recursos, generalmente

se crean directivas automáticas que establecen los requisitos de acceso y otros
ajustes para el recurso especificado. El tipo más común de directiva automática
habilita el acceso al recurso principal que se define en el perfil. Otros tipos de
directiva (como las de compresión y almacenamiento en caché) ajustan con
mayor precisión el modo en que el IVE maneja los datos que pasa desde y
hacia el recurso especificado. Para obtener más información, consulte
“Definición de directivas automáticas” en la página 96.

„ Roles: Cuando se define un perfil de recursos, se asocia generalmente a roles

de usuario. Los roles especificados heredan las directivas automáticas y
(de manera opcional) los marcadores definidos en el perfil de recursos. Para
obtener más información, consulte “Definición de roles” en la página 98.

92 „ Licencia: Disponibilidad de perfiles de recursos

 Capítulo 5: Perfiles de recursos

„ Marcadores: Cuando se define un perfil de recursos, se puede crear de manera

opcional un marcador que apunta al recurso principal del perfil (como la página
principal de la Intranet de su empresa). También se pueden crear marcadores
adicionales que apuntan a diversos sitios en el dominio del recurso (como las
páginas de ventas y marketing en la Intranet). El IVE muestra estos marcadores
a los usuarios que tienen asignado los roles de usuario especificados.
Para obtener más información, consulte “Definición de marcadores” en la
página 98.

Los diagramas siguientes ilustran la manera en que los perfiles de recursos

simplifican la configuración de cada recurso.

El primer diagrama muestra la forma de configurar recursos usando roles y

directivas de recursos. Tenga en cuenta que para habilitar un marcador para varios
roles de usuario, debe volver a crear el marcador de manera manual y habilitar
el mecanismo de acceso correspondiente a cada rol. También debe usar varias
páginas de la consola de administración para crear directivas de recursos asociadas
que habiliten el acceso al recurso y a otras opciones de configuración.

El segundo diagrama muestra la forma de configurar recursos usando perfiles de

recursos. Tenga en cuenta que puede crear un marcador, asociarlo con varios roles
de usuario y crear las directivas automáticas asociadas que habiliten el acceso
al recurso y a otras opciones de configuración mediante una sola sección de
la consola de administración. También tenga en cuenta que el IVE habilita
automáticamente el mecanismo de acceso correspondiente a los roles a los que
asignó el marcador.

Componentes de los perfiles de recursos „ 93

 Guía de administración de Secure Access de Juniper Networks

Figura 20: Uso de roles y directivas de recursos para configurar recursos

94 „ Componentes de los perfiles de recursos

 Capítulo 5: Perfiles de recursos

Figura 21: Uso de perfiles de recursos para configurar recursos

Definición de recursos
Cuando se define un perfil de recursos, se debe especificar el recurso en particular
que desea configurar. El tipo de perfil que escoja depende del tipo de recurso que
desea configurar, tal como se describe en la tabla siguiente:

Tabla 4: Tipos de perfil de recursos e información de configuración

Use este tipo de perfil Para configurar este tipo
de recursos: de recursos:
Aplicación/páginas web URL a aplicaciones web,
servidores web y páginas
web; applets de Java que se
almacenan en servidores
de terceros
Applet de Java hospedado Los applets de Java que se
cargaron directamente en
el IVE
Exploración de archivos Servidores, recursos
compartidos y rutas de
archivo de Windows y
UNIX/NFS
Aplicación cliente SAM Aplicaciones
cliente/servidor
Destino WSAM Redes o servidores de
destino
Para obtener instrucciones acerca
de la configuración, consulte:
“Definición de perfiles de recursos:
Aplicaciones web personalizadas” en
la página 392
“Plantillas de applets de Java
hospedados” en la página 345
“Definición de perfiles de recursos:
Reescritura de archivo” en la
página 465
“Definición de perfiles de recursos:
WSAM” en la página 498 y
“Definición de perfiles de recursos:
JSAM” en la página 535
“Definición de perfiles de recursos:
WSAM” en la página 498

Componentes de los perfiles de recursos „ 95

 Guía de administración de Secure Access de Juniper Networks

Tabla 4: Tipos de perfil de recursos e información de configuración

Use este tipo de perfil Para configurar este tipo Para obtener instrucciones acerca
de recursos: de recursos: de la configuración, consulte:
Telnet/SSH Servidores Telnet o SSH “Definición de perfiles de recursos:
Telnet/SSH” en la página 553
Terminal Services Servidores de terminales de “Definición de perfiles de recursos:
Windows y Citrix Vista general de Terminal Services”
en la página 570
NOTA: No se puede configurar aplicaciones mediante Network Connect usando los perfiles
de recursos, sino que debe usar roles y directivas de recursos. Para obtener más información,
consulte “Network Connect” en la página 655.

Al definir recursos, se pueden usar las variables del IVE, como <user> para
relacionar dinámicamente los usuarios con los recursos correctos. Por ejemplo,
se puede especificar el siguiente recurso Web a fin de dirigir a los usuarios hacia
sus propias páginas de la Intranet:

http://yourcompany.intranet/<user>

Si el campo Resource de dos perfiles de recursos distintos es idéntico y ambos

perfiles de recursos coinciden con el mismo rol, un usuario podría ver una directiva
de recursos de cada perfil. Por ejemplo, considere lo siguiente:

Perfil de recursos número uno:

Nombre del perfil de recursos: Intranet
Recurso del perfil de recursos: http://intranet.ejemplo.com
ACL web del perfil de recursos: http://intranet.ejemplo.com/ventas/*
Asignado al rol: Ventas

Perfil de recursos número dos:

Nombre del perfil de recursos: Intranet de ventas
Recurso del perfil de recursos: http://intranet.ejemplo.com
ACL web del perfil de recursos: http://intranet.ejemplo.com/ventas/docs/*

El usuario final que coincida con el rol Ventas debería ver un nombre de marcador
Intranet for Sales, pero la aplicación de la ACL web será
http://intranet.ejemplo.com/ventas/*.

No se admite este tipo de configuración.

Definición de directivas automáticas

Cuando se define un perfil de recursos, generalmente se crean directivas
automáticas que establecen los requisitos de acceso y otros ajustes para el recurso
especificado. El tipo más común de directiva automática habilita el acceso al
recurso principal que se define en el perfil. Otros tipos de directiva (como las de
compresión y almacenamiento en caché) ajustan con mayor precisión el modo en
que el IVE maneja los datos que pasa desde y hacia el recurso especificado.

96 „ Componentes de los perfiles de recursos

 Capítulo 5: Perfiles de recursos

Cuando se crean perfiles de recursos, el IVE muestra solamente las directivas

automáticas que corresponden al tipo de perfil de recursos. Por ejemplo, puede
escoger habilitar el acceso a una aplicación cliente/servidor mediante un perfil de
recursos WSAM. Al hacerlo, el IVE muestra las directivas automáticas que puede
usar para habilitar el acceso al servidor de la aplicación especificada. Por otro lado,
el IVE no muestra las directivas automáticas de control de acceso Java, ya que los
ajustes de Java no se aplican al WSAM.

NOTA: Al definir directivas de acceso, debe indicar explícitamente cada dirección

de nombre de host. El sistema que verifica las directivas no adjunta o usa el
dominio predeterminado ni busca los demonios en los ajustes de red del IVE.

Además, el IVE consolida todas las opciones pertinentes de directivas automáticas

en una sola página de la interfaz de usuario, lo que le permite comprender cuáles
son las posibilidades de configuración y los requisitos de un tipo de recursos.

NOTA:

„ Las directivas automáticas de control de acceso se basan generalmente en

el recurso principal que se definió en el perfil de recursos. Sin embargo, si se
cambia el recurso principal del perfil, el IVE no actualiza necesariamente las
directivas automáticas correspondientes. Se deben volver a evaluar las
directivas automáticas después de cambiar el recurso principal de un perfil.

„ Para los administradores que están acostumbrados a usar una versión del IVE,
tenga en cuenta que las directivas automáticas son directivas de recursos.
El IVE le permite clasificar y ordenar las directivas automáticas junto con las
directivas de recursos estándar en las páginas Users > Resource Policies de
la consola de administración. Sin embargo, el IVE no le permite tener acceso
a opciones de configuración más detalladas para las directivas automáticas en
esta sección de la consola de administración. En su lugar, si desea cambiar la
configuración de una directiva automática, debe tener acceso a ella a través
del perfil de recursos correspondiente.

„ Para los administradores que están acostumbrados a usar una versión del
IVE previa a la 5.3, tenga en cuenta que también puede crear directivas de
recursos automáticamente si habilita la opción Auto-allow a nivel de roles.
Sin embargo, tenga en cuenta que nuestra recomendación es que use las
directivas automáticas, ya que se corresponden directamente con el recurso
que se está configurando en lugar de todos los recursos de un tipo en
particular. (También puede preferir habilitar la opción Auto-allow para una
característica de nivel de rol y crear directivas automáticas para los recursos
del mismo tipo. Al hacerlo, el IVE crear directivas para ambos y las muestra
en la página de directivas de recursos correspondiente de la consola de
administración.)

Componentes de los perfiles de recursos „ 97

 Guía de administración de Secure Access de Juniper Networks

Definición de roles
En un perfil de recursos, se puede asignar roles de usuario al perfil. Por ejemplo,
se puede crear un perfil de recursos que especifique que los miembros del rol
“Clientes” tengan acceso al Centro de Asistencia Técnica de su empresa y que los
miembros del rol “Evaluadores” no lo tengan. Al asignar roles de usuario a un perfil
de recursos, los roles heredan todas las directivas automáticas y marcadores
definidos en el perfil de recursos.

Ya que el marco de perfiles de recursos no incluye opciones para crear roles,

debe crear los roles de usuario antes de asignarlos a los perfiles de recursos.
Sin embargo, el marco de perfiles de recursos incluye algunas de las opciones
de configuración de roles de usuario. Por ejemplo, si asigna un rol de usuario a un
perfil de recursos web, pero no ha habilitado la reescritura web para el rol, el IVE
la habilita automáticamente.

NOTA: Tenga en cuenta que puede asignar roles a un perfil de recursos mediante el
marco de roles y el marco de perfiles de recursos del IVE.

Definición de marcadores
Cuando se crea un perfil de recursos, el IVE crea generalmente un marcador que
apunta al recurso principal del perfil1 (como la página principal de la Intranet de su
empresa). Otra opción es crear marcadores adicionales que apuntan a diversos
sitios en el dominio del recurso principal (como las páginas de ventas y marketing
en la Intranet). Al crear los marcadores, puede asignarlos a roles de usuario para así
controlar los marcadores que ven los usuarios al iniciar sesión en la consola de
usuario final del IVE.

Por ejemplo, puede crear un perfil de recursos que controla el acceso a la intranet
de la empresa. En el perfil, puede especificar:

„ Resource profile name: la Intranet

„ Primary resource: http://intranet.com

„ Web access control autopolicy: Permitir acceso a http://intranet.com:80/*

„ Roles: Sales, Engineering

Cuando crea esta directiva, el IVE crea automáticamente un marcador llamado

“Your Intranet” que permite el acceso a http://intranet.com y muestra el marcador
a los miembros de los roles de Sales y Engineering.

Luego, puede optar por crear los siguientes marcadores adicionales para asociar
con el perfil de recursos:

„ Marcador “Sales Intranet”: Crea un vínculo a la página

http://intranet.com/sales y muestra el vínculo a los miembros del rol Sales.

1. Los perfiles de recursos WSAM y JSAM no incluyen marcadores, ya que el IVE no puede iniciar las aplicaciones
especificadas en los perfiles de recursos.

98 „ Componentes de los perfiles de recursos

 Capítulo 5: Perfiles de recursos

„ Marcador “Engineering Intranet”: Crea un vínculo a la página

http://intranet.com/engineering y muestra el vínculo a los miembros del
rol Engineering.

NOTA: Al configurar marcadores, tenga en cuenta que:

„ Sólo puede asignar marcadores a roles que ya haya asociado con el perfil de
recursos, no todos los roles definidos en el IVE. Para cambiar la lista de roles
asociados al perfil de recurso, utilice los parámetros de la ficha Roles.

„ Los marcadores simplemente controlan los vínculos que muestra el IVE a los
usuarios, no los recursos a los que los usuarios pueden obtener acceso. En el
ejemplo utilizado anteriormente, un miembro del rol de Sales podría no ver
un vínculo a la página de Intranet Engineering, pero puede acceder a ella
escribiendo http://intranet.com/engineering en la barra de direcciones del
explorador web. Asimismo, si elimina un marcador, los usuarios seguirán
teniendo acceso al recurso definido en el perfil.

„ El IVE le permite crear múltiples marcadores que apuntan al mismo recurso.

Sin embargo, si asigna marcadores duplicados al mismo rol de usuario, el IVE
mostrará a los usuarios uno de ellos.

„ Los marcadores apuntan al recurso principal que definió en el perfil de

recursos (o a un subdirectorio del recurso principal). Si se cambia el recurso
principal del perfil, el IVE actualiza los marcadores correspondientes.

Plantillas de los perfiles de recursos

Las plantillas de perfiles de recursos le permiten configurar ajustes para
aplicaciones específicas. Cuando se usa este método, se escoge una aplicación
específica (como Citrix NFuse versión 4.0). Luego, el IVE rellena varios valores
en función de la aplicación escogida y le pide que configure ajustes adicionales
según necesite.

Actualmente, el IVE incluye plantillas para las siguientes aplicaciones de terceros:

„ Citrix. Para obtener más información, consulte:

„ “Plantillas de Citrix” en la página 361

„ “Definición de perfiles de recursos: WSAM” en la página 498

„ “Definición de perfiles de recursos: JSAM” en la página 535

„ Lotus Notes. Para obtener más información, consulte:

„ “Plantillas de Lotus iNotes” en la página 371

„ “Definición de perfiles de recursos: WSAM” en la página 498

„ “Definición de perfiles de recursos: JSAM” en la página 535

Plantillas de los perfiles de recursos „ 99

 Guía de administración de Secure Access de Juniper Networks

„ Microsoft Outlook. Para obtener más información, consulte:

„ “Plantillas de Microsoft OWA” en la página 375

„ “Definición de perfiles de recursos: WSAM” en la página 498

„ “Definición de perfiles de recursos: JSAM” en la página 535

„ Microsoft Sharepoint. Para obtener más información, consulte “Plantillas de

Microsoft Sharepoint” en la página 379.

„ Exploración de archivos NetBIOS. Para obtener más información, consulte:

„ “Definición de perfiles de recursos: WSAM” en la página 498

„ “Definición de perfiles de recursos: JSAM” en la página 535

100 „ Plantillas de los perfiles de recursos

Capítulo 6
Directivas de recursos

Una directiva de recursos es una regla del sistema que especifica los recursos y las
acciones de una característica de acceso en particular. Un recurso puede ser un
servidor o un archivo al que se puede tener acceso mediante un dispositivo IVE
y una acción es “permitir” o “negar” al recurso que lleve a cabo una función. Cada
característica de acceso tiene uno o dos tipos de directiva, que determinan la
respuesta del IVE a una solicitud de usuario o la manera en que se habilita una
característica de acceso (en el caso del Email Client). También se pueden definir
reglas detalladas para una directiva de recursos, lo que le permite evaluar requisitos
adicionales para solicitudes específicas de los usuarios.

Se pueden crear los siguientes tipos de directivas de recursos con las páginas
Resource Policies del IVE:

„ Directivas de recursos Web: Las directivas de recursos Web especifican los

recursos de la web que los usuarios pueden explorar o no. También contienen
especificaciones adicionales tales como los requisitos de almacenamiento en
caché del encabezado, los servidores a los que se pueden conectar los applets
de Java, los certificados de firma de códigos que debe usar el IVE para firmar
los applets de Java, los recursos que debe reescribir o no, las aplicaciones para
las que el IVE proporciona el mínimo de intermediación y opciones
individuales de inicio de sesión.

„ Directivas de recursos de archivos: Las directivas de recursos de archivos

especifican los recursos de archivos Windows, UNIX y NFS que los usuarios
pueden explorar o no. También contienen especificaciones adicionales como
los recursos de archivos para los que los usuarios deben proporcionar
credenciales adicionales.

„ Directivas de recursos de Secure Application Manager: Las directivas de

recursos de Secure Application Manager permitan o niegan el acceso a
aplicaciones configuradas para usar JSAM o WSAM para hacer conexiones
socket.

„ Directivas de recursos de Telnet/SSH: Las directivas de recursos de Telnet/SSH

permiten o niegan el acceso a servidores especificados.

„ 101
 Guía de administración de Secure Access de Juniper Networks

„ Directivas de Terminal Services: Las directivas de recursos de Terminal

Services permiten o niegan el acceso a los servidores Windows o Citrix
Metaframe especificados.

„ Directivas de recursos de Network Connect: Las directivas de recursos de

Network Connect permiten o niegan el acceso a servidores especificados y
a conjuntos de direcciones IP especificadas.

„ Directivas de recursos de Secure Email Client: La directiva de recursos

de acceso a Secure Email Client le permiten habilitar o inhabilitar la
compatibilidad con clientes de correo electrónico. Para permitir a los usuarios
finales abrir y guardar archivos adjuntos de correo electrónico de distinto tipo
en OWA e iNotes, seleccione el tipo OWA o iNotes cuando defina un perfil de
recursos de aplicación web.

NOTA: También se pueden crear directivas de recursos durante el proceso de

configuración de perfiles de recursos. En ese caso, las directivas de recursos de
denominan “directivas avanzadas”. Para obtener más información, consulte
“Perfiles de recursos” en la página 91.

Esta sección proporciona la siguiente información:

„ “Licencia: Disponibilidad de directivas de recursos” en la página 102

„ “Componentes de las directivas de recursos” en la página 103

„ “Evaluación de las directivas de recursos” en la página 106

„ “Creación de reglas detalladas para las directivas de recursos” en la página 108

„ “Personalización de las vistas de la interfaz de usuario de directivas

de recursos” en la página 110

Licencia: Disponibilidad de directivas de recursos

Las directivas de recursos forman parte integral del marco de administración de
acceso del IVE y por ello están disponibles en todos los productos Secure Access.
Sin embargo, solo puede tener acceso a los tipos de directivas que corresponden
a las características para las que tiene licencia. Por ejemplo, si usa un dispositivo
SA-700 y no ha comprado una licencia de actualización Core Clientless Access,
no podrá crear una directiva de recursos Web.

102 „ Licencia: Disponibilidad de directivas de recursos

 Capítulo 6: Directivas de recursos

Componentes de las directivas de recursos

Una directiva de recursos contiene la siguiente información:

„ Recursos: Colección de nombres de recursos (URL, nombres de host o

combinaciones de direcciones IP/máscaras de red) que especifican a qué
recursos de aplica la directiva. Se puede especificar un recurso mediante
un prefijo comodín que coincida con los nombres de host. El recurso
predeterminado de una directiva es el asterisco (*), lo que significa que
la directiva se aplica a todos los recursos relacionados. Para obtener más
información, consulte “Especificación de los recursos para una directiva de
recursos” en la página 103.

„ Roles: Lista opcional de roles de usuario a los que se aplica esta directiva.
La configuración predeterminada es aplicar la directiva a todos los roles.

„ Acción: La acción que debe efectuar el IVE cuando un usuario solicita el recurso
correspondiente de la lista Resource. Una acción puede especificar permitir o
negar un recurso o ejecutar una acción o no, como reescribir contenido web o
permitir conexiones socket de Java.

„ Reglas detalladas: Lista opcional de elementos que especifica los detalles del
recurso (como la URL específica, ruta en el directorio, archivo o tipo de archivo)
a los que desea aplicar una acción distinta o para las que desea evaluar las
condiciones antes de aplicar la acción. Puede definir más de una regla y
especificar el orden en que el IVE las evalúa. Para obtener más información,
consulte “Creación de reglas detalladas para las directivas de recursos” en la
página 108.

Especificación de los recursos para una directiva de recursos

El motor del IVE que evalúa las directivas de recursos requiere que los recursos que
aparecen en la lista Resources de una directiva tengan un formato canónico. Esta
sección describe los formatos canónicos disponibles para especificar los recursos
Web, de archivos y de servidores. Cuando un usuario trata de tener acceso a un
recurso específico, un dispositivo IVE compara el recurso solicitado con los que
están especificados en las directivas correspondientes, comenzando por la primera
directiva de la lista. Cuando el motor encuentra una coincidencia de un recurso
solicitado con uno especificado en la lista Resources de una directiva, evalúa otras
restricciones de la directiva y devuelve la acción correspondiente al dispositivo (no
se evalúan otras directivas). Si no se aplica directiva alguna, el dispositivo evalúa los
marcadores de permiso automático (si están definidos); de lo contrario la respuesta
es la medida predeterminada para la directiva.

NOTA: Es posible que no vea la opción de permiso automático si está usando una
instalación nueva, si usa perfiles de recursos en lugar de directivas de recursos o si
un administrador ocultó la opción. Para obtener más información sobre esta
opción, consulte “Ajuste de las opciones del sistema” en la página 722.

Componentes de las directivas de recursos „ 103

 Guía de administración de Secure Access de Juniper Networks

Notas generales sobre los formatos canónicos

„ Si la ruta de un componente termina con una barra inclinada y un asterisco
(/*), coincide entonces con el nodo hoja y todos los niveles inferiores. Si la ruta
de un componente termina con una barra inclinada y un signo de porcentaje
(/%), coincide entonces con el nodo hoja y lo que esté en el nivel
inmediatamente inferior solamente. Por ejemplo:

„ /intranet/* coincide con:

/intranet
/intranet/home.html
/intranet/elee/public/index.html

„ /intranet/% coincide con:

/intranet
/intranet/home.html
but NOT /intranet/elee/public/index.html

„ El nombre de host de un recurso y su dirección IP pasan al motor de directivas

al mismo tiempo. Si un servidor en la lista Resources de una directiva aparece
especificado como una dirección IP, la evaluación se realiza con base en la
dirección IP. De lo contrario, el motor intenta hacer coincidir los dos nombres
de host. No lleva a cabo una consulta inversa de DNS para determinar la IP.

„ Si un nombre de host no está calificado del todo en el archivo de hosts, como

“juniper” en vez de “intranet.juniper.net”, y se tiene acceso al nombre de host
usando el nombre corto, el motor compara los recursos usando el nombre
corto. Sin embargo, si el nombre corto no está en el archivo de hosts y se
intenta resolver el nombre de hosts mediante DNS (agregando los dominios
que aparecen en la página Networks configuration), se usará el nombre de
dominio competo (FQDN) para encontrar la coincidencia entre los recursos.
Es decir, para las directivas de recursos Web se lleva a cabo una consulta de
DNS del nombre corto. El resultado de la consulta DNS es un FQDN; el motor
busca la coincidencia del FQDN con los nombres introducidos en la interfaz
de usuario.

Especificación de recursos de servidor

Al especificar recursos de servidor para directivas de recursos Telnet/SSH, Terminal
Services, o Network Connect, tenga en cuenta las siguientes pautas.

Formato canónico: [protocol://] host [:ports]

Los componentes son:

„ Protocol (optional): Posibles valores que no distinguen mayúsculas de

minúsculas:

„ tcp

„ udp

„ icmp

104 „ Componentes de las directivas de recursos

 Capítulo 6: Directivas de recursos

Si falta el protocolo, se asumen todos los protocolos. Si se especifica un

protocolo, se requiere el delimitador “://”. No se permiten caracteres
especiales.

NOTA: Directivas disponibles sólo para Network Connect. Para otras directivas
de recursos con características de acceso, como Secure Application Manager
y Telnet/SSH, no es válido especificar este componente.

„ Host (obligatorio). Valores posibles:

„ Dirección IP /Máscara de red: La dirección IP debe tener el siguiente

formato: a.b.c.d

La máscara de red puede estar en uno de estos dos formatos:

‰ Prefijo: bits de ordenación alta

‰ IP: a.b.c.d

Por ejemplo: 10.11.149.2/24 o bien 10.11.149.2/255.255.255.0

No se permiten caracteres especiales.

„ DNS Hostname: por ejemplo: www.juniper.com

Los caracteres especiales permitidos son:

Tabla 5: Caracteres especiales de nombre de host DNS

* Coincidencias con TODOS los caracteres
% Coincidencias con cualquier carácter a excepción del punto (.)
? Coincide exactamente con un solo carácter

NOTA: No puede especificar un nombre de host para una directiva de recursos

de Network Connect. Solamente se puede especificar una dirección IP.

„ Puertos (opcional): valores posibles:

Tabla 6: Valores posibles de puerto

* Coincidencias con TODOS los puertos; no se permiten otros
caracteres especiales
puerto[,puerto]* Una lista de puertos delimitada por comas. Los números de
puertos válidos son [1-65535]. No ponga un espacio entre los
números de puerto. Puede especificar hasta 15 puertos.
[puerto1]-[puerto2] Un rango de puertos, desde el puerto1 al puerto2.

Componentes de las directivas de recursos „ 105

 Guía de administración de Secure Access de Juniper Networks

NOTA: Se pueden combinar listas de puertos e intervalos de puertos, de esta

manera: 80,443,8080-8090.

Si falta el puerto, el puerto 80 predeterminado se asigna para http y el 443 para

https. Si se especifica un puerto, se requiere el delimitador “:”. Por ejemplo:

<username>.danastreet.net:5901-5910
tcp://10.10.149.149:22,23
tcp://10.11.0.10:80
udp://10.11.0.10:*

EAP-TTLS consiste en dos etapas. En la primera, el solicitante usa un certificado

digital X.509 emitido por el servidor de autenticación para verificar su identidad
y para validar la autenticidad de la red.

Evaluación de las directivas de recursos

Cuando un dispositivo IVE recibe una solicitud de un usuario, evalúa las directivas
de recursos correspondientes al tipo de solicitud. Cuando procesa la directiva que
corresponde al recurso solicitado, aplica la acción especificada a la solicitud. Esta
acción se define en la ficha General de la directiva o en la ficha Detailed Rules.
Por ejemplo, si un usuario solicita una página web, el IVE sabe que tiene que usar
las directivas de recursos Web. En el caso de las solicitudes web, el IVE siempre
comienza con las directivas de reescritura web (reescritura selectiva y proxy pass
through) para determinar si manejará o no la solicitud. Si no se aplica alguna de las
directivas (o no se ha definido ninguna), el IVE evalúa las directivas Web Access
hasta encontrar la que sea pertinente al recurso solicitado.

Un dispositivo IVE evalúa un conjunto de directivas de recursos para una

característica de acceso de arriba a abajo, lo que significa que comienza con la
directiva que está en el primer lugar y sigue con el resto hasta encontrar una que
coincida. Si se definieron reglas detalladas para la directiva que coincide, el IVE
evalúa las reglas de arriba a abajo, comenzando con la regla que está en el primer
lugar y terminando al encontrar el recurso que coincide de la lista Resource.
El siguiente diagrama ilustra los pasos generales de la evaluación de directivas:

106 „ Evaluación de las directivas de recursos

 Capítulo 6: Directivas de recursos

Figura 22: Pasos de la evaluación de las directivas de recursos

Detalles relacionados con cada paso de la evaluación:

1. El IVE recibe una solicitud de usuario y evalúa el rol de la sesión del usuario
para determinar si está habilitada la característica de acceso correspondiente.
El “rol de sesión” de un usuario depende del rol o roles que se le asignan al
usuario durante el proceso de autenticación. Las características de acceso
habilitadas para un usuario se determinan mediante la configuración de la
asignación de roles de un territorio de autenticación. (Para obtener más
información, consulte “Evaluación de rol de usuario” en la página 70.)

2. El IVE determina las directivas que coinciden con la solicitud. El dispositivo

evalúa las directivas de recursos relacionadas con la solicitud del usuario y
procesa secuencialmente cada directiva hasta encontrar aquella cuya lista
de recursos y roles asignados coincida con la solicitud. (Si configura el IVE con
perfiles de recursos, se evalúan las directivas avanzadas que configuró como
parte del perfil de recursos.)

Las características de acceso web y a archivos tienen más de un tipo de

directiva, de modo que el IVE determina en primer lugar el tipo de solicitud
(si se trata de una página web, applet de Java o archivo UNIX) y luego las
directivas relacionadas con la solicitud. En el caso de la característica Web
Access, las directivas de reescritura son las que se evalúan en primer lugar
para cada solicitud web. Las cinco características de acceso restantes (Secure
Application Manager, Secure Terminal Access, y Secure Email Client) tienen sólo
una directiva de recursos.

3. El IVE evalúa y ejecuta las reglas especificadas en las directivas que coinciden.
Se pueden configurar reglas de las directivas para hacer dos cosas:

„ Especificar los recursos a los que se aplica una acción a un nivel más
granular. Por ejemplo, si especifica un servidor web en los ajustes de la
directiva principal para una directiva de recursos de Web Access, se puede
definir una regla detallada que especifique una ruta en particular en el
servidor y luego cambiar la acción para esta ruta.

Evaluación de las directivas de recursos „ 107

 Guía de administración de Secure Access de Juniper Networks

„ Exigir que el usuario cumpla condiciones específicas descritas como

expresiones booleanas o personalizadas a fin de que se aplique la acción.
Para obtener más información, consulte “Creación de reglas detalladas
para las directivas de recursos” en la página 108).

4. El IVE detiene el procesamiento de directivas de recursos en cuanto encuentra

el recurso solicitado en una lista Resource o regla detallada.

NOTA: Si usa evaluación dinámica de directivas (basada en tiempo) o si ejecuta

una evaluación manual de directivas, el IVE repite el proceso de evaluación de
recursos descrito en esta sección. Para obtener más información, consulte
“Evaluación dinámica de directivas” en la página 57.

Creación de reglas detalladas para las directivas de recursos

Las características de acceso web, de acceso a archivos, de acceso de Secure
Application Manager, Telnet/SSH y Network Connect le permiten especificar
directivas de recursos específicas para cada servidor web, servidor de archivos o
aplicaciones y servidor telnet. Las características de acceso de Email Client tienen
una directiva que se aplica en general. Para estas directivas, se especifican ajustes
de servidor que se usan para cada rol y que habilitan estas características de
acceso. Para todas las demás características de acceso, se especifica cualquier
cantidad de directivas de recursos y para cada una se puede definir más de una
regla detallada.

Una regla detallada es una extensión de una directiva de recursos que puede
especificar lo siguiente:

„ Información1 adicional (como la ruta específica o el directorio, archivo o tipo de

archivo específico) de los recursos que aparecen en la ficha General.

„ Una acción distinta de la especificada en la ficha General (aunque las opciones

son las mismas).

„ Condiciones que deben cumplirse para que se aplique la regla detallada.

En muchos casos, la directiva de recursos base (es decir, la información

especificada en la ficha General de una directiva de recursos) proporciona un
control de acceso suficiente para un recurso:

Si un usuario que pertenece a (roles_definidos) intenta tener acceso

a (recursos_definidos), ejecute la (acción_de_recurso) especificada.

Es posible que desee definir una o más reglas detalladas para una directiva cuando
desea que se ejecute una acción basada en una combinación de información
distinta, como por ejemplo:

„ Las propiedades de un recurso, como su encabezado, tipo de contenido o tipo

de archivo

1. Tenga en cuenta que también puede especificar la misma lista de recursos (como la de la ficha General) para una
regla detallada si el único objetivo de la regla es aplicar condiciones a una solicitud de usuario.

108 „ Creación de reglas detalladas para las directivas de recursos

 Capítulo 6: Directivas de recursos

„ Las propiedades de un usuario, como su nombre de usuario y los roles que

tiene asignados

„ Las propiedades de una sesión, como la IP de origen de un usuario o su tipo

de explorador, si está ejecutando Host Checker o Cache Cleaner, la hora y los
atributos del certificado

Las reglas detalladas añaden flexibilidad para controlar el acceso a los recursos, ya
que le permiten aprovechar la información de recursos y permisos existente para
especificar requisitos distintos para usuarios distintos a los que se aplica la directiva
de recursos base.

Escritura de una regla detallada

Las reglas detalladas añaden flexibilidad para controlar el acceso a los recursos ya
que le permiten aprovechar la información de recursos y permisos existente para
especificar requisitos distintos para usuarios distintos a los que se aplica la directiva
de recursos base.

Para escribir una regla detallada para una directiva de recursos:

1. En la página New Policy de una directiva de recursos, introduzca la información

de recursos y roles necesaria.

2. En la sección Action, seleccione Use Detailed Rules y haga clic en

Save Changes.

3. En la ficha Detailed Rules, haga clic en New Rule.

4. En la página Detailed Rule:

a. En la sección Action, configure la acción que desea llevar a cabo si la

solicitud del usuario coincide con un recurso de la lista Resource
(opcional). Tenga en cuenta que la acción especificada en la ficha General
se ejecuta de manera predeterminada.

b. En la sección Resources, especifique cualquiera da las siguientes

alternativas (obligatorio):

‰ La misma lista de recursos especificada en la ficha General o parte de

la lista.

‰ La ruta específica o archivo específico en el servidor o servidores que

aparecen en la ficha General, usando comodines según corresponda.
Para obtener información sobre la manera de usar comodines en una
lista Resources, consulte la documentación de la directiva de recursos
correspondiente.

‰ Un tipo de archivo, precedido por una ruta si corresponde o sólo

*/*.file_extension para indicar los archivos de la extensión especificada
en cualquier ruta del servidor o servidores que aparecen en la
ficha General.

Creación de reglas detalladas para las directivas de recursos „ 109

 Guía de administración de Secure Access de Juniper Networks

c. En la sección Conditions, especifique una o más expresiones que se

evaluarán para ejecutar la acción (opcional):

‰ Expresiones booleanas: Mediante variables de sistema, escriba una

o más expresiones booleanas con los operadores NOT, OR, o AND.
Consulte “Variables del sistema y ejemplos” en la página 1046 para
ver una lista de variables disponibles en las directivas de recursos.

‰ Expresiones personalizadas: Usando la sintaxis de expresiones

personalizadas, escriba una o más expresiones. Consulte “Expresiones
personalizadas” en la página 1041 para obtener información sobre la
sintaxis y las variables.

NOTA: Puede usar la variable de sustitución <USER> en las listas de control de

acceso de páginas web, telnet, archivos y SAM. No puede usar la variable en ACL
de Network Connect.

d. Haga clic en Save Changes.

5. En la ficha Detailed Rules, disponga las reglas en el orden en que desea que las
evalúe el IVE. Tenga presente que una vez que el IVE encuentra la coincidencia
entre el recurso solicitado por el usuario y un recurso en la lista Resource de
una regla, realiza la acción especificada y deja de procesar reglas (y otras
directivas de recursos).

Personalización de las vistas de la interfaz de usuario de directivas

de recursos
Se puede restringir las directivas de recursos que muestra el IVE en cualquier
página de directivas de recursos según los roles de usuario. Por ejemplo, puede
configurar la página Users > Resource Policies > Web de la consola de
administración para mostrar sólo aquellas directivas de recursos que están
asignadas al rol de usuario “Ventas”.

Para controlar las directivas de recursos que muestra el IVE:

1. Navegue hasta Users > Resource Policies > Tipo de directiva.

2. En la lista Show all policies that apply to, seleccione All Roles o un rol
particular.

3. Haga clic en Update. El IVE muestra las directivas de recursos que están
asignadas a los roles seleccionados.

110 „ Personalización de las vistas de la interfaz de usuario de directivas de recursos

Capítulo 7
Servidores de autenticación y
de directorios

Un servidor de autenticación es una base de datos que almacena las credenciales

del usuario (nombre y contraseña) y, normalmente, información sobre el grupo.
Cuando un usuario inicia sesión en el IVE, debe especificar un territorio de
autenticación que esté asociado a un servidor de autenticación. Si el usuario
cumple la directiva de autenticación del territorio, el IVE reenviará las credenciales
del usuario al servidor de autenticación asociado. El trabajo del servidor de
autenticación es verificar que el usuario existe y comprobar que es quien dice ser.
Después de verificar al usuario, el servidor de autenticación envía la aprobación al
IVE y, si el territorio también usa el servidor como servidor de directorios/atributos,
la información del grupo del usuario u otra información de atributos del usuario.
El IVE evalúa las reglas de asignación de roles del territorio para determinar a
qué roles de usuario se puede asignar al usuario.

La plataforma Juniper Networks Instant Virtual Extranet admite los servidores

de autenticación más comunes, incluyendo dominios de Windows NT, Active
Directory, RADIUS, LDAP, NIS, RSA ACE/Server y eTrust SiteMinder, permitiendo
crear una o más bases de datos locales de usuarios autenticados por el IVE. Para
obtener información general del servidor y de configuración, consulte “Servidores
de autenticación y de directorios” en la página 111.

Un servidor de directorios es una base de datos que almacena información del

usuario y, normalmente, del grupo. Puede configurar un territorio de autenticación
de modo que utilice un servidor de directorios con el fin de recuperar información
del usuario o del grupo, que se utilizarán en las reglas de asignación de roles y
directivas de recursos. Actualmente, el IVE admite servidores LDAP para este fin,
lo que quiere decir que puede usar un servidor LDAP para la autenticación y la
autorización. Simplemente necesita definir una instancia de servidor y luego
aparecerá el nombre de la instancia del servidor LDAP en las listas desplegables
Authentication y Directory/Attribute de la ficha General del territorio. Puede usar
el mismo servidor para cualquier número de territorios.

„ 111
 Guía de administración de Secure Access de Juniper Networks

Además de LDAP, puede usar un servidor RADIUS o SiteMinder para recuperar

atributos de usuario que se pueden usar en las reglas de asignación de roles.
Sin embargo, a diferencia de la instancia del servidor LDAP, el nombre de una
instancia de servidor RADIUS o SiteMinder no aparece en la lista desplegable
Directory/Attribute del territorio. Para usar un servidor RADIUS o SiteMinder para
recuperar información del usuario, simplemente elija su nombre de instancia
en la lista Authentication y elija Same as Above en la lista Directory/Attribute.
A continuación, configure las reglas de asignación de roles para usar los atributos
del servidor RADIUS o SiteMinder; lo que proporciona el IVE es una lista de
atributos en la página Role Mapping Rule después de seleccionar Rule based
on User attribute.

Esta sección contiene la siguiente información acerca de los servidores de

autenticación y de directorios:

„ “Licencia: Disponibilidad de servidores de autenticación” en la página 112

„ “Resumen de tareas: configuración de servidores de autenticación” en la

página 113

„ “Definición de una instancia de servidor de autenticación” en la página 114

„ “Configuración de una instancia de servidor anónimo” en la página 115

„ “Configuración de una instancia de ACE/Server” en la página 117

„ “Configuración de una instancia de Active Directory o dominio NT” en la

página 120

„ “Configuración de una instancia de servidor de certificados” en la página 126

„ “Configuración de una instancia de servidor LDAP” en la página 128

„ “Configuración de una instancia de servidor de autenticación local” en la

página 138

„ “Configuración de una instancia de servidor NIS” en la página 144

„ “Configuración de una instancia de servidor de RADIUS” en la página 145

„ “Configuración de una instancia de servidor eTrust SiteMinder” en la

página 160

„ “Configuración de una instancia de servidor de SAML” en la página 187

Licencia: Disponibilidad de servidores de autenticación

Los servidores de autenticación forman parte integral de la estructura de
administración de acceso del IVE, por lo que están disponibles en todos los
productos Secure Access. Sin embargo, debe tener en cuenta que el servidor
eTrust Siteminder no está disponible en el dispositivo SA 700.

112 „ Licencia: Disponibilidad de servidores de autenticación

 Capítulo 7: Servidores de autenticación y de directorios

Resumen de tareas: configuración de servidores de autenticación

Para especificar un servidor de autenticación que pueda usar un territorio, primero
debe configurar una instancia de servidor en la página Authentication > Auth.
Servers. Cuando guarde los ajustes del servidor, el nombre del servidor (nombre
asignado a la instancia) aparece en la ficha General del territorio en la lista
desplegable Authentication. Si el servidor es:

„ Servidor LDAP o Active Directory: El nombre de instancia también aparece

en la lista desplegable Directory/Attribute de la ficha General del territorio.
Puede usar el mismo servidor LDAP o Active Directory para la autenticación
y autorización de un territorio, así como para la autorización de cualquier
número de territorios que usen servidores de autenticación diferentes.

„ Servidor RADIUS: El nombre de la instancia también aparece en la lista

desplegable Accounting de la ficha General del territorio. Puede usar el mismo
servidor RADIUS para la autenticación y contabilidad de un territorio, así como
el uso de estos servidores para la contabilidad de cualquier número de
territorios que usen servidores de autenticación diferentes.

Para configurar los servidores de autenticación:

1. Configure el servidor de autenticación/autorización con las instrucciones del

proveedor.

2. Cree una instancia del servidor, comenzando en la página Authentication >

Authentication > Auth. Servers de la consola de administración.

3. Cree un territorio de autenticación usando los ajustes de la página Users >

User Realms o Administrators > Admin Realms de la consola de
administración. Para obtener instrucciones, consulte “Creación de un territorio
de autenticación” en la página 196.

4. Sólo servidores de autenticación local: agregue usuarios al servidor usando los

ajustes de la página Authentication > Auth. Servers > Seleccionar servidor
local > Users de la consola de administración. Para obtener instrucciones,
consulte “Creación de cuentas de usuario en un servidor local de autenticación”
en la página 140.

5. Sólo administración de contraseñas: configure las opciones de administración

de contraseñas en “Habilitación de la administración de contraseñas de LDAP”
en la página 133.

NOTA: Un servidor de autenticación debe poder comunicarse con el IVE. Si un

servidor de autenticación como RSA ACE/Server no usa las direcciones IP de los
host de agente, debe poder resolver el nombre de host del IVE a través de una
entrada DNS o una entrada en el archivo host del servidor de autenticación.

Resumen de tareas: configuración de servidores de autenticación „ 113

 Guía de administración de Secure Access de Juniper Networks

NOTA: Al determinar el tipo de servidor que se debe seleccionar:

„ Sólo puede crear una instancia de servidor eTrust Siteminder por IVE.

„ Si autentica el servidor Active Directory con:

„ Protocolo NTLM: Elija Active Directory/Windows NT Domain. Para

obtener más información, consulte “Configuración de una instancia de
ACE/Server” en la página 117.

„ Protocolo LDAP: Elija LDAP Server. Para obtener más información,

consulte “Configuración de una instancia de servidor LDAP” en la
página 128.

„ Si crea una instancia de servidor de autenticación local para autenticar

administradores de usuarios, debe seleccionar Local Authentication.
Para obtener más información, consulte “Configuración de una instancia
de servidor de autenticación local” en la página 138.

Definición de una instancia de servidor de autenticación

Use la página Auth. Servers para definir las instancias de servidor de autenticación.
Los servidores de autenticación autentican credenciales de usuario y los servidores
de autorización proporcionan información del usuario que el IVE usa para
determinar los privilegios del usuario dentro del sistema. Por ejemplo, puede
especificar una instancia de servidor de certificados para autenticar usuarios
basándose en sus atributos del certificado del lado cliente y crear entonces una
instancia de servidor LDAP para autorizar a los usuarios basándose en los valores
que se incluyen dentro de una CRL (lista de revocación de certificados). Para
obtener más información sobre servidores de autenticación, consulte “Servidores
de autenticación y de directorios” en la página 111.

Esta sección contiene la siguiente información acerca de los servidores de

autenticación:

„ “Definición de una instancia de servidor de autenticación” en la página 115

„ “Modificación de una instancia de servidor de autenticación existente” en la

página 115

114 „ Definición de una instancia de servidor de autenticación

 Capítulo 7: Servidores de autenticación y de directorios

Definición de una instancia de servidor de autenticación

Para definir una instancia de servidor de autenticación:

1. En la consola de administración, elija Authentication > Auth. Servers.

2. Elija un tipo de servidor en el menú desplegable New.

3. Haga clic en New Server.

4. Dependiendo del servidor que seleccione, especifique los ajustes para la

instancia de servidor individual.

5. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener más información, consulte
“Definición de directivas de autenticación” en la página 198.

6. Si se trata de configurar el servidor de autenticación local, defina las cuentas de

usuario locales. Para obtener instrucciones, consulte “Configuración de una
instancia de servidor de autenticación local” en la página 138.

Modificación de una instancia de servidor de autenticación existente

Para modificar una instancia de servidor de autenticación:

1. En la consola de administración, elija Authentication > Auth. Servers.

2. Haga clic en el vínculo del servidor que desea modificar.

3. Realice las modificaciones en la página del servidor correspondiente.

4. Haga clic en Save Changes.

Configuración de una instancia de servidor anónimo

La característica de servidor anónimo permite que los usuarios accedan al IVE sin
proporcionar un nombre de usuario o contraseña. En cambio, cuando un usuario
introduce la URL de la página de inicio de sesión que se configuró para autenticarse
en un servidor anónimo, el IVE pasa por alto la página de inicio de sesión estándar
del IVE y muestra de inmediato la página de bienvenida del IVE al usuario.

Puede optar por usar la autenticación anónima si piensa que los recursos del
IVE no requieren de seguridad extrema o que las otras medidas de seguridad
proporcionadas mediante el IVE son suficientes. Por ejemplo, puede crear un rol de
usuario con acceso limitado a los recursos internos y autenticarlo con una directiva
que sólo requiera que los usuarios inicien sesión desde una dirección IP que reside
dentro de la red interna. En este método se presupone que si un usuario puede
acceder a su red interna, estará autorizado a ver los recursos limitados
proporcionados a través del rol de usuario.

Esta sección contiene la siguiente información acerca de los servidores anónimos:

„ “Restricciones de servidores anónimos” en la página 116

„ “Definición de una instancia de servidor anónimo” en la página 116

Configuración de una instancia de servidor anónimo „ 115

 Guía de administración de Secure Access de Juniper Networks

Restricciones de servidores anónimos

Al definir y supervisar una instancia de servidor anónima, tenga en cuenta que:

„ Sólo puede agregar una configuración de servidor anónimo.

„ No puede autenticar administradores con un servidor anónimo.

„ Durante la configuración, debe elegir el servidor anónimo para el servidor de

autenticación y el servidor de directorios/atributos en la ficha Users > User
Realms > General. Para obtener más información, consulte “Creación de un
territorio de autenticación” en la página 196.

„ Al crear reglas de asignación de roles mediante la ficha Users > User

Realms > Role Mapping (como se explica en “Creación de reglas de
asignación de roles” en la página 199), el IVE no permite la creación de reglas
de asignación que se apliquen a usuarios específicos (como “Joe”), dado que el
servidor anónimo no recopila información de nombres de usuario. Sólo puede
crear reglas de asignación de roles basadas en un nombre de usuario
predeterminado (*), atributos de certificado o expresiones personalizadas.

„ Por motivos de seguridad, es posible que desee limitar el número de usuarios

que inician sesión a través de un servidor anónimo en un momento
determinado. Para ello, use la opción de la ficha Users > User Realms >
[Territorio] > Authentication Policy > Limits (donde [Territorio] es el
territorio que se configuró para usar el servidor anónimo con el fin de
autenticar usuarios). Para obtener más información, consulte “Especificación
de las restricciones de límite” en la página 67.

„ No puede ver ni eliminar las sesiones de usuarios anónimos mediante la

ficha Users (del mismo modo que puede hacerlo con otros servidores de
autenticación), porque el IVE no puede mostrar datos de sesiones individuales
sin recopilar nombres de usuario.

Definición de una instancia de servidor anónimo

Para definir un servidor anónimo:

1. En la consola de administración, elija Authentication > Auth. Servers.

2. Siga uno de estos pasos:

„ Para crear una nueva instancia de servidor en el IVE, seleccione

Anonymous Server en la lista New y haga clic en New Server.

„ Para actualizar una instancia de servidor existente, haga clic en el vínculo

correspondiente de la lista Authentication/Authorization Servers.

3. Especifique un nombre para identificar la instancia de servidor.

4. Haga clic en Save Changes.

5. Especifique los territorios que debe usar el servidor para autorizar usuarios.
Para obtener más información, consulte “Definición de directivas de
autenticación” en la página 198.

116 „ Configuración de una instancia de servidor anónimo

 Capítulo 7: Servidores de autenticación y de directorios

Configuración de una instancia de ACE/Server

Al autenticar usuarios con un RSA ACE/Server, los usuarios pueden iniciar sesión
mediante dos métodos:

„ Con un token de hardware y la página de inicio de sesión estándar del IVE:

El usuario busca la página de inicio de sesión estándar del IVE, introduce su
nombre de usarlo y contraseña, que consta de la concatenación del PIN y el
valor actual del token de hardware de RSA SecurID. El IVE reenvía las
credenciales del usuario a ACE/Server.

„ Con un token de software y la página de inicio de sesión personalizada del

IVE de SoftID: El usuario busca la página de inicio de sesión personalizada de
SoftID. Luego, usando el complemento SoftID, introduce su nombre de usuario
y PIN. El complemento SoftID genera una frase de seguridad concatenando el
PIN y token del usuario y la pasa al IVE. Para obtener más información sobre la
habilitación de las páginas de inicio personalizadas de SoftID, consulte el
manual Custom Sign-In Pages Solution Guide.

Si ACE/Server autentica de manera positiva al usuario, obtiene acceso al IVE. De lo

contrario, ACE/Server:

„ Deniega el acceso al sistema al usuario si las credenciales no se reconocen.

„ Le solicita al usuario que genere un nuevo PIN (modo Nuevo PIN) si inicia
sesión en el IVE por primera vez. (El usuario ve mensajes diferentes
dependiendo del método que utilice para iniciar sesión. Si lo hace usando el
complemento SoftID, ve el mensaje de RSA para crear un nuevo PIN; de lo
contrario, ve el mensaje del IVE.)

„ Le solicita al usuario que introduzca el siguiente token (modo Siguiente token) si

el token introducido por el usuario no está sincronizado con el token que espera
ACE/Server. (El modo Siguiente token es transparente para los usuarios que
inician sesión usando un token de SoftID. El software de RSA SecurID pasa el
token a través del IVE hacia ACE/Server sin interacción del usuario.)

„ Redirige al usuario a la página de inicio de sesión estándar del IVE (sólo SoftID)
si el usuario intenta iniciar sesión en la página RSA SecurID Authentication en
un equipo que no tiene instalado el software SecurID.

Cuando un usuario pasa al modo Nuevo PIN o Siguiente token, tiene tres minutos
para introducir la información necesaria antes de que el IVE cancele la transacción
y le notifique que debe volver a introducir las credenciales.

El IVE puede manejar un máximo de 200 transacciones de ACE/Server en cualquier

momento. Una transacción sólo dura el tiempo necesario para autenticarse en
ACE/Server. Por ejemplo, cuando un usuario inicia sesión en el IVE, la transacción
ACE/Server se inicia cuando el usuario envía su solicitud de autenticación y termina
una vez que ACE/Server ha finalizado el procesamiento de la solicitud. El usuario
puede mantener abierta la sesión del IVE, aunque se haya cerrado la transacción
de ACE/Server.

Configuración de una instancia de ACE/Server „ 117

 Guía de administración de Secure Access de Juniper Networks

El IVE admite las siguientes características de ACE/Server: Modo Nuevo PIN, modo
Siguiente token, encriptación DES/SDI, encriptación AES, compatibilidad con
ACE/Server esclavo, bloqueo de nombre y clústeres. El IVE también admite los
modos Nuevo PIN y Siguiente token de RSA SecurID a través del protocolo RADIUS.

NOTA: Debido a las limitaciones de la biblioteca de ACE/Server de UNIX, puede

definir sólo una configuración de ACE/Server. Para obtener información sobre
cómo generar un archivo de configuración de ACE/Agent para el IVE en el servidor
ACE, consulte “Generación de un archivo de configuración de ACE/Agent” en la
página 119.

El IVE no admite el equilibrio de carga entre varios servidores ACE.

Esta sección contiene la siguiente información acerca de ACE/Servers:

„ “Definición de una instancia de ACE/Server” en la página 118

„ “Generación de un archivo de configuración de ACE/Agent” en la página 119

Definición de una instancia de ACE/Server

NOTA: Sólo puede agregar una instancia de ACE/Server.

Para definir un ACE/Server:

1. Genere un archivo de configuración de ACE/Agent (sdconf.rec) para el IVE en

el servidor ACE. Para obtener más información, consulte “Generación de un
archivo de configuración de ACE/Agent” en la página 119.

2. En la consola de administración, elija Authentication > Auth. Servers.

3. Siga uno de estos pasos:

„ Para crear una nueva instancia de servidor en el IVE, seleccione ACE Server
en la lista New y haga clic en New Server.

„ Para actualizar una instancia de servidor existente, haga clic en el vínculo

correspondiente de la lista Authentication/Authorization Servers.

4. Especifique un nombre para identificar la instancia de servidor.

5. Especifique un puerto predeterminado en el campo ACE Port. Tenga en cuenta

que el IVE sólo usa estos ajustes si no se especifica un puerto en el archivo
sdconf.rec.

6. Importe el archivo de configuración de RSA ACE/Agent. Asegúrese de actualizar

este archivo en el IVE en cada vez que introduzca cambios en el archivo de
origen. Asimismo, si elimina el archivo de la instancia del IVE, vaya a la
aplicación ACE Server Configuration Management, como se describe en
“Generación de un archivo de configuración de ACE/Agent” en la página 119
y desmarque la casilla de verificación Sent Node Secret.

118 „ Configuración de una instancia de ACE/Server

 Capítulo 7: Servidores de autenticación y de directorios

7. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.

8. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener más información, consulte
“Definición de directivas de autenticación” en la página 198.

NOTA: Para obtener más información sobre la supervisión y eliminación de

sesiones de usuario que iniciaron sesión actualmente a través del servidor,
consulte “Supervisión de usuarios activos” en la página 848.

Generación de un archivo de configuración de ACE/Agent

Si utiliza ACE/Server para la autenticación, debe generar un archivo de
configuración de ACE/Agent (sdconf.rec) para el IVE en el servidor ACE.

Para generar un archivo de configuración de ACE/Agent:

1. Inicie la aplicación ACE/Server Configuration Management y haga clic en

Agent Host.

2. Haga clic en Add Agent Host.

3. En Name, introduzca un nombre para el agente del IVE.

4. En Network Address, introduzca la dirección IP del IVE.

5. Introduzca un Site configurado en el servidor ACE.

6. En Agent Type, seleccione Communication Server.

7. En Encryption Type, seleccione DES.

8. Verifique que Sent Node Secret no esté seleccionado (al crear un

agente nuevo).

La primera vez que el servidor ACE autentica correctamente una solicitud

enviada por el IVE, el servidor ACE selecciona Sent Node Secret. Si
posteriormente desea que el servidor ACE envíe un nuevo nodo secreto al
IVE en la siguiente solicitud de autenticación, haga lo siguiente:

a. Haga clic en la casilla de verificación Sent Node Secret para desmarcarla.

b. Inicie sesión en la consola de administración y elija Authentication >

Auth. Servers.

c. Haga clic en el nombre del servidor ACE en la lista

Authentication/Authorization Servers.

Configuración de una instancia de ACE/Server „ 119

 Guía de administración de Secure Access de Juniper Networks

d. En Node Verification File, seleccione la casilla de verificación

correspondiente y haga clic en Delete. Estos pasos garantizan que el IVE y
el servidor ACE estarán sincronizados. Asimismo, si elimina el archivo de
verificación del IVE, debe desmarcar la casilla de verificación Sent Node
Secret en el servidor ACE.

Si usa la autenticación de RSA ACE/Server y cambia la dirección IP del IVE,

debe eliminar el archivo de verificación del nodo en el IVE para que
funcione la autenticación de ACE/Sever. Anule también la selección de los
ajustes de Sent Node Verification en ACE/Server para el IVE.

9. Haga clic en Assign Acting Servers y seleccione el servidor ACE.

10. Haga clic en Generate Config File. Al agregar el servidor ACE al IVE,
se importará este archivo de configuración.

Configuración de una instancia de Active Directory o dominio NT

Al autenticar usuarios con un controlador de dominio principal (PDC) de NT o
Active Directory, los usuarios inician sesión en el IVE usando el mismo nombre de
usuario y contraseña que usan para acceder a sus escritorios de Windows. El IVE
admite la autenticación de Windows NT y Active Directory usando la autenticación
NTLM o Kerberos.

Si configura un servidor Active Directory nativo, puede recuperar información del

grupo del servidor para usarla en las reglas de asignación de roles del territorio.
En este caso, se especifica el servidor Active Directory como el servidor de
autenticación del territorio y se crea una regla de asignación de roles basada en la
asociación del grupo. El IVE muestra todos los grupos del controlador de dominio
configurado y sus dominios de confianza.

El IVE proporciona casillas de verificación separadas para cada uno de los

protocolos de autenticación principal: Kerberos, NTLMv2 y NTLMv1, le permiten
seleccionar o pasar por alto cada uno de estos protocolos, independiente uno de
otro. Este control más granular del proceso de autenticación evita un aumento
innecesario de la directiva de recuento de inicios de sesión fallidos en Active
Directory y permite ajustar con mayor precisión los protocolos, basándose en los
requisitos del sistema.

Para obtener más información, consulte “Creación de reglas de asignación de roles”

en la página 199.

120 „ Configuración de una instancia de Active Directory o dominio NT

 Capítulo 7: Servidores de autenticación y de directorios

NOTA:

„ El IVE reconoce las relaciones de confianza en entornos Active Directory

y Windows NT.

„ Al enviar credenciales de usuario a un servidor de autenticación de Active

Directory, el IVE usa cualquiera de los protocolos de autenticación
especificados en la página New Active Directory/Windows NT. El IVE ordena
de forma predeterminada los protocolos de autenticación. En otras palabras,
si seleccionó las casillas de verificación Kerberos y NTLMv2, el IVE envía las
credenciales a Kerberos. Si Kerberos tiene éxito, el IVE no envía las
credenciales a NTLMv2. Si Kerberos no es compatible o falla, el IVE usa
NTLMv2 como siguiente protocolo. La configuración establece un efecto
de cascada si selecciona varias casillas de verificación. Para obtener más
información, consulte “Definición de directivas de recursos: Recursos de
archivos para UNIX/NFS” en la página 485.

„ El IVE admite grupos locales de dominio, grupos globales de dominio y grupos

universales definidos en el bosque de Active Directory. También admite los
grupos locales de dominio y grupos globales de dominio en servidores NT4.

„ El IVE sólo permite grupos de seguridad de Active Directory, no grupos de

distribución. Los grupos de seguridad le permiten usar un tipo de grupo no
sólo para asignar derechos y permisos, sino también como una lista de
distribución para correo electrónico.

„ Si se configuran varios servidores Active Directory en un IVE, se debe asociar

cada uno de ellos con un nombre de cuenta de equipo único y diferente. No
debe usarse el mismo nombre de cuenta de equipo en todos los servidores.

Esta sección contiene la siguiente información acerca de los servidores Active

Directory y dominio NT:

„ “Definición de una instancia de servidor Active Directory o dominio de

Windows NT” en la página 121

„ “Autenticación de usuarios de varios dominios” en la página 124

„ “Compatibilidad con consulta de grupos de Active Directory y NT” en la

página 125

Definición de una instancia de servidor Active Directory o dominio de Windows NT

Para definir un servidor Active Directory o dominio de Windows NT:

1. En la consola de administración, elija Authentication > Auth. Servers.

2. Siga uno de estos pasos:

„ Para crear una nueva instancia de servidor en el IVE, seleccione Active

Directory/Windows NT en la lista New y haga clic en New Server.

„ Para actualizar una instancia de servidor existente, haga clic en el vínculo

correspondiente de la lista Authentication/Authorization Servers.

Configuración de una instancia de Active Directory o dominio NT „ 121

 Guía de administración de Secure Access de Juniper Networks

3. Especifique un nombre para identificar la instancia de servidor.

4. Especifique el nombre o dirección IP del controlador de dominio principal

o servidor Active Directory.

5. Especifique la dirección IP del controlador de dominio de respaldo o servidor

Active Directory. (opcional)

6. Introduzca el nombre de dominio de Active Directory o Windows NT. Por

ejemplo, si el nombre de dominio de Active Directory es us.amr.asgqa.net y
desea autenticar usuarios que pertenecen al dominio US, introduzca US en el
campo de dominio.

7. Si desea especificar un nombre de equipo, introdúzcalo en el campo Computer

Name. El campo de nombre del equipo es donde especifica el nombre que el
IVE usa para unir el dominio de Active Directory especificado como un equipo.
De lo contrario, deje el identificador predeterminado que identifica de forma
inequívoca el sistema.

NOTA: Puede que advierta que el nombre del equipo se llenó previamente con una
entrada en formato vcNNNNHHHHHHHH, donde, en un sistema IVS, NNNN es IVS ID
(suponiendo que tiene una licencia IVS) y HHHHHHHH es la representación
hexadecimal de la dirección IP del IVE. Un nombre exclusivo, ya sea el
proporcionado de forma predeterminada o uno de su elección, puede identificar
más fácilmente sus sistemas en Active Directory. En un sistema que no es IVS, los
primeros seis caracteres del nombre serán ‘vc0000’ porque no hay un IVS ID que
mostrar. Por ejemplo, el nombre podría ser ‘vc0000a1018dF2’ para un sistema
que no es IVS.

En un entorno de clústeres con el mismo servidor de autenticación AD, este

nombre también es único entre todos los nodos de clúster y el IVE muestra todos
los identificadores para todos los nodos de clúster conectados.

8. Seleccione la casilla de verificación Allow domain to be specified as part of

username para permitir que los usuarios inicien sesión introduciendo un
nombre de dominio en el campo Username con el formato:
dominio\nombredeusuario.

9. Seleccione la casilla de verificación Allow trusted domains para obtener la

información de grupo de todos los dominios de confianza dentro de un bosque.

122 „ Configuración de una instancia de Active Directory o dominio NT

 Capítulo 7: Servidores de autenticación y de directorios

10. En Admin Username y Admin Password, introduzca un nombre de usuario y

una contraseña de administrador para el servidor AD o NT.

NOTA:

„ Asegúrese de que el administrador especifique si es un administrador de

dominio en el mismo dominio que el servidor AD o NT.

„ No incluya un nombre de dominio con el nombre de usuario de administrador

de servidor en el campo Admin Username.

„ Después de guardar los cambios, el IVE enmascara la contraseña del

administrador usando cinco caracteres de asterisco, independientemente de
la longitud de la contraseña.

11. En Authentication Protocol, especifique qué protocolo debe usar el IVE

durante la autenticación.

12. En Kerberos Realm Name:

„ Seleccione Use LDAP to get Kerberos realm name si desea que el IVE
recupere el nombre del territorio de Kerberos desde el servidor Active
Directory usando las credenciales de administrador especificadas.

„ Introduzca el nombre del territorio de Kerberos en el campo Specify

Kerberos realm name si lo conoce.

13. Haga clic en Test Configuration para verificar los ajustes de configuración del
servidor Active Directory, como que exista el dominio especificado, que los
controladores especificados sean controladores de dominio de Active Directory,
que funcione el protocolo de autenticación seleccionado, etc. (opcional)

14. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.

15. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener más información, consulte
“Creación de un territorio de autenticación” en la página 196.

NOTA:

„ Para obtener más información sobre la supervisión y eliminación de sesiones

de usuario que iniciaron sesión actualmente a través del servidor, consulte
“Supervisión de usuarios activos” en la página 848.

„ La consola de administración proporciona las últimas estadísticas de acceso

para cada cuenta de usuario en varias fichas Users de toda la consola,
en un conjunto de columnas llamadas Last Sign-in Statistic. Los informes
de estadísticas incluyen la fecha y hora del último inicio de sesión exitoso
de cada usuario, la dirección IP del usuario y el tipo y versión del agente
o explorador.

Configuración de una instancia de Active Directory o dominio NT „ 123

 Guía de administración de Secure Access de Juniper Networks

Autenticación de usuarios de varios dominios

El IVE permite la autenticación de varios dominios de Active Directory y Windows
NT. El IVE autentica usuarios en el dominio que configure en la página
Authentication > Auth. Servers > New Active Directory/Windows NT, usuarios
en dominios secundarios y usuarios en todos los dominios de confianza del
dominio configurado.

Después de especificar la dirección de un controlador de dominio y un dominio

predeterminado en la configuración de servidor de Active Directory del IVE, los
usuarios del dominio predeterminado se autentican en el IVE sólo con su nombre
de usuario o con el dominio predeterminado y el nombre de usuario en formato
defaultdomain\username.

Cuando habilita la autenticación de un dominio de confianza, los usuarios de

dominios de confianza o secundarios se autentican en el IVE usando el nombre
de un dominio de confianza o secundario más el nombre de usuario en formato
trusteddomain\username. Tenga en cuenta que la autenticación del dominio de
confianza aumenta el tiempo de respuesta del servidor.

Autenticación de varios dominios de Windows 2000 y Windows 2003

El IVE admite la autenticación de Active Directory basado en Kerberos con los
controladores de dominio de Windows 2000 y Windows 2003. Cuando un usuario
inicia sesión en el IVE, el IVE lleva a cabo la autenticación de Kerberos e intenta
buscar el nombre de territorio de Kerberos para el controlador de dominio,
así como también todos los territorios de confianza y secundarios, mediante
llamadas LDAP.

Como alternativa, puede especificar el nombre del territorio de Kerberos al

configurar un servidor de autenticación de Active Directory, pero no se recomienda
este método por dos motivos:

„ No se puede especificar más de un nombre de territorio. El IVE no puede

autenticar en un territorio secundario o de confianza del territorio que especificó.

„ Si escribió de forma incorrecta el nombre del territorio, el IVE no puede

autenticar usuarios en el territorio adecuado.

Autenticación de varios dominios de Windows NT4

El IVE no es compatible con la autenticación basada en Kerberos en los
controladores de dominio de Windows NT4. En lugar de la autenticación Kerberos,
el IVE usa la autenticación NTLM.

NOTA:

„ Para la autenticación de usuario, el IVE conecta el servidor del controlador

de dominio predeterminado usando el nombre del equipo en formato
<IVE-IPaddress>.

„ Si la configuración DNS en el controlador de dominio de Windows NT4

cambia, asegúrese de que el IVE todavía pueda resolver nombres (dominios
secundarios y de confianza) usando WINS, DNS o el archivo de Hosts,
que pudieron resolver los nombres antes del cambio de configuración.

124 „ Configuración de una instancia de Active Directory o dominio NT

 Capítulo 7: Servidores de autenticación y de directorios

Normalización de usuario de NT
Con el fin de admitir la autenticación de varios dominios, el IVE usa las credenciales
de NT “normalizadas” al comunicarse con un controlador de dominio de Active
Directory o NT4 para la autenticación. Las credenciales de NT normalizadas
incluyen el nombre del dominio y del usuario: domain\username.
Independientemente de la forma en que el usuario inicia sesión en el IVE, ya sea
sólo con un nombre de usuario o con el formato domain\username, el IVE siempre
trata el nombre de usuario en formato domain\username.

Cuando un usuario intenta autenticarse usando sólo su nombre de usuario,

el IVE siempre normaliza sus credenciales de NT como defaultdomain\username.
La autenticación es correcta sólo si es usuario es miembro del dominio
predeterminado.

Para un usuario que inicia sesión en el IVE usando el formato domain\username,

el IVE siempre intenta autenticar al usuario como miembro del dominio que éste
especifica. La autenticación es correcta sólo si el dominio especificado por el
usuario es un dominio de confianza o secundario del dominio predeterminado.
Si el usuario especifica un dominio que no es de confianza o no es válido,
la autenticación falla.

Dos variables, <NTUser> y <NTDomain>, permiten que se refiera de forma individual

a los valores de dominio y nombre de usuario de NT. El IVE llena estas dos variables
con la información de dominio y nombre de usuario de NT.

NOTA: Al usar reglas de asignación de roles preexistentes o al escribir una nueva

para la autenticación de Active Directory donde USER = someusername, el IVE
trata esta regla semánticamente como NTUser = someusername AND NTDomain =
defaultdomain. Esto permite que el IVE funcione a la perfección con las reglas de
asignación de roles preexistentes.

Compatibilidad con consulta de grupos de Active Directory y NT

El IVE admite la consulta de grupos de usuarios en los grupos locales de dominio,
globales de dominio y universales en el bosque de Active Directory, y en los grupos
locales de dominio y globales de dominio para servidores NT4.

NOTA: Para que la consulta de grupos de NT/AD funcione, el IVE primero intenta
conectarse al dominio usando el nombre de equipo predeterminado. Para que esta
operación sea correcta, debe especificar credenciales de administrador de
dominio válidas en la configuración del servidor Active Directory en el IVE.

Requisitos de consultas de Active Directory

El IVE admite la consulta de grupos de usuarios en los grupos locales de dominio,
globales de dominio y universales en el dominio predeterminado, dominios
secundarios y todos los dominios de confianza. El IVE obtiene la asociación del
grupo mediante uno de los tres métodos que tienen capacidades diferentes:

„ Información del grupo en el contexto de seguridad del usuario: Devuelve

información sobre los grupos globales de dominio del usuario.

Configuración de una instancia de Active Directory o dominio NT „ 125

 Guía de administración de Secure Access de Juniper Networks

„ Información del grupo obtenida mediante las llamadas de búsqueda LDAP:

Devuelve información sobre los grupos globales de dominio del usuario e
información sobre los grupos universales del usuario si el IVE consulta al
servidor de catálogos global.

„ Información del grupo usando las llamadas de RCP nativas: Devuelve

información sobre el grupo local de dominio del usuario.

Con respecto a las reglas de asignación de roles, el IVE intenta la consulta de grupos
en el siguiente orden:

„ El IVE comprueba los grupos globales de dominio usando el contexto de

seguridad del usuario.

„ Si el IVE no encuentra que el usuario sea un miembro de alguno de los grupos a

los que se hace referencia en las reglas de asignación de roles, el IVE realiza una
consulta de LDAP para determinar la asociación del grupo del usuario.

„ Si el IVE no encuentra que el usuario sea un miembro de alguno de los grupos a

los que se hace referencia en las reglas de asignación de roles, el IVE realiza una
consulta de RPC para determinar la asociación del grupo del dominio local.

Requisitos de consulta de grupos de NT4

El IVE admite la consulta de grupos en los grupos locales de dominio y globales
de dominio creados en el dominio predeterminado, así como los dominios
secundarios y otros de confianza. El IVE obtiene la información del grupo global
de dominio a partir del contexto de seguridad del usuario y la información local de
dominio usando las llamadas RCP. El IVE usa llamadas de búsqueda que no estén
basadas en LDAP en el entorno NT4.

Configuración de una instancia de servidor de certificados

La característica de servidor de certificados permite que los usuarios se autentiquen
basándose en los atributos incluidos en los certificados del lado cliente. Puede usar
el servidor de certificados por sí solo o en conjunto con otro servidor para
autenticar usuarios y asignarlos a roles.

Por ejemplo, puede optar por autenticar usuarios basándose exclusivamente en sus
atributos de certificados. Si el IVE determina que el certificado del usuario es válido,
inicia la sesión de usuario basado en los atributos del certificado que especifique y
no le solicita al usuario que introduzca un nombre de usuario o contraseña.

Puede optar por autenticar a los usuarios pasando los atributos del certificado del
lado cliente a un segundo servidor de autenticación (como LDAP). En este caso,
el servidor de certificados primero determina si el certificado del usuario es válido.
Luego, el IVE puede usar las reglas de asignación de roles en el nivel del territorio
para comparar los atributos del certificado con los atributos de LDAP del usuario.
Si no encuentra la coincidencia correspondiente, el IVE puede denegar o limitar el
acceso del usuario según sus especificaciones.

126 „ Configuración de una instancia de servidor de certificados

 Capítulo 7: Servidores de autenticación y de directorios

NOTA: Al usar certificados del lado cliente, se recomienda encarecidamente

instruir a los usuarios finales para que cierren sus exploradores de Web después
de cerrar la sesión en el IVE. De lo contrario, otros usuarios pueden usar las
sesiones abiertas en el explorador para obtener acceso a recursos protegidos por
el certificado en el IVE sin volver a autenticarse. (Después de cargar un certificado
del lado cliente, tanto Internet Explorer como Netscape colocan las credenciales
y claves privadas del certificado en la memoria caché. El explorador guarda esta
información en memoria caché hasta que el usuario cierra el explorador (o en
algunos casos, hasta que se reinicia la estación de trabajo). Para obtener más
detalles, consulte: http://support.microsoft.com/?kbid=290345.) Para recordarles a
los usuarios que cierren sus exploradores, puede modificar el mensaje de cierre de
sesión en la ficha Authentication > Authentication > Signing In Pages.

Al definir un servidor de certificados en el IVE, debe realizar los siguientes pasos:

1. Use los ajustes de la ficha System > Configuration > Certificates > CA
Certificates para importar el certificado de CA utilizado para firmar los
certificados del lado cliente.

2. Cree una instancia de servidor de certificados:

a. Diríjase a Authentication > Auth. Servers.

b. Seleccione Certificate Server en la lista New y haga clic en New Server.

c. Especifique un nombre para identificar la instancia de servidor.

d. En el campo User Name Template, especifique cómo debe construir el

nombre de usuario el IVE. Puede usar una combinación de variables de
certificados dentro de corchetes angulares y texto plano. Para obtener una
lista de las variables de certificados, consulte “Variables del sistema y
ejemplos” en la página 1046.

NOTA: Si elige un atributo de certificado con más de un valor, el IVE usa el primer
valor coincidente. Por ejemplo, si introduce <certDN.OU> y el usuario tiene dos
valores para el atributo (ou=management, ou=sales), el IVE usa el valor
“management”. Para usar todos los valores, agregue el atributo SEP a la variable.
Por ejemplo, si introduce <certDN.OU SEP=”:”> el IVE usa “management:sales”.

e. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.

NOTA: Para obtener más información sobre la supervisión y eliminación de

sesiones de usuario que iniciaron sesión actualmente a través del servidor,
consulte “Supervisión de usuarios activos” en la página 848.

Configuración de una instancia de servidor de certificados „ 127

 Guía de administración de Secure Access de Juniper Networks

3. Si desea verificar los atributos del certificado en un servidor LDAP, use los
ajustes de la página Authentication > Auth. Servers para crear una instancia
de servidor LDAP. Tenga en cuenta que debe usar la sección Finding user
entries en la página de configuración de LDAP para recuperar los atributos
específicos del usuario que desea verificar mediante el certificado.

4. Use los ajustes de las fichas Users > User Realms > Nombre de territorio >
General o Administrators > Admin Realms > Nombre de territorio > General
para especificar los territorios que debe usar el servidor de certificados para
autenticar a los usuarios. (También puede usar los ajustes de estas fichas para
especificar los territorios que debe usar un servidor LDAP para verificar los
atributos del certificado.)

5. Use los ajustes de la página Authentication > Authentication > Signing In

Policies para asociar los territorios configurados en el paso anterior con las URL
de inicio de sesión.

6. Si desea restringir el acceso de los usuarios a los territorios, roles o directivas de

recursos basándose en los atributos del certificado individual, use los ajustes
descritos en “Especificación de las restricciones de acceso para certificados” en
la página 65.

Configuración de una instancia de servidor LDAP

El IVE admite dos opciones de autenticación específicas de LDAP:

„ Unencrypted, en que el IVE envía el nombre de usuario y la contraseña a LDAP

Directory Service en texto simple y no encriptado.

„ LDAPS, en que el IVE encripta los datos en la sesión de autenticación de LDAP

usando el protocolo de nivel de socket seguro (SSL) antes de enviarlos a LDAP
Directory Service.

El IVE realiza la validación de entrada sustancial para los siguientes elementos:

„ Servidor LDAP: El IVE muestra una advertencia si el servidor no está

disponible.

„ Puerto LDAP: El IVE muestra una advertencia si el servidor LDAP no está

disponible.

„ Credenciales de administrador: El IVE genera un error si falla la verificación

de credenciales del administrador.

„ DN base para usuario: El IVE genera un error si falla la búsqueda de nivel base
en el valor DN base.

„ DN base para grupos: El IVE genera un error si falla la búsqueda de nivel base
en el valor DN base.

128 „ Configuración de una instancia de servidor LDAP

 Capítulo 7: Servidores de autenticación y de directorios

Esta sección contiene la siguiente información acerca de los servidores LDAP:

„ “Definición de una instancia de servidor LDAP” en la página 129

„ “Configuración de los atributos de búsqueda de LDAP para creadores de

reuniones” en la página 132

„ “Supervisión y eliminación de sesiones de usuario activas” en la página 132

„ “Habilitación de la administración de contraseñas de LDAP” en la página 133

Definición de una instancia de servidor LDAP

Para definir una instancia de servidor LDAP:

1. En la consola de administración, elija Authentication > Auth. Servers.

2. Siga uno de estos pasos:

„ Para crear una nueva instancia de servidor en el IVE, seleccione LDAP

Server en la lista New y haga clic en New Server.

„ Para actualizar una instancia de servidor existente, haga clic en el vínculo

correspondiente de la lista Authentication/Authorization Servers.

3. Especifique un nombre para identificar la instancia de servidor.

4. Especifique el nombre o la dirección IP del servidor LDAP que el IVE usa para
validar a los usuarios.

5. Especifique el puerto en que escucha el servidor LDAP. Por lo general, es el

puerto 389 cuando usa una conexión sin encriptar y el puerto 636 cuando
usa SSL.

6. Especifique los parámetros de los servidores LDAP de respaldo (opcional).

El IVE usa los servidores especificados para el procesamiento de conmutación
por error; cada solicitud de autenticación se enruta primero al servidor LDAP
principal y luego a los servidores de respaldo especificados, si el servidor
principal no está disponible.

NOTA: Los servidores LDAP de respaldo deben tener la misma versión que el
servidor LDAP principal. También se recomienda que especifique la dirección IP
de un servidor LDAP de respaldo en lugar de su nombre de host, lo que puede
acelerar el procesamiento de la conmutación por error, ya que se elimina la
necesidad de resolver el nombre de host en una dirección IP.

7. Especifique el tipo de servidor LDAP en que desea autenticar los usuarios.

8. Especifique si la conexión entre el IVE y LDAP Directory Service debe estar

desencriptada, usar SSL (LDAP) o usar TLS.

9. Especifique la cantidad de tiempo que desea que el IVE espere una conexión
con el servidor LDAP principal y luego con cada servidor LDAP de respaldo.

Configuración de una instancia de servidor LDAP „ 129

 Guía de administración de Secure Access de Juniper Networks

10. Especifique la cantidad de tiempo que desea que el IVE espere los resultados de
la búsqueda de un servidor LDAP conectado.

11. Haga clic en Test Connection para verificar la conexión entre el dispositivo IVE
y los servidores LDAP especificados. (opcional)

12. Seleccione la casilla de verificación Authentication required? si el IVE debe

autenticarse en el directorio LDAP para realizar una búsqueda o para cambiar
las contraseñas usando la característica de administración de contraseñas.
Luego, introduzca un DN y contraseña de administrador. Para obtener más
información acerca de la administración de contraseñas, consulte “Habilitación
de la administración de contraseñas de LDAP” en la página 133. Por ejemplo:

CN=Administrator,CN=Users,DC=eng,DC=Juniper,DC=com

13. En Finding user entries, especifique:

„ Base DN en el que desea comenzar a buscar entradas de usuario.

Por ejemplo:

DC=eng,DC=Juniper,DC=com

„ Filter si desea ajustar con mayor precisión la búsqueda. Por ejemplo:

samAccountname=<username> o cn=<username>

‰ Incluya <username> en el filtro para usar el nombre de usuario

introducido en la página de inicio de sesión de la búsqueda.

‰ Especifique un filtro que devuelva 0 ó 1 DN de usuario por usuario; el

IVE usa el primer DN devuelto si se obtiene más de 1 DN de resultado.

14. El IVE admite los grupos dinámicos y estáticos. (Tenga en cuenta que el IVE
sólo admite grupos dinámicos con servidores LDAP). Para habilitar la consulta
de grupos, debe especificar cómo el IVE realiza consultas de grupos en el
servidor LDAP. En Determining group membership, especifique:

„ Base DN en el que desea comenzar a buscar grupos de usuarios.

„ Filter si desea ajustar con mayor precisión la consulta de grupos

de usuarios.

„ Member Attribute para identificar a todos los miembros de un grupo

estático. Por ejemplo:

member
uniquemember (específico de iPlanet)

„ Reverse group search para comenzar la búsqueda del miembro en lugar

del grupo. Esta opción está disponible sólo para tipos de servidor de Active
Directory.

„ Query Attribute para especificar una consulta LDAP que devuelve los
miembros de un grupo dinámico. Por ejemplo:

memberURL

130 „ Configuración de una instancia de servidor LDAP

 Capítulo 7: Servidores de autenticación y de directorios

„ Nested Group Level para especificar la cantidad de niveles dentro de un

grupo para buscar el usuario. Tenga en cuenta que mientras mayor sea el
número, mayor será el tiempo de la consulta; por lo tanto, se recomienda
que especifique una búsqueda de no más de 2 niveles de profundidad.

„ Nested Group Search para buscar por:

‰ Nested groups in the LDAP Server Catalog. Esta opción es más

rápida, ya que permite buscar dentro de los límites implícitos del
grupo anidado.

‰ Search all nested groups. Con esta opción, IVE busca primero en el
catálogo de servidores. Si el IVE no encuentra una coincidencia en el
catálogo, consulta LDAP para determinar si un miembro del grupo es
un subgrupo.

NOTA: Dado que el IVE busca en el servidor de catálogos para determinar si un

miembro o un grupo principal es un objeto de usuario o un objeto de grupo, debe
agregar al catálogo de servidores tanto los grupos principales como todos los
secundarios (anidados).

15. En Bind Options, seleccione:

„ Simple bind para enviar las credenciales del usuario en modo transparente
(sin encriptado) a LDAP Directory Service.

„ StartTLS bind para encriptar las credenciales de un usuario usando el

protocolo de Seguridad de la capa de transporte (TLS) antes de que el IVE
envíe los datos a LDAP Directory Service.

16. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.

17. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener más información, consulte
“Definición de directivas de autenticación” en la página 198.

Si desea crear un marcador de archivo de Windows que se asigne al directorio

principal LDAP de un usuario, consulte “Creación de marcadores de Windows que
se asignan a servidores LDAP” en la página 475.

NOTA: El IVE admite la búsqueda de referencias si está habilitado en el servidor

LDAP.

Configuración de una instancia de servidor LDAP „ 131

 Guía de administración de Secure Access de Juniper Networks

Configuración de los atributos de búsqueda de LDAP para creadores de reuniones

Use las opciones de la ficha Meetings para especificar atributos LDAP individuales
que puede usar el creador de una reunión para buscar usuarios del IVE al programar
una reunión.

Para configurar los atributos de búsqueda de Secure Meeting:

1. En la consola de administración, elija Authentication > Auth. Servers.

2. Haga clic en una instancia de servidor LDAP.

3. Haga clic en la ficha Meetings.

4. En el campo User Name, introduzca el atributo de nombre de usuario para este

servidor. Por ejemplo, introduzca SamAccountName para un servidor Active
Directory o uid para un servidor iPlanet.

5. En el campo Email Address, introduzca el atributo de correo electrónico para

este servidor.

6. En el campo Display Name, Attributes, introduzca cualquier atributo LDAP

adicional cuyo contenido desee que los creadores de reuniones puedan ver
(opcional). (Por ejemplo, para ayudar al creador de la reunión a distinguir
fácilmente entre varios invitados con el mismo nombre, es posible que
desee exponer un atributo que identifique los departamentos de usuarios
individuales). Introduzca los atributos adicionales, uno por línea usando el
formato: DisplayName,AttributeName. Puede introducir hasta 10 atributos.

7. Haga clic en Save Changes.

Supervisión y eliminación de sesiones de usuario activas

Para obtener más información sobre la supervisión y eliminación de sesiones
de usuario que iniciaron sesión actualmente a través del servidor, consulte
“Supervisión de usuarios activos” en la página 848.

NOTA: La consola de administración proporciona las últimas estadísticas de acceso

para cada cuenta de usuario en varias fichas Users de toda la consola, en un
conjunto de columnas llamadas Last Sign-in Statistic. Los informes de
estadísticas incluyen la fecha y hora del último inicio de sesión exitoso de cada
usuario, la dirección IP del usuario y el tipo y versión del agente o explorador.

132 „ Configuración de una instancia de servidor LDAP

 Capítulo 7: Servidores de autenticación y de directorios

Habilitación de la administración de contraseñas de LDAP

La característica de administración de contraseñas del IVE permite que los usuarios
que se autentican mediante un servidor LDAP administren sus contraseñas
mediante el IVE usando las directivas definidas en el servidor LDAP. Por ejemplo, si
un usuario intenta iniciar sesión en el IVE con una contraseña LDAP que vencerá, el
IVE captura la notificación de contraseña vencida, la presenta al usuario mediante
la interfaz del IVE y devuelve la respuesta del usuario al servidor LDAP sin solicitar
que el usuario inicie sesión en el servidor LDAP por separado.

Los usuarios, administradores y administradores de ayuda técnica que trabajan en

entornos con contraseñas que vencen, pueden considerar que la característica de
administración de contraseñas es muy útil. Cuando no se informa correctamente
a los usuarios de que sus contraseñas vencerán, pueden cambiarlas ellos mismos
mediante el IVE en lugar de llamar a Ayuda técnica.

La característica de administración de contraseñas permite que los usuarios

cambien sus contraseñas cuando se les solicite o cuando lo deseen. Por ejemplo,
durante el proceso de inicio de sesión, el IVE puede informar al usuario que su
contraseña está vencida o por vencer. Si está vencida, el IVE le solicita al usuario
que cambie su contraseña. Si la contraseña no ha vencido, el IVE puede permitir
que el usuario inicie sesión en el IVE usando la contraseña existente. Después de
haber iniciado sesión, puede cambiar su contraseña desde la página Preferences.

Una vez habilitada, el IVE realiza una serie de consultas para determinar la
información de cuentas de usuario, como cuándo se configuró por última vez la
contraseña, si la cuenta está vencida, etc. El IVE realiza esta acción usando su
cliente interno LDAP o Samba. Muchos servidores, como Microsoft Active Directory
o Sun iPlanet, ofrecen una consola de administración para configurar las opciones
de cuentas y contraseñas.

La administración de contraseñas basada en LDAP funciona sólo con tres tipos de

servidores LDAP:

„ Microsoft Active Directory

„ Sun Microsystems i-Planet

„ Novell e-Directory

La administración de contraseñas basada en LDAP no funciona en servidores LDAP

como OpenLDAP.

El IVE aplica las directivas de contraseña leyendo sus atributos en el servidor LDAP.
Por lo tanto, para que la administración de contraseñas funcione de forma
adecuada, se deben configurar correctamente los atributos de la directiva de
contraseñas en el servidor backend.

„ Para Active Directory, los atributos de la directiva de contraseñas se pueden

configurar en el nivel de contenedor de entrada de usuario o en el nivel de
cualquier organización sobre el contenedor de usuario. Si estos atributos se
configuran en varios niveles, el nivel más cercano al nodo de usuario tiene
la prioridad.

Configuración de una instancia de servidor LDAP „ 133

 Guía de administración de Secure Access de Juniper Networks

„ El IVE no admite las directivas de contraseñas personalizadas.

„ La característica de administración de contraseñas no es compatible con el

catálogo global de Active Directory porque los atributos de la directiva de
contraseñas no están completamente especificados en este catálogo.

El IVE depende del servidor backend para localizar con exactitud la causa del error
cuando falla una operación de cambio de contraseña. Sin embargo, aunque los
servidores LDAP pueden informar errores de forma precisa a los operadores
humanos, no siempre lo hacen al comunicarse de forma programática con sistemas
como el IVE. Por lo tanto, puede que ocasionalmente los errores comunicados sean
genéricos o crípticos.

Esta sección incluye los siguientes temas con información sobre la característica de
administración de contraseñas de LDAP:

„ “Resumen de tareas: habilitación de la administración de contraseñas

de LDAP” en la página 134

„ “Directorios y servidores LDAP admitidos” en la página 134

„ “Funciones de administración de contraseñas de LDAP admitidas” en la

página 136

Resumen de tareas: habilitación de la administración de contraseñas

de LDAP
Para habilitar la administración de contraseñas mediante el IVE, debe:

1. Crear una instancia del servidor LDAP mediante la página Authentication >
Auth. Servers de la consola de administración.

2. Asociar el servidor LDAP con un territorio mediante la página

Administrators/Users > User Realms > [Territorio] > General de la consola
de administración.

3. Habilitar la administración de contraseñas para el territorio en la página

Administrators/Users > User Realms > [Territorio] > Authentication
Policy >Password de la consola de administración. Tenga en cuenta que
la opción Enable Password Management sólo aparece si el servidor de
autenticación del territorio es un servidor LDAP o NT/AD.

Directorios y servidores LDAP admitidos

El IVE admite la administración de contraseñas con los siguientes directorios LDAP:

„ Microsoft Active Directory/Windows NT

„ Sun iPlanet

„ Novell eDirectory

„ Directorios LDAP genéricos, como IBM Secure Directory y OpenLDAP

134 „ Configuración de una instancia de servidor LDAP

 Capítulo 7: Servidores de autenticación y de directorios

Además, el IVE admite la administración de contraseñas con los siguientes

directorios de Windows:

„ Microsoft Active Directory

„ Microsoft Active Directory 2003

„ Windows NT 4.0

Las siguientes secciones indican problemas específicos relacionados con los tipos
de servidores individuales.

Microsoft Active Directory

„ Los cambios en la directiva de seguridad del dominio de Active Directory
pueden demorar 5 minutos o más en propagarse entre los controladores de
dominios de Active Directory. Además, esta información no se propaga al
controlador de dominio en que se configuró originalmente para el mismo
período de tiempo. Esta es una limitación de Active Directory.

„ Al cambiar las contraseñas en Active Directory mediante LDAP, el IVE cambia

automáticamente a LDAPS, aunque LDAPS no esté configurado como método
LDAP. Para admitir LDAPS en el servidor Active Directory, debe instalar un
certificado SSL válido en el almacén de certificados personal del servidor. Tenga
en cuenta que el certificado debe estar firmado por una CA de confianza y el
CN en el campo Subject del certificado debe contener el nombre de host exacto
del servidor Active Directory, por ejemplo: adsrv1.company.com. Para instalar el
certificado, seleccione la combinación de certificados en la consola de
administración de Microsoft (MMC).

„ La opción Account Expires de la ficha User Account Properties sólo cambia

cuando vence la cuenta, no cuando vence la contraseña. Como se explica en
“Funciones de administración de contraseñas de LDAP admitidas” en la
página 136, Microsoft Active Directory calcula el vencimiento de la contraseña
usando los valores Maximum Password Age y Password Last Set recuperados
de los objetos Directiva de usuarios y LDAP de directiva de seguridad del
dominio.

Sun iPlanet
Al seleccionar la opción User must change password after reset en el servidor
iPlanet, también se debe restablecer la contraseña del usuario antes de que esta
función surta efecto. Esta es una limitación de iPlanet.

General
El IVE sólo muestra una advertencia sobre el vencimiento de la contraseña si ésta se
programa para vencer en 14 días o menos. El IVE muestra el mensaje durante cada
intento de inicio de sesión en el IVE. El mensaje de advertencia contiene el número
de días, horas y minutos restantes que el usuario tiene para cambiar su contraseña
antes de que venza en el servidor. El valor predeterminado es 14 días; sin embargo,
puede cambiarlo mediante la página de configuración de Administrators|Users >
Admin Realms|User Realms > Authorization > Password de la consola de
administración.

Configuración de una instancia de servidor LDAP „ 135

 Guía de administración de Secure Access de Juniper Networks

Funciones de administración de contraseñas de LDAP admitidas

La siguiente matriz describe las funciones de administración de contraseñas
que admite Juniper Networks, sus nombres de función correspondientes en
los directorios LDAP individuales y cualquier detalle adicional pertinente. Estas
funciones se deben configurar con el servidor LDAP en sí antes de que el IVE pueda
pasar los mensajes, funciones y restricciones correspondientes a los usuarios
finales. Al autenticar en un servidor LDAP genérico, como IBM Secure Directory,
el IVE sólo admite la autenticación y permite que los usuarios cambien sus
contraseñas.

Tabla 7: Funciones de administración de contraseñas admitidas

Función Active Directory iPlanet Novell eDirectory Genérico

Autenticar usuario unicodePwd userPassword userPassword userPassword
Permitir que el El servidor nos informa Si passwordChange == Si passwordAllowChange Sí
usuario cambie la de la respuesta de enlace ON == TRUE
contraseña si está (usa ntSecurityDescriptor)
habilitado
Cerrar sesión después Sí Sí Sí Sí
de cambiar la
contraseña
Forzar el cambio de Si pwdLastSet == 0 Si passwordMustChange Si pwdMustChange ==
contraseña en el == ON TRUE
siguiente inicio de
sesión
Notificación de userAccountControl== Si la respuesta de enlace Compruebe el valor de
contraseña vencida 0x80000 incluye OID fecha/hora en
2.16.840.1.113730.3.4.4 passwordExpirationTime
== 0
Notificación de si pwdLastSet - now() < Si la respuesta de enlace
Si now() -
vencimiento de maxPwdAge - 14 días incluye control OID passwordExpirationTime<
contraseña (en X 2.16.840.1.113730.3.4.5 14 días
(maxPwdAge se lee desde
días/horas) los atributos del dominio) (contiene fecha/hora) (El IVE muestra una
(El IVE muestra una (El IVE muestra una advertencia si es menos de
advertencia si es menos de advertencia si es menos de 14 días)
14 días) 14 días)

Impedir la userAccountControl== Código de error de enlace: Código de error de enlace:

autenticación si la 0x2 (Inhabilitada)
"cuenta está accountExpires
inhabilitada o userAccountControl ==
bloqueada" 0x10 (Bloqueada)
lockoutTime
Reconocer "historial El servidor lo indica en la
de contraseñas" respuesta de enlace
Aplicar “longitud de Si se configura, el IVE
contraseña mínima” muestra un mensaje que
informa al usuario
minPwdLength
53 "Cuenta desactivada"
Código de error de enlace:
19 "Excede el límite de
recuperación de
contraseña"
El servidor lo indica en la
respuesta de enlace
Si se configura, el IVE
muestra un mensaje que
informa al usuario
passwordMinLength
53 "Cuenta vencida"
Código de error de enlace:
53 "Bloqueo de inicio de
sesión"
El servidor lo indica en la
respuesta de enlace
Si se configura, el IVE
muestra un mensaje que
informa al usuario
passwordMinimumLength

136 „ Configuración de una instancia de servidor LDAP

 Capítulo 7: Servidores de autenticación y de directorios

Tabla 7: Funciones de administración de contraseñas admitidas (continuación)

Función Active Directory iPlanet Novell eDirectory Genérico

Impedir que el Si pwdLastSet - now() < Si passwordMinAge > 0, El servidor lo indica en la
usuario cambie las minPwdAge, entonces se entonces si now() es respuesta de enlace
contraseñas inhabilita anterior que
demasiado rápido passwordAllowChangeTime,
entonces se inhabilita

Reconocer Si pwdProperties == 0x1, El servidor lo indica en la El servidor lo indica en la

"complejidad de entonces se habilita. respuesta de enlace respuesta de enlace
contraseñas" Complejidad se refiere a
que la nueva contraseña no
contenga el nombre de
usuario, el nombre o
apellido y que contenga
caracteres de 3 de las 4
siguientes categorías:
mayúsculas del alfabeto
inglés, minúsculas del
alfabeto inglés, dígitos y
caracteres no alfabéticos
(por ejemplo, !, $, %)

Matriz de almacenamiento de contraseñas de AD/NT

La siguiente matriz describe las funciones de administración de contraseñas
admitidas por Juniper Networks.

Tabla 8: Matriz de almacenamiento de contraseñas de AD/NT

Función Active Directory Active Directory 2003 Windows NT

Autenticar usuario Sí Sí Sí
Permitir que el usuario cambie la contraseña si está habilitado Sí Sí Sí
y con licencia
Cerrar sesión después de cambiar la contraseña Sí Sí Sí
Forzar el cambio de contraseña en el siguiente inicio de sesión Sí Sí Sí
Notificación de contraseña vencida Sí Sí Sí
Cuenta inhabilitada Sí Sí Sí
Cuenta vencida Sí Sí Sí
Sí Sí Sí

Solución de problemas de administración de contraseñas de LDAP en el IVE

Al solucionar problemas, proporcione cualquier registro pertinente del IVE, registros
de servidor, información de configuración y el seguimiento de TCP del IVE. Si usa
LDAPS, cambie a la opción de LDAP “Unencrypted” en la configuración del servidor
LDAP del IVE mientras realiza seguimiento del TCP de LDAP.

Configuración de una instancia de servidor LDAP „ 137

 Guía de administración de Secure Access de Juniper Networks

Configuración de una instancia de servidor de autenticación local

El IVE permite crear una o más bases de datos de usuarios locales que se
autenticaron usando el IVE. Es posible que desee crear registros de usuarios locales
para usuarios que normalmente se verifican en un servidor de autenticación
externo que planea inhabilitar o si desea crear un grupo de usuarios temporales.
Tenga en cuenta que todas las cuentas de administrador se almacenan como
registros locales, pero puede optar por autenticar administradores mediante un
servidor externo usando las instrucciones de “Definición de directivas de
autenticación” en la página 198.

Esta sección contiene la siguiente información acerca de los servidores de

autenticación local:

„ “Definición de una instancia de servidor de autenticación local” en la

página 138

„ “Creación de cuentas de usuario en un servidor local de autenticación” en la

página 140

„ “Administración de cuentas de usuario” en la página 142

„ “Delegación de derechos de administración de usuarios a usuarios finales” en

la página 142

Definición de una instancia de servidor de autenticación local

Al definir una nueva instancia de servidor de autenticación local, debe dar
un nombre único al servidor y configurar las opciones de contraseña y su
administración. Estas opciones de contraseña permiten controlar su longitud,
composición de caracteres y exclusividad. Si lo desea, puede permitir que los
usuarios cambien sus contraseñas y obligarlos a cambiarlas después de un número
especificado de días. También puede solicitar que el usuario cambie la contraseña
dentro de determinado número de días de su fecha de vencimiento.

Para definir una instancia de servidor de autenticación local:

1. En la consola de administración, elija Authentication > Auth. Servers.

2. Siga uno de estos pasos:

„ Para crear una nueva instancia de servidor en el IVE, seleccione Local

Authentication en la lista New y haga clic en New Server.

„ Para actualizar una instancia de servidor existente, haga clic en el vínculo

correspondiente de la lista Authentication/Authorization Servers.

3. Especifique un nombre para identificar la nueva instancia de servidor o para

editar el nombre actual de un servidor existente.

138 „ Configuración de una instancia de servidor de autenticación local

 Capítulo 7: Servidores de autenticación y de directorios

4. Especifique las opciones de contraseña:

a. En Password options, configure la longitud mínima de caracteres para las

contraseñas.

b. Configure la longitud máxima de caracteres para las contraseñas

(opcional). La longitud máxima no puede ser inferior a la longitud mínima.
No existe un límite máximo para la longitud.

NOTA:

„ Si la longitud máxima configurada en el servidor de autenticación es menor

que la longitud máxima especificada en el IVE, puede recibir un error si
introduce una contraseña mayor que la especificada en el servidor de
autenticación. La consola de administración permite introducir contraseñas
de cualquier longitud, pero el máximo del servidor de autenticación
determina la validez de la longitud de la contraseña.

„ Si desea que todas las contraseñas tengan la misma longitud de caracteres,

configure el máximo y el mínimo en el mismo valor.

c. Habilite la casilla de verificación Password must have at least_digits y

especifique el número de dígitos de una contraseña (opcional). No exija
más valores que los del valor de la opción Maximum length.

d. Habilite la casilla de verificación Password must have at least_letters

especifique el número de letras de una contraseña (opcional). No exija más
letras que las del valor de la opción Maximum length. Si habilita la opción
anterior, el total combinado de dos opciones no puede exceder el valor
especificado en la opción Maximum length.

e. Habilite la casilla de verificación Password must have mix of UPPERCASE

and lowercase letters si desea que todas las contraseñas contengan una
mezcla de letras mayúsculas y minúsculas (opcional).

NOTA: Exija que las contraseñas tengan al menos dos letras si también requieren
una mezcla de mayúsculas y minúsculas.

f. Habilite la casilla de verificación Password must be different from

username si la contraseña no puede ser igual que el nombre de
usuario (opcional).

g. Habilite la casilla de verificación New passwords must be different from

previous password si la contraseña nueva no puede ser igual que la
contraseña anterior (opcional).

Configuración de una instancia de servidor de autenticación local „ 139

 Guía de administración de Secure Access de Juniper Networks

5. Especifique las opciones de administración de contraseñas:

a. En Password management, habilite la casilla de verificación Allow users

to change their passwords si desea que los usuarios puedan cambiar sus
contraseñas (opcional).

b. Habilite la casilla de verificación Force password change after _ days y

especifique el número de días en que vence una contraseña (opcional).

NOTA: El valor predeterminado es 64 días, pero puede configurar este valor en

cualquier número que desee.

c. Habilite la casilla de verificación Prompt users to change their password _

days before current password expires y proporcione el número de días
antes de que el vencimiento de la contraseña le pregunte al usuario
(opcional).

NOTA: El valor predeterminado es 14 días, pero puede configurar el valor en

cualquier número hasta el indicado en la opción anterior.

6. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Users y Admin Users.

NOTA: Después de configurar las opciones de contraseña y su administración,

es probable que deba especificar los territorios que debe usan el servidor para
autenticar y autorizar administradores y usuarios. Use la página Enable Password
Management option on the Administrators|Users > Admin Realms|User
Realms > Territorio > Authentication Policy > Password para especificar si el
territorio hereda o no los ajustes de administración de contraseñas de la instancia
de servidor de autenticación local. Para obtener más información sobre la
habilitación de administración de contraseñas, consulte “Especificación de las
restricciones de acceso para contraseñas” en la página 66.

Creación de cuentas de usuario en un servidor local de autenticación

Cuando cree una instancia de servidor de autenticación local, debe definir los
registros de usuario local para esa base de datos. Un registro de usuario local consta
de un nombre de usuario, el nombre completo del usuario y la contraseña de éste.
Es posible que desee crear registros de usuarios locales para usuarios que
normalmente se verifican en un servidor de autenticación externo que desea
inhabilitar o si desea crear rápidamente un grupo de usuarios temporales.

Para crear registros de usuarios locales para un servidor de autenticación local:

1. En la consola de administración, elija Authentication > Auth. Servers.

2. Haga clic en la base de datos del IVE en la que desee agregar una cuenta
de usuario.

3. Seleccione la ficha Users y haga clic en New.

140 „ Configuración de una instancia de servidor de autenticación local

 Capítulo 7: Servidores de autenticación y de directorios

4. Introduzca un nombre de usuario y el nombre completo del usuario Nota:

„ No incluya “~~” en un nombre de usuario.

„ Si desea cambiar el nombre de usuario después de crear la cuenta, deberá

crear una cuenta completamente nueva.

5. Introduzca y confirme la contraseña. Asegúrese de que la contraseña que

introduzca contiene las opciones de contraseña especificadas para la instancia
de servidor de autenticación local asociada.

6. Seleccione One-time use (disable account after the next successful sign-in)
si desea limitar al usuario a un solo inicio de sesión. Después de un inicio de
sesión correcto, el estado del inicio de sesión del usuario se configura en
Disabled y el usuario recibe un mensaje de error cuando intenta iniciar sesión
posteriormente. No obstante, puede restablecer manualmente esta opción en la
consola de administración para que permita que el mismo usuario inicie sesión
nuevamente. Si deja esta opción sin marcar, quiere decir que creará un usuario
permanente.

7. Seleccione Enabled si no la ha seleccionado. Los administradores usan esta

opción para habilitar o inhabilitar de forma selectiva a cualquier usuario (único
o permanente). Se selecciona de forma predeterminada. Si la opción One-time
use está marcada, esta opción cambia a Disabled después de que el usuario
inicia sesión correctamente. Si un usuario único o permanente inicia sesión
y inhabilita esta opción, se cerrará de inmediato la sesión del usuario en el
sistema y recibirá un mensaje de error.

8. Seleccione Require user to change password at next sign in si desea obligar al

usuario a que cambie su contraseña en el siguiente inicio de sesión.

NOTA: Si obliga al usuario a cambiar la contraseña, también debe habilitar la

opción Allow users to change their passwords. Use las opciones de la página
Administrators|Users > Admin Realms|User Realms > [Territorio] >
Authentication Policy > Password para especificar los territorios que deben
heredar las capacidades de administración de contraseñas del servidor.

9. Haga clic en Save Changes. El registro del usuario se agrega a la base de datos
del IVE.

NOTA: La consola de administración proporciona las últimas estadísticas de acceso

para cada cuenta de usuario en varias fichas Users de toda la consola, en un
conjunto de columnas llamadas Last Sign-in Statistic. Los informes de
estadísticas incluyen la fecha y hora del último inicio de sesión exitoso de cada
usuario, la dirección IP del usuario y el tipo y versión del agente o explorador.

Configuración de una instancia de servidor de autenticación local „ 141

 Guía de administración de Secure Access de Juniper Networks

Administración de cuentas de usuario

Para administrar una cuenta de usuario local:

1. En la consola de administración, elija Authentication > Auth. Servers.

2. Haga clic en el vínculo de servidor correspondiente en la lista

Authentication/Authorization Servers.

3. Seleccione la ficha Users.

4. Realice alguna de las siguientes tareas:

„ Introduzca un nombre de usuario en el campo Show users named y haga

clic en Update para buscar un usuario específico.

O bien, puede usar un asterisco (*) como comodín, donde * representa

cualquier número de cero o más caracteres. Por ejemplo, si desea buscar
todos los nombres de usuario que contienen las letras jo, escriba *jo* en el
Show users named field. La búsqueda distingue mayúsculas de
minúsculas. Para volver a mostrar la lista completa de cuentas, introduzca
un * o elimine el contenido del campo y haga clic en Update.

„ Introduzca un número en el campo Show N users y haga clic en Update

para controlar el número de usuarios que aparece en la página.

„ Haga clic en la casilla de verificación que se encuentra al lado de los

usuarios individuales y haga clic en Delete para terminar sus sesiones
en el IVE.

Delegación de derechos de administración de usuarios a usuarios finales

Es posible crear administradores de usuarios para otorgar algunas capacidades de
administración individuales en el IVE. Los administradores de usuarios no pueden
administrar asignaciones de territorios ni de roles. Por lo tanto, se recomienda
habilitar la característica Administración de usuarios sólo si las reglas de asignación
de roles del territorio permiten que usuarios “no coincidentes” (*) inicien sesión en
el IVE, de modo que el administrador de usuarios pueda agregar correctamente
nuevos usuarios sin la interferencia del administrador. (Cuando las asignaciones de
roles son automáticas, el administrador de usuarios no necesita que el
administrador asigne manualmente nuevos usuarios a un rol.)

Un usuario que es administrador de usuarios puede agregar nuevos usuarios,

cambiar contraseñas y eliminar usuarios existentes. Puede delegar estas
capacidades en administradores de usuarios por servidor de autenticación local.
Por ejemplo, puede otorgar al personal administrativo la capacidad de agregar
usuarios invitados para uso temporal o único.

142 „ Configuración de una instancia de servidor de autenticación local

 Capítulo 7: Servidores de autenticación y de directorios

Para delegar los derechos de administración de usuarios a un usuario final:

1. En la consola de administración, elija Authentication > Auth. Servers.

2. Seleccione la instancia de servidor de autenticación local que desea que

administre el administrador de usuarios y haga clic en la ficha Admin Users.

NOTA: Los administradores de usuarios sólo pueden administrar servidores de

autenticación local.

3. Introduzca el Username del usuario que desea que administre las cuentas del
servidor de autenticación seleccionado. No es necesario agregar a este usuario
como usuario local en el servidor.

NOTA: Tenga cuidado al introducir el nombre de usuario del administrador de

usuarios; debe ser idéntico.

4. Seleccione el Authentication Realm que el administrador de usuarios asigna

cuando inicia sesión en el IVE.

5. Haga clic en Add. El IVE agrega al nuevo administrador de usuarios a la lista

User Admins usando el formato: username@servername.

6. Si el administrador de usuarios especificado se asigna a varios territorios, repita

opcionalmente los pasos del 3 al 5 para cada territorio, de modo que el usuario
administrador pueda administrar el servidor independientemente de la cuenta
que use para iniciar sesión en el IVE.

7. Para revocar los derechos de administración del usuario, seleccione el nombre

de la lista User Admins y haga clic en Remove.

NOTA: Para obtener información sobre la administración de usuarios en la página

principal de puerta de enlace segura, consulte el tema “Adding and Modifying
Users” en la ayuda para el usuario final, que se encuentra disponible al iniciar
sesión en el IVE como usuario final.

Configuración de una instancia de servidor de autenticación local „ 143

 Guía de administración de Secure Access de Juniper Networks

Configuración de una instancia de servidor NIS

Al autenticar usuarios con un servidor UNIX/NIS, el IVE verifica que el nombre
de usuario y la contraseña introducidos mediante la página de inicio de sesión
correspondan con un ID de usuario y contraseñas válidos en el servidor NIS.
Tenga en cuenta que el nombre de usuario enviado al IVE no puede contener
dos símbolos de tilde consecutivos (~~).

NOTA: Sólo puede usar la autenticación NIS con el IVE si sus contraseñas se
almacenan en el servidor NIS usando los formatos Crypt o MD5. Tenga asimismo
en cuenta que sólo puede agregar una configuración de servidor NIS al IVE, pero
puede usarla para autenticar cualquier número de territorios.

Para definir una instancia de servidor NIS:

1. En la consola de administración, elija Authentication > Auth. Servers.

2. Siga uno de estos pasos:

„ Para crear una nueva instancia de servidor en el IVE, seleccione NIS Server
en la lista New y haga clic en New Server.

„ Para actualizar una instancia de servidor existente, haga clic en el vínculo

correspondiente de la lista Authentication/Authorization Servers.

3. Especifique un nombre para identificar la instancia de servidor.

4. Especifique el nombre o dirección IP del servidor NIS.

5. Especifique el nombre de dominio del servidor NIS.

6. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.

7. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener más información, consulte
“Definición de directivas de autenticación” en la página 198.

NOTA: Para obtener más información sobre la supervisión y eliminación de

sesiones de usuario que iniciaron sesión actualmente a través del servidor,
consulte “Supervisión de usuarios activos” en la página 848.

144 „ Configuración de una instancia de servidor NIS

 Capítulo 7: Servidores de autenticación y de directorios

Configuración de una instancia de servidor de RADIUS

Un servidor de servicio de autenticación remota de usuarios de acceso telefónico
“Remote Authentication Dial-In User Service (RADIUS) es un tipo de servidor que
permite centralizar la autenticación y contabilidad de usuarios remotos. Al usar un
servidor RADIUS para autenticar usuarios del IVE, debe configurarlo para que
reconozca al IVE como un cliente y especificar un secreto compartido que use el
servidor RADIUS para autenticar una solicitud de cliente.

El IVE admite los esquemas de autenticación RADIUS estándar, incluyendo:

„ Access-Request

„ Access-Accept

„ Access-Reject

„ Access-Challenge

El IVE También admite RSA ACE/Server usando el protocolo RADIUS y un token de

SecurID (disponible en Security Dynamics). Si usa SecurID para autenticar usuarios,
los usuarios deben proporcionar su ID y una concatenación de un PIN y el valor
de token.

Al definir un servidor RADIUS, el IVE otorga a los administradores la capacidad

de usar expresiones de desafío en código fuente (predeterminado) que admiten
Defender 4.0 y algunas implementaciones de servidor RADIUS (como Steel-Belted
RADIUS y RSA RADIUS) o para introducir expresiones de desafío personalizadas
que permitan que el IVE funcione con distintas implementaciones RADIUS y nuevas
versiones del servidor RADIUS, como Defender 5.0. El IVE busca la respuesta en el
paquete Access-Challenge del servidor y envía al usuario el correspondiente desafío
Siguiente token, Nuevo PIN o Código genérico.

Este tema contiene la siguiente información sobre el servidor RADIUS:

„ “Experiencia de los usuarios de RADIUS” en la página 146

„ “Configuración del IVE para trabajar con el servidor backend RADIUS” en la

página 147

„ “Habilitación de la contabilidad RADIUS” en la página 151

Configuración de una instancia de servidor de RADIUS „ 145

 Guía de administración de Secure Access de Juniper Networks

Experiencia de los usuarios de RADIUS

La experiencia del usuario varía dependiendo de si usa un servidor RADIUS como
Steel-Belted RADIUS, PassGo Defender RADIUS o la autenticación CASQUE.

Uso de un servidor PassGo Defender RADIUS

Si usa un servidor PassGo Defender RADIUS, el proceso de inicio de sesión del
usuario es:

1. El usuario inicia sesión en el IVE con un nombre de usuario y una contraseña.

El IVE reenvía estas credenciales a Defender.

2. Defender envía una cadena de desafío única al IVE y el IVE la muestra

al usuario.

3. El usuario introduce la cadena de desafío en un token de Defender y éste

genera una cadena de respuesta.

4. El usuario introduce la cadena de respuesta en el IVE y hace clic en Sign In.

Uso de la autenticación CASQUE

La autenticación CASQUE usa un mecanismo de autenticación de desafío/respuesta
basado en token que emplea un reproductor CASQUE instalado en el sistema
cliente. Una vez configurado con la autenticación CASQUE, el servidor RADIUS
emite un desafío con una respuesta que coincide con la expresión de desafío
personalizada (:([0-9a-zA-Z/+=]+):). El IVE genera una página intermedia que inicia
automáticamente el reproductor CASQUE instalado en el sistema del usuario.

NOTA: Si el reproductor CASQUE no se inicia automáticamente, haga clic en el

vínculo Launch CASQUE Player.

Los usuarios deben usar sus token de respondedor óptico CASQUE para generar el
código de paso correspondiente, introducirlo en el campo Response y hacer clic en
Sign In.

Figura 23: Página CASQUE Authentication Challenge/Response con reproductor

CASQUE

146 „ Configuración de una instancia de servidor de RADIUS

 Capítulo 7: Servidores de autenticación y de directorios

Configuración del IVE para trabajar con el servidor backend RADIUS

Esta sección incluye las siguientes instrucciones para configurar el IVE y el servidor
RADIUS para que funcionen en conjunto:

„ “Definición de una instancia de servidor RADIUS del IVE” en la página 147

„ “Configuración del servidor RADIUS para reconocer el IVE” en la página 150

Definición de una instancia de servidor RADIUS del IVE

Para configurar una conexión con el servidor RADIUS en el IVE:

1. En la consola de administración, elija Authentication > Auth. Servers.

2. Siga uno de estos pasos:

„ Para crear una nueva instancia de servidor en el IVE, seleccione Radius

Server en la lista Newy haga clic en New Server.

„ Para actualizar una instancia de servidor existente, haga clic en el vínculo

correspondiente de la lista Authentication/Authorization Servers.

3. En la parte superior de la página Radius Server, especifique un nombre para

identificar la instancia de servidor.

4. En el campo NAS-Identifier, introduzca el nombre que identifica al cliente del

servidor de acceso de red (NAS) del IVE que se comunica con el servidor
RADIUS. Si deja este campo vacío, el IVE usa el valor especificado en el campo
Hostname de la página System > Network > Overview de la consola de
administración. Si no se especifica un valor en el campo Hostname, el IVE usa
el valor “Juniper IVE”.

5. Especifique el nombre o dirección IP en el cuadro de texto del servidor

RADIUS.

6. Introduzca el valor del puerto de autenticación para el servidor RADIUS. Por lo

general, este puerto es el 1812, pero algunos servidores heredados podrían usar
el 1645.

7. Introduzca una cadena para el secreto compartido. También debe introducir

esta cadena al configurar el servidor RADIUS para que reconozca el equipo IVE
como un cliente.

8. Introduzca el valor del puerto de contabilidad para el servidor RADIUS. Por lo

general, este puerto es el 1813, pero algunos servidores heredados podrían usar
el 1646.

9. Introduzca la dirección IP de NAS. Esto permite controlar el valor de dirección

IP de NAS aprobado para solicitudes RADIUS. Si deja esta campo vacío, la
dirección IP interna del IVE se aprobará para las solicitudes de RADIUS. Si
configura la dirección IP de NAS, se aprobará el valor, independientemente del
nodo de clúster que envía la solicitud.

10. Introduzca el intervalo de tiempo que el IVE espera una respuesta del servidor
RADIUS antes del vencimiento de la conexión.

Configuración de una instancia de servidor de RADIUS „ 147

 Guía de administración de Secure Access de Juniper Networks

11. Introduzca el número de veces que el IVE intentará establecer una conexión
después del primer intento fallido.

12. Seleccione la casilla de verificación Users authenticate using tokens or

one-time passwords si no desea enviar la contraseña introducida por el
usuario a otras aplicaciones habilitadas para SSO. Por lo general, esta opción se
selecciona si el usuario envía las contraseñas de uso único al IVE. Para obtener
más información, consulte “Información general de credenciales de inicios de
sesión múltiples” en la página 226.

13. En la sección Backup Server, introduzca un servidor RADIUS secundario para

que el IVE lo use si el servidor principal (definido en esta instancia) no se
encuentra disponible. Para el servidor secundario, introduzca el servidor:

a. Nombre o dirección IP

b. Puerto de autenticación

c. Secreto compartido

d. Puerto de contabilidad

14. Si desea realizar seguimiento de la actividad del usuario del IVE mediante esta
instancia del servidor RADIUS, introduzca la siguiente información en la
sección Radius Accounting:

a. En el campo User-Name, especifique la información del usuario que

el IVE debe enviar al servidor de contabilidad RADIUS. Puede introducir
cualquiera de las variables de sesión aplicables descritas en “Variables del
sistema y ejemplos” en la página 1046. Las variables aplicables incluyen
aquellas se configuran después de que el usuario inicia sesión y asigna un
rol. Las variables predeterminadas de este campo son:

‰ <username> registra el nombre de usuario del IVE del usuario en el

servidor de contabilidad.

‰ <REALM> registra el territorio del IVE del usuario en el servidor de

contabilidad.

‰ <ROLE> registra el rol del IVE del usuario en el servidor de

contabilidad. Si se asigna al usuario a más de un rol, el IVE usa comas
para separarlos.

b. Agregue un Interim Update Level (en minutos). El nivel de actualización

provisional le permite lograr una facturación más precisa para clientes de
sesión en vivo prolongada y en caso de un error en la red. Para obtener
más información, consulte “Comprensión de la característica de
actualización provisional” en la página 160.

148 „ Configuración de una instancia de servidor de RADIUS

 Capítulo 7: Servidores de autenticación y de directorios

15. Seleccione la casilla de verificación Use NC assigned IP Address for FRAMED-

IP-ADDRESS attribute value in Radius Accounting para usar la dirección IP
devuelta del IVE para el atributo Framed-IP-Address.

Se graban dos direcciones IP: una antes de la autenticación con el IVE y otra
devuelta por Network Connect después de la autenticación. Seleccione esta
opción para usar la dirección IP de Network Connect para el atributo Framed-
IP-Address en lugar de la dirección IP autenticada previamente (original).

16. (opcional) Haga clic en New Radius Rule para agregar una regla de desafío
personalizado que determine la acción que se debe tomar para un paquete
entrante.

Cuando un usuario introduce su nombre de usuario y contraseña, la solicitud de

autorización inicial se envía al servidor. El servidor puede responder con un
paquete de desafío o de rechazo. En la ventana Add Custom Radius Challenge
Rule, seleccione el tipo de paquete (desafío o rechazo) y especifique la acción
que se debe tomar. Por ejemplo, puede mostrar una página de inicio de sesión
con un mensaje de error específico para el usuario o enviar automáticamente
un paquete ACCESS-REQUEST de vuelta al servidor.

Para crear una regla de desafío personalizado:

a. Seleccione el tipo de paquete entrante:

‰ Access Challenge: enviado por el servidor RADIUS solicitando más

información para permitir el acceso

‰ Access Reject: enviado por el servidor RADIUS que rechaza el acceso

b. Especifique una expresión para evaluar, según el atributo de Radius y haga

clic en Add. Si especifica más de una expresión, las expresiones se unen
con “AND” en conjunto: Para eliminar una expresión, haga clic en el icono
de eliminación junto a la expresión.

c. Elija la acción que debe tomar, seleccionando uno de los siguientes botones
de radio:

‰ show NEW PIN page: El usuario debe introducir un nuevo PIN para
su token

‰ show NEXT TOKEN page: El usuario debe introducir el siguiente

código de token

‰ show GENERIC LOGIN page: Muestra una página adicional al

usuario en respuesta a un desafío de acceso enviado por el servidor.
En ocasiones, un servidor RADIUS devuelve un paquete de desafío
y requiere que el usuario introduzca información adicional para
continuar el proceso de inicio de sesión. Por ejemplo, un servidor
recibe el nombre de usuario y contraseña iniciales y envía un mensaje
SMS al teléfono móvil del usuario con una contraseña única (OTP).
El usuario introduce la OPT en la página de inicio de sesión genérica.

Configuración de una instancia de servidor de RADIUS „ 149

 Guía de administración de Secure Access de Juniper Networks

‰ show user login page with error: Muestra la página de inicio de sesión
estándar con un mensaje de error incrustado. Esta opción permite
pasar por alto la cadena de mensaje estándar enviada por el IVE y
muestra un mensaje de error personalizado al usuario. Introduzca el
mensaje personalizado en el cuadro de texto Error Message. No existe
un límite máximo de caracteres para este mensaje.

‰ send ACCESS REQUEST with additional attributes: Envía una

ACCESS-REQUEST con el par de atributo/valor especificado. Seleccione
un atributo, introduzca su valor y haga clic en Add. Para eliminar un
atributo, haga clic en el icono junto al par de atributo/valor.

d. Haga clic en Save Changes para guardar las modificaciones y luego en

Close para cerrar esta ventana.

Las reglas personalizadas aparecen en la tabla bajo la sección Custom

Radius Authentication Rule. Para eliminar una regla, seleccione la casilla
de verificación junto a la regla y haga clic en Delete.

17. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.

18. Especifique los territorios que debe usar el servidor para autenticar,
autorizar u otorgar cuentas a los administradores y usuarios. Para obtener
más información, consulte “Definición de directivas de autenticación” en la
página 198.

NOTA: Para obtener más información sobre la supervisión y eliminación de

sesiones de usuario de este servidor que iniciaron sesión actualmente, consulte
“Supervisión de usuarios activos” en la página 848.

Configuración del servidor RADIUS para reconocer el IVE

Debe configurar el servidor RADIUS para que reconozca el IVE especificando:

„ El nombre de host otorgado al IVE.

„ La dirección IP de red del IVE.

„ El tipo de cliente del IVE, si corresponde. Si esta opción está disponible,

seleccione el servidor de transacción único o su equivalente.

„ El tipo de encriptación para usar en la autenticación de la comunicación con

el cliente. Esta opción debe corresponder con el tipo de cliente.

„ El secreto compartido introducido en la consola de administración para el

servidor RADIUS en la página Authentication > Auth. Servers > Radius
Server.

150 „ Configuración de una instancia de servidor de RADIUS

 Capítulo 7: Servidores de autenticación y de directorios

Habilitación de la contabilidad RADIUS

Puede configurar el IVE para enviar mensajes de inicio y detención de sesión a
un servidor de contabilidad RADIUS. El IVE reconoce dos categorías de sesiones:
sesiones del usuario y subsesiones. Una sesión de usuario puede contener varias
subsesiones. El IVE reconoce los siguientes tipos de subsesiones:

„ JSAM

„ WSAM

„ Network Connect

El IVE envía un mensaje de inicio de sesión cuando el usuario inicia sesión de

forma satisfactoria y el IVE le asigna un rol. El IVE envía un mensaje de inicio de
subsesión cuando ésta se activa; por ejemplo, después de iniciar JSAM. El IVE envía
un mensaje de detención de subsesión cuando hay una solicitud explícita del
usuario para terminar una subsesión o si el usuario termina la sesión de usuario.

Siempre que una sesión de usuario termina, el IVE envía un mensaje de detención
de sesión de usuario al servidor de contabilidad. Una sesión de usuario termina
siempre que el usuario:

„ Cierra sesión manualmente en el IVE

„ Se acaba el tiempo del IVE debido a inactividad o por exceder la longitud

máxima de sesión

„ Se deniega el acceso debido a las restricciones a nivel de rol de Host Checker o

Cache Cleaner

„ Un administrador fuerza el cierre de sesión del IVE o debido a una evaluación

de directiva dinámica

El IVE también envía mensajes de detención para todas las subsesiones activas. Los
mensajes de detención para las subsesiones preceden a los mensajes de detención
para la sesión de usuario.

NOTA: Si los usuarios inician sesión en un clúster del IVE, los mensajes de
contabilidad de RADIUS pueden mostrar a los usuarios que inician sesión en
un nodo y cierran sesión en otro.

Configuración de una instancia de servidor de RADIUS „ 151

 Guía de administración de Secure Access de Juniper Networks

Las siguientes tres tablas describen los atributos que son comunes para los
mensajes de inicio y detención, atributos que son exclusivos para iniciar mensajes
y atributos que son exclusivos para detenerlos.

Tabla 9: Atributos comunes para mensajes de inicio y detención

Atributo Descripción
User-Name (1) Cadena que el administrador del IVE especifica durante la
configuración del servidor RADIUS.
NAS-IP-Address (4) Dirección IP del IVE.
NAS-Port (5) El IVE configura este atributo en 0 si el usuario inició sesión usando
un puerto interno o en 1 si fue un puerto externo.
Framed-IP-Address (8) Dirección IP de origen del usuario.
NAS-Identifier (32) Nombre configurado para el cliente del IVE bajo la configuración
del servidor RADIUS.
Acct-Status-Type (40) El IVE configura este atributo en 1 para un mensaje de inicio o en 2
para un mensaje de detención en una sesión de usuario o en una
subsesión.
Acct-Session-Id (44) ID de contabilidad único que coincide con los mensajes de inicio
y detención correspondientes a una sesión de usuario o a una
subsesión.
Acct-Multi-Session-Id (50) ID de contabilidad único que puede usar para vincular varias
sesiones relacionadas. Cada sesión vinculada debe tener un
Acct-Session-Id único y el mismo Acct-Multi-Session-Id.
Acct-Link-Count (51) El recuento de vínculos en una sesión de varios vínculos en el
momento en que el IVE genera el registro de contabilidad.

Tabla 10: Atributos de inicio

Atributo Descripción
Acct-Authentic (45) El IVE configura este atributo en:
„ RADIUS: si el usuario se autentica en un servidor RADIUS.
„ Local: si el usuario se autentica en un servidor de autenticación
local.
„ Remote: para todo lo demás.

Tabla 11: Atributos de detención

Atributo Descripción
Acct-Session-Time (46) Duración de la sesión del usuario o de la subsesión.
Acct-Terminate-Cause (49) El IVE usa uno de los siguientes valores para especificar el evento
que provocó el término de una sesión de usuario o de una
subsesión:
„ User Request (1): el usuario cierra sesión manualmente.
„ Idle Timeout (4): tiempo de espera por inactividad del usuario.
„ Session Timeout (5): tiempo de espera de sesión máximo del
usuario.
„ Admin Reset (6): se fuerza la salida del usuario de la página
Active Users.

152 „ Configuración de una instancia de servidor de RADIUS

 Capítulo 7: Servidores de autenticación y de directorios

Tabla 11: Atributos de detención (continuación)

Atributo Descripción
Acct-Input-Octets Recuento basado en octetos del nivel de sesión de JSAM/WSAM/NC
cuando se terminó la sesión y del nivel de sesión del usuario
cuando la sesión terminó y llegó la hora de la actualización
provisional. Del IVE al cliente.
Acct-Output-Octets Recuento basado en octetos del nivel de sesión de JSAM/WSAM/NC
cuando se terminó la sesión y del nivel de sesión del usuario
cuando la sesión terminó y llegó la hora de la actualización
provisional. Del cliente al IVE.

Para distinguir entre una sesión de usuario y las subsesiones que contiene, examine
Acct-Session-Id y Acct-Multi-Session-Id. En una sesión de usuario, los dos atributos
son iguales. En una subsesión, Acct-Multi-Session-Id es la misma que la sesión de
usuario principal, y el IVE indica la subsesión usando uno de los siguientes sufijos
en Acct-Session-Id:

„ “JSAM” para sesiones JSAM

„ “WSAM” para sesiones WSAM

„ “NC” para sesiones Network Connect

Atributos de RADIUS admitidos

Los siguientes atributos de RADIUS se admiten en la asignación de roles de
RADIUS. Para obtener más información, consulte las descripciones completas
(de las que derivaron estas descripciones) en el sitio Web de FreeRADIUS en
http://www.freeradius.org/rfc/attributes.html.

Tabla 12: Atributos de asignación de roles de RADIUS

Atributo Descripción
ARAP-Challenge-Response Enviado en un paquete Access-Accept con Framed-
Protocol de ARAP, e incluye la respuesta al desafío de
acceso telefónico del cliente.
ARAP-Features Enviado en un paquete Access-Accept con Framed-
Protocol de ARAP. Incluye información de la
contraseña que el NAS debe enviar al usuario en un
paquete de marcadores de características de ARAP.
ARAP-Password Enviado en un paquete Access-Request que contiene
Framed- Protocol de ARAP. Sólo se debe incluir una
User-Password, CHAP-Password o ARAP-Password en
Access-Request, o uno o más EAP-Messages.
ARAP-Security Identifica el módulo de seguridad de ARAP que se
usará en un paquete Access-Challenge.
ARAP-Security-Data Contiene un desafío o respuesta del módulo de
seguridad, y se encuentra en los paquetes Access-
Challenge y Access-Request.
ARAP-Zone-Access Indica cómo usar la lista de zonas de ARAP para
el usuario.
Access-Accept Proporciona información de configuración específica
necesaria para iniciar la entrega del servicio al usuario.

Configuración de una instancia de servidor de RADIUS „ 153

 Guía de administración de Secure Access de Juniper Networks

Tabla 12: Atributos de asignación de roles de RADIUS (continuación)

Atributo Descripción
Access-Challenge Para enviar al usuario una solicitud que requiera una
respuesta, el servidor RADIUS debe responder a
Access-Request transmitiendo un paquete con el
campo Code configurado en 11 (Access-Challenge).
Access-Reject Si cualquier valor de los atributos recibidos no es
aceptable, entonces el servidor RADIUS debe
transmitir un paquete con el campo Code configurado
en 3 (Access-Reject).
Access-Request Destaca información que especifica el acceso de
usuario a un NAS específico y cualquier servicio
solicitado para ese usuario.
Accounting-Request Destaca información usada para proporcionar
contabilidad para un servicio prestado al usuario.
Accounting-Response Reconoce que Accounting-Request se ha recibido
y grabado correctamente.
Acct-Authentic Indica cómo se autenticó al usuario, ya sea mediante
RADIUS, NAS en sí u otro protocolo de autenticación
remota.
Acct-Delay-Time Indica la cantidad de segundos que el cliente ha
intentado enviar este registro.
Acct-Input-Gigawords Indica la cantidad de veces que el contador Acct-Input-
Octets se ha ajustado a 2^32 durante el transcurso de
la prestación de este servicio.
Acct-Input-Octets Indica la cantidad de octetos que se han recibido
desde el puerto durante la sesión actual.
Acct-Input-Packets Indica la cantidad de paquetes que se han recibido
desde el puerto durante la sesión proporcionada a un
usuario enmarcado.
Acct-Interim-Interval Indica el número de segundos entre cada actualización
provisional en segundos para esta sesión específica.
Acct-Link-Count El recuento de vínculos conocidos que han estado
en una determinada sesión de varios vínculos en el
momento en que se genera del registro de
contabilidad.
Acct-Multi-Session-Id ID de contabilidad único para facilitar la vinculación
junto con sesiones múltiples relacionadas en un
archivo de registro.
Acct-Output-Gigawords Indica la cantidad de veces que el contador Acct-
Output-Octets se ha ajustado en 2^32 durante la
sesión actual.
Acct-Output-Octets Indica la cantidad de octetos que se han enviado
al puerto durante esta sesión.
Acct-Output-Packets Indica la cantidad de paquetes que se han enviado al
puerto durante esta sesión a un usuario enmarcado.
Acct-Session-Id ID de contabilidad único para facilitar la coincidencia
de los registros de inicio y detención en un archivo
de registro.
Acct-Session-Time Indica la cantidad de segundos que el usuario ha
recibido el servicio.

154 „ Configuración de una instancia de servidor de RADIUS

 Capítulo 7: Servidores de autenticación y de directorios

Tabla 12: Atributos de asignación de roles de RADIUS (continuación)

Atributo Descripción
Acct-Status-Type Indica si esta Accounting-Request marca el inicio del
servicio del usuario (Inicio) o el término (Detención).
Acct-Terminate-Cause Indica cómo se terminó la sesión.
Acct-Tunnel-Connection Indica el identificador asignado a la sesión de túnel.
Acct-Tunnel-Packets-Lost Indica el número de paquetes perdidos en un vínculo
determinado.
CHAP-Challenge Contiene el CHAP Challenge enviado por el NAS al
usuario del protocolo de autenticación de
establecimiento de conexión por desafío (CHAP) PPP.
CHAP-Password El valor de respuesta proporcionado por un usuario
del protocolo de autenticación de establecimiento
de conexión por desafío (CHAP) PPP en respuesta
al desafío.
Callback-Id El nombre de la ubicación a la que se llamará, para ser
interpretada por NAS.
Callback-Number La cadena de marcación que se usará para
retrollamada.
Called-Station-Id Permite que el NAS envíe el número de teléfono al que
llamó el usuario, usando la identificación del número
marcado (DNIS) o una tecnología similar.
Calling-Station-Id Permite que el NAS envíe el número de teléfono del
que provino la llamada, usando la identificación
automática del número (ANI) o una tecnología similar.
Class Enviado por el servidor al cliente en Access-Accept
y luego enviado sin modificaciones por el cliente al
servidor de contabilidad como parte del paquete
Accounting-Request, si se admite la contabilidad.
Configuration-Token Para uso en grandes redes de autenticación distribuida
basadas en proxy.
Connect-Info Enviado desde NAS para indicar la naturaleza de la
conexión del usuario.
EAP-Message Encapsula los paquetes del protocolo de acceso
extendido [3] para permitir que NAS autentique a los
usuarios de marcado telefónico mediante EAP sin
tener que comprender el protocolo EAP.
Filter-Id El nombre de la lista del filtro para este usuario.
Framed-AppleTalk-Link El número de red de AppleTalk usado para el vínculo
serie con el usuario, que es otro enrutador AppleTalk.
Framed-AppleTalk-Network El número de red de AppleTalk en que NAS puede
investigar la asignación a un nodo de AppleTalk para
el usuario.
Framed-AppleTalk-Zone La zona predeterminada de AppleTalk que se usará
para este usuario.
Framed-Compression Un protocolo de compresión que se usará para el
vínculo.
Framed-IP-Address La dirección que se configurará para el usuario.
Framed-IP-Netmask La submáscara IP que se configurará para el usuario
cuando sea un enrutador en una red.

Configuración de una instancia de servidor de RADIUS „ 155

 Guía de administración de Secure Access de Juniper Networks

Tabla 12: Atributos de asignación de roles de RADIUS (continuación)

Atributo Descripción
Framed-IPv6-Pool Contiene el nombre de un grupo asignado utilizado
para asignar un prefijo IPv6 para el usuario.
Framed-IPv6-Route Información de enrutamiento que se configurará para
el usuario en NAS.
Framed-IPX-Network El número de red IPX que se configurará para
el usuario.
Framed-MTU La unidad de transmisión máxima que se configurará
para el usuario, cuando no la negocia por otros medios
(como PPP).
Framed-Pool El nombre de un grupo de dirección asignado utilizado
para asignar una dirección para el usuario.
Framed-Protocol El marco que se usará para el acceso enmarcado.
Framed-Route Información de enrutamiento que se configurará para
el usuario en NAS.
Framed-Routing El método de enrutamiento para el usuario, cuando
éste es un enrutador en una red.
Idle-Timeout Configura el número máximo de segundos
consecutivos de conexión inactiva permitida para el
usuario antes del término de la sesión o mensaje.
Keep-Alives Use SNMP en lugar de keep-alives.
Login-IP-Host Indica el sistema al que se conectará el usuario,
cuando se incluye el atributo Login-Service.
Login-LAT-Group Contiene una cadena que identifica los códigos
del grupo LAT que este usuario tiene autorización
para usar.
Login-LAT-Node Indica el nodo con que el usuario se conectará
automáticamente mediante LAT.
Login-LAT-Port Indica el puerto con que el usuario se conectará
mediante LAT.
Login-LAT-Service Indica el sistema con que el usuario se conectará
mediante LAT.
Login-Service Indica el servicio que se usará para conectar al usuario
al host de inicio de sesión.
Login-TCP-Port Indica el puerto TCP con que se conectará el usuario,
cuando también esté presente el atributo Login-
Service.
MS-ARAP-Challenge Sólo presente en un paquete Access-Request que
contiene un atributo Framed-Protocol con el valor 3
(ARAP).
MS-ARAP-Password-Change-Reason Indica la razón para el cambio de contraseña iniciada
por el servidor.
MS-Acct-Auth-Type Representa el método usado para autenticar al usuario
de acceso telefónico.
MS-Acct-EAP-Type Representa el tipo de protocolo de autenticación
extensible (EAP) [15] usado para autenticar al usuario
de acceso telefónico.

156 „ Configuración de una instancia de servidor de RADIUS

 Capítulo 7: Servidores de autenticación y de directorios

Tabla 12: Atributos de asignación de roles de RADIUS (continuación)

Atributo Descripción
MS-BAP-Usage Describe si se permite, inhabilita o requiere el uso
de BAP en llamadas nuevas con varios enlaces.
MS-CHAP-CPW-1 Permite que el usuario cambie la contraseña si
ha vencido.
MS-CHAP-CPW-2 Permite que el usuario cambie la contraseña si
ha vencido.
MS-CHAP-Challenge Contiene el desafío enviado por NAS al usuario del
protocolo de autenticación de establecimiento de
conexión por desafío de Microsoft (MS-CHAP).
MS-CHAP-Domain Indica el dominio de Windows NT en que se autenticó
el usuario.
MS-CHAP-Error Contiene los datos de error relacionados con el
intercambio MS-CHAP anterior.
MS-CHAP-LM-Enc-PW Contiene la contraseña de Windows NT encriptada
con el hash de contraseña anterior de LAN Manager.
MS-CHAP-MPPE-Keys Contiene dos claves de sesión para uso con el
protocolo de encriptación punto a punto de
Microsoft (MPPE).
MS-CHAP-NT-Enc-PW Contiene la nueva contraseña de Windows NT
encriptada con el hash de contraseña anterior de
Windows NT.
MS-CHAP-Response Contiene el valor de respuesta proporcionado por
el usuario del protocolo de autenticación de
establecimiento de conexión por desafío (MS-CHAP)
PPP en respuesta al desafío.
MS-CHAP2-CPW Permite que el usuario cambie la contraseña si
ha vencido.
MS-CHAP2-Response Contiene el valor de respuesta proporcionado por un
interlocutor MS- CHAP-V2 en respuesta al desafío.
MS-CHAP2-Success Contiene una cadena de respuesta del autenticador de
42 octetos.
MS-Filter Se usa para transmitir filtros de tráfico.
MS-Link-Drop-Time-Limit Indica el tiempo (en segundos) que un vínculo debe
subutilizarse antes de desecharse.
MS-Link-Utilization-Threshold Representa el porcentaje de utilización de banda
ancha disponible en que debe clasificarse el vínculo
antes de que esté listo para su término.
MS-MPPE-Encryption-Policy Significa si se permite o requiere el uso de la
encriptación.
MS-MPPE-Encryption-Types Significa los tipos de encriptación disponible para uso
con MPPE.
MS-MPPE-Recv-Key Contiene una clave de sesión para uso con el protocolo
de encriptación punto a punto de Microsoft (MPPE).
MS-MPPE-Send-Key Contiene una clave de sesión para uso con el protocolo
de encriptación punto a punto de Microsoft (MPPE).
MS-New-ARAP-Password Transmite la nueva contraseña de ARAP durante una
operación de cambio de contraseña de ARAP.

Configuración de una instancia de servidor de RADIUS „ 157

 Guía de administración de Secure Access de Juniper Networks

Tabla 12: Atributos de asignación de roles de RADIUS (continuación)

Atributo Descripción
MS-Old-ARAP-Password Transmite la contraseña de ARAP antigua durante una
operación de cambio de contraseña de ARAP.
MS-Primary-DNS-Server Indica la dirección del servidor de nombre de dominio
(DNS) principal [16, 17] que usará el interlocutor PPP.
MS-Primary-NBNS-Server Indica la dirección del servidor de nombre NetBIOS
(NBNS) principal [18] que usará el interlocutor PPP.
MS-RAS-Vendor Indica el fabricante del equipo cliente RADIUS.
MS-RAS-Version Indica la versión del software cliente RADIUS.
MS-Secondary-DNS-Server Indica la dirección del servidor DNS secundario que
usará el interlocutor PPP.
MS-Secondary-NBNS-Server Indica la dirección del servidor DNS secundario que
usará el interlocutor PPP.
NAS-IP-Address Indica la dirección IP de identificación de NAS que
solicita autenticación del usuario, que debe ser única
para NAS dentro del alcance del servidor RADIUS.
NAS-Identifier Contiene una cadena que identifica el NAS que origina
Access-Request.
NAS-Port Indica el número de puerto físico del NAS que está
autenticando al usuario.
NAS-Port-Id Contiene una cadena de texto que identifica el puerto
del NAS que está autenticando al usuario.
NAS-Port-Type Indica el tipo de puerto físico del NAS que está
autenticando al usuario.
Password-Retry Indica la cantidad de intentos de autenticación que
tiene permitido un usuario antes de desconectarse.
Port-Limit Configura el número máximo de puertos que NAS
proporcionará al usuario.
Prompt Indica a NAS si debe mostrar en pantalla o no la
respuesta del usuario a medida que la introduce.
Proxy-State Un servidor proxy puede enviar este atributo a otro
servidor al reenviar Access-Request. Este atributo se
debe devolver sin modificar en Access-Accept,
Access-Reject o Access-Challenge.
Reply-Message El texto que se puede mostrar al usuario.
Service-Type El tipo de servicio que el usuario ha solicitado o el tipo
de servicio que se le proporciona.
Session-Timeout Configura el número máximo de segundos de servicio
que se proporcionarán al usuario antes del término de
la sesión o mensaje.
State Un paquete debe tener sólo cero o un atributo Select.
El uso del atributo State depende de la
implementación.
Telephone-number El uso de los atributos de RADIUS Calling-Station-Id
y Called-Station-Id, la autorización y los atributos de
túnel posteriores se pueden basar en el número de
teléfono que origina la llamada o el número al que
se llama.

158 „ Configuración de una instancia de servidor de RADIUS

 Capítulo 7: Servidores de autenticación y de directorios

Tabla 12: Atributos de asignación de roles de RADIUS (continuación)

Atributo Descripción
Termination-Action La acción de NAS debe realizarse cuando se completa
el servicio especificado.
Tunnel-Assignment-ID Indica al iniciador de túnel el túnel en particular al que
se asignará una sesión.
Tunnel-Client-Auth-ID Especifica el nombre usado por el iniciador de túnel
durante la fase de autenticación del establecimiento
del túnel.
Tunnel-Client-Endpoint Contiene la dirección del término del iniciador
del túnel.
Tunnel-Link-Reject Marca el rechazo del establecimiento de un nuevo
vínculo en un túnel existente.
Tunnel-Link-Start Marca la creación de un vínculo de túnel.
Tunnel-Link-Stop Marca la destrucción de un vínculo de túnel.
Tunnel-Medium-Type El medio de transporte para usar al crear un túnel para
esos protocolos (como L2TP) que pueden operar en
varios transportes.
Tunnel-Medium-Type El medio de transporte para usar al crear un túnel para
esos protocolos (como L2TP) que pueden operar en
varios transportes.
Tunnel-Password Una contraseña que se usará para autenticarse en un
servidor remoto.
Tunnel-Preference Si el servidor RADIUS devuelve más de un conjunto de
atributos de encapsulamiento en el iniciador de túnel,
debe incluir este atributo en cada conjunto para
indicar la preferencia relativa asignada a cada túnel.
Tunnel-Private-Group-ID El ID de grupo para una sesión encapsulada en
particular.
Tunnel-Reject Marca el rechazo del establecimiento de un túnel con
otro nodo.
Tunnel-Server-Auth-ID Especifica el nombre usado por el terminador de túnel
durante la fase de autenticación del establecimiento
del túnel.
Tunnel-Server-Endpoint La dirección del término de servidor del túnel.
Tunnel-Start Marca el establecimiento de un túnel con otro nodo.
Tunnel-Stop Marca la destrucción de un túnel hacia o desde otro
nodo.
Tunnel-Type Los protocolos de encapsulamiento que se usarán
(en caso de un iniciador de túnel) o el protocolo de
encapsulamiento en uso (en caso de un terminador
de túnel).
User-Name El nombre del usuario que se autenticará.
User-Password La contraseña del usuario que se autenticará o los
comentarios de éste posteriores a Access-Challenge.

Configuración de una instancia de servidor de RADIUS „ 159

 Guía de administración de Secure Access de Juniper Networks

Comprensión de los problemas de los clústeres

Cada nodo de clúster sin consolidación envía mensajes de contabilidad al servidor
RADIUS. La contabilidad de RADIUS en el IVE presupone lo siguiente:

„ Si el clúster es activo/pasivo, todos los usuarios se conectan a un nodo a la vez.

„ Si el clúster es activo/activo y no usa un equilibrador, los usuarios se conectan a

nodos diferentes, pero son estáticos.

„ Si el clúster es activo/activo y usa un equilibrador, éste normalmente obliga una

IP de origen persistente. En este caso, los usuarios siempre se conectan al
mismo nodo.

El IVE no admite el equilibrio de la carga para RADIUS.

Comprensión de la característica de actualización provisional

Si desea que un servidor reciba mensajes de contabilidad provisionales, puede
configurar de manera estática un valor provisional en el cliente, en cuyo caso,
el valor configurado localmente sobrescribe cualquier valor que pudiera incluirse
en el mensaje de RADIUS Access-Accept.

El recuento de octetos informado en los mensajes de contabilidad es el total

acumulado desde el inicio de la sesión de usuario.

El recuento de bytes de actualización provisional sólo se admite basándose en una

sesión de usuario, no en sesiones SAM o NC.

El intervalo de actualización provisional mínima es de 15 minutos. Puede que las

estadísticas de datos (bytes de entrada y de salida) para la contabilidad de RADIUS
no se envíen a una sesión J-SAM/W-SAM/NC si ésta es menor que cinco minutos y
las aplicaciones mantienen las conexiones abiertas en todo momento.

Configuración de una instancia de servidor eTrust SiteMinder

Al configurar el IVE para autenticar usuarios con un servidor de directivas eTrust
SiteMinder, el IVE pasa las credenciales del usuario a SiteMinder durante la
autenticación. Una vez que SiteMinder recibe las credenciales, puede usar la
autenticación estándar de nombre de usuario y contraseña, tokens de ACE SecurID
o certificados del lado cliente para autenticar las credenciales (como se explica en
“Autenticación mediante los diferentes esquemas de autenticación” en la
página 163).

El IVE también pasa un recurso protegido en SiteMinder durante la autenticación

para determinar qué territorio de SiteMinder debe usar para autenticar al usuario.
Cuando el IVE pasa el recurso protegido, SiteMinder autoriza la URL del usuario en
el territorio asociado con el recurso y permite que el usuario acceda sin problemas
a cualquier recurso cuyos niveles de protección sean iguales o inferiores a los
recursos del IVE que se pasaron (como se explica en “Configuración del IVE para
otorgar a los usuarios diferentes recursos protegidos” en la página 173). Si el
usuario intenta acceder a un recurso Web con un nivel de protección mayor,
SiteMinder o el IVE se encarga de la solicitud (como se explica en “Reautenticación
de usuarios con niveles insuficientes de protección” en la página 164).

160 „ Configuración de una instancia de servidor eTrust SiteMinder

 Capítulo 7: Servidores de autenticación y de directorios

Este tema incluye la siguiente información sobre servidores eTrust SiteMinder:

„ “Información general sobre eTrust SiteMinder” en la página 161

„ “Configuración de SiteMinder para que funcione con el IVE” en la página 165

„ “Configuración del IVE para que funcione con SiteMinder” en la página 172

Información general sobre eTrust SiteMinder

El IVE habilita el inicio de sesión único (SSO) del IVE en recursos protegidos por
SiteMinder usando las cookies de SMSESSION. Una cookie de SMSESSION es un
token de seguridad que encapsula la información de sesión de SiteMinder.
Dependiendo de la configuración, el agente Web de SiteMinder o el IVE crea una
cookie de SMSESSION y la publica en las siguientes ubicaciones para que el usuario
no tenga que volver a autenticarse si desea acceder a recursos adicionales:

„ El IVE: Si el usuario intenta acceder a un recurso de SiteMinder desde dentro de

su sesión del IVE (por ejemplo, desde la página de exploración de archivos del
IVE), el IVE pasa la cookie de SMSESSION en memoria caché al agente Web
para su autenticación.

„ El explorador de Web del usuario: Si el usuario intenta acceder a un recurso

de SiteMinder desde fuera de su sesión del IVE (por ejemplo, al usar un recurso
protegido en un agente estándar), SiteMinder usa la cookie de SMSESSION en
memoria caché almacenada en el explorador de Web para autenticar/autorizar
al usuario.

Si habilita la opción Automatic Sign-In (como se explica en “Automatic Sign-In” en

la página 177), el IVE puede usar una cookie de SMSESSION generada por otro
agente para habilitar el inicio de sesión único de un recurso de SiteMinder en el IVE.
Cuando un usuario accede a la página de inicio de sesión del IVE con una cookie de
SMSESSION, el IVE verifica la cookie de SMSESSION. Tras la verificación correcta,
el IVE establece una sesión del IVE para el usuario. Puede usar los siguientes
mecanismos de autenticación para habilitar el inicio de sesión automático
mediante el IVE:

„ Agente personalizado: El IVE autentica al usuario en el servidor de directivas y

genera una cookie de SMSESSION. Cuando selecciona esta opción, puede
habilitar SSO en otros agentes SiteMinder que usan el mismo servidor de
directivas. Para habilitar SSO en estos agentes, actualice cada uno de ellos para
aceptar cookies de terceros (como se explica en “Authenticate using custom
agent” en la página 178). Si selecciona esta opción y el usuario introduce su
sesión del IVE con una cookie de SMSESSION, el IVE intenta iniciar sesión
automáticamente cuando el usuario introduce la sesión del IVE.

„ Publicación en HTML: El IVE publica credenciales en un agente Web estándar

que haya configurado. El agente Web crea entonces cookies de SMSESSION.
Si selecciona esta opción, no puede usar los modos Nuevo PIN de SecurID ni
Siguiente token o la autenticación de certificados del lado cliente (como se
explica en “Authenticate using HTML form post” en la página 179). Si
selecciona esta opción y el usuario introduce su sesión del IVE con una cookie
de SMSESSION, el IVE intenta iniciar sesión automáticamente cuando el
usuario introduce la sesión del IVE.

Configuración de una instancia de servidor eTrust SiteMinder „ 161

 Guía de administración de Secure Access de Juniper Networks

„ Autenticación delegada: El IVE delega la autenticación a un agente estándar. Si

esta opción está habilitada, el IVE intenta determinar la URL de FCC asociada
con el recurso protegido. El IVE redirige al usuario a la URL de FCC con la URL
de inicio de sesión del IVE como TARGET. Después de una autenticación
correcta, se redirige al usuario de vuelta al IVE con una cookie de SMSESSION y
el IVE realiza un inicio de sesión automático para el usuario (como se explica en
“Delegate authentication to a standard agent” en la página 180).

NOTA:

„ En el momento de esta impresión, Juniper Networks admite el servidor eTrust

SiteMinder versión 6.0 y 5.5 con versiones de agente estándar 6 y 5QMR5. Si
ejecuta agentes anteriores a los admitidos, puede experimentar problemas de
validación de las cookies, incluyendo entradas cruzadas de registro y tiempos
de espera de usuario intermitentes.

„ Puede elegir la versión de servidor eTrust SiteMinder que desea que sea
compatible cuando cree una instancia de servidor. Puede elegir la versión 5.5,
que admite las versiones 5.5 y 6.0, o puede elegir la versión 6.0, que sólo
admite la versión 6.0. No existe diferencia en la funcionalidad de servidor
de autenticación SiteMinder según en la versión que seleccione. Esta opción
controla la versión de Netegrity SDK que se debe usar. Se recomienda que
haga coincidir el modo de compatibilidad con la versión del servidor de
directivas.

„ Al usar SiteMinder para llevar a cabo la autenticación, los servidores de

directivas principal y de respaldo deben ejecutar la misma versión de software
del servidor SiteMinder. No se admite una implementación mixta (en que el
servidor principal ejecute una versión de software de servidor diferente que la
de respaldo).

„ SiteMinder no almacena la dirección IP en la cookie de SMSESSION y por lo

tanto no puede pasarla al dispositivo IVE.

„ SiteMinder envía la cookie de SMSESSION al IVE como una cookie persistente.

Para maximizar la seguridad, el IVE restablece la cookie persistente como una
cookie de sesión una vez que se completa la autenticación.

„ Al usar SiteMinder para la autenticación, el IVE descarta cualquier sesión y

tiempo de espera por inactividad del IVE y usa la información configurada a
través del territorio de SiteMinder.

„ Al usar SiteMinder para la autenticación, los usuarios deben acceder al IVE

usando un nombre de dominio totalmente clasificado. Ello se debe a que la
cookie de SMSESSION de SiteMinder sólo se envía para el dominio en que se
configuró. Si los usuarios acceden al IVE usando una dirección IP, pueden
recibir un error de autenticación y se les solicitará que se autentiquen
nuevamente.

„ El IVE registra cualquier código de error de SiteMinder en la página System >

Log/Monitoring > User Access. Para obtener información sobre los códigos
de error de SiteMinder, consulte la documentación de SiteMinder.

162 „ Configuración de una instancia de servidor eTrust SiteMinder

 Capítulo 7: Servidores de autenticación y de directorios

Autenticación mediante los diferentes esquemas de autenticación

Dentro de SiteMinder, un esquema de autenticación es una forma de recopilar
credenciales de usuario y determinar la identidad de un usuario. Puede crear
distintos esquemas de autenticación y asociar niveles de protección diferentes con
cada uno. Por ejemplo, puede crear dos esquemas: uno que autentica usuarios
basándose exclusivamente en los certificados del lado cliente del usuario y les
proporciona un nivel de protección bajo, y otro que usa la autenticación del token
de ACE SecurID y ofrece a los usuarios un nivel de protección superior. El IVE
funciona con los siguientes tipos de esquemas de autenticación de SiteMinder:

„ Basic username and password authentication: El nombre y contraseña del

usuario se pasan al servidor de directivas SiteMinder. El servidor de directivas
puede autenticarlos o pasarlos a otro servidor para su autenticación.

„ ACE SecurID token authentication: El servidor de directivas SiteMinder

autentica usuarios basándose en un nombre de usuario y contraseña generada
por un token de ACE SecurID.

„ Client-side certificate authentication: El servidor de directivas SiteMinder

autentica usuarios basándose en sus credenciales de certificado del lado
cliente. Si elige este método de autenticación, el explorador de Web muestra
una lista de certificados de cliente de los usuarios que puede seleccionar.

NOTA:

„ Si elige autenticar usuarios con este método, debe importar el certificado

cliente al IVE mediante la ficha System > Certificates > Trusted Client CAs.
Para obtener más información, consulte “Uso de CA de cliente de confianza”
en la página 758.

„ Si no desea mostrar la página de inicio estándar del IVE a los usuarios,

puede cambiarla usando la característica de páginas de inicio personalizables.
Para obtener más información, consulte el manual Custom Sign-In Pages
Solution Guide.

„ La autenticación de certificados del lado cliente de SiteMinder se realiza

aparte de la autenticación de certificados del lado cliente del IVE. Si elige
ambas opciones, el IVE autentica primero usando los parámetros de
configuración del IVE. Si lo hace de forma correcta, pasa los valores del
certificado a SiteMinder para su autenticación.

Para obtener más información, consulte:

„ “Creación de un esquema de autenticación de SiteMinder para el IVE” en la

página 167

„ “Configuración del IVE para que funcione con varios esquemas de

autenticación” en la página 172

Configuración de una instancia de servidor eTrust SiteMinder „ 163

 Guía de administración de Secure Access de Juniper Networks

Reautenticación de usuarios con niveles insuficientes de protección

Durante la configuración del IVE, debe especificar un recurso protegido con el fin
de controlar el nivel de protección permitido en la sesión de SiteMinder del usuario,
como se explica en “Información general sobre eTrust SiteMinder” en la
página 161. No obstante, si el usuario intenta acceder a un recurso Web que
requiere un mayor nivel de protección que el autorizado, el IVE también puede
manejar la reautenticación dirigiéndolo a una página intermedia (siempre que se
haya habilitado la opción Resource for insufficient protection level durante la
configuración del IVE). Para obtener más información, consulte “Resource for
insufficient protection level” en la página 182.

La página intermedia del IVE contiene dos opciones:

„ Continue: Cuando el usuario selecciona esta opción, el IVE cierra su sesión

actual, le solicita las credenciales que requiere el recurso de nivel superior
y lo dirige a la página que intenta acceder si se autentican sus credenciales.
(Tenga en cuenta que si el usuario está ejecutando Host Checker o Cache
Cleaner y no opta por introducir sus credenciales cuando el IVE le solicita una
nueva autenticación, la aplicación Host Checker o Cache Cleaner continúa
ejecutándose en el sistema del usuario hasta que caduca su sesión en el IVE.)

„ Cancel: Cuando el usuario selecciona esta opción, es redirigido a la página

anterior.

De lo contrario, si elige no volver a autenticarse mediante el IVE, el proceso de

reautenticación dependerá de si el servidor de directivas devuelve o no una URL
de esquema de autenticación al usuario. Si el servidor de directivas:

„ No devuelve una URL de esquema de autenticación: El IVE devuelve un

mensaje de error de validación al usuario y realiza la reautenticación mediante
la página de inicio de sesión estándar del IVE. Al usuario se le solicita que
vuelva a iniciar sesión, pero se asigna su nivel de protección original y es
posible que aún no pueda iniciar sesión en la página deseada.

„ Devuelve una URL de esquema de autenticación: El IVE redirige al agente

Web que especifique en el IVE para manejar la reautenticación.

Para obtener más información sobre cómo hacer que el IVE maneje la
reautenticación, consulte “Creación de un esquema de autenticación de SiteMinder
para el IVE” en la página 167.

164 „ Configuración de una instancia de servidor eTrust SiteMinder

 Capítulo 7: Servidores de autenticación y de directorios

Determinación del nombre de usuario del usuario

Con la disponibilidad de esquemas de autenticación y puntos de inicio de sesión
diferentes, el IVE puede obtener un nombre de usuario de varios orígenes, como un
encabezado de servidor de directivas, un atributo de certificado o de la página de
inicio de sesión del IVE. A continuación aparecen varios métodos que un usuario
puede emplear para acceder al IVE y cómo el IVE determina el nombre de usuario
de cada uno. Cuando un usuario:

„ Inicia sesión mediante la página de inicio de sesión estándar del IVE: El IVE
primero comprueba el nombre de usuario que devuelve el servidor de directivas
en su encabezado de respuesta OnAuthAccept. Si SiteMinder no define un
nombre de usuario, el IVE usa el nombre que el usuario introdujo durante el
inicio de sesión. En caso contrario, si ni SiteMinder ni el usuario proporcionan
un nombre de usuario porque el usuario se autentica usando un certificado
cliente, el IVE usa el valor UserDN configurado por el servidor de directivas.

„ Inicia sesión automáticamente en el IVE usando las credenciales de

SiteMinder: El IVE primero comprueba el nombre de usuario que devuelve
el servidor de directivas en su encabezado de respuesta OnAuthAccept. Si
SiteMinder no define un nombre de usuario, el IVE comprueba la cookie de
SMSESSION. De lo contrario, si SiteMinder no completa el encabezado de
respuesta o cookie de SMSESSION con un nombre de usuario, el IVE
comprueba el valor UserDN en la cookie de SMSESSION.

Una vez que el IVE determina el nombre de usuario que usará, lo guarda en la
memoria caché de su sesión y hace referencia a éste cuando el usuario desea
obtener acceso a recursos adicionales (como se explica en “Información general
sobre eTrust SiteMinder” en la página 161).

Para devolver siempre el nombre de usuario correcto al IVE, debe configurar la

respuesta OnAuthAccept en el servidor de directivas SiteMinder, como se explica en
“Creación de un par de regla/respuesta para pasar nombres de usuario al IVE” en la
página 170.

Configuración de SiteMinder para que funcione con el IVE

Los siguientes procedimientos describen cómo configurar un servidor de directivas
SiteMinder para que funcione con el IVE. Éstas no son las instrucciones completas
de SiteMinder, sino que sólo pretenden ayudarle a que SiteMinder funcione con el
IVE. Para obtener información detallada de la configuración de SiteMinder, consulte
la documentación que se proporciona con el servidor de directivas SiteMinder.

NOTA: Las instrucciones que se muestran aquí son para la versión 5.5 del servidor
de directivas SiteMinder. Las instrucciones pueden variar levemente si usa una
versión de producto diferente.

Para configurar SiteMinder para que funcione con el IVE, debe realizar los
siguientes procedimientos:

1. “Configuración del agente de SiteMinder” en la página 166

2. “Creación de un esquema de autenticación de SiteMinder para el IVE” en la

página 167

Configuración de una instancia de servidor eTrust SiteMinder „ 165

 Guía de administración de Secure Access de Juniper Networks

3. “Creación de un dominio de SiteMinder para el IVE” en la página 169

4. “Creación de un territorio de SiteMinder para el IVE” en la página 169

5. “Creación de un par de regla/respuesta para pasar nombres de usuario al IVE”

en la página 170

6. “Creación de una directiva de SiteMinder en el dominio” en la página 172

Configuración del agente de SiteMinder

Un agente de SiteMinder filtra las solicitudes del usuario para aplicar los controles
de acceso. Por ejemplo, cuando un usuario solicita un recurso protegido, el agente
pide al usuario las credenciales basándose en un esquema de autenticación y envía
las credenciales al servidor de directivas SiteMinder. Un agente Web es simplemente
un agente que funciona con un servidor Web. Al configurar SiteMinder para que
funcione con el IVE, debe configurar el IVE como un agente Web en la mayoría de
los casos.

NOTA: Si selecciona la opción Delegate authentication to a standard agent, debe

configurar las siguientes opciones en el objeto de configuración del agente Web
estándar que hospeda la URL de FCC:

„ EncryptAgentName=no

„ FCCCompatMode=no

Para configurar el IVE como un agente Web en el servidor de directivas SiteMinder:

1. En la interfaz de administración de SiteMinder, elija la ficha System.

2. Haga clic con el botón secundario en Agents y elija Create Agent.

3. Introduzca un nombre para el agente Web y (opcionalmente) una descripción.

Tenga en cuenta que debe introducir este nombre al crear un territorio de
SiteMinder, (como se explica en “Creación de un territorio de SiteMinder para el
IVE” en la página 169) y al configurar el IVE (como se explica en “Agent Name,
Secret” en la página 175).

4. Debe seleccionar la opción Support 5.x agents de compatibilidad con el IVE.

5. En Agent Type, seleccione SiteMinder y Web Agent de la lista desplegable.

Debe seleccionar este ajuste de compatibilidad con el IVE.

6. En IP Address or Host Name, introduzca el nombre o la dirección IP del IVE.

7. En el campo Shared Secret, introduzca y confirme un secreto para el agente

Web. Tenga en cuenta que debe introducir este secreto al configurar el IVE
(como se explica en “Agent Name, Secret” en la página 175).

8. Haga clic en OK.

166 „ Configuración de una instancia de servidor eTrust SiteMinder

 Capítulo 7: Servidores de autenticación y de directorios

Creación de un esquema de autenticación de SiteMinder para el IVE

Dentro de SiteMinder, el esquema de autenticación proporciona una forma de
recopilar credenciales y determinar la identidad de un usuario.

Para configurar el esquema de autenticación de SiteMinder para el IVE:

1. En la interfaz de administración de SiteMinder, elija la ficha System.

2. Haga clic con el botón secundario en Authentication Schemes y elija Create

Authentication Scheme.

3. Introduzca un nombre para el esquema y (opcionalmente) una descripción.

Tenga en cuenta que debe introducir este nombre al configurar el territorio de
SiteMinder (como se explica en “Creación de un territorio de SiteMinder para el
IVE” en la página 169).

4. En Authentication Scheme Type, seleccione una de las siguientes opciones:

„ Basic Template

„ HTML Form Template

„ SecurID HTML Form Template1

„ X509 Client Cert Template

„ X509 Client Cert and Basic Authentication

NOTA:

„ El IVE sólo admite los tipos de esquemas de autenticación que se

indican aquí.

„ Debe seleccionar HTML Form Template si desea que el IVE se encargue de

la reautenticación (como se describe en “Reautenticación de usuarios con
niveles insuficientes de protección” en la página 164).

„ Si selecciona X509 Client Cert Template o X509 Client Cert and Basic
Authentication, debe importar el certificado al IVE mediante la ficha
System > Certificates > Trusted Client CAs. Para obtener más información,
consulte “Uso de CA de cliente de confianza” en la página 758.

5. Introduzca un nivel de protección para el esquema. Tenga en cuenta que este

nivel de protección se lleva a cabo en el territorio de SiteMinder que asoció con
este esquema. Para obtener más información, consulte “Creación de un
territorio de SiteMinder para el IVE” en la página 169.

6. Seleccione Password Policies Enabled for this Authentication Scheme si

desea volver a autenticar a los usuarios que solicitan recursos con un nivel
de protección superior al que tienen autorizado el acceso.

1. Si usa la autenticación de SecurID, debe elegir la plantilla de formulario HTML de SecurID (en lugar de la
plantilla de SecurID). Al elegir esta opción se habilita el servidor de directivas para que envíe códigos de error
de inicio de sesión de ACE al IVE.

Configuración de una instancia de servidor eTrust SiteMinder „ 167

 Guía de administración de Secure Access de Juniper Networks

7. En la ficha Scheme Setup, introduzca las opciones requeridas por el tipo de

esquema de autenticación.

Si desea que el IVE vuelva a autenticar usuarios que solicitan recursos con un
nivel de protección superior al que tienen autorizado el acceso, debe introducir
los siguientes ajustes:

„ En Server Name, introduzca el nombre de host del IVE (por ejemplo,

ventas.suempresa.net).

„ Seleccione la casilla de verificación Use SSL Connection.

„ En Target, introduzca la URL de inicio de sesión del IVE que se define en

la primera viñeta de este paso más el parámetro “ive=1” (por ejemplo,
/highproturl?ive=1). (El IVE debe tener una directiva de inicio de sesión
que use */highproturl como la URL de inicio de sesión y que sólo utilice el
territorio de autenticación de SiteMinder correspondiente.)

NOTA: Al guardar los cambios, ive=1 desaparece del objetivo. Esto es normal.
El servidor de directivas incluye ive=1 en la URL completa del esquema de
autenticación que envía al IVE, para que pueda verla en el campo Parameter de
la ficha Advanced.

„ Anule la selección de la casilla de verificación Allow Form Authentication

Scheme to Save Credentials.

„ Deje Additional Attribute List en blanco.

8. Haga clic en OK.

NOTA:

„ Si cambia el esquema de autenticación de SiteMinder en el servidor de

directivas, debe borrar la memoria caché usando la opción Flush Cache de la
ficha Advanced.

„ Para obtener información sobre la configuración del IVE para manejar varios
esquemas de autenticación, consulte “Configuración del IVE para que
funcione con varios esquemas de autenticación” en la página 172.

168 „ Configuración de una instancia de servidor eTrust SiteMinder

 Capítulo 7: Servidores de autenticación y de directorios

Creación de un dominio de SiteMinder para el IVE

Dentro de SiteMinder, el dominio de directivas es un grupo lógico de recursos
asociados con uno o más directorios de usuarios. Los dominios de directivas
contienen territorios, respuestas y directivas. Al configurar el IVE para que funcione
con SiteMinder, debe otorgar acceso a los usuarios del IVEa los recursos de
SiteMinder dentro de un territorio y agruparlo en un dominio.

Para configurar un dominio de SiteMinder para el IVE, en la interfaz de

administración de SiteMinder, elija la ficha System, haga clic con el botón
secundario en Domains y elija Create Domain. O bien, haga clic en Domains y
elija un dominio de SiteMinder existente. Tenga en cuenta que debe agregar un
territorio a este dominio (como se explica en “Creación de un territorio de
SiteMinder para el IVE” en la página 169).

Creación de un territorio de SiteMinder para el IVE

Dentro de SiteMinder, un territorio es un clúster de recursos dentro de un dominio
de directivas agrupadas de acuerdo con los requisitos de seguridad. Al configurar
SiteMinder para que funcione con el IVE, debe definir los territorios para
determinar a qué recursos pueden acceder los usuarios del IVE.

Para configurar un territorio de SiteMinder para el IVE:

1. En la interfaz de administración de SiteMinder, elija la ficha Domains.

2. Expanda el dominio que creó para el IVE. Para obtener más información,
consulte “Creación de un dominio de SiteMinder para el IVE” en la página 169.

3. Haga clic con el botón secundario en Realms y elija Create Realm.

4. Introduzca un nombre y (opcionalmente) una descripción para el territorio.

5. En el campo Agent, seleccione el agente Web que creó para el IVE. Para
obtener más información, consulte “Configuración del agente de SiteMinder”
en la página 166.

6. En el campo Resource Filter, introduzca un recurso protegido. Este recurso

hereda el nivel de protección especificado en el esquema de autenticación
correspondiente. Para el nivel de protección predeterminado, introduzca
/ive-authentication. Tenga en cuenta que debe introducir este recurso al
configurar el IVE (como se explica en “Protected Resource” en la página 175).
O bien, si usa directivas de inicio de sesión con URL no predeterminadas como
*/nete o */cert, debe tener los filtros de recursos correspondientes en la
configuración de SiteMinder.

7. En la lista Authentication Schemes, seleccione el esquema que creó para

el IVE (como se explica en “Creación de un esquema de autenticación de
SiteMinder para el IVE” en la página 167).

8. Haga clic en OK.

Configuración de una instancia de servidor eTrust SiteMinder „ 169

 Guía de administración de Secure Access de Juniper Networks

Creación de un par de regla/respuesta para pasar nombres de usuario

al IVE
Dentro de SiteMinder, puede usar reglas para activar respuestas cuando ocurren
eventos de autenticación o autorización. Una respuesta pasa los atributos DN, texto
fijo o respuestas activas personalizadas del servidor de directivas SiteMinder a un
agente de SiteMinder. Al configurar SiteMinder para que funcione con el IVE, debe
crear una regla que se active cuando un usuario se autentica de forma correcta.
A continuación, debe crear una respuesta correspondiente que pase el nombre de
usuario del usuario al agente Web del IVE.

Para crear una regla nueva:

1. En la interfaz de administración de SiteMinder, elija la ficha Domains.

2. Expanda el dominio que creó para el IVE (como se explica en “Creación de un

dominio de SiteMinder para el IVE” en la página 169) y expanda Realms.

3. Haga clic con el botón secundario en el territorio que creó para el IVE (como se
explica en “Creación de un territorio de SiteMinder para el IVE” en la
página 169) y elija Create Rule under Realm.

4. Introduzca un nombre y (opcionalmente) una descripción para la regla.

5. En Action, elija Authentication Events y OnAuthAccept en la lista desplegable.

6. Seleccione Enabled.

7. Haga clic en OK.

Para crear una respuesta nueva:

1. En la interfaz de administración de SiteMinder, elija la ficha Domains.

2. Expanda el dominio que creó para el IVE (como se explica en “Creación de un

dominio de SiteMinder para el IVE” en la página 169).

3. Haga clic con el botón secundario en Responses y seleccione Create Response.

4. Introduzca un nombre y (opcionalmente) una descripción para la respuesta.

5. Seleccione SiteMinder y el agente Web del IVE (como se explica en

“Configuración del agente de SiteMinder” en la página 166).

6. Haga clic en Create.

7. En la lista Attribute, elija WebAgent-HTTP-Header-Variable.

8. En Attribute Kind, seleccione Static.

9. En Variable Name, introduzca IVEUSERNAME.

10. En Variable Value, introduzca un nombre de usuario.

11. Haga clic en OK.

170 „ Configuración de una instancia de servidor eTrust SiteMinder

 Capítulo 7: Servidores de autenticación y de directorios

Creación de atributos de usuario de SiteMinder para la asignación de

roles del IVE
Si crea atributos de usuario de SiteMinder en un servidor de directivas SiteMinder,
puede usar esos atributos de usuario en las reglas de asignación de roles del IVE
para asignar usuarios a las funciones. Por ejemplo, quizás desee asignar un usuario
a varios roles del IVE en función del departamento en el que trabaje. Para usar un
atributo de usuario de SiteMinder en una regla de asignación de roles, debe hacer
referencia al nombre de la cookie que se incluye en la cookie del atributo de usuario
de SiteMinder.

El siguiente procedimiento es necesario sólo si desea usar atributos de usuario de

SiteMinder en las reglas de asignación de roles del IVE.

Para crear atributos de usuario en un servidor SiteMinder:

1. En la interfaz de administración de SiteMinder, elija la ficha Domains.

2. Expanda el dominio que creó para el IVE (como se explica en “Creación de un

dominio de SiteMinder para el IVE” en la página 169).

3. Haga clic con el botón derecho del ratón en Responses y seleccione Create
Response.

4. Introduzca un nombre y (opcionalmente) una descripción para la respuesta.

5. Seleccione SiteMinder y el agente Web del IVE (como se explica en

“Configuración del agente de SiteMinder” en la página 166).

6. Haga clic en Create.

7. En la lista Attribute, elija WebAgent-HTTP-Cookie-Variable.

8. En Attribute Kind, seleccione User Attribute.

9. Para Cookie Name, introduzca un nombre para la cookie, como department.

Puede hacer referencia al nombre de esta cookie en una regla de asignación de
roles del IVE.

10. Para Attribute Name, introduzca el nombre del atributo en el directorio de

usuarios de SiteMinder. (Éste se refiere al atributo en el servidor LDAP que usa
SiteMinder).

11. Haga clic en OK.

12. Asigne la respuesta de User Attribute a un tipo de regla de OnAuthAccept.

(Consulte “Creación de un par de regla/respuesta para pasar nombres de
usuario al IVE” en la página 170.)

13. Haga referencia al nombre de la cookie en la regla de asignación de roles para

un territorio del IVE que usa el servidor de directivas SiteMinder. Para obtener
instrucciones, consulte “Uso de atributos de usuario de SiteMinder para la
asignación de roles del IVE” en la página 184.

Configuración de una instancia de servidor eTrust SiteMinder „ 171

 Guía de administración de Secure Access de Juniper Networks

Creación de una directiva de SiteMinder en el dominio

Dentro de SiteMinder, una directiva asocia usuarios con reglas. Para configurar una
directiva de SiteMinder en un dominio, en la interfaz de administración de
SiteMinder, elija la ficha Domains, seleccione el dominio al que desea agregar una
directiva, haga clic con el botón derecho del ratón en Policies y elija Create Policy.

Configuración del IVE para que funcione con SiteMinder

Esta sección incluye las siguientes instrucciones para configurar el IVE de modo que
funcione con un servidor de directivas SiteMinder:

„ “Configuración del IVE para que funcione con varios esquemas de

autenticación” en la página 172

„ “Configuración del IVE para otorgar a los usuarios diferentes recursos

protegidos” en la página 173

„ “Definición de una instancia de servidor eTrust SiteMinder” en la página 174

„ “Definición de un territorio de SiteMinder para el inicio de sesión automático”

en la página 185

Configuración del IVE para que funcione con varios esquemas de

autenticación
Para configurar el IVE de modo que funcione con varios esquemas de autenticación
de SiteMinder, debe:

1. Configurar los esquemas de autenticación en el servidor de directivas

SiteMinder. Para obtener instrucciones, consulte “Creación de un esquema de
autenticación de SiteMinder para el IVE” en la página 167.

2. Crear una instancia del servidor de directivas SiteMinder del IVE para todos los
esquemas de autenticación que desee usar. Para obtener instrucciones,
consulte “Definición de una instancia de servidor eTrust SiteMinder” en la
página 174.

3. Especificar los territorios del IVE que debe usar la instancia del servidor de
directivas SiteMinder del IVE para autenticar y autorizar a los administradores
y usuarios. Para obtener instrucciones, consulte “Creación de un territorio de
autenticación” en la página 196.

4. Para cada recurso protegido en el servidor de directivas SiteMinder, cree una

directiva de inicio de sesión del IVE. En la página Authentication >
Authentication > Signing In Policies > New Sign-In Policy:

„ Especifique una URL de inicio de sesión del IVE que coincida con la URL de
recurso protegido de SiteMinder en el servidor de directivas. Haga coincidir
parte de la ruta de la URL con el filtro de recursos de SiteMinder en la
configuración del territorio de SiteMinder. Por ejemplo, puede especificar
*/ACE/ como URL de inicio de sesión del IVE para que coincida con una
URL de SiteMinder de XYZ/ACE, donde XYZ es el nombre de un territorio.

172 „ Configuración de una instancia de servidor eTrust SiteMinder

 Capítulo 7: Servidores de autenticación y de directorios

„ Seleccione el territorio del IVE que especificó que debe usar el servidor de
directivas SiteMinder.

Para obtener instrucciones, consulte “Configuración de directivas de inicio de

sesión” en la página 214.

El usuario inicia sesión en el IVE usando una de las URL de inicio de sesión del IVE.
El IVE envía la URL del recurso protegido a SiteMinder, y según el recurso,
SiteMinder determina qué tipo de esquema usará para autenticar al usuario. El IVE
recopila las credenciales que requiere el esquema de autenticación y las pasa a
SiteMinder para su autenticación.

Configuración del IVE para otorgar a los usuarios diferentes recursos

protegidos
Para configurar el IVE para que otorgue acceso a los usuarios a varios recursos
protegidos por SiteMinder (y por asociación, diferentes niveles de protección),
debe:

1. Defina los recursos que el servidor SiteMinder debe proteger. Cada uno de estos
recursos hereda un nivel de protección de un esquema de autenticación de
SiteMinder correspondiente. Para obtener instrucciones, consulte “Creación de
un territorio de SiteMinder para el IVE” en la página 169.

2. Cree una instancia del servidor de directivas SiteMinder del IVE para todos los
recursos protegidos y los niveles de protección correspondientes que desea
permitir. Para obtener instrucciones, consulte “Definición de una instancia de
servidor eTrust SiteMinder” en la página 174.

3. Especifique qué territorio del IVE debe usar la instancia del servidor de
directivas SiteMinder del IVE. Para obtener instrucciones, consulte “Creación de
un territorio de autenticación” en la página 196.

4. Para cada recurso en el servidor de directivas SiteMinder, cree una directiva de

inicio de sesión del IVE de cada filtro de recursos del nivel de territorio. En la
página de configuración de la directiva de inicio de sesión, especifique:

„ Una URL de inicio de sesión del IVE que coincida con la URL de recurso
protegido del servidor de directivas. Haga coincidir parte de la ruta de la
URL con el filtro de recursos de SiteMinder. Por ejemplo, puede definir las
siguientes URL:

https://employees.yourcompany.com/sales
https://employees.yourcompany.com/engineering

Cuando los usuarios inician sesión en la primera URL, pueden acceder al

recurso protegido “sales”, y cuando inician sesión en la segunda URL,
puede acceder al recurso protegido “engineering”.

Para definir un recurso predeterminado (ive-authentication), introduzca * en

la ruta de la URL.

Configuración de una instancia de servidor eTrust SiteMinder „ 173

 Guía de administración de Secure Access de Juniper Networks

„ Seleccione el territorio del IVE que especificó que debe usar el servidor de
directivas SiteMinder.

Para obtener instrucciones, consulte “Configuración de directivas de inicio de

sesión” en la página 214.

Durante la producción, el usuario inicia sesión en el IVE usando una de las

siguientes URL. El IVE extrae el recurso protegido de la URL y autentica al usuario
en el territorio adecuado.

Definición de una instancia de servidor eTrust SiteMinder

Dentro del IVE, una instancia de SiteMinder es un conjunto de ajustes de
configuración que definen la forma en que el IVE interactúa con el servidor de
directivas SiteMinder. Después de definir la instancia de servidor de SiteMinder,
especifique los territorios del IVE que debe usar la instancia del servidor de
directivas SiteMinder del IVE para autenticar y autorizar a administradores y
usuarios. Para obtener instrucciones, consulte “Creación de un territorio de
autenticación” en la página 196.

Definición de una instancia de servidor eTrust SiteMinder

1. En la consola de administración, elija Authentication > Auth. Servers.

2. Siga uno de estos pasos:

„ Para crear una nueva instancia de servidor en el IVE, seleccione SiteMinder

Server en la lista New y haga clic en New Server.

„ Para actualizar una instancia de servidor existente, haga clic en el vínculo

correspondiente de la lista Authentication/Authorization Servers.

3. Configure el servidor usando los ajustes descritos en la Tabla 13.

4. Para agregar los atributos de usuario de SiteMinder a la instancia de servidor de

SiteMinder:

a. Haga clic en Server Catalog para que aparezca el catálogo de servidores.

b. Introduzca el nombre de la cookie del atributo de usuario de SiteMinder en

el campo Attribute del catálogo de servidores y haga clic en Add Attribute.
(Para obtener más información sobre las cookies de atributos de usuario de
SiteMinder, consulte “Creación de atributos de usuario de SiteMinder para
la asignación de roles del IVE” en la página 171.)

c. Al terminar de agregar los nombres de las cookies, haga clic en OK.

El IVE muestra los nombres de las cookies de los atributos de usuario
de SiteMinder en la lista Attribute de la página Role Mapping Rule. Para
obtener instrucciones sobre la configuración, consulte “Uso de atributos de
usuario de SiteMinder para la asignación de roles del IVE” en la
página 184.

5. Haga clic en Save Changes.

174 „ Configuración de una instancia de servidor eTrust SiteMinder

 Capítulo 7: Servidores de autenticación y de directorios

6. Configure las opciones de configuración avanzada de SiteMinder (opcional)

usando los ajustes descritos en la Tabla 14.

NOTA: Para obtener más información sobre la supervisión y eliminación de

sesiones de usuarios que hayan iniciado sesión a través del servidor, consulte
“Supervisión de usuarios activos” en la página 848.

Tabla 13: Opciones de configuración de eTrust SiteMinder

Opción Descripción
Name Introduzca un nombre para identificar la instancia de servidor.
Policy Server Introduzca el nombre o la dirección IP del servidor de directivas
SiteMinder que desea usar para autenticar usuarios.
Backup Server(s), Introduzca una lista delimitada por comas de los servidores de
Failover Mode directivas de respaldo (opcional). A continuación, elija un modo de
conmutación por error:
„ Seleccione Yes para el que el dispositivo IVE use el servidor de
directivas principal, excepto que falle.
„ Seleccione No para que el dispositivo IVE distribuya la carga entre
todos los servidores de directivas especificados.
Agent Name, Introduzca un secreto compartido y el nombre del agente especificado
Secret en “Configuración del agente de SiteMinder” en la página 166. Tenga en
cuenta que distinguen mayúsculas de minúsculas.
Compatible with Elija un una versión de servidor SiteMinder. La versión 5.5 admite las
versiones 5.5 y 6.0. La versión 6.0 admite sólo la versión 6.0 de la API
del servidor SiteMinder. El valor predeterminado es servidores de
directivas 5.5.
On logout, redirect to Especifique una URL a la que se redirigirá a los usuarios cuando cierren
sesión en el IVE (opcional). Si deja este campo vacío, los usuarios verán
la página de inicio predeterminada del IVE.
Nota: El campo On logout, redirect to se incluye en la versión del
producto para compatibilidad con versiones anteriores, pero está
prevista su eliminación. Si desea redirigir a los usuarios a una página
de inicio de sesión diferente cuando cierren sesión, se recomienda
encarecidamente usar la característica de páginas de inicio de sesión
personalizables. Para obtener más información, consulte el manual
Custom Sign-In Pages Solution Guide.
Protected Resource Especifique el recurso protegido predeterminado que se especificó en
“Creación de un territorio de SiteMinder para el IVE” en la página 169.
Si no crea directivas de inicio de sesión para SiteMinder, el IVE usa esta
URL predeterminada para configurar el nivel de protección del usuario
para la sesión. El IVE también usa la URL predeterminada si desea
seleccionar la opción Automatic Sign-In. Si los usuarios inician sesión
en la URL “*” (página de inicio predeterminada del IVE), introduzca
cualquier URL (“/IVE-authentication” es el valor predeterminado) para
configurar el nivel de protección en el valor predeterminado del IVE.
Si crea directivas de inicio de sesión para SiteMinder, el IVE usa estas
directivas de inicio de sesión en lugar de la URL predeterminada.
Nota: Debe introducir una barra diagonal (/) al comienzo del recurso
(por ejemplo, “/ive-authentication”).

Configuración de una instancia de servidor eTrust SiteMinder „ 175

 Guía de administración de Secure Access de Juniper Networks

Tabla 13: Opciones de configuración de eTrust SiteMinder (continuación)

Opción Descripción
Resource Action (Sólo lectura) Para nuevas instancias de servidor SiteMinder, el IVE
configura la acción del recurso en GET. Si la instancia de SiteMinder
se actualiza de una instancia 3.x, el IVE usa la acción del recurso
(por ejemplo, GET, POST o PUT) que eligió previamente. Tenga en
cuenta que para cambiar una acción de recurso existente a GET, debe
eliminar la instancia de servidor SiteMinder y crear una nueva instancia
que use GET.
Ajustes de cookies de SMSESSION
Cookie Domain Introduzca el dominio de cookies del IVE. (Un dominio de cookies es el
dominio en que las cookies del usuario están activas; el IVE envía las
cookies al explorador del usuario en este dominio).
Nota:
„ Varios dominios deben usar un punto inicial y estar separados por
coma. Por ejemplo: .ventas.miorg.com, .marketing.miorg.com
„ Los nombres de dominio distinguen mayúsculas de minúsculas.
„ No puede usar caracteres comodín.
Por ejemplo, si define “.juniper.net”, el usuario debe acceder al IVE
como “http://ive.juniper.net” para asegurarse de que su cookie de
SMSESSION se envíe de vuelta al IVE.
Protocol (Sólo lectura) Indica que el IVE usa el protocolo HTTPS para enviar
cookies al explorador de Web del usuario.
IVE Cookie Domain Introduzca los dominios de Internet a los que el IVE envía la cookie de
SMSESSION usando las mismas pautas descritas en el campo Cookie
Domain. (Un dominio de cookies de IVE habilita un inicio de sesión
único en varios dominios de cookies. Permite que la información del
usuario se transfiera cuando se diríjase de un dominio a otro). Si
configuró un proveedor de cookies para permitir inicios de sesión
únicos en varios dominios de cookies, introduzca el dominio o el
proveedor de cookies. De lo contrario, introduzca los dominios de
los agentes Web para los que se desean inicios de sesión únicos.
Por ejemplo: .juniper.net
Protocol Elija HTTPS para enviar las cookies de forma segura si otros agentes
Web se configuran para aceptar cookies seguras o HTTP para enviar las
cookies de una forma no segura.

176 „ Configuración de una instancia de servidor eTrust SiteMinder

 Capítulo 7: Servidores de autenticación y de directorios

Tabla 13: Opciones de configuración de eTrust SiteMinder (continuación)

Opción Descripción
Ajustes de autenticación de SiteMinder
Automatic Sign-In Seleccione la opción Automatic Sign-In para que los usuarios que
tienen una cookie de SMSESSION válida inicien sesión
automáticamente en el IVE. Luego, seleccione el territorio de
autenticación al que se asignarán los usuarios. Si selecciona esta opción,
tenga en cuenta que:
„ Si el nivel de protección asociado con una cookie de SMSESSION del
usuario es diferente del nivel de protección del territorio del IVE, el
IVE usa el nivel de protección asociado con la cookie.
„ Para habilitar un inicio de sesión único de otro agente Web en el IVE,
el IVE debe validar una cookie de SMSESSION existente creada por
un agente Web estándar.
„ El IVE admite las siguientes limitaciones de territorio y rol con la
característica Automatic Sign-in: Host Checker, Cache Cleaner,
dirección IP, explorador, y comprobaciones de límite de usuarios
simultáneos. Las restricciones de certificado y contraseña no se
admiten puesto que no se pueden aplicar a los usuarios que inician
sesión automáticamente.
„ El IVE no admite la característica Automatic Sign-in para los roles de
administrador. Esta característica sólo se encuentra disponible para
los usuarios finales.

Al seleccionar la opción Automatic Sign-In, también debe configurar las

siguientes subopciones:
„ To assign user roles, use this authentication realm
Seleccione un territorio de autenticación para los usuarios que inician
sesión automáticamente. El IVE asigna al usuario a un rol basándose
en las reglas de asignación de roles definidas en el territorio
seleccionado.
Nota: Si asigna usuarios a roles basándose en el nombre de usuario,
consulte “Determinación del nombre de usuario del usuario” en la
página 165 para obtener información sobre qué nombre de usuario
usa el IVE.

Configuración de una instancia de servidor eTrust SiteMinder „ 177

 Guía de administración de Secure Access de Juniper Networks

Tabla 13: Opciones de configuración de eTrust SiteMinder (continuación)

Opción Descripción
„ If Automatic Sign In fails, redirect to
Introduzca una URL alternativa para los usuarios que inician sesión
en el IVE mediante el mecanismo de inicio de sesión automático que
se explica en “Automatic Sign-In” en la página 177. El IVE redirige a
los usuarios a la URL especificada si el IVE no realiza la autenticación
y no se recibe una respuesta de redireccionamiento del servidor de
directivas SiteMinder. Si deja este campo vacío, se solicita a los
usuarios que vuelvan a iniciar sesión en el IVE.
Nota:
„ Los usuarios que inician sesión a través de la página de inicio de
sesión del IVE siempre son redirigidos a la página de inicio de
sesión del IVE si se produce un error en la autenticación.
„ Si usa la opción de UI personalizables (Custom Pages) que se
explica en el manual Custom Sign-In Pages Solution Guide, tenga en
cuenta que el IVE redirige a welcome.cgi en dos casos diferentes.
Debe representar ambos casos especiales en la página
personalizada:
Tiempos de espera por sesión y por inactividad:
/dana-na/auth/welcome.cgi?p=timed-out
Error en la validación de la cookie:
/dana-na/auth/welcome.cgi?p=failed
Si usa una directiva de acceso sólo con autorización, debe introducir una
URL alternativa en este campo sin importar si selecciona la opción
Automatic Sign In. Los usuarios son redirigidos a esta URL cuando falla
la validación de la cookie de SMSESSION o si no existen cookies de
SMSESSION. Para obtener más información sobre las directivas de
acceso sólo con autorización.
Authenticate using Elija esta opción si desea llevar a cabo la autenticación usando el agente
custom agent Web personalizado del IVE. Tenga en cuenta que si selecciona esta
opción, también debe:
„ Actualizar todos los agentes Web estándar en la versión de
mantenimiento trimestral (QMR) del agente de Siteminder para
aceptar las cookies creadas por el IVE. Si ejecuta los agentes Web de
SiteMinder versión 5, use el parche urgente QMR5. El IVE es
compatible con la versión 5.x y posterior de los agentes de
SiteMinder. Las versiones anteriores de los agentes de SiteMinder son
susceptibles a errores en la validación de la cookie.
„ Configure el atributo Accept Third Party Cookie (AcceptTPCookie) en
Yes en el archivo de configuración del agente Web (webagent.conf) o
en 1 en el registro de Windows para el servidor Web IIS. La ubicación
del atributo depende de la versión de SiteMinder y del servidor Web
que use. Para obtener más información, consulte la documentación
proporcionada con el servidor SiteMinder.

178 „ Configuración de una instancia de servidor eTrust SiteMinder

 Capítulo 7: Servidores de autenticación y de directorios

Tabla 13: Opciones de configuración de eTrust SiteMinder (continuación)

Opción Descripción
Authenticate using Elija esta opción si desea publicar las credenciales de usuario en un
HTML form post agente Web estándar que haya configurado en lugar de contactarse
directamente con el servidor de directivas SiteMinder. Si selecciona esta
opción, el agente Web se contacta con el servidor de directivas para
determinar la página de inicio de sesión correspondiente para mostrar
al usuario. Para configurar el IVE para que “actúe como un explorador”
que publica las credenciales en el agente Web estándar, debe introducir
la información definida a continuación. La forma más fácil de buscar
esta información es:
1. Abrir un explorador de Web e introducir la URL del agente Web
estándar que desea usar. Por ejemplo, http://webagent.juniper.net
2. Anote la URL de la página de inicio de sesión de SiteMinder que
aparece. Por ejemplo:
http://webagent.juniper.net/siteminderagent/forms/login.fcc?TYPE=
33554433&REALMOID=06-2525fa65-5a7f-11d5-9ee0-
0003471b786c&GUID=&SMAUTHREASON=0&TARGET=$SM$http
%3a%2f%2fwebagent%2ejuniper%2enet%2fportal%2findex%2ejsp
3. Extraiga la información de la URL para introducirla en los campos que
aparecen a continuación.
Nota:
„ No puede usar los modos Nuevos PIN de SecurID y Siguiente token,
la autenticación de certificados del lado cliente ni las capturas SNMP
con la opción Authenticate using HTML form post.
„ La opción Authorize While Authenticating no se puede aplicar con
la opción HTML form post.
„ Puede autenticar usuarios usando esta opción, pero si desea
autorizarlos, debe seleccionar Authenticate using custom agent.

Al seleccionar la opción Authenticate using HTML form post, también

debe configurar las siguientes subopciones:
„ Target
URL en el servidor Web externo habilitado por eTrust. En la URL de la
página de inicio de sesión del agente Web, el destino aparece después
de &TARGET=$SM$. Por ejemplo, en la URL que aparece en
“Authenticate using HTML form post” en la página 179, el destino es:
http%3a%2f%2fwebagent%2ejuniper%2enet%2fportal%2findex%2ejsp
Después de convertir caracteres especiales (%3a=dos puntos,
%2f=barra diagonal, %2e=punto), el objetivo final es:
http://webagent.juniper.net/portal/index.jsp
„ Protocol
Protocolo para la comunicación entre IVE y el agente Web
especificado. Use HTTP para la comunicación no segura o HTTPS
para la comunicación segura. En la URL de la página de inicio de
sesión del agente Web, el protocolo aparece primero. Por ejemplo,
en la URL que aparece en “Authenticate using HTML form post” en la
página 179, el protocolo es HTTP.

Configuración de una instancia de servidor eTrust SiteMinder „ 179

 Guía de administración de Secure Access de Juniper Networks

Tabla 13: Opciones de configuración de eTrust SiteMinder (continuación)

Opción Descripción
„ Web Agent
Nombre del agente Web desde el cual el IVE obtendrá las cookies de
SMSESSION. No se permite una dirección IP para este campo.
(Especificar la dirección IP como el agente Web evita que algunos
exploradores acepten cookies). En la URL de la página de inicio de
sesión del agente Web, éste aparece después del protocolo. Por
ejemplo, en la URL que aparece en “Authenticate using HTML form
post” en la página 179, el agente Web es: webagent.juniper.net
„ Port
Puerto 80 para HTTP o puerto 443 para HTTPS.
„ Path
Ruta de la página de inicio de sesión del agente Web. Tenga en cuenta
que la ruta debe comenzar con un carácter de barra diagonal (/). En la
URL de la página de inicio de sesión del agente Web, la ruta aparece
después del agente Web. Por ejemplo, en la URL que aparece en
“Authenticate using HTML form post” en la página 179, la ruta es:
/siteminderagent/forms/login.fcc
„ Parameters
Parámetros posteriores que se envían cuando un usuario inicia
sesión. Las variables comunes de SiteMinder que puede usar son
_ _USER_ _, _ _PASS_ _ y _ _TARGET_ _. Estas variables se reemplazan
por el nombre de usuario y la contraseña introducidos por el usuario
en la página de inicio de sesión del agente Web y por el valor
especificado en el campo Target. Existen parámetros
predeterminados para login.fcc; si ha efectuado personalizaciones,
es posible que deba cambiar estos parámetros.
Delegate Elija esta opción si desea delegar la autenticación a un agente estándar.
authentication to Cuando el usuario accede a la página de inicio de sesión del IVE, el IVE
a standard agent determina la URL de FCC asociada con el esquema de autenticación del
recurso protegido. El IVE redirige al usuario a esa URL, ajustando la URL
de inicio de sesión del IVE como destino. Después de realizar una
autenticación correcta con el agente estándar, se configura una cookie
de SMSESSION en el explorador del usuario y se redirige de vuelta al
IVE. El IVE inicia la sesión del usuario automáticamente y establece una
sesión del IVE. Para obtener información sobre la configuración del
esquema de autenticación, consulte “Creación de un esquema de
autenticación de SiteMinder para el IVE” en la página 167.
NOTA:
„ Debe habilitar la opción Automatic Sign-In para usar esta
característica.
„ Si habilita esta opción y un usuario ya tiene una cookie de
SMSESSION válida cuando intenta acceder a un recurso, el IVE
intenta iniciar sesión automáticamente usando la cookie de
SMSESSION existente. Si la cookie no es válida, el IVE borra la cookie
de SMSESSION y las cookies del IVE correspondientes y presenta al
usuario una página de “tiempo de espera”. El IVE delega
correctamente la autenticación cuando el usuario hace clic en la
opción “volver a iniciar sesión”.
„ Si selecciona esta opción, el esquema de autenticación debe tener
una URL de FCC asociada.

180 „ Configuración de una instancia de servidor eTrust SiteMinder

 Capítulo 7: Servidores de autenticación y de directorios

Tabla 13: Opciones de configuración de eTrust SiteMinder (continuación)

Opción Descripción
Authorize requests Seleccione esta opción si desea usar las reglas del servidor de directivas
against SiteMinder SiteMinder para autorizar las solicitudes del recurso Web del usuario. Si
policy server selecciona esta opción, asegúrese de crear las reglas correspondientes
en SiteMinder que comiencen con el nombre del servidor, seguido de
una barra diagonal, como: "www.yahoo.com/", "www.yahoo.com/*" y
"www.yahoo.com/r/f1". Para obtener más información, consulte la
documentación proporcionada con el servidor SiteMinder.
Si utiliza una directiva de acceso sólo con autorización, debe seleccionar
esta opción e introducir valores para las tres siguientes opciones
(se describen a continuación) para que funcione correctamente la
característica de proxy inverso. Para obtener más información sobre
las directivas de acceso sólo con autorización, consulte “Definición de
directivas de acceso sólo con autorización” en la página 215.
If authorization fails, Introduzca una URL alternativa a la que se redirigirán los usuarios si el
redirect to IVE no autoriza y no se recibe una respuesta de redireccionamiento del
servidor de directivas SiteMinder. Si deja este campo vacío, se solicita a
los usuarios que vuelvan a iniciar sesión en el IVE.
Nota:
„ Si usa una directiva de acceso sólo con autorización, debe
introducir una URL alternativa en este campo sin importar si
selecciona la opción Authorize requests against SiteMinder policy
server. Los usuarios son redirigidos a esta URL cuando se produce
un error de denegación de acceso. Para obtener más información
sobre las directivas de acceso sólo con autorización, consulte
“Definición de directivas de acceso sólo con autorización” en la
página 215.

Configuración de una instancia de servidor eTrust SiteMinder „ 181

 Guía de administración de Secure Access de Juniper Networks

Tabla 13: Opciones de configuración de eTrust SiteMinder (continuación)

Opción Descripción
Resource for Introduzca un recurso en el agente Web al que el IVE redirigirá a los
insufficient usuarios cuando no tengan los permisos correspondientes.
protection level Cuando un usuario accede a un recurso con un nivel de protección
mayor que el de la cookie de SMSESSION, obtiene una página de inicio
de sesión seguro. Tras volver a autenticarse, obtiene una cookie de
SMSESSION con un mayor nivel de protección y es redirigido a una
página Web. El tipo de página Web que muestra el IVE depende del
método utilizado para volver a autenticar usuarios*:
„ Un agente Web estándar con "FCCCompatMode = yes"
Si configura el modo de compatibilidad con el recopilador de
credenciales de formularios (FCC) del agente Web** en Yes, los
usuarios serán redirigidos a la página que especifique en el campo
Resource for insufficient protection level.
Nota:
- Debe redirigir a los usuarios a una página en el agente Web
estándar. El IVE no puede dirigir al usuario al recurso original que
desea acceder.
- No es necesario que introduzca toda la URL que lleva al recurso (por
ejemplo:
https://ventas.suempresa.com/,DanaInfo=www.stdwebagent.com+inde
x.html): sólo debe introducir el recurso (index.html).
„ Un agente Web estándar con "FCCCompatMode = no"
Si configura el modo de compatibilidad con el recopilador de
credenciales de formularios (FCC) del agente Web** en Yes, los
usuarios serán redirigidos a la página que especifique en el campo
Resource for insufficient protection level. O bien, si deja este
campo vacío, el usuario es redirigido al recurso original que desea
acceder.
„ El IVE
Si vuelve a autenticar usuarios mediante el IVE, los usuarios son
redirigidos a la página intermedia del IVE descrita en
“Reautenticación de usuarios con niveles insuficientes de protección”
en la página 164. Tenga en cuenta que si desea que el IVE redirija al
usuario al recurso original que deseaba acceder, debe habilitar la
opción Browser request follow through en la página Users > User
Roles > [Territorio] > General > Session Options de la consola de
administración. (Si deja este campo vacío, pero no habilita la opción
Browser request follow through, el IVE redirige al usuario a la página
de marcadores estándar del IVE.)
* Para obtener más información sobre cómo especificar un método de
reautenticación, consulte “Creación de un esquema de autenticación de
SiteMinder para el IVE” en la página 167.
** Cuando un usuario realiza una solicitud a un recurso protegido,
SiteMinder lo enruta a un recolector de credenciales de formularios
(FCC) que invoca un formulario Web en el servidor de directivas para
recopilar las credenciales.
Ignore authorization Introduzca las extensiones de archivo correspondientes a los tipos que
for files with no requieren autorización. Debe introducir las extensiones de cada tipo
extensions de archivo que desea pasar por alto, separándolos con una coma. Por
ejemplo, introduzca “.gif, .jpeg, .jpg, .bmp” para pasar por alto varios
tipos de imágenes. No puede usar caracteres comodín (como *, *.* o .*)
para pasar por alto un rango de tipos de archivo.

182 „ Configuración de una instancia de servidor eTrust SiteMinder

 Capítulo 7: Servidores de autenticación y de directorios

Tabla 14: Opciones de configuración avanzada de eTrust SiteMinder

Opción Descripción
Poll Interval Introduzca el intervalo en que el IVE sondea el servidor de directivas
Siteminder para comprobar una clave nueva.
Max. Connections Controla el número máximo de conexiones simultáneas que el IVE
puede establecer con el servidor de directivas. El ajuste predeterminado
es 20.
Max. Requests/ Controla el número máximo de solicitudes que la conexión del servidor
Connection de directivas maneja antes de que el IVE finalice la conexión. Si fuese
necesario, realice ajustes para mejorar el funcionamiento. El ajuste
predeterminado es 1000.
Idle Timeout Controla el número máximo de minutos que una conexión con el
servidor de directivas puede permanecer inactiva (la conexión no
maneja solicitudes) antes de que el IVE finalice la conexión. El ajuste
predeterminado “none” indica que no existe un límite de tiempo.
Authorize while Especifica que el IVE debe buscar atributos de usuario en el servidor de
Authenticating directivas inmediatamente después de la autenticación para determinar
si el usuario está realmente autenticado. Por ejemplo, si el servidor
eTrust autentica usuarios basándose en un ajuste del servidor LDAP,
puede seleccionar esta opción para indicar que el IVE debe autenticar
usuarios mediante el servidor eTrust y autorizarlos mediante el servidor
LDAP antes de otorgarles acceso. Si el usuario no realiza la autenticación
o autorización, será redirigido a la página configurada en el servidor
de directivas.
Nota:
„ Si no selecciona esta opción y tiene opciones de autorización
configuradas mediante la ficha Policy Users > Exclude de la utilidad
de configuración del servidor de directivas, un usuario al que haya
denegado el acceso puede autenticarse correctamente en el IVE.
El IVE comprueba sus derechos de autorización y deniega el acceso
sólo cuando el usuario intenta acceder a un recurso protegido.
„ El IVE envía el mismo recurso al servidor de directivas para su
autorización y autenticación.
„ Esta opción no se admite con la opción Authenticate using HTML
form post descrita en “Authenticate using HTML form post” en la
página 179 o la opción Automatic sign-in descrita en “Automatic
Sign-In” en la página 177.
Enable Session Grace Puede eliminar el nivel máximo de verificación de la cookie de
Period, SMSESSION de un usuario cada vez que éste solicita el mismo recurso
indicando que el IVE debe considerar válida la cookie por un período de
Validate cookie every tiempo determinado. Durante dicho período, el IVE supone que la
N seconds cookie en memoria caché es válida en lugar de volver a validarla en el
servidor de directivas. Si no selecciona esta opción, el IVE comprueba la
cookie de SMSESSION del usuario en cada solicitud. Tenga en cuenta
que el valor introducido no afecta a la sesión ni la comprobación del
tiempo de espera por inactividad.

Configuración de una instancia de servidor eTrust SiteMinder „ 183

 Guía de administración de Secure Access de Juniper Networks

Tabla 14: Opciones de configuración avanzada de eTrust SiteMinder (continuación)

Opción Descripción
Ignore Query Data De forma predeterminada, cuando un usuario solicita un recurso, el IVE
envía toda la URL para ese recurso al servidor de directivas (incluido el
parámetro de consulta, si hubiese alguno). Por ejemplo, el IVE puede
enviar la siguiente URL al servidor de directivas:
http://foo/bar?param=value. (Los datos de la consulta aparecen después
del carácter ? en la URL. Dentro de esta URL, param=value representa el
parámetro de consulta.)
El IVE coloca en memoria caché el resultado de la solicitud de
autorización durante 10 minutos, incluyendo el parámetro de consulta.
Si el usuario solicita el mismo recurso que se especificó en la URL en
memoria caché, la solicitud arroja un error pues una parte de la consulta
de la URL en memoria caché no coincide con la nueva solicitud. El IVE
deberá volver a contactarse con el servidor de directivas para efectuar
una solicitud que incluya el nuevo parámetro de consulta.
Si selecciona la opción Ignore Query Data, el IVE no coloca en memoria
caché el parámetro de consulta en la URL. Por lo tanto, si un usuario
solicita el mismo recurso como se especificó en la URL en memoria
caché, la solicitud no debe arrojar un error. Por ejemplo, si habilita la
opción Ignore Query Data, las siguientes URL se consideran el mismo
recurso:
http://foo/bar?param=value1
http://foo/bar?param=value2
Habilitar esta opción puede mejorar el rendimiento.
Accounting Port El valor introducido en este campo debe coincidir con el valor del puerto
de contabilidad introducido mediante la consola de administración del
servidor de directivas. De forma predeterminada, este campo coincide
con el ajuste predeterminado 44441 del servidor de directivas.
Authentication Port El valor introducido en este campo debe coincidir con el valor del puerto
de autenticación introducido mediante la consola de administración del
servidor de directivas. De forma predeterminada, este campo coincide
con el ajuste predeterminado 44442 del servidor de directivas.
Authorization Port El valor introducido en este campo debe coincidir con el valor del puerto
de autorización introducido mediante la consola de administración del
servidor de directivas. De forma predeterminada, este campo coincide
con el ajuste predeterminado 44443 del servidor de directivas.
Flush Cache Se usa para borrar la memoria caché del recurso del IVE, que guarda
en memoria caché la información de autorización del recurso durante
10 minutos.

Uso de atributos de usuario de SiteMinder para la asignación de roles

del IVE
Después de crear atributos de usuario en un servidor de directivas SiteMinder
(consulte “Creación de atributos de usuario de SiteMinder para la asignación de
roles del IVE” en la página 171), puede usarlos en las reglas de asignación de roles
para un territorio que usa el servidor de directivas de SiteMinder.

184 „ Configuración de una instancia de servidor eTrust SiteMinder

 Capítulo 7: Servidores de autenticación y de directorios

Para usar los atributos de usuario de SiteMinder para la asignación de roles del IVE:

1. En la consola de administración, elija Administrators > Admin Realms o

Users > User Realms.

2. En la ficha General de la página Authentication Realms correspondientee al

territorio del IVE que usa el servidor de directivas SiteMinder, elija Same as
Above en la lista Directory/Attribute. (Para obtener instrucciones, consulte
“Creación de un territorio de autenticación” en la página 196.)

NOTA: Si elige LDAP en la lista Directory/Attribute en lugar de Same as Above,

puede usar los atributos de SiteMinder y LDAP en las reglas de asignación de roles.

3. En la ficha Role Mapping del IVE, cree una regla basada en los atributos de
usuario del IVE que hacen referencia a una cookie de atributo de usuario de
SiteMinder.

Por ejemplo, para hacer referencia a una cookie de atributo de usuario de

SiteMinder llamada department, agregue department a la lista de atributos de
usuario del IVE en la ficha Role Mapping del IVE. Luego, especifique un valor
para la cookie de atributo de usuario de SiteMinder, como sales. Para obtener
instrucciones, consulte “Creación de reglas de asignación de roles” en la
página 199.

También puede usar la siguiente sintaxis para hacer referencia a una cookie de
atributo de usuario SiteMinder en una expresión personalizada para una regla
de asignación de roles:

userAttr.<cookie-name>

Por ejemplo:

userAttr.department = ("sales" and "eng")

Definición de un territorio de SiteMinder para el inicio de sesión

automático
El inicio de sesión automático de SiteMinder requiere un territorio cuyo servidor
de autenticación sea el servidor SiteMinder. Si realiza una actualización y ya ha
definido el territorio del inicio de sesión automático que no especifica el servidor
SiteMinder para autenticación, y además ha configurado el servidor SiteMinder:

„ El territorio no aparece en la lista de territorios de SiteMinder bajo sus ajustes

de autenticación en la consola de administración.

„ El proceso de actualización crea un nuevo territorio denominado eTrust-Auto-

Login-Realm que se basa en el territorio existente, pero que configura el
servidor SiteMinder como su servidor de autenticación.

Configuración de una instancia de servidor eTrust SiteMinder „ 185

 Guía de administración de Secure Access de Juniper Networks

Para configurar el territorio SiteMinder en una instalación nueva:

1. Seleccione Authentication > Auth. Servers.

2. Elija SiteMinder en la lista New y haga clic en New Server.

3. Especifique los ajustes que desea, según se describe en “Definición de una

instancia de servidor eTrust SiteMinder” en la página 174.

4. Haga clic en Save Changes.

5. Configure el territorio, según se describe en “Creación de un territorio de

autenticación” en la página 196 y seleccione el servidor SiteMinder como
servidor de autenticación.

6. Seleccione Authentication > Auth. Servers.

7. Elija el servidor SiteMinder que definió anteriormente.

8. En SiteMinder authentication settings, seleccione la casilla de verificación

Automatic Sign-In.

9. Elija el territorio que acaba de configurar en la lista de territorios de

autenticación del usuario.

10. Haga clic en Save Changes.

NOTA: La lista de territorios de autenticación del usuario en la página del servidor

SiteMinder sólo muestra territorios que están configurados para SiteMinder. Si no
ha configurado ningún territorio de SiteMinder, el menú desplegable estará vacío.

Depuración de SiteMinder y problemas del IVE

En algún momento, puede encontrar problemas en la configuración de las
interacciones del servidor eTrust SiteMinder con el IVE. Puede usar un gran número
de herramientas de depuración para identificar y resolver problemas:

„ Revise el archivo de registro del IVE. El IVE realiza un seguimiento de los

errores de validación de cookies, solicitudes de autorización y sustituciones
clave.

„ Revise los archivos de registro de autenticación y autorización del servidor

de directivas.

„ Revise el archivo de registro del agente Web estándar si seleccionó la opción

Authentication using HTLM Form POST.

„ Confirme que el IVE contiene el sufijo adecuado que definió en el campo

Cookie Domain. Si el IVE no está bien direccionado, es posible que el
explorador no dirija a la cookie de SMSESSION correcta al IVE y quizás no
pueda iniciar sesión. Debe introducir el FQDN del IVE en el explorador, no la
dirección IP del IVE, de lo contrario, fallará el inicio de sesión.

186 „ Configuración de una instancia de servidor eTrust SiteMinder

 Capítulo 7: Servidores de autenticación y de directorios

„ Confirme que la hora de sistema del IVE esté sincronizada con la hora del
sistema del servidor SiteMinder. Si las dos horas de sistema son muy
divergentes, los ajustes de tiempo de espera pueden funcionar de forma
incorrecta, rechazando sus intentos de iniciar sesión.

„ En el servidor SiteMinder, confirme que haya definido las opciones Session

Timeout adecuadas max timeout y idle en el diálogo Siteminder Realm.

„ Si inicia sesión en el IVE y navega a un agente Web protegido por eTrust,

diríjase a la página de inicio de sesión de eTrust en lugar de la página de inicio
de sesión único (SSO), compruebe el valor IVE Cookie Domain para confirmar
que el dominio coincide con el dominio del agente Web protegido por eTrust.
Revise los ajustes para la opción Send Cookie Securely. Si Send Cookie
Securely se configura en yes, SSO funciona sólo con sitios https:// seguros.
Si Send Cookie Securely se configura en no, SSO funciona con sitios http://
y https://.

Configuración de una instancia de servidor de SAML

El IVE acepta las declaraciones de autenticidad generadas por una autoridad de
SAML usando un perfil de artefacto o un perfil POST. Esta característica permite que
un usuario inicie sesión en un sitio de origen o portal sin pasar primero por el IVE,
acceder al IVE con un inicio de sesión único (SSO) mediante el servidor de
consumidor SAML.

En consecuencia, el usuario que se autentica en cualquier lugar puede acceder a los

recursos ocultos del IVE sin volver a iniciar sesión.

Uso del perfil de artefacto y del perfil POST

Los dos perfiles admitidos proporcionan métodos diferentes para realizar la misma
tarea. La meta del usuario final es iniciar sesión en todos los recursos deseados de
una sola vez, sin experimentar varias páginas de inicio de sesión para diferentes
recursos o aplicaciones. Aunque el usuario final desea transparencia, usted, el
administrador, desea garantizar la completa seguridad de los recursos del sistema,
sin importar los servidores o sitios representados.

El perfil de artefacto requiere que elabore un mensaje HTTP de respuesta

automatizada a la solicitud que el explorador pueda recuperar basándose en una
solicitud HTTP GET. Para ver los detalles de este método, consulte “Uso del
escenario del perfil de artefacto” en la página 188.

El perfil POST requiere que elabore un formulario HTML que pueda contener la
declaración SAML y que se pueda enviar mediante una acción del usuario final o
una acción de script, usando el método HTTP POST. Para ver los detalles de este
método, consulte “Uso del escenario del perfil POST” en la página 189.

Configuración de una instancia de servidor de SAML „ 187

 Guía de administración de Secure Access de Juniper Networks

Uso del escenario del perfil de artefacto

En general, el servidor SAML admite el siguiente escenario de perfil de artefacto:

1. El usuario accede a un sitio Web mediante un explorador. El sitio de origen

podría ser un portal corporativo que usa un sistema de administración de
acceso con autenticación del IVE.

2. El sitio de origen solicita al usuario su nombre de usuario y contraseña.

3. El usuario proporciona esta información, con lo cual el sitio de origen se

autentica mediante una llamada a un directorio LDAP u otro servidor de
autenticación.

4. El usuario hace clic en el vínculo del sitio de origen, que dirige a un recurso en
un servidor que está protegido de forma oculta del IVE.

5. El vínculo redirige al usuario a la URL de servicio de transferencia entre sitios

en el sitio de origen. El sitio de origen extrae un mensaje de declaración de
autenticación de su memoria caché y lo adjunta en un mensaje SOAP. El sitio
de origen elabora un artefacto SAML (cadena Base64) que devuelve al
explorador en una URI junto con la dirección de destino y declaración.

6. El sitio de destino consulta la declaración autenticada del sitio de origen,

basándose en el artefacto que recibe del sitio de origen.

7. Si el tiempo transcurrido se encuentra dentro del tiempo permitido de

desviación del reloj, el IVE acepta la declaración como una autenticación válida
y el usuario cumple cualquier otra restricción de directiva del IVE, el IVE otorga
acceso al usuario al recurso solicitado.

Las tareas principales que debe completar para admitir el IVE como la parte de
confianza con el perfil de artefacto son:

„ Implementar el servicio de declaración del consumidor, que:

„ Recibe la URL de redireccionamiento que contiene el artefacto

„ Genera y envía la solicitud de SAML

„ Recibe y procesa la respuesta de SAML

„ Integrar el servicio de declaración del consumidor con el proceso existente del

IVE, que:

„ Asigna la declaración de SAML a un usuario local

„ Crea una sesión de usuario del IVE

„ Realiza una autorización local

„ Sirve el recurso o deniega el acceso

188 „ Configuración de una instancia de servidor de SAML

 Capítulo 7: Servidores de autenticación y de directorios

Uso del escenario del perfil POST

Por lo general, el servidor SAML admite el escenario del perfil POST, del siguiente
modo:

1. El usuario final accede al sitio Web de origen, de ahora en adelante conocido

como sitio de origen.

2. El sitio de origen verifica si el usuario tiene o no una sesión actual.

3. Si no la tiene, el sitio de origen solicita al usuario que introduzca las

credenciales de usuario.

4. El usuario proporciona las credenciales, por ejemplo, el nombre de usuario y la

contraseña.

5. Si la autenticación es correcta, el servidor de autenticación del sitio de origen

crea una sesión para el usuario y muestra la página de bienvenida
correspondiente de la aplicación del portal.

6. El usuario selecciona una opción del menú o un vínculo que dirige a un recurso
o aplicación en un sitio Web de destino.

7. La aplicación del portal dirige la solicitud al servicio de transferencia local entre

sitios, que se puede alojar en el sitio de origen. La solicitud contiene la URL del
recurso en el sitio de destino; en otras palabras, la TARGET URL.

8. El servicio de transferencia entre sitios envía el formulario HTML de vuelta al

explorador. HTML FORM contiene una respuesta SAML, dentro de la cual hay
una declaración de SAML. La respuesta se puede firmar digitalmente. Por lo
general, el HTML FORM contendrá una acción de entrada o envío que resultará
en un HTTP POST. Éste puede ser un botón Submit en que el usuario puede
hacer clic o un script que inicie de manera programática HTTP POST.

9. El explorador, debido a una acción del usuario o por una acción de envío
automático, envía un HTTP POST que contiene la respuesta SAML al servicio
de declaración del consumidor del sitio Web de destino.

10. El consumidor de la declaración de la parte que responde (en este caso,

en el sitio Web de destino) valida la firma digital en la respuesta de SAML.

11. Si es válida, el consumidor de declaración envía un redireccionamiento al

explorador, lo que hace que éste acceda al recurso TARGET.

12. El IVE, en el sitio de destino, verifica que el usuario esté autorizado a acceder al
sitio de destino y al recurso TARGET.

13. Si el usuario tiene autorización para acceder al sitio de destino y al recurso

TARGET, el IVE devuelve el recurso TARGET al explorador.

Configuración de una instancia de servidor de SAML „ 189

 Guía de administración de Secure Access de Juniper Networks

Las tareas principales que debe completar para admitir el IVE como la parte de
confianza con el perfil POST son:

„ Implementar el servicio de declaración de consumidor que recibe y procesa el

formulario POST.

„ Integrar el servicio de declaración del consumidor con el proceso existente del

IVE, que:

„ Asigna la declaración de SAML a un usuario local

„ Crea una sesión de usuario del IVE

„ Realiza una autorización local

„ Sirve el recurso o deniega el acceso

Comprensión de las declaraciones

Cada parte en la comunicación de la respuesta a la solicitud debe respetar
determinados requisitos que proporcionan una infraestructura predecible para que
las declaraciones y artefactos se puedan procesar de forma correcta.

„ El artefacto es una cadena codificada por Base64 de 40 bytes. Un artefacto

actúa como un token que hace referencia a una declaración en el sitio de
origen, de modo que el portador del artefacto, el IVE, pueda autenticar a un
usuario que firmó en el sitio de origen y que desea acceder al recurso protegido
por el IVE. El sitio de origen envía el artefacto al IVE en un redireccionamiento,
después de que el usuario intenta acceder a un recurso protegido por el IVE.
El artefacto contiene:

„ TypeCode: Código hexadecimal de 0x0001 de 2 bytes que identifica el tipo

de artefacto.

„ SourceID: Cadena encriptada de 20 bytes que determina la identidad

y ubicación del sitio de origen. El IVE mantiene una tabla de valores de
SourceID y la URL del respondedor SAML correspondiente. El IVE y el sitio
de origen comunican esta información en un canal posterior. Al recibir un
artefacto SAML, el IVE determina si SourceID pertenece o no a un sitio de
origen conocido, y, si es así, obtiene la ubicación del sitio antes de enviar
una solicitud SAML. El sitio de origen genera SourceID realizando los
cálculos del hash SHA-1 de la URL propia del sitio de origen.

„ AssertionHandle: Valor aleatorio de 20 bytes que identifica una declaración

almacenada o generada por el sitio de origen. Al menos 8 bytes de este
valor deben obtenerse de un RNG o PRNG con seguridad criptográfica.

„ El servicio de transferencia entre sitios es la URL del proveedor de identidades

en el sitio de origen (no el IVE). Su especificación de esta URL en la consola de
administración habilita el IVE para elaborar una solicitud de autenticación en el
sitio de origen, que mantiene en memoria caché las credenciales del usuario.
La solicitud es similar al siguiente ejemplo:

GET http://<inter-site transfer host name and path>?TARGET=<Target>…<HTTP-

Version><other HTTP 1.0 or 1.1 components>

190 „ Configuración de una instancia de servidor de SAML

 Capítulo 7: Servidores de autenticación y de directorios

En el ejemplo anterior, <el nombre de host y la ruta de transferencia entre sitios>

consta de los componentes de nombre de host, número de puerto y ruta de la
URL de transferencia entre sitios en el origen y donde Target=<Target>
especifica el recurso de destino objetivo en el sitio de destino (IVE protegido).
Puede que la solicitud tenga la siguiente apariencia:

GET http://10.56.1.123:8002/xferSvc?TARGET=http://www.dest.com/sales.htm

„ El servicio de transferencia entre sitios redirige el explorador del usuario al

servicio de declaración del consumidor en el sitio de destino: en este caso,
el IVE. La respuesta HTTP del servicio de transferencia entre sitios del sitio
de origen debe tener el siguiente formato:

<HTTP-Version> 302 <Reason Phrase>

<other headers>
Location: http://<assertion consumer host name and path>?<SAML
searchpart><other HTTP 1.0 or 1.1 components>

En el ejemplo anterior, <el nombre de host y la ruta de la declaración de

consumidor> proporcionan los componentes de nombre de host, número de
puerto y ruta de una URL de declaración del consumidor en el sitio de destino y
donde <SAML searchpart>= …TARGET=<Target> …SAMLart=<SAML artifact>…
consta de una descripción objetivo, que debe incluirse en el componente
<SAML searchpart>. Por lo menos debe incluirse un artefacto SAML en el
componente <SAML searchpart> de SAML. La parte de la declaración puede
incluir varios artefactos SAML.

NOTA:

„ Puede usar el código de estado 302 para indicar que el recurso solicitado
reside temporalmente en una URL diferente.

„ Si <SAML searchpart> contiene más de un artefacto, todos los artefactos

deben compartir el mismo SourceID.

Puede que el redireccionamiento tenga este aspecto:

HTTP/1.1 302 Found

Location:
http://www.ive.com:5802/artifact?TARGET=/www.ive.com/&SAMLart=artifact

„ El explorador del usuario accede al servicio de declaración del consumidor, con

un artefacto SAML que representa la información de autenticación del usuario
adjunta a la URL.

La solicitud HTTP debe aparecer del siguiente modo:

GET http://<assertion consumer host name and path>?<SAML searchpart>

<HTTP-Version><other HTTP 1.0 or 1.1 request components>

En el ejemplo anterior, <el nombre de host y la ruta de la declaración del

consumidor> proporcionan los componentes de nombre de host, número de
puerto y ruta de una URL de declaración de consumidor en el sitio de destino.

Configuración de una instancia de servidor de SAML „ 191

 Guía de administración de Secure Access de Juniper Networks

<SAML searchpart>= …TARGET=<Target>…SAMLart=<SAML artifact> …

Es IMPRESCINDIBLE incluir una única descripción de objetivo en el

componente <SAML searchpart>. Se DEBE incluir al menos un artefacto SAML
en el componente <SAML searchpart>; PUEDEN incluirse varios artefactos
SAML. Si se transporta más de un artefacto dentro de <SAML searchpart>, todos
los artefactos DEBEN tener el mismo SourceID.

No debe exponer la URL de declaración del consumidor, excepto sobre SSL 3.0
o TLS 1.0. De lo contrario, los artefactos transmitidos podrían estar disponibles
en texto plano para un atacante.

„ El issuer value normalmente es la URL del sitio de origen. Puede especificar la

variable <ISSUER> que devolverá el valor del emisor de la declaración.

„ El user name template es una referencia al elemento identificador del nombre

de SAML, que permite que la parte de la declaración proporcione un formato
para el nombre de usuario. La especificación de SAML permite valores en los
siguientes formatos:

„ Unspecified: Indica que la interpretación del contenido queda a discreción

de las implementaciones individuales. En este caso, puede usar la variable
assertionName.

„ Email Address: Indica que el contenido está en el formato de una dirección

de correo electrónico. En este caso, puede usar la variable assertionName.

„ X.509 Subject Name: Indica que el contenido está en el formato de un

nombre de sujeto X.509. En este caso, puede usar la variable
assertionNameDN.<RDN>.

„ Windows Domain Qualified Name: Indica que el contenido es una cadena

en el formato NombreDeDominio\NombreDeUsuario.

Debe definir la plantilla de nombre de usuario para aceptar el tipo de nombre de

usuario que contiene la declaración de SAML.

„ Para evitar la intercepción en el artefacto SAML, los sitios de origen y destino

deben sincronizar sus relojes de la forma más precisa posible. El IVE
proporciona un atributo Allowed Clock Skew que señala la diferencia horaria
máxima entre el IVE y el sitio de origen. El IVE rechaza cualquier declaración
cuyo tiempo exceda la desviación del reloj permitida.

Creación de una nueva instancia de servidor SAML

Para crear una nueva instancia de servidor SAML y configurar los elementos
comunes:

1. En la consola de administración, seleccione Authentication > Auth. Servers.

2. Seleccione SAML Server en la lista New y haga clic en New Server.

3. Especifique un nombre para identificar la instancia de servidor.

4. En Settings, especifique la Source Site Inter-Site Transfer Service URL.

192 „ Configuración de una instancia de servidor de SAML

 Capítulo 7: Servidores de autenticación y de directorios

5. Especifique el issuer value para el sitio de origen. Normalmente, la URI o

nombre de host del emisor de la declaración.

6. Especifique la user name template, que es una cadena de asignación de la

declaración de SAML para un territorio de usuario del IVE. Por ejemplo,
introduzca <assertionNameDN.CN>, que deriva el nombre de usuario del valor
CN en la declaración. Para obtener más información sobre los valores
permitidos para este objeto, consulte “Configuración de una instancia de
servidor de SAML” en la página 187.

7. Especifique el valor Allowed Clock Skew, en minutos. Este valor determina la

diferencia máxima permitida en tiempo entre el reloj del IVE y el reloj del sitio
de origen.

8. Proceda a definir la configuración para el perfil de artefacto, según se describe

en “Configuración de la instancia de servidor SAML para usar el perfil
de artefacto” en la página 193 o para el perfil POST como se describe en
“Configuración de la instancia de servidor SAML para usar el perfil POST” en la
página 194.

Configuración de la instancia de servidor SAML para usar el perfil

de artefacto
Para configurar el servidor SAML para que use el perfil de artefacto, retome el
siguiente procedimiento desde el paso anterior en “Creación de una nueva
instancia de servidor SAML” en la página 192.

1. En la página New SAML Server, introduzca Source ID. El ID de origen es el

identificador de 20 bytes que el IVE usa para reconocer una declaración de
un sitio de origen determinado.

2. Introduzca la Source SOAP Responder Service URL. Esta URL debe

especificarse en forma de HTTPS: protocolo.

3. Elija el tipo de SOAP Client Authentication.

„ Si elige HTTP Basic, debe introducir el nombre y la contraseña, y confirmar

la contraseña.

„ Si elige SSL Client Certificate, elija un certificado del IVE en el menú

desplegable.

4. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.

La ficha Settings permite modificar cualquiera de los ajustes relativos a la

instancia de servidor SAML y el perfil de artefacto. La ficha Users indica los
usuarios válidos del servidor.

Configuración de una instancia de servidor de SAML „ 193

 Guía de administración de Secure Access de Juniper Networks

Configuración de la instancia de servidor SAML para usar el perfil POST

Para configurar el servidor SAML de modo que use el perfil POST, retome el
siguiente procedimiento desde el paso anterior en “Creación de una nueva
instancia de servidor SAML” en la página 192.

1. En la página New SAML Server, seleccione la opción Post.

2. Introduzca el nombre o ubicación del certificado de firma de respuesta. Este es

el certificado de firma con formato PEM, que se carga para la verificación de
firma de la respuesta de SAML.

El certificado que seleccione debe ser el mismo que usó para firmar la
respuesta de SAML en el sitio de origen. El sitio de origen puede enviar este
certificado junto con la respuesta de SAML, dependiendo de la configuración
del sitio de origen. De forma predeterminada, el sistema realiza la verificación
de firma de la respuesta de SAML, primero en el certificado configurado
localmente. Si un certificado no se configuró localmente en el servidor de
autenticación SAML, el sistema lleva a cabo la verificación de la firma en el
certificado que se incluye en la respuesta de SAML del sitio de origen.

3. Seleccione la opción Enable Signing Certificate status checking si desea que

el IVE pueda comprobar la validez del certificado de firma configurado en el
perfil POST del servidor de autenticación SAML. Es posible que el certificado
haya vencido, si fue revocado.

4. Si ya tiene un certificado cargado y desea usar otro, encuentre el certificado y

haga clic en Delete. Ahora, puede instalar otro certificado.

5. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.

La ficha Settings permite modificar cualquiera de los ajustes relativos a la

instancia de servidor SAML y el perfil de artefacto. La ficha Users indica los
usuarios válidos del servidor.

194 „ Configuración de una instancia de servidor de SAML

Capítulo 8
Territorios de autenticación

Un territorio de autenticación especifica las condiciones que los usuarios deben

cumplir para iniciar sesión en el IVE. Un territorio consiste en un grupo de recursos
de autenticación, que incluye:

„ Un servidor de autenticación, que verifica que el usuario es quien dice ser.

El IVE reenvía las credenciales que envía el usuario a través de la página de
inicio de sesión a un servidor de autenticación. Para obtener más información,
consulte “Servidores de autenticación y de directorios” en la página 111.

„ Un servidor de directorios, que corresponde a un servidor LDAP que le

proporciona al IVE información del usuario y del grupo que éste utiliza para
asignar usuarios a uno o más roles. Para obtener más información, consulte
“Servidores de autenticación y de directorios” en la página 111.

„ Una directiva de autenticación, que especifica los requisitos de seguridad del

territorio que deberán cumplirse para que el IVE envíe las credenciales del
usuario a un servidor de autenticación para verificarlas. Para obtener más
información, consulte “Definición de directivas de autenticación” en la
página 198.

„ Reglas de asignación de roles, que son condiciones que un usuario debe

cumplir para que el IVE lo asigne a uno o más roles. Estas condiciones se basan
en la información del usuario devuelta por el servidor de directorios del
territorio o en el nombre de usuario. Para obtener más información, consulte
“Creación de reglas de asignación de roles” en la página 199.

Esta sección contiene la siguiente información acerca de los territorios de

autenticación:

„ “Licencia: disponibilidad de territorios de autenticación” en la página 196

„ “Creación de un territorio de autenticación” en la página 196

„ “Definición de directivas de autenticación” en la página 198

„ “Creación de reglas de asignación de roles” en la página 199

„ “Personalización de vistas de UI de territorios de usuario” en la página 209

„ 195
 Guía de administración de Secure Access de Juniper Networks

Licencia: disponibilidad de territorios de autenticación

Los territorios de autenticación forman parte integral de la estructura de
administración de acceso del IVE, por lo que están disponibles en todos los
productos Secure Access. Sin embargo, tenga presente que no hay disponibles
expresiones personalizadas en el dispositivo SA 700 y que sólo están disponibles en
todos los demás productos Secure Access previa adquisición de una licencia
especial. Por lo tanto, al crear un territorio, no todos los administradores pueden
crear reglas de avanzadas de asignación de roles mediante expresiones
personalizadas.

Creación de un territorio de autenticación

Para crear un territorio de autenticación:

1. En la consola de administración, seleccione Administrators > Admin Realms

o Users > User Realms.

2. En la página Authentication Realms correspondiente, haga clic en New.

También puede seleccionar un territorio y hacer clic en Duplicate para basar su
territorio en uno ya existente.

3. Introduzca un nombre para identificar este territorio y (opcionalmente) una

descripción.

4. Si copia un territorio existente, haga clic en Duplicate. Luego, si desea

modificar alguno de los ajustes, haga clic en el nombre del territorio y pase al
modo de edición.

5. Seleccione When editing, start on the Role Mapping page si desea que quede
seleccionada la ficha Role Mapping al abrir el territorio para su edición.

6. En Servers, especifique:

„ Un servidor de autenticación, que se utiliza para autenticar usuarios que

inician sesión en este territorio.

„ Un servidor de directorio o atributos, que se utiliza para recuperar

información sobre atributos de usuarios o grupos para las normas de
asignación de roles y directivas de recursos. (opcional)

„ Un servidor de contabilidad RADIUS, que se utiliza para hacer seguimiento

de los inicios y cierres de sesión del usuario en el IVE (opcional).

NOTA: Si el servidor LDAP está inactivo, la autenticación del usuario falla. Puede
encontrar mensajes y advertencias en los archivos de registro de eventos. Con un
servidor de atributos inactivo, la autenticación de usuario no falla, sino que la lista
de grupos o atributos para la asignación de roles y evaluación de directivas está
vacía.

196 „ Licencia: disponibilidad de territorios de autenticación

 Capítulo 8: Territorios de autenticación

7. Si desea enviar las credenciales secundarias de los usuarios a un recurso

habilitado por SSO o habilitar una autenticación de dos factores para acceder al
IVE (según lo explicado en “Información general de credenciales de inicios de
sesión múltiples” en la página 226), seleccione Additional authentication
server. Después:

a. Seleccione el nombre del servidor de autenticación secundario. Tenga en

cuenta que no puede elegir un servidor anónimo, un servidor de
certificados ni un servidor eTrust SiteMinder.

b. Seleccione Username is specified by user on sign-in page si desea pedir

al usuario que envíe de forma manual su nombre de usuario al servidor
secundario durante el proceso de inicio de sesión del IVE. De lo contrario,
si desea enviar automáticamente un nombre de usuario a un servidor
secundario, introduzca texto estático o una variable válida en el campo
predefined as. De forma predeterminada, el IVE envía la variable de sesión
<username>, que contiene el mismo nombre de usuario usado para iniciar
sesión en el servidor de autenticación primario.

c. Seleccione Password is specified by user on sign-in page si desea pedir al

usuario que envíe de forma manual su contraseña al servidor secundario
durante el proceso de inicio de sesión del IVE. De lo contrario, si desea
enviar automáticamente una contraseña a un servidor secundario,
introduzca texto estático o una variable válida en el campo predefined as.

d. Seleccione End session if authentication against this server fails si

desea controlar el acceso al IVE según la autenticación correcta de
las credenciales secundarias del usuario. Cuando se selecciona, la
autenticación falla si también fallan las credenciales secundarias del
usuario.

8. Si desea usar la evaluación dinámica de directivas para este territorio (como

se explica en “Evaluación dinámica de directivas” en la página 57), seleccione
Dynamic policy evaluation a fin de habilitar un temporizador automático para
la evaluación dinámica de directivas de la directiva de autenticación, reglas de
asignación de roles y restricciones de roles de este territorio. Después:

a. Use la opción Refresh interval para especificar la frecuencia con que desea
que el IVE debe llevar a cabo una evaluación automática de directivas a
todos los usuarios de territorios actualmente en sesión. Especifique los
minutos (de 5 a 1440).

b. Seleccione Refresh roles para actualizar los roles de todos los usuarios de
este territorio. (Esta opción no controla el ámbito del botón Refresh Now.)

c. Seleccione Refresh resource policies para actualizar las directivas de

recursos (sin incluir Meeting ni Email Client) para todos los usuarios de este
territorio. (Esta opción no controla el ámbito del botón Refresh Now.)

NOTA: Si selecciona Dynamic policy evaluation y no selecciona Refresh roles ni

Refresh resource policies, el IVE sólo evalúa la directiva de autenticación del
territorio, reglas de asignación de roles y las restricciones de roles.

Creación de un territorio de autenticación „ 197

 Guía de administración de Secure Access de Juniper Networks

d. Haga clic en Refresh Now para evaluar manualmente la directiva de

autenticación, las reglas de asignación de roles, las restricciones de roles,
los roles de usuario y las directivas de recursos del territorio de todos los
usuarios del territorio actualmente en sesión. Use este botón si desea hacer
cambios a una directiva de autenticación, a reglas de asignación de roles,
a restricciones de roles o a directivas de recursos, y si desea actualizar
inmediatamente los roles de los usuarios de este territorio.

NOTA: Debido a que la evaluación dinámica de directivas puede tener un impacto

en el rendimiento del sistema, tenga presentes las siguientes pautas:

„ Debido a que la actualización automática (con temporizador) de los roles de

usuario y de las directivas de recursos puede afectar al rendimiento del
sistema, puede mejorarlo inhabilitando una de las opciones Refresh roles y
Refresh resource policies, o ambas, para reducir el ámbito de la
actualización.

„ Para mejorar el rendimiento, configure la opción Refresh interval para un

período mayor.

„ Use el botón Refresh Now en ocasiones en que los usuarios no puedan verse
afectados.

9. Haga clic en Save Changes para crear el territorio en el IVE. Aparecen las fichas
General, Authentication Policy y Role Mapping del territorio de autenticación.

10. Realice los siguientes pasos de configuración:

a. Configure una o más reglas de asignación de roles como se describe en

“Creación de reglas de asignación de roles” en la página 199.

b. Configure una directiva de autenticación para el territorio como se describe

en “Definición de directivas de autenticación” en la página 198.

Definición de directivas de autenticación

Una directiva de autenticación corresponde a un conjunto de reglas que controla un
aspecto de la administración de acceso: si se debe presentar o no a un usuario una
página de inicio de sesión de un territorio. Una directiva de autenticación forma
parte de la configuración de un territorio de autenticación, que especifica reglas
para que el IVE considere antes de presentar una página de inicio de sesión a un
usuario. Si éste cumple los requisitos especificados por la directiva de autenticación
del territorio, el IVE presenta la página de inicio de sesión correspondiente al
usuario; luego, reenvía las credenciales del usuario al servidor de autenticación
correspondiente. Si este servidor autentica correctamente al usuario, el IVE pasa al
proceso de evaluación de roles.

198 „ Definición de directivas de autenticación

 Capítulo 8: Territorios de autenticación

Para especificar una directiva de territorio de autenticación:

1. En la consola de administración, seleccione Administrators > Admin Realms

o Users > User Realms.

2. En la página Authentication Realms correspondiente, haga clic en un territorio

y en la ficha Authentication Policy.

3. En la página Authentication Policy, configure una o más de las opciones de

administración de acceso en las siguientes secciones:

„ “Especificación de las restricciones de acceso de la dirección IP de origen”

en la página 60

„ “Especificación de las restricciones de acceso para exploradores” en la

página 62

„ “Especificación de las restricciones de acceso para certificados” en la

página 65

„ “Especificación de las restricciones de acceso para contraseñas” en la

página 66

„ “Especificación de las restricciones de acceso para Host Checker” en la

página 67

„ “Especificación de las restricciones de acceso para Cache Cleaner” en la

página 671

„ “Especificación de las restricciones de límite” en la página 67

Creación de reglas de asignación de roles

Las reglas de asignación de roles son condiciones que un usuario debe cumplir para
que el IVE lo asigne a uno o más roles. Estas condiciones se basan ya sea en la
información del usuario devuelta por el servidor de directorio del territorio o en el
nombre de usuario. Debe especificar directivas de asignación de roles en el
siguiente formato:

If the specified condition is|is not true, then map the user to the selected roles.

1. No disponible en territorios de administrador.

Creación de reglas de asignación de roles „ 199

 Guía de administración de Secure Access de Juniper Networks

Cree una regla de asignación de roles en la ficha Role Mapping de un territorio de

autenticación. (En el caso de los administradores, cree reglas de asignación de roles
en la ficha Administrators > Admin Realms > [Territorio] > Role Mapping. En el
caso de los usuarios, cree reglas de asignación de roles en la ficha Users > User
Realms > [Territorio] > Role Mapping.) Al hacer clic en New Rule en esta ficha,
aparece la página Role Mapping Rule con un editor en línea para definir la regla.
Este editor lo guía por los tres pasos de la creación de una regla:

1. Especifique el tipo de condición en que desea basar la regla. Las opciones son:

„ Nombre de usuario

„ Atributo de usuario

„ Certificado o atributo de certificado

„ Asociación de grupo

„ Expresiones personalizadas

2. Especifique la condición que desea evaluar, que consiste en:

a. Especificar uno o más nombres de usuarios, atributos de usuario, atributos

de certificado, grupos (LDAP) o expresiones dependiendo del tipo de
condición seleccionada en el paso 1.

b. Especificar a qué deben equivaler los valores, lo que puede incluir una lista
de nombres de usuario, valores de atributos de usuario de un servidor
RADIUS o LDAP, valores de certificado del lado cliente (estáticos o
comparados con atributos de LDAP), grupos de LDAP o expresiones
personalizadas predefinidas.

3. Especifique los roles que se deben asignar al usuario autenticado.

El IVE compila una lista de roles válidos que se pueden asignar al usuario, que se
especifican mediante las reglas de asignación de roles que cumple el usuario. A
continuación, el IVE evalúa la definición de cada rol a fin de determinar si el usuario
cumple las restricciones de roles. El IVE usa esta información para recopilar una
lista de roles válidos, que corresponden a roles cuyos requisitos cumple el usuario.
Finalmente, el IVE lleva a cabo una combinación permisiva de los roles válidos o
presenta una lista de roles válidos para el usuario, dependiendo de la configuración
especificada en la ficha Role Mapping del territorio.

Para obtener más información sobre roles, consulte “Roles de usuario” en la

página 69. Para obtener más información sobre la especificación de reglas de
asignación de roles, consulte “Cómo especificar reglas de asignación de roles para
un territorio de autenticación” en la página 201.

200 „ Creación de reglas de asignación de roles

 Capítulo 8: Territorios de autenticación

Cómo especificar reglas de asignación de roles para un territorio de autenticación

Al crear una nueva regla que use atributos de usuario de LDAP o SiteMinder,
información de grupo de LDAP o expresiones personalizadas, debe usar el catálogo
de servidores. Para obtener más información sobre este catálogo, consulte “Uso del
catálogo de servidores LDAP” en la página 203.

Para especificar las reglas de asignación de roles para un territorio de autenticación:

1. En la consola de administración, seleccione Administrators > Admin Realms

o Users > User Realms.

2. En la página Authentication Realms correspondiente, seleccione un territorio

y haga clic en la ficha Role Mapping.

3. Haga clic en New Rule para acceder a la página Role Mapping Rule, que
proporciona un editor en línea para definir la regla.

4. En la lista Rule based on, seleccione una de las siguientes opciones:

„ Username: Username es el nombre de usuario de IVE introducido en la

página de inicio de sesión. Elija esta opción si desea asignar usuarios a
roles según los nombres de usuario del IVE. Este tipo de regla está
disponible para todos los territorios.

„ User attribute: User attribute es un atributo de usuario procedente de un

servidor RADIUS, LDAP o SiteMinder. Elija esta opción si desea asignar
usuarios a roles según un atributo del servidor correspondiente. Este tipo
de regla está disponible sólo para territorios que usen un servidor RADIUS
como servidor de autenticación o que usen un servidor LDAP o SiteMinder
como servidor de autenticación o de directorio. Después de elegir la opción
User attribute, haga clic en Update para que aparezca la lista Attribute y el
botón Attributes. Haga clic en el botón Attributes para que aparezca el
catálogo de servidores.

‰ Para agregar atributos de usuario de SiteMinder, introduzca el nombre

de la cookie de atributos de usuario de SiteMinder en el campo
Attribute del catálogo de servidores y haga clic en Add Attribute. Al
terminar de agregar los nombres de las cookies, haga clic en OK. El IVE
muestra los nombres de las cookies de los atributos de usuario de
SiteMinder en la lista Attribute de la página Role Mapping Rule.

‰ Para obtener información sobre el uso del catálogo de servidores para

agregar los atributos de usuario de LDAP, consulte “Uso del catálogo de
servidores LDAP” en la página 203).

„ Certificate or Certificate attribute: Certificate o Certificate attribute es un

atributo compatible con el certificado de lado del cliente del usuario. Elija
esta opción si desea asignar usuarios a roles según atributos de certificados.
La opción Certificate está disponible para todos los territorios; la opción
Certificate attribute está disponible sólo para territorios que usen LDAP
como servidor de autenticación o de directorio. Después de elegir esta
opción, haga clic en Update para que aparezca el cuadro de texto Attribute.

Creación de reglas de asignación de roles „ 201

 Guía de administración de Secure Access de Juniper Networks

„ Group membership: Group membership es información de grupo de un

servidor LDAP o Active Directory que se agrega a la ficha Groups del
catálogo de servidores. Elija esta opción si desea asignar usuarios a roles
según la información de grupo de LDAP o Active Directory. Este tipo de
regla está disponible para territorios que usan un servidor LDAP como
servidor de autenticación o de directorio, o que usan un servidor Active
Directory para autenticación. (Tenga en cuenta que no puede especificar un
servidor Active Directory como servidor de autorización para un territorio.)

„ Custom Expressions: Custom Expressions es una o varias expresiones

personalizadas que se definen en el catálogo de servidores. Elija esta
opción si desea asignar usuarios a roles según expresiones personalizadas.
Este tipo de regla está disponible para todos los territorios. Después de
elegir esta opción, haga clic en Update para que aparezcan las listas
Expressions. Haga clic en el botón Expressions para que aparezca la ficha
Expressions del catálogo de servidores.

NOTA: Si agrega más de una expresión personalizada a la misma regla, el IVE crea
I una regla “OR” para dichas expresiones. Por ejemplo, puede agregar las siguientes
expresiones a una sola regla:

„ Expresión 1: cacheCleanerStatus = 1

„ Expresión 2: loginTime = (8:00AM TO 5:00PM)

Según estas expresiones, un usuario coincidiría con esta regla si el Cache Cleaner
se estaba ejecutando en su sistema O (OR) si inició sesión en el IVE entre las 8:00
y las 5:00.

5. En Rule, especifique la condición que desea evaluar, que corresponde al tipo de

regla que seleccione y consiste en:

a. Especificar uno o más nombres de usuario, nombres de cookies de

atributos de usuario de SiteMinder, atributos de usuario de RADIUS o LDAP,
atributos de certificado, grupos de LDAP o expresiones personalizadas.

b. Especificar a qué deben equivaler los valores, lo que puede incluir una lista
de nombres de usuario del IVE, valores de atributos de usuario de un
servidor RADIUS, SiteMinder o LDAP, valores de certificado del lado cliente
(estáticos o valores de atributos de LDAP), grupos de LDAP o expresiones
personalizadas predefinidas.

Por ejemplo, puede escoger una cookie de atributos de usuario de

SiteMinder llamada department de la lista Attribute, elija is en la lista de
operadores e introduzca "sales" y "eng" en el cuadro de texto.

También puede introducir una regla de expresión personalizada que se

refiera a la cookie de atributos de usuario de SiteMinder llamada
department:

userAttr.department = ("sales" and "eng")

202 „ Creación de reglas de asignación de roles

 Capítulo 8: Territorios de autenticación

6. En ...then assign these roles:

a. Especifique los roles que se deben asignar al usuario autenticado

agregándolos a la lista Selected Roles.

b. Seleccione Stop processing rules when this rule matches si desea que el
IVE deje de evaluar las reglas de asignación de roles si el usuario cumple las
condiciones especificadas para esta reglas.

7. Haga clic en Save Changes para crear la regla en la ficha Role Mapping.
Una vez finalizada la creación de las reglas:

„ Ordénelas según la forma en que quiere que el IVE las evalúe. Esta tarea es
especialmente importante si desea detener el procesamiento de las reglas
de asignación de roles una vez encontrada una coincidencia.

„ Especifique si desea o no combinar ajustes para todos los roles asignados.

Consulte “Pautas de combinación permisiva” en la página 72.

Uso del catálogo de servidores LDAP

El catálogo de servidores LDAP corresponde a una ventana secundaria a través de
la cual puede especificar información de LDAP adicional para que el IVE la use al
asignar usuarios a roles, como:

„ Attributes: La ficha Server Catalog Attributes muestra una lista de atributos de

LDAP, como cn, uid, uniquemember y memberof. Esta ficha está disponible sólo
al acceder al catálogo de servidores de un servidor LDAP. Puede usar esta ficha
para administrar los atributos del servidor LDAP agregando valores
personalizados al catálogo de servidores del IVE o borrando valores de él. Tenga
en cuenta que el IVE mantiene una copia local de los valores del servidor LDAP;
los atributos no se agregan al diccionario del servidor LDAP ni se eliminan
de él.

„ Groups: La ficha Server Catalog Groups proporciona un mecanismo que

permite recuperar fácilmente información de grupo de un servidor LDAP y
agregarla al catálogo de servidores del IVE del servidor. Especifique BaseDN de
sus grupos y, de forma opcional, un filtro para iniciar la búsqueda. Si no conoce
el contenedor exacto de sus grupos, puede especificar la raíz del dominio como
BaseDN, como dc=juniper, dc=com. La página de búsqueda muestra una lista de
grupos de su servidor, en la cual puede escoger los grupos que desea agregar a
la lista Groups.

NOTA: El valor de BaseDN especificado en la página de configuración del servidor

LDAP en “Finding user entries” corresponde al valor predeterminado de BaseDN.
El valor predeterminado del filtro es (cn=*).

También puede usar la ficha Groups para especificar grupos. Debe especificar
el Nombre completo totalmente calificado (FQDN) de un grupo, como
cn=Gerentesdecalidad, ou=HQ, ou=Juniper, o=com, c=US, pero puede
asignar una etiqueta para este grupo que aparece en la lista Groups. Tenga en
cuenta que sólo puede acceder a esta ficha si accede al catálogo de servidores
de un servidor LDAP.

Creación de reglas de asignación de roles „ 203

 Guía de administración de Secure Access de Juniper Networks

„ Expressions: La ficha Server Catalog Expressions proporciona un mecanismo

que permite escribir expresiones personalizadas para la regla de asignación de
roles. Para obtener más información sobre expresiones personalizadas,
consulte “Escritura de expresiones personalizadas” en la página 1041.

Para er el catálogo de servidores LDAP:

1. Después de elegir la opción User attribute de la página Role Mapping Rule

(consulte “Cómo especificar reglas de asignación de roles para un territorio de
autenticación” en la página 201), haga clic en Update para que aparezca la lista
Attribute y el botón Attributes.

2. Haga clic en el botón Attributes para que aparezca el catálogo de servidores

LDAP. (También puede hacer clic en Groups después de elegir la opción Group
membership o hacer clic en Expressions después de elegir la opción Custom
Expressions.)

Figura 24: Catálogo de servidores > Ficha Attributes: Agregar un atributo para LDAP

204 „ Creación de reglas de asignación de roles

 Capítulo 8: Territorios de autenticación

Figura 25: El atributo agregado al catálogo de servidores está disponible para la regla de
asignación de roles

Creación de reglas de asignación de roles „ 205

 Guía de administración de Secure Access de Juniper Networks

Figura 26: Catálogo de servidores > Ficha Groups: Agregar grupos de LDAP

206 „ Creación de reglas de asignación de roles

 Capítulo 8: Territorios de autenticación

Figura 27: Catálogo de servidores > Ficha Groups: Agregar grupos de Active Directory

Creación de reglas de asignación de roles „ 207

 Guía de administración de Secure Access de Juniper Networks

Figura 28: Catálogo de servidores > Ficha Expressions: Agregar una expresión
personalizada

208 „ Creación de reglas de asignación de roles

 Capítulo 8: Territorios de autenticación

Figura 29: La expresión personalizada agregada al catálogo de servidores está

disponible para la regla de asignación de roles

Personalización de vistas de UI de territorios de usuario

Puede usar las opciones de personalización de la página User Authentication
Realms para ver rápidamente los ajustes asociados con un territorio o conjunto de
territorios específico. Por ejemplo, puede ver las reglas de asignación de roles que
asoció con todos los territorios de sus usuarios. Además, puede usar estas vistas
personalizadas para conectarse fácilmente con las directivas de autenticación, los
servidores, las reglas de asignación de roles y los roles asociados con los territorios
de usuario.

Para ver un subconjunto de datos de la página User Authentication Realms:

1. Diríjase a Users > User Realms.

2. Seleccione una de las siguientes opciones del menú View:

„ Overview: Muestra los servidores de autenticación y los ajustes de

evaluación dinámica de directivas que configuró para los territorios de
usuarios especificados. También puede usar este ajuste para conectarse
con las páginas especificadas de configuración de servidores.

Personalización de vistas de UI de territorios de usuario „ 209

 Guía de administración de Secure Access de Juniper Networks

„ Authentication Policy: Muestra las restricciones de Host Checker y de

Cache Cleaner que habilitó para los territorios de usuarios especificados.
También puede usar este ajuste para conectarse con las páginas
especificadas de configuración de Host Checker y de Cache Cleaner.

„ Role Mapping: Muestra las condiciones de reglas y asignaciones de roles

correspondientes que habilitó para los territorios de usuarios especificados.
También puede usar este ajuste para conectarse con las páginas
especificadas de configuración de condiciones de reglas y de asignación
de roles.

„ Servers: Muestra los nombres de los servidores de autenticación y los tipos

correspondientes que habilitó para los territorios de usuarios especificados.
También puede usar este ajuste para conectarse con las páginas
especificadas de configuración de servidores.

„ Roles: Muestra las asignaciones de roles y los ajustes de combinación

permisiva correspondientes que habilitó para los territorios de usuarios
especificados.

3. Seleccione una de las siguientes opciones de la lista for:

„ All realms: Muestra los ajustes seleccionados para todos los territorios
de usuarios.

„ Selected realms: Muestra los ajustes seleccionados para los territorios de

usuarios que eligió. Si selecciona esta opción, marque una o más de las
casillas de verificación de la lista Authentication Realm.

4. Haga clic en Update.

210 „ Personalización de vistas de UI de territorios de usuario

Capítulo 9
Directivas de inicio de sesión

Las directivas de inicio de sesión definen las URL que los usuarios y los
administradores utilizan para acceder a IVE y las páginas de inicio de sesión que
ven. El IVE tiene dos tipos de directivas de inicio de sesión: una para usuarios y otra
para administradores. Cuando se configuran las directivas de inicio de sesión se
asocian territorios, páginas de inicio de sesión y direcciones URL.

Por ejemplo, con el fin de permitir a todos los usuarios iniciar sesión en el IVE,
se deben agregar todos los territorios de autenticación de usuario a la directiva de
inicio de sesión del usuario. Puede también optar por modificar la URL estándar
que los usuarios finales utilizan para tener acceso al IVE y la página de inicio de
sesión que ellos ven. O bien, si tiene una licencia adecuada, puede crear directivas
de inicio de sesión para múltiples usuarios, habilitando a diferentes usuarios para
iniciar sesión en diferentes URL y páginas.

Además, los dispositivos equipados con una licencia Secure Meeting vienen con una
URL de reunión. Puede usar esta URL para controlar la página de inicio de sesión
que los usuarios ven cuando inician sesión en una reunión en el dispositivo IVE. Si
tiene la licencia apropiada, también puede crear páginas de inicio de sesión para
reunión adicionales, habilitando diferentes usuarios de Secure Meeting para que
inicien sesión en diferentes URL y páginas.

Puede crear múltiples directivas de inicio de sesión, asociando diferentes páginas

de inicio de sesión a diferentes URL. Cuando configure una directiva de inicio de
sesión debe asociarla a uno o más territorios. Así, sólo los miembros del territorio o
territorios de autenticación especificados pueden iniciar sesión con la URL definida
en la directiva. En la directiva de inicio de sesión, también puede definir diferentes
páginas de inicio de sesión que asociar a diferentes URL.

Por ejemplo, puede crear directivas de inicio de sesión que especifiquen

lo siguiente:

„ Los miembros del territorio “Partners” pueden iniciar sesión en el IVE con la
URL: partner1.yourcompany.com y partner2.yourcompany.com. Los usuarios que
inician sesión en la primera URL ven la página de inicio “partners1”, aquellos
que inician sesión en la segunda URL ven la página de inicio de sesión
“partners2”.

„ Los miembros del territorio “Local” (local) y “Remote” (remoto) pueden iniciar
sesión en el IVE con la URL: employees.yourcompany.com. Cuando lo hacen, ven
la página de inicio de sesión “Employees”.

„ 211
 Guía de administración de Secure Access de Juniper Networks

„ Los miembros del territorio “Admin Users” pueden iniciar sesión en el IVE con
la URL: access.yourcompany.com/super. Cuando lo hacen, ven la página de
inicio de sesión “Administrators”.

Al definir las directivas de inicio de sesión, puede utilizar diferentes nombres de

host (como partners.yourcompany.com y partners.yourcompany.com) o diferentes
rutas (como partners.yourcompany.com y partners.yourcompany.com) para distinguir
entre las URL.

NOTA: Si un usuario trata de iniciar sesión mientras hay otra sesión de usuario
activa con las mismas credenciales de inicio de sesión, el IVE muestra una página
de advertencia que muestra la dirección IP de la sesión existente y dos botones:
Continue y Cancel. Al hacer clic en el botón Cancel, el usuario termina el proceso
de inicio de sesión actual y es enviado nuevamente a la página Sign-in. Al hacer
clic en el botón Continue, el IVE crea la nueva sesión de usuario y finaliza la
sesión existente.

NOTA: Al activar múltiples URL de inicio de sesión, tenga en cuenta que en algunos
casos el IVE debe usar cookies en el equipo del usuario para determinar qué
URL de inicio de sesión y página de inicio de sesión correspondiente mostrar
al usuario. El IVE crea estas cookies cuando el usuario inicia sesión en el IVE.
(Cuando un usuario inicia sesión en el IVE, el IVE responde con una cookie que
incluye el territorio de inicio de sesión de la URL. Entonces el IVE adjunta esta
cookie a cada solicitud del IVE que el usuario hace). Generalmente, estas cookies
aseguran que el IVE muestre al usuario la URL y la página de inicio de sesión
correctas. Por ejemplo, si un usuario inicia sesión en el IVE con la URL
http://yourcompany.net/employees y luego su sesión caduca, el IVE usa
la cookie para determinar que debe mostrar la URL de inicio de sesión
http://yourcompany.net/employees y la página correspondiente al usuario cuando
solicita otro recurso del IVE.

No obstante, en casos aislados, es posible que la cookie del equipo del usuario no
coincida con el recurso al que se trata de tener acceso. El usuario puede iniciar
sesión en una URL y luego tratar de tener acceso a un recurso que está protegido
por una URL diferente. En este caso, el IVE muestra la URL de inicio de sesión y la
página de inicio de sesión correspondiente que el usuario utilizó recientemente.
Por ejemplo, un usuario puede iniciar sesión en el IVE con la URL de inicio de
sesión http://yourcompany.net/employees. A continuación puede tratar de tener
acceso a un recurso del IVE mediante un vínculo en un servidor externo, como
https://yourcompany.net/partners/dana/term/winlaunchterm.cgi?host=<termsrvIP >.
También puede tratar de abrir un marcador que haya creado durante otra sesión,
como
https://yourcompany.net/partners/,DanaInfo=.awxyBmszGr3xt1r5O3v.,SSO=U+.
En estos casos, el IVE mostrará la URL y la página de inicio de sesión
http://yourcompany.net/employees al usuario, en lugar de la URL o página de inicio
de sesión asociadas al vínculo externo o marcador guardado al que se está
tratando de tener acceso.

212 „
 Capítulo 9: Directivas de inicio de sesión

Esta sección contiene la siguiente información sobre las directivas de inicio

de sesión:

„ “Licencia: Disponibilidad de directivas y páginas de inicio de sesión” en la

página 213

„ “Resumen de tareas: Configuración de directivas de inicio de sesión” en la

página 213

„ “Configuración de directivas de inicio de sesión” en la página 214

„ “Configuración las páginas de inicio de sesión” en la página 220

Licencia: Disponibilidad de directivas y páginas de inicio de sesión

Las directivas de inicio de sesión son una parte integral de la estructura de
administración de acceso del IVE y, por lo tanto, están disponibles en todos
los productos Secure Access. Sin embargo, tenga en cuenta que las siguientes
características avanzadas de inicio de sesión no están disponibles en el
dispositivo SA 700:

„ La capacidad de crear múltiples directivas de inicio de sesión

„ La capacidad de crear páginas de inicio de sesión para usuarios de

Secure Meeting

„ La capacidad de crear y cargar páginas de inicio de sesión personalizadas

en el IVE

Resumen de tareas: Configuración de directivas de inicio de sesión

Para configurar directivas de inicio de sesión debe:

1. Crear un territorio de autenticación a través de una de las páginas

Administrators > Admin Realms o Users > User Realms de la consola
de administración.

2. (Opcional) Modificar una página de inicio de sesión existente o crear una nueva
utilizando las opciones de la página Authentication > Signing In > Sign-in
Pages de la consola de administración.

3. Especificar una directiva de inicio de sesión que asocie un territorio, una URL
de inicio de sesión y una página de inicio de sesión a los ajustes de la página
Authentication > Signing In > Sign-in Policies de la consola de
administración.

4. Si distingue entre URL mediante nombres de host, debe asociar cada nombre
de host con su propio certificado o cargar un certificado comodín en el IVE
utilizando las opciones de la página System > Configuration > Certificates >
Device Certificates.

Licencia: Disponibilidad de directivas y páginas de inicio de sesión „ 213

 Guía de administración de Secure Access de Juniper Networks

Configuración de directivas de inicio de sesión

Las directivas de inicio de sesión definen las URL que los usuarios y los
administradores pueden utilizar para tener acceso al IVE, tal como se explicó en
“Directivas de inicio de sesión” en la página 211.

Esta sección contiene la siguiente información sobre las directivas de inicio

de sesión:

„ “Definición de las directivas de inicio de sesión” en la página 214

„ “Definición de las directivas de inicio de sesión de reunión” en la página 217

„ “Especificación del orden de evaluación de las directivas de inicio de sesión” en

la página 219

„ “Habilitación y inhabilitación de directivas de inicio de sesión” en la página 219

Definición de las directivas de inicio de sesión

Para crear o configurar directivas de administrador o de inicio de sesión de usuario:

1. En la consola de administración, seleccione Authentication > Signing In >

Sign-in Policies.

2. Para crear una nueva directiva de inicio de sesión haga clic en New URL.
También puede editar una directiva existente haciendo clic en una URL en la
columna Administrator URLs o User URLs.

3. Seleccione Users o Administrators para especificar el tipo de usuario que

puede iniciar sesión en el IVE con la directiva de acceso.

4. En el campo Sign-in URL, introduzca la URL que desea asociar a la directiva.

Use el formato <host>/<path> en que <host> es el nombre de host del IVE y
<path> es cualquier cadena que desee que los usuarios introduzcan. Por
ejemplo: partner1.yourcompany.com/outside. Para especificar varios host use el
carácter comodín *. Por ejemplo:

„ Para especificar que todas las URL de administrador deben usar la página
de inicio de sesión, introduzca */admin.

NOTA: Sólo puede utilizar caracteres comodín (*) al comienzo de la parte del
nombre de host en la URL. El IVE no reconoce comodines en la ruta de la URL.

5. Introduzca una Description para la directiva (opcional).

6. En la lista Sign-in Page, seleccione la página de inicio de sesión que desea

asociar a la directiva. Puede seleccionar la página predeterminada que viene
con el IVE, una variación de la página de inicio de sesión estándar o una página
personalizada que cree con la característica UI personalizable. Para obtener
más información, consulte “Configuración de las páginas de inicio de sesión
estándares” en la página 221.

214 „ Configuración de directivas de inicio de sesión

 Capítulo 9: Directivas de inicio de sesión

7. (Sólo URL del usuario) En el campo Meeting URL, seleccione la URL de reunión
que usted quiere asociar a esta directiva de inicio de sesión. El IVE aplica la URL
de reunión especificada a cualquier reunión creada por un usuario que inicia
sesión en esta URL de usuario.

8. En Authentication realm, especifique qué territorio se asigna a la directiva

y cómo los usuarios y administradores deben elegir entre los territorios.
Si selecciona:

„ User types the realm name: El IVE asigna la directiva de inicio de sesión
a todos los territorios de autenticación, pero no proporciona una lista de
territorios entre los cuales el usuario o el administrador puedan elegir, sino
que el usuario o administrador deben introducir manualmente su nombre
de territorio en la página de inicio de sesión.

„ User picks from a list of authentication realms: El IVE sólo asigna la

directiva de inicio de sesión a los territorios de autenticación que se
seleccionen. El IVE presenta esta lista de territorios al usuario o
administrador cuando éste inicia sesión en el IVE y le permite elegir un
territorio de la lista. (Tenga en cuenta que el IVE no muestra una lista
desplegable de territorios de autenticación si la URL sólo se asigna a un
territorio, sino que utiliza automáticamente el territorio especificado.)

NOTA: Si permite al usuario seleccionar de entre varios territorios y uno ellos

utiliza un servidor de autenticación anónimo, el IVE no mostrará ese territorio en
la lista desplegable de territorios. Para asignar eficazmente su directiva de inicio
de sesión a un territorio anónimo, sólo debe agregar ese territorio a la lista
Authentication realm.

9. Haga clic en Save Changes.

Definición de directivas de acceso sólo con autorización

El acceso sólo con autorización es similar a un proxy inverso. Generalmente, un
proxy inverso es un servidor proxy que se instala frente a servidores web. Todas
las conexiones provenientes de Internet dirigidas a uno de los servidores web son
enrutadas a través del servidor proxy, que puede abordar la petición por sí mismo
o transmitirla completa o parcialmente al servidor web principal.

Con un acceso sólo con autorización, se selecciona el rol del usuario. El IVE actúa
como un servidor proxy inverso y realiza la autorización respecto al servidor
Netegrity SiteMinder para cada petición.

Por ejemplo, la característica de acceso sólo con autorización satisface las

siguientes necesidades empresariales:

„ Si tiene un servidor de administración de directivas AAA de terceros

(como Netegrity), el IVE actúa como un agente sólo de autorización.

„ Si las sesiones de usuario son administradas por un sistema de administración

de sesiones de terceros, no es necesario duplicar la administración de sesiones
de usuario en el IVE.

Configuración de directivas de inicio de sesión „ 215

 Guía de administración de Secure Access de Juniper Networks

Con acceso sólo con autorización, no hay SSO desde el IVE. Su infraestructura de
AAA de terceros controla el SSO.

NOTA: Antes de definir esta directiva, primero debe configurar su servidor

Netegrity y definir los nombres de host en la página de configuración de red.

También debe especificar ajustes en la sección SiteMinder authorization settings

de la página del servidor de autenticación de SiteMinder. Los usuarios son
dirigidos a la URL especificada en el campo If Automatic Sign In fails, redirect to
cuando la validación de la cookie SMSESSION falla o si dicha cookie no existe. Los
usuarios son dirigidos a la URL especificada en el campo If authorization fails,
redirect to cuando se produce un error de acceso denegado. Para obtener más
información, consulte “Definición de una instancia de servidor eTrust SiteMinder”
en la página 174.

Para crear o configurar directivas de acceso sólo con autorización:

1. En la consola de administración, elija Authentication > Signing In > Sign-in

Policies.

2. Para crear una nueva directiva de acceso sólo con autorización, haga clic en
New URL y seleccione authorization only access. También puede editar una
directiva existente haciendo clic en una URL en la columna Virtual Hostname.

3. En el campo Virtual Hostname, introduzca el nombre que se asigna a la

dirección IP del IVE. El nombre debe ser único entre todos los nombres de
hosts virtuales usados en el modo del nombre de host del proxy pass-through.
El nombre de host se usa para acceder a la aplicación backend introducida
en el campo Backend URL. No incluya el protocolo (por ejemplo, http:) en
este campo.

Por ejemplo, si el nombre de host virtual es miaplic.nombrehostive.com y la URL

backend es http://www.xyz.com:8080/, una petición a
https://miaplic.nombrehostive.com/test1 a través del IVE se convierte en una
petición a http://www.xyz.com:8080/test1. La respuesta de la petición
convertida se envía al explorador Web original que hizo la petición.

4. En el campo Backend URL, introduzca la URL para el servidor remoto. Debe

especificar el protocolo, nombre de host y puerto del servidor. Por ejemplo,
http://www.midominio.com:8080/*.

Si las peticiones coinciden con el nombre de host del campo Virtual

Hostname, la petición se transforma en la URL especificada en el campo
Backend URL. El cliente es dirigido a la URL backend sin saberlo.

5. Introduzca una Description para esta directiva (opcional).

6. Seleccione el servidor Netegrity SiteMinder del menú desplegable

Authorization Server.

216 „ Configuración de directivas de inicio de sesión

 Capítulo 9: Directivas de inicio de sesión

7. Seleccione un rol de usuario en el menú desplegable Role Option.

Sólo las siguientes opciones de rol de usuario se aplican al acceso sólo con
autorización.

„ Permitir exploración de sitios Web SSL no fiables (Users > User Roles >
Nombre de rol > Web > Options > View advanced options)

„ Tiempo de espera de conexión de HTTP (Users > User Roles > Nombre
de rol > Web > Options > View advanced options)

„ Restricciones de IP de origen (Users > User Roles > Nombre de rol >
General > Restrictions)

„ Restricciones de exploración (Users > User Roles > Nombre de rol >
General > Restrictions)

Para obtener más información sobre estas opciones de rol, consulte

“Configuración de opciones avanzadas de exploración web” en la página 419,
“Especificación de las restricciones de acceso de la dirección IP de origen” en la
página 60 y “Especificación de las restricciones de acceso para exploradores”
en la página 62.

8. Haga clic en Save Changes para guardar sus ediciones.

Definición de las directivas de inicio de sesión de reunión

Para crear o configurar directivas de inicio de sesión de reunión

1. En la consola de administración, seleccione Authentication >

Authentication > Signing In Policies.

2. Para crear una nueva directiva de inicio de sesión haga clic en New URL.
También puede editar una directiva existente haciendo clic en una URL en la
columna Meeting URLs.

3. Seleccione Meeting.

4. En el campo Sign-in URL, introduzca la URL que desea asociar a la directiva de

reunión. Use el formato <host>/<path> en que <host> es el nombre de host del
IVE y <path> es cualquier cadena que desee que los usuarios introduzcan. Por
ejemplo: Partner1.YourCompany.com/OnlineConference. Cuando cree la URL de
reunión, tenga en cuenta que:

„ No es posible modificar la URL de la URL de reunión predeterminada

(*/meeting) que viene con el producto.

„ Si desea habilitar a los usuarios para iniciar sesión en las reuniones con
todos los nombres de host definidos en la URL de usuario asociada, use
el carácter comodín * en su definición de URL de reunión. Por ejemplo,
podría asociar los siguientes host a la URL de usuario.

‰ YourInternalServer.YourCompany.net

‰ YourExternalServer.YourCompany.com

Configuración de directivas de inicio de sesión „ 217

 Guía de administración de Secure Access de Juniper Networks

Posteriormente, si crea una definición de URL de reunión

*/OnlineConference y la asocia a la URL de usuario, los usuarios
pueden tener acceso a la página de inicio de sesión de reunión con
las siguientes URL:

‰ http://YourInternalServer.YourCompany.net/OnlineConference

‰ http://YourExternalServer.YourCompany.com/OnlineConference

„ Si crea una URL de reunión que incluye el carácter comodín * y activa las
notificaciones de correo electrónico, el IVE crea la URL de reunión en el
correo electrónico de notificación con el nombre de host especificado por
el usuario cuando inicia sesión en el IVE. Por ejemplo, un usuario podría
iniciar sesión en el IVE con la siguiente URL del ejemplo anterior:

http://YourInternalServer.YourCompany.net

A continuación, si el usuario crea una reunión, el IVE especifica la siguiente

URL de inicio de sesión para esa reunión en la notificación de correo
electrónico:

http://YourInternalServer.YourCompany.net/OnlineConference
Tenga en cuenta que puesto que el vínculo de correo electrónico hace
referencia a un servidor interno, los usuarios fuera de la red no pueden
tener acceso a la reunión.

„ Si sólo desea habilitar a los usuarios para que inicien sesión en reuniones
con un subconjunto de los nombres de host definidos en la URL de usuario
asociada o si desea requerir que los usuarios utilicen una URL
completamente diferente para iniciar sesión en reuniones, no incluya el
carácter comodín en la definición de la URL de reunión. En lugar de ello,
cree una definición de URL de reunión específica.

Por ejemplo, puede crear la siguiente definición de URL de reunión y

asociarla a la URL de usuario del ejemplo anterior con el fin de especificar
que todas las reuniones contienen vínculos sólo al servidor externo:

YourExternalServer.YourCompany.com/OnlineConference

5. Introduzca una Description para la directiva (opcional).

6. En la lista Sign-in Page, seleccione la página de inicio de sesión que desea que
aparezca a todos los usuarios cuando tengan acceso a las reuniones con esta
directiva. Puede seleccionar las páginas predeterminadas que vienen con el
IVE, una variación de las páginas de inicio de sesión estándar o páginas
personalizadas que cree con la característica UI personalizable. Para obtener
más información, consulte “Configuración de las páginas de inicio de sesión
estándares” en la página 221.

7. Haga clic en Save Changes.

218 „ Configuración de directivas de inicio de sesión

 Capítulo 9: Directivas de inicio de sesión

Habilitación y inhabilitación de directivas de inicio de sesión

Para habilitar y inhabilitar directivas de inicio de sesión:

1. En la consola de administración, elija Authentication > Signing In > Sign-in

Policies.

2. Para habilitar o inhabilitar:

„ Una directiva individual: Marque la casilla de verificación al lado de la

directiva que desea cambiar y haga clic en Enable o Disable.

„ Todas las directivas de usuario y reunión: Seleccione o anule la selección

de la casilla de verificación Restrict access to administrators only al inicio
de la página.

3. Haga clic en Save Changes.

Especificación del orden de evaluación de las directivas de inicio de sesión

El IVE evalúa las directivas de inicio de sesión en el mismo orden en que las
enumera en la página Sign-in Policies. Cuando encuentra una URL que coincide
exactamente, deja de realizar la evaluación y presenta las páginas de inicio de
sesión correspondientes al administrador o al usuario. Por ejemplo, puede definir
dos directivas de inicio de sesión de administrador con dos URL diferentes.

„ La primera directiva utiliza la URL */admin y se asigna a la página de inicio de

sesión del administrador predeterminada.

„ La segunda directiva utiliza la URL yourcompany.com/admin y se asigna a una

página de inicio de sesión del administrador personalizada.

Si indica las directivas en este orden en la página Sign-in Policies, el IVE nunca
evalúa ni utiliza la segunda directiva porque la primera URL abarca la segunda.
Aunque un administrador inicie sesión con la URL yourcompany.com/admin, el IVE
muestra la página de inicio de sesión del administrador predeterminada. Sin
embargo, si indica las directivas en el orden opuesto, el IVE muestra la página de
inicio de sesión de administrador personalizada a los administradores que tienen
acceso al IVE con la URL yourcompany.com/admin.

Tenga en cuenta que el IVE sólo acepta caracteres comodines en la sección de

nombre de host de la URL y compara las direcciones URL según la ruta exacta.
Por ejemplo, puede definir dos directivas de inicio de sesión de administrador con
dos rutas de URL diferentes:

„ La primera directiva utiliza la URL */marketing y se asigna a una página de

inicio de sesión personalizada para todo el Departamento de Marketing.

„ La segunda directiva utiliza la URL */marketing/Joe y se asigna a una página de

inicio de sesión personalizada diseñada exclusivamente para Joe en el
Departamento de Marketing.

Configuración de directivas de inicio de sesión „ 219

 Guía de administración de Secure Access de Juniper Networks

Si indica las directivas en este orden en la página Sign-in Policies, el IVE

muestra a Joe su página de inicio personalizada cuando usa la URL
yourcompany.com/marketing/joe para tener acceso al IVE. Él no ve la página de
inicio de sesión de Marketing, aunque esté indicada y sea evaluada primero, porque
la parte de la ruta de esta URL no coincide exactamente con la URL definida en la
primera directiva.

Para cambiar el orden en que las directivas de inicio de sesión de administración

son evaluadas:

1. En la consola de administración, elija Authentication > Signing In > Sign-in

Policies.

2. Seleccione una directiva de inicio de sesión en la lista Administrator URLs,

User URLs o Meeting URLs.

3. Haga clic en las flechas arriba y abajo para cambiar la ubicación de la directiva
seleccionada en la lista.

4. Haga clic en Save Changes.

Configuración las páginas de inicio de sesión

Una página de inicio de sesión define las propiedades personalizadas en la página de
bienvenida del usuario final, como el texto de bienvenida, el texto de ayuda, el
logotipo, el encabezado y el pie de página. El IVE le permite crear dos tipos de
páginas de inicio de sesión para presentarlas a los usuarios y administradores.

„ Páginas de inicio de sesión estándar: Estas páginas son creadas por Juniper
y se incluyen con todas las versiones del IVE. Puede modificar las páginas de
inicio de sesión estándar a través de la ficha Authentication > Signing In >
Sign-in Pages de la consola de administración. Para obtener más información,
consulte “Configuración de las páginas de inicio de sesión estándares” en la
página 221.

„ Páginas de inicio de sesión personalizadas: Las páginas de inicio de sesión

personalizadas son páginas THTML que se crean con la el kit de herramientas
de plantillas y se cargan en el IVE de forma de archivos Zip. La característica de
páginas de inicio de sesión personalizada es una característica con licencia, que
le permite utilizar sus propias páginas en lugar de tener que modificar la página
de inicio de sesión incluida en el IVE.

Para obtener más información sobre las páginas de inicio personalizadas, consulte
el manual Custom Sign-In Pages Solution Guide.

220 „ Configuración las páginas de inicio de sesión

 Capítulo 9: Directivas de inicio de sesión

Configuración de las páginas de inicio de sesión estándares

Las páginas de inicio de sesión estándar que vienen con el IVE incluyen:

„ Página de inicio de sesión predeterminada: El IVE muestra de forma

predeterminada esta página a los usuarios cuando inician sesión en el IVE.

„ Página de inicio de sesión de reunión: El IVE muestra de forma

predeterminada esta página a los usuarios cuando inicien sesión en una
reunión. Esta página sólo está disponible si instala una licencia Secure Meeting
en el IVE.

Puede modificar estas páginas o crear páginas nuevas que contengan texto,
logotipos, colores y texto de mensajes de error personalizados con los ajustes
de la ficha Authentication > Signing In > Sign-in Pages de la consola de
administración.

Para crear o modificar una página de inicio de sesión estándar:

1. En la consola de administración, elija Authentication > Signing In >

Sign-in Pages.

2. Si está:

„ Creando una página nueva: Haga clic en New Page.

„ Modificando una página existente: Seleccione el vínculo que corresponde

a la página que desea modificar.

3. (Sólo páginas nuevas) En Page Type, especifique si ésta es una página de acceso
de administrador o usuario o una página de reunión.

4. Introduzca un nombre para identificar la página.

5. En la sección Custom text, revise el texto predeterminado utilizado para las

diversas etiquetas de pantalla que desee. Cuando agregue texto al campo
Instructions, tenga en cuenta que se puede formatear texto y agregar vínculos
a las siguientes etiquetas HTML: <i>, <b>, <br>, <font> y <a href>. Sin embargo,
el IVE no reescribe vínculos en la página de inicio de sesión (puesto que el
usuario aún no se ha autenticado), de tal forma que sólo debe dirigirse a sitios
externos. Los vínculos a los sitios situados detrás de un cortafuegos no
funcionarán.

NOTA: Si utiliza etiquetas HTML no admitidas en su mensaje personalizado, el IVE

puede mostrar la página de inicio de IVE del usuario final de forma incorrecta.

6. En la sección Header appearance, especifique un archivo de imagen con el

logotipo personalizado para el encabezado y un color de encabezado diferente.

7. En la sección Custom error messages, revise el texto predeterminado que se

muestra a los usuarios si encuentran errores de certificado. (No disponible para
la página de inicio de sesión de Secure Meeting).

Configuración las páginas de inicio de sesión „ 221

 Guía de administración de Secure Access de Juniper Networks

Puede incluir las variables <<host>>, <<port>>, <<protocol>> y <<request>>

y variables de atributos de usuario, como <<userAttr.cn>>, en los mensajes de
error personalizados. Tenga en cuenta que estas variables deben seguir el
formato <<variable>> para distinguirlas de las etiquetas HTML que tienen el
formato <tag>.

8. Para proporcionar instrucciones de ayuda o adicionales personalizadas para sus

usuarios, seleccione Show Help button, introduzca una etiqueta para mostrar
en el botón y especifique un archivo HTML para cargar al IVE. Tenga en cuenta
que el IVE no muestra imágenes y otros contenidos a los que se hace referencia
en esta página HTML. (No disponible para la página de inicio de sesión de
Secure Meeting).

9. Haga clic en Save Changes. Los cambios tendrán efecto inmediatamente, pero
los usuarios con sesiones activas podrían necesitar actualizar sus exploradores
Web.

NOTA: Haga clic en Restore Factory Defaults para restablecer la página de inicio
de sesión, la página principal de usuario de IVE y el aspecto de la consola de
administración.

222 „ Configuración las páginas de inicio de sesión

Capítulo 10
Inicio de sesión único

El inicio de sesión único (SSO) es un proceso que permite a usuarios de IVE ya

autenticados acceder a otras aplicaciones o recursos que están protegidos por
otro sistema de administración de accesos sin tener que volver a introducir sus
credenciales.

Esta sección contiene la siguiente información sobre el inicio de sesión único en

características:

„ “Licencia: Disponibilidad de inicio de sesión único” en la página 223

„ “Información general de inicio de sesión único” en la página 224

„ “Información general de credenciales de inicios de sesión múltiples” en la

página 226

„ “Configuración de SAML” en la página 234

„ “Configuración de perfiles SAML SSO” en la página 237

Licencia: Disponibilidad de inicio de sesión único

Todos los productos Secure Access contienen algunas características de inicio de
sesión único. Sin embargo, recuerde que las características avanzadas de inicio de
sesión único de Remote SSO, SAML y eTrust SSO no están disponibles en el SA 700.
Además, las características de autenticación básica, intermediación de NTLM y
Telnet SSO sólo están disponibles en el dispositivo SA 700 si usted tiene la licencia
de actualización Core Clientless Access.

Licencia: Disponibilidad de inicio de sesión único „ 223

 Guía de administración de Secure Access de Juniper Networks

Información general de inicio de sesión único

El IVE proporciona varios mecanismos de integración que le permiten configurar
conexiones de SSO desde el IVE a otros servidores, aplicaciones y recursos. Los
mecanismos de SSO incluyen:

„ Remote SSO: El IVE proporciona integración abierta con cualquier aplicación

que utiliza una acción POST estática dentro de un formulario HTML para que
los usuarios inicien sesión. Puede configurar el IVE para enviar credenciales de
IVE, atributos LDAP y atributos de certificados a una aplicación Web, al igual
que para configurar cookies y encabezados, lo que permite a los usuarios tener
acceso a la aplicación sin volver a autenticarse. Para obtener más información,
consulte “Información general de SSO remoto” en la página 388.

„ SAML: El IVE proporciona integración abierta con sistemas de administración

de acceso seleccionados que usan el lenguaje Security Assertion Markup
Language (SAML) para comunicarse con otros sistemas. Puede permitir que los
usuarios inicien sesión en el IVE y después inicien sesión y accedan a recursos
protegidos por el sistema de administración de accesos sin volver a
autenticarse. También puede permitir que los usuarios inicien sesión en otro
sistema de administración de accesos y después accedan a recursos protegidos
por el IVE, sin volver a autenticarse. Para obtener más información, consulte
“Configuración de SAML” en la página 234.

„ Basic authentication and NTLM intermediation to Intranet sites: El IVE le

permite enviar automáticamente credenciales de usuario de IVE a otros sitios
Web y proxies dentro de la misma zona Intranet. Cuando se activa la
intermediación de autenticación básica a través de la página Users > Resource
Profiles > Web Applications/Pages de la consola de administración, el IVE
envía las credenciales en caché a sitios Intranet cuyos nombres de host
terminan en el sufijo DNS configurado en la página System > Network >
Overview. Para aumentar al máximo la seguridad, también puede configurar el
IVE para usar codificación en base 64 para proteger las credenciales en caché.
Para obtener más información, consulte “Definición de una directiva
automática de inicio de sesión único” en la página 397.

„ Active Directory server: El IVE le permite enviar automáticamente credenciales

de SSO Active Directory SSO a otros sitios Web y archivos Windows
compartidos dentro de la misma zona Intranet que está protegida por
autenticación NTLM nativa. Cuando activa esta opción, el IVE envía
credenciales en caché a sitios Web protegidos con NTLM cuyos nombres de
host terminan en el sufijo DNS configurado en la página System > Network >
Overview de la consola de administración. Para obtener más información,
consulte “Configuración de una instancia de Active Directory o dominio NT” en
la página 120.

224 „ Información general de inicio de sesión único

 Capítulo 10: Inicio de sesión único

„ eTrust SiteMinder policy server: Cuando autentica a usuarios de IVE usando

un servidor de directivas eTrust SiteMinder, puede permitirles tener acceso a
recursos protegidos de SiteMinder sin volver a autenticarse (siempre que estén
autorizados con el nivel de protección correcto). Además, puede volver a
autenticar usuarios a través de IVE si solicitan recursos para los cuales su actual
nivel de protección es inadecuado y puede permitir a usuarios iniciar sesión en
el servidor de directivas primero y después tener acceso al IVE sin volver a
autenticarse. Para obtener más información, consulte “Configuración de una
instancia de servidor eTrust SiteMinder” en la página 160.

„ Terminal Sessions: Cuando activa la característica Terminal Services para un

rol, permite a los usuarios conectarse a aplicaciones que se están ejecutando en
un servidor de terminal Windows o servidor Citrix MetaFrame sin volver a
autenticarse. Para obtener más información, consulte “Terminal Services” en la
página 563. También puede transmitir un nombre de usuario al servidor
Telnet/SSH, como se explica en “Terminal Services” en la página 563.

„ Email clients: Cuando activa la característica Email Client para un rol y

después crea una directiva de recursos correspondiente, permite a los usuarios
tener acceso a correo electrónico basado en estándares como Outlook Express,
Netscape Communicator o Eudora de Qualcomm sin volver a autenticarse. Para
obtener más información, consulte “Email Client” en la página 647.

El IVE determina qué credenciales enviar al servidor, aplicación o recurso habilitado

con SSO basado en el mecanismo que usa para conectarse. La mayoría de los
mecanismos le permiten recopilar credenciales de usuario para hasta dos
servidores de autenticación en la página de inicio de sesión de IVE y después enviar
esas credenciales durante SSO. Para obtener más información, consulte
“Información general de credenciales de inicios de sesión múltiples” en la
página 226.

Los mecanismos restantes (SAML, eTrust SiteMinder y Email Client) usan métodos
únicos para activar SSO desde el IVE a la aplicación admitida. Para obtener más
información, consulte:

„ “Configuración de SAML” en la página 234

„ “Configuración de perfiles SAML SSO” en la página 237

„ “Configuración de una instancia de servidor eTrust SiteMinder” en la

página 160

„ “Email Client” en la página 647

Información general de inicio de sesión único „ 225

 Guía de administración de Secure Access de Juniper Networks

Información general de credenciales de inicios de sesión múltiples

Cuando configura un territorio de autenticación, puede activar hasta dos servidores
de autenticación para el territorio. Activar dos servidores de autenticación le
permite exigir dos conjuntos diferentes de credenciales; uno para el IVE y otro para
su recurso habilitado con SSO, sin necesidad de que el usuario introduzca el
segundo conjunto de credenciales cuando tiene acceso al recurso. También le
permite exigir autenticación de dos factores para tener acceso al IVE.

Esta sección contiene la siguiente información sobre credenciales de inicios de

sesión múltiples:

„ “Resumen de tareas: configuración de múltiples servidores de autenticación”

en la página 226

„ “Resumen de tareas: Activación de SSO para recursos protegidos por

autenticación básica” en la página 227

„ “Resumen de tareas: Activación de SSO para recursos protegidos por NTLM” en

la página 227

„ “Ejecución de credenciales de inicios de sesión múltiples” en la página 229

Resumen de tareas: configuración de múltiples servidores de autenticación

Para activar múltiples servidores de autenticación:

1. Cree instancias de servidor de autenticación como se indica en la página

Authentication > Auth. Servers de la consola de administración. Para obtener
instrucciones sobre la configuración, consulte “Definición de una instancia de
servidor de autenticación” en la página 114.

2. Asocie los servidores de autenticación con un territorio usando configuraciones

en las siguientes páginas para la consola de administración:

„ Users > User Realms > Seleccionar territorio > General

„ Administrators > Admin Realms > Seleccionar territorio > General

Para obtener instrucciones sobre la configuración, consulte “Creación de un

territorio de autenticación” en la página 196.

3. (Opcional) Especifique restricciones de longitud de contraseñas para el servidor

de autenticación secundario usando configuraciones en las siguientes páginas
de la consola de administración:

„ Users > User Realms > Seleccionar territorio > Authentication Policy >
Password

„ Administrators > Admin Realms > Seleccionar territorio >

Authentication Policy > Password

Para obtener instrucciones sobre la configuración, consulte “Especificación de

las restricciones de acceso para contraseñas” en la página 66.

226 „ Información general de credenciales de inicios de sesión múltiples

 Capítulo 10: Inicio de sesión único

Resumen de tareas: Activación de SSO para recursos protegidos por autenticación

básica
Para activar el inicio de sesión único en servidores Web y proxies Web que están
protegidos por autenticación básica, debe:

1. Especificar un IVE nombre de host que termina con el mismo prefijo que su
recurso protegido usando configuraciones en la página System > Network >
Overview de la consola de administración. (El IVE comprueba los nombres de
host para asegurar que sólo está activando SSO a sitios dentro de la misma
Intranet.)

2. Permitir que los usuarios accedan a recursos Web, especificar los sitios a los
cuales desea que el IVE envíe credenciales, crear directivas automáticas que
permiten el inicio de sesión único de intermediación de autenticación básica
y crear marcadores a los recursos seleccionados usando configuraciones en la
página Users > Resource Profiles > Web Application/Pages > [Perfil] de la
consola de administración.

3. Si desea que los usuarios tengan acceso a servidores Web mediante un proxy,
configure el IVE para reconocer los servidores y proxies adecuados usando
configuraciones en las siguientes páginas de la consola de administración:

a. Use configuraciones de la página Users > Resource Policies > Web >
Web proxy > Servers para especificar qué servidores Web desea proteger
con el proxy.

b. Use configuraciones de la página Users > Resource Policies > Web >
Web proxy > Policies para especificar qué proxies desea usar y qué
servidores (arriba) desea que protejan los proxies. Puede especificar
recursos individuales en el servidor o el servidor entero.

Resumen de tareas: Activación de SSO para recursos protegidos por NTLM

NOTA: El IVE admite proxies Web que realizan autenticación NTLM. Sin embargo,
no se admite el siguiente caso. existe un proxy entre el IVE y el servidor de back-
end y éste realiza la autenticación de NTLM.

Para activar inicio de sesión único en servidores Web, servidores de archivo

Windows y proxies Web que están protegidos por NTLM, debe:

1. Especificar un nombre de host de IVE que termine con el mismo sufijo que su
recurso protegido usando configuraciones en la página System > Network >
Overview de la consola de administración. (El IVE comprueba los nombres de
host para asegurar que sólo está activando SSO a sitios situados dentro de la
misma Intranet.)

Información general de credenciales de inicios de sesión múltiples „ 227

 Guía de administración de Secure Access de Juniper Networks

2. Permitir que los usuarios tengan acceso al tipo correspondiente de recursos

(Web o archivo), especificar los sitios o servidores a los cuales desea que el IVE
envíe credenciales, crear directivas automáticas que permitan el inicio de
sesión único con NTLM y crear marcadores a los recursos seleccionados usando
configuraciones de las siguientes páginas de la consola de administración:

„ Users > Resource Profiles > Web Application/Pages > [Perfil]

„ Users > Resource Profiles > File Browsing Resource Profiles > [Perfil]

3. Si desea que los usuarios tengan acceso a servidores Web mediante un proxy,
configure el IVE para reconocer los servidores y proxies adecuados usando
configuraciones en las siguientes páginas de la consola de administración:

a. Use configuraciones de la página Users > Resource Policies > Web >
Web proxy > Servers para especificar qué servidores Web desea proteger
con el proxy.

b. Use configuraciones de la página Users > Resource Policies > Web >
Web proxy > Policies para especificar qué proxies desea usar y qué
servidores (arriba) desea que protejan los proxies. Puede especificar
recursos individuales en el servidor o el servidor entero.

228 „ Información general de credenciales de inicios de sesión múltiples

 Capítulo 10: Inicio de sesión único

Ejecución de credenciales de inicios de sesión múltiples

El siguiente diagrama ilustra el proceso que el IVE usa para recopilar y autenticar
múltiples credenciales de usuario y enviarlas a recursos habilitados con SSO.
Cada uno de los pasos del diagrama se describe con más detalle en las secciones
siguientes.

Figura 30: Recopilación y envío de credenciales desde múltiples servidores

Paso 1: El IVE recoge las credenciales principales del usuario

Cuando el usuario inicia sesión en el IVE, el IVE le solicita introducir sus
credenciales de servidor principales. El IVE guarda estas credenciales para enviar
al recurso de SSO posteriormente, si es necesario. Observe que el IVE guarda las
credenciales exactamente como el usuario las introduce, y que no incluye
información adicional como, por ejemplo, el dominio del usuario.

Paso 2: El IVE recoge o genera las credenciales secundarias del usuario

Puede configurar el IVE para recopilar manualmente o generar automáticamente
el conjunto de credenciales secundario del usuario. Si configura el IVE para:

„ Recopilar manualmente las credenciales secundarias del usuario: El usuario

debe introducir sus credenciales secundarias después de introducir sus
credenciales principales.

Información general de credenciales de inicios de sesión múltiples „ 229

 Guía de administración de Secure Access de Juniper Networks

„ Generar automáticamente las credenciales del usuario: El IVE envía

los valores que especificó en la consola de administración durante la
configuración. De forma predeterminada, el IVE usa las variables de
<username> y <password>, que mantienen el nombre de usuario y contraseña
introducidos por el usuario para el servidor de autenticación principal.

Por ejemplo, puede configurar un servidor LDAP como su servidor de autenticación

principal y un servidor Active Directory como su servidor de autenticación
secundario. Después, puede configurar el IVE para inferir el nombre de usuario
de Active Directory, pero requerir que el usuario introduzca manualmente su
contraseña de Active Directory. Cuando el IVE infiere el nombre de usuario de
Active Directory, simplemente toma el nombre introducido para el servidor LDAP
(por ejemplo, JDoe@LDAPServer) y lo reenvía al Active Directory (por ejemplo,
JDoe@ActiveDirectoryServer).

Paso 3: El IVE autentica las credenciales principales

Después de que el IVE recopila todas las credenciales requeridas, autentica el
primer conjunto de credenciales del usuario respecto al servidor de autenticación
principal. Después:

„ Si las credenciales se autentican correctamente, el IVE las almacena en las

variables de sesión <username> y <password> y continúa para autenticar las
credenciales secundarias.

NOTA: Si autentica contra un servidor RADIUS que acepta contraseñas dinámicas

y con tiempo, puede elegir no almacenar contraseñas de usuario usando la
variable de sesión IVE. Para obtener más información, consulte “Configuración de
una instancia de servidor de RADIUS” en la página 145.

„ Si las credenciales no se autentican correctamente, el IVE deniega el acceso del

usuario al IVE.

Paso 4: El IVE autentica las credenciales secundarias

Después de autenticar las credenciales principales, el IVE autentica las credenciales
secundarias. Seguidamente:

„ Si las credenciales se autentican correctamente, el IVE las almacena en las

variables de sesión <username[2]> y <password[2]> y permite al usuario tener
acceso al IVE. También puede tener acceso a estas variables usando la sintaxis
<username@SecondaryServer> y <password@SecondaryServer>.

NOTA: Si autentica con un servidor RADIUS que acepta contraseñas dinámicas y

con caducidad, puede optar por no almacenar contraseñas de usuario usando la
variable de sesión del IVE. Para obtener más información, consulte “Configuración
de una instancia de servidor de RADIUS” en la página 145.

230 „ Información general de credenciales de inicios de sesión múltiples

 Capítulo 10: Inicio de sesión único

„ Si las credenciales no se autentican correctamente, el IVE no las guarda.

Dependiendo de cómo configura su territorio de autenticación, el IVE puede
permitir o denegar al usuario el acceso al IVE si sus credenciales secundarias no
se autentican correctamente.

NOTA: Puede detectar que ha fallado la autenticación secundaria creando una

expresión personalizada que comprueba si hay una variable user@secondaryAuth
vacía. Quizás le interese hacer para poder asignar usuarios a roles que dependan
de una autenticación correcta. Por ejemplo, la siguiente expresión asigna a
usuarios al rol “MoreAccess” si se hizo la autenticación correcta en el servidor de
autenticación secundario “ACE server”:

user@{ACE Server} != "" then assign role MoreAccess

Observe que se muestra “Ace server” entre llaves dado que el nombre del servidor
de autenticación contiene espacios.

Paso 5: El IVE envía las credenciales a un recurso con SSO habilitado

Después de que un usuario ha iniciado sesión correctamente en el IVE, puede
intentar tener acceso a un recurso habilitado con SSO usando un marcador
preconfigurado u otro mecanismo de acceso. Después, dependiendo de a qué tipo
de recurso intenta acceder el usuario, el IVE envía diferentes credenciales. Si el
usuario está intentando tener acceso a un recurso:

„ Web SSO, Terminal Services o Telnet/SSH: El IVE envía las credenciales que
especifica mediante la consola de administración como <username> (que envía
las credenciales principales del usuario al recurso) o <username[2]> (que envía
las credenciales secundarias del usuario al recurso). O si el usuario ha
introducido un nombre de usuario y contraseña diferentes a través de la
consola de usuario final, el IVE envía las credenciales especificadas por
el usuario.

NOTA: El IVE no admite envío de credenciales del servidor ACE, servidor de

certificados o de servidor anónimo a un recurso Web SSO, terminal services o
Telnet/SSH. Si configura el IVE para enviar credenciales desde uno de estos tipos
de servidores de autenticación principal, el IVE enviará credenciales desde el
servidor de autenticación secundario del usuario. Si estas credenciales fallan,
el IVE solicita al usuario que introduzca manualmente su nombre de usuario
y contraseña.

„ Recursos protegidos por un servidor Web, servidor Windows o proxy Web

que está usando autenticación NTLM: El IVE envía credenciales al servidor
backend o proxy que está protegiendo el recurso Web o de archivo. Observe
que no puede desactivar la autenticación NTLM mediante el IVE: Si un usuario
intenta tener acceso a un recurso que está protegido por NTLM, el IVE
intermedia automáticamente el desafío de autenticación y envía credenciales
en el siguiente orden:

a. (recursos de archivos Windows solamente) Credenciales especificadas

por administrador: Si crea un perfil de recurso que especifica credenciales
para un recurso de archivo Windows y el usuario después tiene acceso al
recurso especificado, el IVE envía las credenciales especificadas.

Información general de credenciales de inicios de sesión múltiples „ 231

 Guía de administración de Secure Access de Juniper Networks

b. Credenciales en caché: Si el IVE no envía credenciales especificadas por el

administrador o las credenciales fallan, el IVE determina si ha almacenado
credenciales para el usuario y recurso especificados en su caché. (Consulte
más adelante para obtener información cuando el IVE guarda en caché
credenciales.) Si está disponible, el IVE envía sus credenciales
almacenadas.

c. Credenciales principales: Si el IVE no envía credenciales en caché o las

credenciales fallan, el IVE envía las credenciales principales del usuario del
IVE siempre que se cumplan las siguientes condiciones:

‰ El recurso está en la misma zona Intranet que el IVE (es decir, el

nombre de host del recurso termina en el sufijo DNS configurado en
la página System > Network > Overview de la consola de
administración).

‰ (proxies Web solamente) Ha configurado el IVE para reconocer el proxy

Web mediante configuraciones en las páginas Users > Resource
Policies > Web > Web Proxy de la consola de administración.

‰ Las credenciales no son credenciales de ACE.

‰ (Credenciales de RADIUS solamente) Se especifica en la página de

configuración de RADIUS que el servidor RADIUS no acepte
contraseñas de un solo uso.

d. Credenciales secundarias: Si las credenciales secundarias fallan, el IVE

determina si tiene credenciales secundarias para el usuario. Si está
disponible, el IVE envía las credenciales secundarias del usuario de IVE
siempre que se cumplan las condiciones descritas para las credenciales
principales.

e. Últimas credenciales introducidas: Si el IVE no envía credenciales

secundarias o si las credenciales fallan, el IVE determina si ha almacenado
credenciales para el usuario especificado y un recurso diferente en su
caché. (Consulte más adelante para obtener información cuando el IVE
guarda en caché credenciales.) Si está disponible, el IVE envía las
credenciales almacenadas siempre que se cumplan las condiciones
descritas para las credenciales principales.

f. Credenciales especificadas por el usuario (petición): Si el IVE no envía

las últimas credenciales introducidas o si las credenciales fallan, el IVE pide
al usuario que introduzca manualmente sus credenciales en la página de
inicio de sesión del intermediario. Si el usuario selecciona la casilla de
verificación Remember password?, el IVE guarda en caché las credenciales
especificadas por el usuario y, si es necesario, las reenvía cuando el usuario
intenta tener acceso al mismo recurso nuevamente. Observe que cuando el
IVE guarda en caché estas credenciales, recuerda al usuario y recurso
específicos, incluso después de que el usuario cierra la sesión del IVE.

232 „ Información general de credenciales de inicios de sesión múltiples

 Capítulo 10: Inicio de sesión único

„ Recurso protegido por un servidor Web o proxy Web usando autenticación

básica: El IVE envía credenciales en el siguiente orden al servidor o proxy
backend que está protegiendo el recurso Web:

a. Credenciales en caché: Si el IVE no envía credenciales especificadas por el

administrador o las credenciales fallan, el IVE determina si ha almacenado
credenciales para el usuario y recurso especificados en su caché. (Consulte
más arriba para obtener información cuando el IVE guarda en caché
credenciales.) Si está disponible, el IVE envía sus credenciales
almacenadas.

b. Credenciales principales: Si el IVE no envía credenciales en caché o las

credenciales fallan, el IVE envía las credenciales principales del usuario del
IVE siempre que se cumplan las siguientes condiciones:

‰ El recurso está en la misma zona Intranet que el IVE (es decir, el

nombre de host del recurso termina en el sufijo DNS configurado en
la página System > Network > Overview de la consola de
administración).

‰ (proxies Web solamente) Ha configurado el IVE para reconocer el proxy

Web mediante configuraciones en las páginas Users > Resource
Policies > Web > Web Proxy de la consola de administración.

‰ Las credenciales no son credenciales de ACE.

‰ (Credenciales de RADIUS solamente) Se especifica en la página de

configuración de RADIUS que el servidor RADIUS no acepte
contraseñas de un solo uso.

c. Credenciales secundarias: Si las credenciales secundarias fallan, el IVE

determina si tiene credenciales secundarias para el usuario. Si está
disponible, el IVE envía las credenciales secundarias del usuario de IVE
siempre que se cumplan las condiciones descritas para las credenciales
principales.

d. Últimas credenciales introducidas: Si el IVE no envía credenciales

secundarias o si las credenciales fallan, el IVE determina si ha almacenado
credenciales para el usuario especificado y un recurso diferente en su
caché. (Consulte más adelante para obtener información cuando el IVE
guarda en caché credenciales.) Si está disponible, el IVE envía las
credenciales almacenadas siempre que se cumplan las condiciones
descritas para las credenciales principales.

e. Credenciales especificadas por el usuario (petición): Si el IVE no envía

las últimas credenciales introducidas o si las credenciales fallan, el IVE pide
al usuario introducir manualmente sus credenciales en la página de inicio
de sesión del intermediario. Si el usuario selecciona la casilla de
verificación Remember password?, el IVE guarda en caché las credenciales
especificadas por el usuario y, si es necesario, las reenvía cuando el usuario
intenta tener acceso al mismo recurso nuevamente. Observe que cuando el
IVE guarda en caché estas credenciales, recuerda al usuario y recurso
específicos, incluso después de que el usuario cierra la sesión del IVE.

Información general de credenciales de inicios de sesión múltiples „ 233

 Guía de administración de Secure Access de Juniper Networks

NOTA:

„ El IVE no admite el mecanismo de autenticación de credenciales múltiples

descrito en esta sección con los mecanismos de Email client y SAML SSO.

„ Si no puede definir un servidor anónimo, servidor de certificado o servidor

eTrust SiteMinder como un servidor de autenticación secundario.

„ Si define un servidor eTrust SiteMinder como su servidor de autenticación

principal, no puede definir un servidor de autenticación secundario.

„ El IVE admite autenticación básica y el esquema de desafío/respuesta de

NTLM para HTTP cuando tiene acceso a aplicaciones Web, pero no admite la
autenticación de plataformas cruzadas basada en HTTP mediante el protocolo
de negociación.

Para obtener más información sobre cómo el IVE usa autenticación múltiple dentro
del proceso de autenticación y autorización más grande de IVE, consulte “Vista
general de las directivas, reglas, restricciones y condiciones” en la página 52.

Configuración de SAML
El IVE le permite transmitir información de usuario y estado de sesión entre el IVE
y otro sistema de administración de accesos fiable que admita (SAML). SAML
proporciona un mecanismo para que dos sistemas diferentes creen e intercambien
información de autenticación y autorización usando un marco XML, minimizando
la necesidad de que los usuarios tengan que volver a introducir sus credenciales
cuando tienen acceso a múltiples aplicaciones o dominios1. El IVE admite SAML
versión 1.1.

Los intercambios de SAML dependen de una relación fiable entre dos sistemas
o dominios. En los intercambios, un sistema actúa como una autoridad SAML
(también llamada parte confirmadora o respondedor SAML) que confirma la
información sobre el usuario. El otro sistema actúa como una parte receptora
(también llamada receptor SAML) que confía en la declaración (también llamada
confirmación) proporcionada por la autoridad SAML. Si elige confiar en la autoridad
SAML, la parte receptora autentica o autoriza al usuario basado en la información
proporcionada por la autoridad SAML.

El IVE admite dos contextos de caso de uso de SAML:

„ The IVE as the SAML authority: El usuario inicia sesión en un recurso

mediante el IVE primero, y todos los otros sistemas son receptores de SAML,
que confían en el IVE para autenticación y autorización del usuario. En este
contexto, el IVE puede usar un perfil de artefacto o un perfil POST. Para obtener
más información, consulte “Configuración de perfiles SAML SSO” en la
página 237.

1. El Secure Access Markup Language es desarrollado por Security Services Technical Committee (SSTC) de la
organización de estándares OASIS. Para obtener información general técnica de SAML, consulte el sitio Web de
OASIS: http://www.oasis-open.org/committees/download.php/5836/sstc-saml-tech-overview-1.1-draft-03.pdf

234 „ Configuración de SAML

 Capítulo 10: Inicio de sesión único

„ The IVE as the SAML receiver: El usuario inicia sesión en otro sistema en la red
primero, y el IVE es el receptor SAML, que confía en el otro sistema para
autenticación y autorización del usuario.

Por ejemplo, en el primer contexto, un usuario autenticado de IVE llamado John

Smith puede intentar tener acceso a un recurso protegido por un sistema de
administración de accesos. Cuando lo hace, el IVE actúa como una autoridad SAML
y declara “Este usuario es John Smith. Fue autenticado usando un mecanismo de
contraseña”. El sistema de administración de accesos (la parte receptora) recibe
esta declaración y elige confiar en el IVE (y por lo tanto, confiar en que el IVE ha
identificado adecuadamente al usuario). El sistema de administración de accesos
puede aún elegir denegar el acceso al usuario al recurso solicitado (por ejemplo,
debido a que John Smith tiene privilegios de acceso insuficientes en el sistema),
al tiempo que confía en la información enviada por el IVE.

En el segundo contexto, John Smith inicia sesión en el portal de su empresa y es

autenticado usando un servidor LDAP tras el cortafuegos de la empresa. En el portal
seguro de la empresa, John Smith hace clic en un vínculo a un recurso protegido por
el IVE. Ocurre el siguiente proceso:

1. El vínculo redirecciona a John Smith a un Servicio de transferencia entre sitios

del portal de la empresa, que construye una URL de artefacto. La URL de
artefacto contiene una referencia a una confirmación de SAML almacenada en
la caché del portal de la empresa.

2. El portal envía la URL al IVE, que puede decidir si incluye o no el vínculo a la

referencia.

3. Si el IVE establece el vínculo a la referencia, el portal envía un mensaje SOAP

que contiene la confirmación de SAML (un mensaje XML que contiene las
credenciales del usuario) al IVE, que puede decidir entonces si permite o no al
usuario tener acceso al recurso solicitado.

4. Si el IVE permite el acceso del usuario, el IVE presenta al usuario el recurso

solicitado.

5. Si el IVE rechaza la confirmación de SAML o las credenciales del usuario, el IVE

responde al usuario con un mensaje de error.

Cuando configure el IVE, puede usar SAML para:

„ Single sign-on (SSO) authentication: En una transacción de SAML SSO, un

usuario autenticado inicia sesión sin problemas en otro sistema sin volver a
enviar sus credenciales. En este tipo de transacción, el IVE puede ser la
autoridad SAML o el receptor SAML. Cuando actúa como la autoridad SAML,
el IVE hace una declaración de autenticación, que declara el nombre de usuario
del usuario y cómo fue autenticado. Si la parte receptora (llamada servicio de
confirmación de usuarios en las transacciones de SAML SSO) opta por confiar en
el IVE, el usuario inicia sesión sin problemas en el servicio de confirmación de
usuarios usando el nombre de usuario contenido en la declaración.

Configuración de SAML „ 235

 Guía de administración de Secure Access de Juniper Networks

Cuando actúa como el receptor SAML, el IVE solicita la confirmación de

credenciales de la autoridad SAML, que es el sistema de administración de
accesos, como LDAP u otro servidor de autenticación. La autoridad SAML envía
una confirmación mediante un mensaje SOAP. La confirmación es un conjunto
de declaraciones XML que el IVE debe interpretar, basado en los criterios que el
administrador de IVE ha especificado en una definición de instancia de
servidor SAML. Si el IVE elige confiar en la parte confirmadora, el IVE permite
al usuario iniciar sesión sin problemas usando las credenciales contenidas en la
confirmación de SAML.

„ Access control authorization: En una transacción de control de acceso de

SAML, el IVE pregunta a un sistema de administración de accesos si el usuario
tiene acceso. En este tipo de transacción, el IVE es la parte receptora (también
llamada punto de aplicación de directiva en transacciones de control de
acceso). Consume y aplica una declaración de decisión de autorización
proporcionada por el sistema de administración de accesos (autoridad SAML),
que declara a qué puede acceder el usuario. Si la autoridad SAML (también
llamada punto de decisión de directiva en transacciones de control de acceso)
declara que el usuario de IVE tiene suficientes privilegios de acceso, el usuario
puede tener acceso al recurso solicitado.

NOTA:

„ El IVE no admite declaraciones de atributos, que declaran detalles específicos

sobre el usuario (como que “John Smith es miembro de un grupo Gold”).

„ El IVE no genera declaraciones de decisión de autorización: sólo las consume.

„ Además de proporcionar acceso a los usuarios a una URL basada en la

declaración de decisión de autorización devuelta por una autoridad SAML, el
IVE también le permite definir los derechos de acceso del usuario a una URL
usando mecanismos sólo de IVE (ficha Users > Resource Profiles > Web
Applications/Pages). Si define controles de acceso a través del IVE al igual que
a través de una autoridad SAML, ambas fuentes deben otorgar acceso a una
URL para que el usuario pueda tener acceso a ella. Por ejemplo, puede
configurar una directiva de acceso de IVE que deniega a los miembros del rol
“Users” acceso a www.google.com, pero configurar otra directiva de SAML que
basa los derechos de acceso del usuario en un atributo en un sistema de
administración de accesos. Incluso si el sistema de administración de accesos
permite a los usuarios tener acceso a www.google.com, aún se puede denegar
el acceso a los usuarios basado en la directiva de acceso de IVE.

„ Cuando se pregunta si un usuario puede tener acceso a un recurso, los

sistemas de administración de acceso que admiten SAML pueden devolver
una respuesta de permiso, denegación o indeterminada. Si el IVE recibe una
respuesta indeterminada, deniega el acceso del usuario.

„ Puede que los tiempos de espera de la sesión en el IVE y su sistema de

administración de accesos no se coordinen entre sí. Si la cookie de la sesión
del sistema de administración de accesos del usuario caduca antes que su
cookie de IVE (DSIDcookie), se pierde el inicio de sesión único entre los dos
sistemas. El usuario está obligado a iniciar sesión nuevamente cuando caduca
el tiempo de sesión del sistema de administración de accesos.

236 „ Configuración de SAML

 Capítulo 10: Inicio de sesión único

Para obtener más información, consulte:

„ “Configuración de perfiles SAML SSO” en la página 237

„ “Creación de una directiva de control de acceso” en la página 245

„ “Creación de una relación de confianza entre sistemas habilitados por

SAML” en la página 249

„ “Configuración de SAML” en la página 234

„ “Configuración de una instancia de servidor de SAML” en la página 187

„ “Resumen de tareas: Configuración de SAML mediante el IVE” en la

página 254

Configuración de perfiles SAML SSO

Cuando activa transacciones de SSO para un sistema de administración de accesos
fiable, debe indicar si el sistema de administración de accesos debe “extraer”
información de usuario del IVE o si el IVE debe “enviarla” al sistema de
administración de accesos. Usted indica qué método de comunicación deben usar
los dos sistemas al seleccionar un perfil durante la configuración. Un perfil es un
método que dos sitios fiables usan para transferir una declaración de SAML. Cuando
configure el IVE, puede elegir usar un perfil de artefacto o perfil POST.

Creación de un perfil de artefacto

Cuando elige comunicarse usando el perfil de artefacto (también llamado
Explorador/Artefacto), el servidor de administración de accesos fiable “extrae”
información de autenticación del IVE, como se muestra en Figura 31.

Figura 31: Perfil de artefacto

Configuración de perfiles SAML SSO „ 237

 Guía de administración de Secure Access de Juniper Networks

El IVE y el servicio de confirmación de usuarios (ACS) usan el siguiente proceso

para transmitir información:

1. El usuario intenta acceder a un recurso: Un usuario inicia sesión en el IVE

e intenta tener acceso a un recurso protegido en un servidor Web.

2. El IVE envía una solicitud HTTP o HTTPS GET al ACS: El IVE intercepta la
solicitud y comprueba si ha realizado la operación SSO necesaria para cumplir
la solicitud. Si no lo ha hecho, el IVE crea una declaración de autenticación y
transmite una variable de consulta HTPP llamada artefacto al servicio de
confirmación de usuarios.

Un perfil de artefacto es una cadena codificada en base 64 que contiene el ID de

origen del sitio de origen (es decir, una cadena de 20 bytes que hace referencia
al IVE) y genera al azar una cadena que actúa como un título de la declaración
de autenticación. (Observe que un título caduca 5 minutos después de enviar el
artefacto, de manera que si el servicio de confirmación de usuarios responde
después de 5 minutos, el IVE no envía una declaración. También observe que
el IVE descarta un título después de su primer uso para evitar que sea usado
dos veces.)

3. El ACS envía una solicitud SAML al IVE: El servicio de confirmación de

usuarios usa el ID de origen enviado en el paso anterior para determinar la
ubicación del IVE. Seguidamente, el servicio de confirmación de usuarios envía
una solicitud de declaración en un mensaje SOAP a la siguiente dirección en
el IVE:

https://<IVEhostname>/dana-ws/saml.ws
La solicitud incluye el título de la declaración transmitido en el paso anterior.

NOTA: El IVE sólo admite artefactos de tipo 0x0001. Este tipo de artefacto
transmite una referencia a la ubicación del sitio de origen (es decir, el ID de origen
del IVE), en lugar de enviar la ubicación en sí. Para manejar artefactos de tipo
0x0001, el servicio de confirmación de usuarios deben mantener una tabla que
asigna ID de origen a las ubicaciones de sitios de origen de socios.

4. El IVE envía una declaración de autenticación al ACS: El IVE usa el título de

la declaración en la solicitud para encontrar la declaración correcta en la caché
del IVE y después envía la declaración de autenticación adecuada de vuelta al
servicio de confirmación de usuarios. La declaración que no ha iniciado sesión
contiene la identidad del usuario y el mecanismo que usa para iniciar sesión en
el IVE.

5. El ACS envía una cookie al IVE: El servicio de confirmación de usuarios acepta

la declaración y, después, envía una cookie de vuelta al IVE que permite la
sesión del usuario.

6. El IVE envía la cookie al servidor Web: El IVE guarda en caché la cookie para
manejar futuras solicitudes. Seguidamente, el IVE envía la cookie en una
solicitud HTTP al servidor Web cuyo nombre de dominio coincide con el
dominio en la cookie. El servidor Web abre la sesión sin pedir credenciales
al usuario.

238 „ Configuración de perfiles SAML SSO

 Capítulo 10: Inicio de sesión único

NOTA: Si configura el IVE para usar perfiles de artefacto, debe instalar el

certificado de servidor Web de IVE en el servicio de confirmación de usuarios
(como se explica en “Configuración de certificados” en la página 250).

Para escribir una directiva de recurso de perfil de artefacto de SAML SSO:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si su vista de administrador aún no está configurada para mostrar directivas de

SAML, haga las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación SSO.

c. Seleccione la casilla de verificación SAML ubicada debajo de la casilla de

verificación SSO.

d. Haga clic en OK.

3. Seleccione la ficha SSO > SAML.

4. Haga clic en New Policy.

5. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

6. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Especificación de los
recursos para una directiva de recursos” en la página 103. Para habilitar la
coincidencia según IP o la coincidencia que distingue entre mayúsculas y
minúsculas para estos recursos, consulte “Escritura de una directiva de recursos
proxy web” en la página 456.

7. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

Configuración de perfiles SAML SSO „ 239

 Guía de administración de Secure Access de Juniper Networks

8. En la sección Action, especifique:

„ Use the SAML SSO defined below: El IVE ejecuta una solicitud de inicio de
sesión único (SSO) a la URL especificada usando los datos especificados en
la sección SAML SSO details. El IVE hace la solicitud de SSO cuando un
usuario intenta tener acceso a un recurso de SAML especificad en la lista
de Resources.

„ Do NOT use SAML: El IVE no ejecuta una solicitud de SSO.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para
esta directiva.

9. En la sección SAML SSO Details, especifique:

„ SAML Assertion Consumer Service URL: Introduzca la URL que el IVE

debe usar para comunicarse con el servicio de confirmación de usuarios
(es decir, el servidor de administrador de accesos). Por ejemplo,
https://<hostname>:<port>/dana-na/auth/saml-consumer.cgi. (Observe que
el IVE también utiliza este campo con objeto de determinar el receptor
SAML para sus confirmaciones.)

NOTA: Si introduce una URL que comienza con HTTPS, debe instalar la CA raíz del
servicio de confirmación de usuarios en el IVE (como se explica en “Configuración
de certificados” en la página 250).

„ Profile: Seleccione Artifact para indicar que el servicio de confirmación de

usuarios debe “extraer” información del IVE durante transacciones de SSO.

„ Source ID: Introduzca el ID de origen para el IVE. Si introduce una:

‰ Cadena de texto plano: El IVE la convierte, agrega o trunca a una

cadena de 20 bytes.

‰ Cadena codificada en base 64: El IVE la decodifica y se asegura de que

es de 20 bytes.

Si su sistema de administración de accesos requiere ID de origen

codificados de base 64, puede crear una cadena de 20 bytes y, después,
usarla como una herramienta como OpenSSL para codificarla en base 64.

NOTA: El identificador de IVE (es decir, ID de origen) debe asignar a la siguiente

URL en el servicio de confirmación de usuarios (como se explica en
“Configuración de URL de aplicación fiable” en la página 249):
https://<IVEhostname>/dana-ws/saml.ws

„ Issuer: Introduzca una cadena única que el IVE pueda usar para identificar
cuando genere confirmaciones (por lo general, su nombre de host).

NOTA: Debe configurar el servicio de confirmación de usuarios para que reconozca

la cadena única de IVE (como se explica en “Configuración de un emisor” en la
página 250).

240 „ Configuración de perfiles SAML SSO

 Capítulo 10: Inicio de sesión único

10. En la sección User Identity, especifique cómo el IVE y el servicio de

confirmación de usuarios deben identificar al usuario:

„ Subject Name Type: Especifique qué método el IVE y el servicio de

confirmación de usuarios deben utilizar para identificar al usuario:

‰ DN: Envíe el nombre de usuario en el formato de un atributo de DN

(nombre completo).

‰ Email Address: Envíe el nombre de usuario en el formato de una

dirección de correo electrónico.

‰ Windows: Envíe el nombre de usuario en el formato de un nombre de

usuario de dominio calificado de Windows.

‰ Other: Envíe el nombre de usuario en otro formato acordado por el IVE

y el servicio de confirmación de usuarios.

„ Subject Name: Use las variables descritas en “Variables del sistema y

ejemplos” en la página 1046 para especificar el nombre de usuario que el
IVE debe transmitir al servicio de confirmación de usuarios. O introduzca
texto estático.

NOTA: Debe enviar un nombre de usuario o atributo que el servicio de

confirmación de usuarios reconocerá (como se explica en “Configuración de la
identidad de usuario” en la página 253).

11. En la sección Web Service Authentication, especifique el método de

autenticación que el IVE debe usar para autenticar el servicio de confirmación
de usuarios:

„ None: No autentique el servicio de confirmación de usuarios.

„ Username: Autentique el servicio de confirmación de usuarios usando un

nombre de usuario y contraseña. Introduzca el nombre de usuario y
contraseña que el servicio de confirmación de usuarios debe enviar al IVE.

„ Certificate Attribute: Autentique el servicio de confirmación de usuarios

usando atributos de certificados. Introduzca los atributos que el servicio de
confirmación de usuarios debe enviar al IVE (un atributo por línea). Por
ejemplo, cn=sales. Debe usar valores que coincidan con los valores
contenidos en el certificado del servicio de confirmación de usuarios.

NOTA: Si selecciona esta opción, debe instalar CA raíz del servicio de confirmación
de usuarios en el IVE (como se explica en “Configuración de certificados” en la
página 250).

12. Cookie Domain: Introduzca una lista de dominios separados por coma a los
cuales enviar la cookie de SSO.

Configuración de perfiles SAML SSO „ 241

 Guía de administración de Secure Access de Juniper Networks

13. Haga clic en Save Changes.

14. En la página SAML SSO Policies, ordene las directivas en el orden en el que
desee que el IVE las evalúe. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la acción especificada y detiene las
directivas de procesamiento.

Creación de un perfil POST

Cuando opta por comunicarse usando un perfil POST (también llamado perfil
Explorador/POST), el IVE “envía” datos de autenticación al sistema de
administración de accesos usando un comando POST HTTP a través de una
conexión SSL 3.0, como se muestra en la Figura 32.

Figura 32: Perfil POST

El IVE y un sistema de administración de accesos (AM) usan el siguiente proceso

para transmitir información:

1. El usuario intenta acceder a un recurso: Un usuario inicia sesión en el IVE

e intenta tener acceso a un recurso protegido en un servidor Web.

2. El IVE publica una declaración: El IVE intercepta la solicitud y comprueba si

ha ejecutado la operación SSO necesaria para cumplir la solicitud. Si no lo ha
hecho, el IVE crea una declaración de autenticación, la firma digitalmente, y la
publica directamente el servidor de administración de accesos. Dado que la
declaración está firmada, el servidor de administración de accesos debe confiar
en la autoridad de certificado que fue utilizada para emitir el certificado.
Observe que debe configurar qué certificado usa el IVE para firmar la
declaración.

3. El AM establece una sesión: Si el usuario tiene los permisos adecuados, el

servidor de administración de accesos envía una cookie devuelta al IVE que
permite la sesión del usuario.

4. El IVE envía la cookie al servidor Web: El IVE guarda en caché la cookie para
manejar futuras solicitudes. Seguidamente, el IVE envía la cookie en una
solicitud HTTP al servidor Web cuyo nombre de dominio coincide con el
dominio en la cookie. El servidor Web abre la sesión sin pedir credenciales
al usuario.

242 „ Configuración de perfiles SAML SSO

 Capítulo 10: Inicio de sesión único

NOTA: Si configura el IVE para usar perfiles POST, debe instalar la CA raíz del
servicio de confirmación de usuarios en el IVE y determinar qué método usa el
servicio de confirmación de usuarios para aprobar el certificado (como se explica
en “Configuración de certificados” en la página 250).

Para escribir una directiva de recurso de perfil de POST SSO SAML:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si su vista de administrador aún no está configurada para mostrar directivas de

SAML, haga las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación SSO.

c. Seleccione la casilla de verificación SAML ubicada debajo de la casilla de

verificación SSO.

d. Haga clic en OK.

3. Seleccione la ficha SSO > SAML.

4. Haga clic en New Policy.

5. En la página SAML SSO Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

6. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Especificación de los
recursos para una directiva de recursos” en la página 103. Para habilitar la
coincidencia según IP o la coincidencia que distingue entre mayúsculas y
minúsculas para estos recursos, consulte “Escritura de una directiva de recursos
proxy web” en la página 456.

7. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

Configuración de perfiles SAML SSO „ 243

 Guía de administración de Secure Access de Juniper Networks

8. En la sección Action, especifique:

„ Use the SAML SSO defined below: El IVE ejecuta una solicitud de inicio de
sesión único (SSO) a la URL especificada usando los datos especificados en
la sección SAML SSO details. El IVE hace la solicitud de SSO cuando un
usuario intenta tener acceso a un recurso de SAML especificad en la lista
de Resources.

„ Do NOT use SAML: El IVE no ejecuta una solicitud de SSO.

„ Use Detailed Rules: Para especificar una o más reglas detalladas que se
apliquen a esta directiva.

9. En la sección SAML SSO Details, especifique:

„ SAML Assertion Consumer Service URL: Introduzca la URL que el IVE

debe usar para comunicarse con el servicio de confirmación de usuarios
(es decir, el servidor de administrador de accesos). Por ejemplo,
https://hostname/acs.

„ Profile: Seleccione POST para indicar que el IVE debe “introducir”

información en el servicio de confirmación de usuarios durante
transacciones de SSO.

„ Issuer: Introduzca una cadena única que el IVE pueda usar para identificar
cuando genere confirmaciones (por lo general, su nombre de host).

NOTA: Debe configurar el servicio de confirmación de usuarios para que reconozca

la cadena única de IVE (como se explica en “Configuración de un emisor” en la
página 250).

„ Signing Certificate: Especifique qué certificado el IVE debe usar para

firmar sus confirmaciones.

10. En la sección User Identity, especifique cómo el IVE y el servicio de

confirmación de usuarios deben identificar al usuario:

„ Subject Name Type: Especifique qué método el IVE y el servicio de

confirmación de usuarios deben utilizar para identificar al usuario:

‰ DN: Envíe el nombre de usuario en el formato de un atributo de DN

(nombre completo).

‰ Email Address: Envíe el nombre de usuario en el formato de una

dirección de correo electrónico.

‰ Windows: Envíe el nombre de usuario en el formato de un nombre de

usuario de dominio calificado de Windows.

‰ Other: Envíe el nombre de usuario en otro formato acordado por el IVE

y el servicio de confirmación de usuarios.

244 „ Configuración de perfiles SAML SSO

 Capítulo 10: Inicio de sesión único

„ Subject Name: Use las variables descritas en “Variables del sistema y

ejemplos” en la página 1046 para especificar el nombre de usuario que el
IVE debe transmitir al servicio de confirmación de usuarios. O introduzca
texto estático.

NOTA: Debe enviar un nombre de usuario o atributo que el servicio de

confirmación de usuarios reconocerá (como se explica en “Configuración de la
identidad de usuario” en la página 253).

11. Cookie Domain: Introduzca una lista de dominios separados por coma a los
cuales enviar la cookie de SSO.

12. Haga clic en Save Changes.

13. En la página SAML SSO Policies, ordene las directivas en el orden en el que
desee que el IVE las evalúe. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la acción especificada y detiene las
directivas de procesamiento.

Creación de una directiva de control de acceso

Cuando activa transacciones de control de acceso para un sistema de
administración de accesos fiable, el IVE y el sistema de administración de
accesos intercambian información usando el método indicado en la Figura 33.

Figura 33: Directivas de control de acceso

Configuración de perfiles SAML SSO „ 245

 Guía de administración de Secure Access de Juniper Networks

El IVE y un sistema de administración de accesos (AM) usan el siguiente proceso

para transmitir información:

1. El usuario intenta acceder a un recurso: Un usuario inicia sesión en el IVE

e intenta tener acceso a un recurso protegido en un servidor Web.

2. El IVE publica una consulta de decisión de autorización: Si el IVE ya ha

hecho una solicitud de autorización y aún es válida, el IVE usa esa solicitud.
(La solicitud de autorización es válida para el período de tiempo especificado en
la consola de administración.) Si no tiene una solicitud de autorización válida,
el IVE publica una consulta de decisión de autorización para acceder al sistema
de administración de accesos. La consulta contiene la identidad del usuario y el
recurso que el sistema de administración de accesos necesita autorizar.

3. El AM publica una declaración de decisión de autorización: El sistema de

administración de accesos envía un POST HTTPS que contiene un mensaje
SOAP con la declaración de decisión de autorización. La declaración de decisión
de autorización contiene un resultado de permiso, denegación o
indeterminado.

4. El IVE envía la solicitud al servidor Web: Si la declaración de decisión de

autorización devuelve un resultado de permiso, el IVE permite el acceso al
usuario. Si no lo hace, el IVE presenta una página de error al usuario indicando
que no tiene los permisos de acceso adecuados.

NOTA: Si configura el IVE para usar transacciones de control de acceso, debe

instalar la CA raíz del servicio Web de SAML en el IVE (como se explica en
“Configuración de certificados” en la página 250).

Para escribir una directiva de recurso de Control de acceso de SAML:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si su vista de administrador aún no está configurada para mostrar directivas de

SAML, haga las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación SAML ACL ubicada debajo de la casilla

de verificación Access.

c. Haga clic en OK.

3. Seleccione la ficha Access > SAML ACL.

4. En la página SAML Access Control Policies, haga clic en New Policy.

5. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

246 „ Configuración de perfiles SAML SSO

 Capítulo 10: Inicio de sesión único

6. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Especificación de los
recursos para una directiva de recursos” en la página 103. Para habilitar la
coincidencia según IP o la coincidencia que distingue entre mayúsculas y
minúsculas para estos recursos, consulte “Escritura de una directiva de recursos
proxy web” en la página 456.

7. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

8. En la sección Action, especifique:

„ Use the SAML Access Control checks defined below: El IVE ejecuta una
comprobación de control de acceso a la URL especificada usando los datos
especificados en la sección SAML Access Control Details.

„ Do not use SAML Access: El IVE no ejecuta una comprobación de control

de acceso.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para
esta directiva.

9. En la sección SAML Access Control Details, especifique:

„ SAML Web Service URL: Introduzca la URL del servidor SAML del sistema
de administración de accesos. Por ejemplo, https://hostname/ws.

„ Issuer: Introduzca el nombre de host del emisor, que suele ser el nombre
de host del sistema de administración de accesos.

NOTA: Debe introducir una cadena única que el servicio Web de SAML Web utiliza
para identificarse en confirmaciones de autorización (como se explica en
“Configuración de un emisor” en la página 250).

Configuración de perfiles SAML SSO „ 247

 Guía de administración de Secure Access de Juniper Networks

10. En la sección User Identity, especifique cómo deben identificar al usuario el

IVE y el servicio Web de SAML:

„ Subject Name Type: Especifique qué método deben utilizar el IVE y el

servicio Web de SAML para identificar al usuario:

‰ DN: Envíe el nombre de usuario en el formato de un atributo de DN

(nombre completo).

‰ Email Address: Envíe el nombre de usuario en el formato de una

dirección de correo electrónico.

‰ Windows: Envíe el nombre de usuario en el formato de un nombre de

usuario de dominio calificado de Windows.

‰ Other: Envíe el nombre de usuario en otro formato acordado por el IVE

y el servicio Web de SAML.

„ Subject Name: Use las variables descritas en “Variables del sistema y

ejemplos” en la página 1046 para especificar el nombre de usuario que el
IVE debe transmitir al servicio Web de SAML. O introduzca texto estático.

NOTA: Debe enviar un nombre de usuario o atributo que el servicio Web de SAML
reconocerá (como se explica en “Configuración de la identidad de usuario” en la
página 253).

11. En la sección Web Service Authentication, especifique el método de

autenticación que el servicio Web de SAML debe usar para autenticar el IVE:

„ None: No autentique el IVE.

„ Username: Autentique el IVE usando un nombre de usuario y contraseña.

Introduzca el nombre de usuario y contraseña que el IVE debe enviar al
servicio Web.

„ Certificate Attribute: Autentique el IVE usando un certificado firmado por

una autoridad de certificado fiable. Si tiene más de un certificado instalado
en el IVE, use la lista desplegable para seleccionar qué certificado enviar al
servicio Web.

NOTA: Si selecciona esta opción, debe instalar el certificado del servidor Web de
IVE en el servidor Web del sistema de administración de accesos y determinar
qué método usa el servicio Web de SAML para aprobar el certificado (como se
explica en “Configuración de certificados” en la página 250).

248 „ Configuración de perfiles SAML SSO

 Capítulo 10: Inicio de sesión único

12. En la sección Options, especifique:

„ Maximum Cache Time: Puede eliminar el nivel máximo de generación de

una decisión de autorización cada vez que el usuario solicita la misma URL
indicando que el IVE debe guardar en caché las respuestas de autorización
del sistema de administración de accesos. Introduzca la cantidad de tiempo
que el IVE debe guardar en caché las respuestas (en segundos).

„ Ignore Query Data: De forma predeterminada, cuando un usuario solicita

un recurso, el IVE envía toda la URL para ese recurso (incluido el parámetro
de consulta) al servicio Web de SAML y guarda en caché URL. Puede
especificar que el IVE debe eliminar la cadena de consulta de la URL antes
de solicitar autorización o guardar en caché la respuesta de autorización.

13. Haga clic en Save Changes.

14. En la página SAML Access Control Policies, ordene las directivas en el orden
en el que desee que el IVE las evalúe. Tenga presente que una vez que el IVE
compara el recurso solicitado por el usuario con un recurso en una lista de
Resource de la directiva (o una regla detallada), realiza la acción especificada
y detiene las directivas de procesamiento.

Creación de una relación de confianza entre sistemas habilitados por SAML

Para asegurar que los sistemas habilitados por SAML están solamente
transmitiendo información entre fuentes fiables, debe crear una relación fiable
entre las aplicaciones que están enviando y recibiendo información. Para crear una
relación fiable entre el IVE y otra aplicación habilitada por SAML, debe configurar
los siguientes tipos de información en cada sistema:

„ “Configuración de URL de aplicación fiable” en la página 249

„ “Configuración de un emisor” en la página 250

„ “Configuración de certificados” en la página 250

„ “Configuración de la identidad de usuario” en la página 253

Configuración de URL de aplicación fiable

En una relación fiable, debe proporcionar los sistemas habilitados por SAML con las
URL que necesitan para comunicarse con otras. En algunas transacciones,
solamente el sistema que inicia la transacción (el IVE) necesita conocer la URL del
otro sistema. (El IVE usa la URL para iniciar la transacción.) En otras transacciones
(las transacciones SSO que usan perfiles de artefactos), necesita configurar cada
sistema con la URL del otro.

Configuración de perfiles SAML SSO „ 249

 Guía de administración de Secure Access de Juniper Networks

A continuación se presenta una lista con los diferentes tipos de transacciones y URL
que debe configurar para cada cual:

„ Transacciones de SSO: Perfil de artefacto: En el IVE, debe introducir la URL

del servicio de confirmación de usuarios. Por ejemplo: https://hostname/acs

Además, debe introducir la siguiente URL para el servicio de confirmación de

usuarios del IVE: https://<IVEhostname>/dana-ws/saml.ws

„ Transacciones de SSO: Perfil POST: En el IVE, debe introducir la URL del

servicio de confirmación de usuarios. Por ejemplo: https://hostname/acs

„ Transacciones de control de accesos: En el IVE, debe introducir la URL del

servicio Web de SAML. Por ejemplo: https://hostname/ws

Configuración de un emisor
Antes de aceptar una declaración de otro sistema, una entidad habilitada por SAML
debe confiar en el emisor de la declaración. Puede controlar en qué emisores confía
un sistema especificando cadenas únicas de los emisores fiables durante la
configuración del sistema. (Cuando envía una declaración, un emisor se identifica a
sí mismo al incluir su cadena única en la declaración. Las aplicaciones habilitadas
por SAML generalmente usan nombres de hosts para identificar emisores, pero el
estándar SAML permite que las aplicaciones usen cualquier cadena.) Si no configura
un sistema para reconocer una cadena única de un emisor, el sistema no aceptará
esas declaraciones del emisor.

A continuación se presenta una lista con los diferentes tipos de transacciones y

emisores que debe configurar para cada cual:

„ Transacciones de SSO: Debe especificar una cadena única en el IVE (por lo

general, su nombre de host) que puede usar para identificarse a sí mismo y
después, configurar el sistema de administración de accesos para reconocer
esa cadena.

„ Transacciones de SSO: Debe especificar una cadena única en el sistema de

administración de accesos (por lo general, su nombre de host) que puede
usar para identificarse a sí mismo y después, configurar el IVE para reconocer
esa cadena.

Configuración de certificados
Dentro de las transacciones de SSL, el servidor debe presentar un certificado al
cliente y después el cliente debe comprobar (como mínimo) que confía en la
autoridad de certificado que emitió el certificado del servidor antes de aceptar la
información. Puede configurar todas las transacciones de SAML de IVE para usar
SSL (HTTPS). Las siguientes secciones tienen una lista de los diferentes tipos de
transacciones y requisitos de certificados para cada una.

250 „ Configuración de perfiles SAML SSO

 Capítulo 10: Inicio de sesión único

Configuración de transacciones de SSO: Perfil de artefacto

Las transacciones de perfil de artefacto implican numerosas comunicaciones que
van y vienen entre el IVE y el sistema de administración de accesos. Los métodos
que utiliza para transmitir datos y autenticar los dos sistemas afectan a los
certificados que debe instalar y configurar. A continuación encontrará una lista de
las diferentes opciones de configuración de perfil de artefacto que requieren
configuraciones especiales de certificado:

„ All artifact profile transactions: Independientemente de la configuración del

perfil de artefacto, debe instalar el certificado de la CA que firmó el certificado
del servidor Web de IVE en el sistema de administración de accesos. (El IVE
requiere que el sistema de administración de accesos use una conexión SSL
cuando solicite una declaración de autenticación. En una conexión de SSL,
el iniciador debe confiar en el sistema al cual se está conectando. Al instalar el
certificado de CA en el sistema de administración de accesos, asegura que el
sistema de administración de accesos confiará en la CA que emitió el
certificado del IVE.)

„ Sending artifacts over an SSL connection (HTTPS GET requests): Si opta por
enviar artefactos al sistema de administración de accesos usando una conexión
de SSL, debe instalar el certificado de CA raíz del sistema de administración de
accesos en el IVE. (En una conexión de SSL, el iniciador debe confiar en el
sistema al cual se está conectando). Al instalar el certificado de CA del sistema
de administración de accesos en el IVE, asegura que el IVE confiará en la CA
que emitió el certificado del sistema de administración de accesos.) Puede
instalar la CA raíz desde la página System > Configuration > Certificates >
Trusted Client CAs en la consola de administración. Para obtener más
información, consulte “Uso de CA de cliente de confianza” en la página 758.
Si no desea enviar artefactos a través de una conexión SSL, no necesita instalar
ningún certificado adicional.

Para activar comunicaciones basadas en SSL desde el IVE para el sistema de

administración de accesos, introduzca una URL que comience con HTTPS en
el campo SAML Assertion Consumer Service URL durante la configuración
de IVE. También puede necesitar activar SSL en el sistema de administración
de accesos.

„ Transactions using certificate authentication: Si opta por autenticar el

sistema de administración de accesos usando un certificado, debe:

„ Instalar el certificado de CA raíz del sistema de administración de accesos

en el IVE. Puede instalar la CA raíz desde la página System >
Configuration > Certificates > Trusted Client CAs en la consola de
administración. Para obtener más información, consulte “Uso de CA de
cliente de confianza” en la página 758.

„ Especifique qué valores de certificado debe usar el IVE para validar el

sistema de administración de accesos. Debe usar valores que coincidan
con los valores contenidos en el certificado del sistema de administración
de accesos.

Si no opta por autenticar el sistema de administración de accesos, o elige usar

autenticación de nombre de usuario/contraseña, no necesita instalar ningún
certificado adicional.

Configuración de perfiles SAML SSO „ 251

 Guía de administración de Secure Access de Juniper Networks

Configuración de transacciones de SSO: Perfil POST

En una transacción de perfil POST, el IVE envía declaraciones de autenticación
firmadas al sistema de administración de accesos. Por lo general, las envía a través
de una conexión SSL (recomendado), pero en algunas configuraciones, el IVE puede
enviar declaraciones mediante una conexión HTTP estándar. A continuación
encontrará una lista de las diferentes opciones de configuración de perfil POST que
requieren configuraciones especiales de certificado:

„ All POST profile transactions: De forma independiente de la configuración del

perfil POST, debe especificar qué certificado debe usar el IVE para firmar sus
declaraciones. Puede elegir un certificado en la página Users > Resource
Policies > Web > SSO SAML > [Directiva] > General en la consola de
administración. Para obtener más información, consulte “Configuración de
SAML” en la página 234. Después, debe instalar el certificado del dispositivo de
IVE en el sistema de administración de accesos. Puede descargar el certificado
del IVE desde la página System > Configuration > Certificates > Device
Certificates > [Certificado] > Certificate Details.

„ Sending Sending POST data over an SSL connection (HTTPS): Si elige enviar
declaraciones al sistema de administración de accesos usando una conexión de
SSL, debe instalar el certificado de CA raíz del sistema de administración de
accesos en el IVE. (En una conexión de SSL, el iniciador debe confiar en el
sistema al cual se está conectando). Al instalar en el IVE el certificado del
sistema de administración de accesos, asegura que el IVE confiará en la CA que
emitió el certificado del sistema de administración de accesos.) Puede instalar
la CA raíz desde la página System > Configuration > Certificates > Trusted
Client CAs en la consola de administración. Para obtener más información,
consulte “Uso de CA de cliente de confianza” en la página 758. Si no desea
enviar declaraciones post a través de una conexión SSL, no necesita instalar
ningún certificado adicional.

Para activar comunicaciones basadas en SSL desde el IVE para el sistema de

administración de accesos, introduzca una URL que comience con HTTPS en
el campo SAML Assertion Consumer Service URL durante la configuración
de IVE. También puede necesitar activar SSL en el sistema de administración
de accesos.

Configuración de transacciones de control de acceso

En una transacción de control de acceso, el IVE publica una consulta de decisión
de autorización en el sistema de administración de accesos. Para asegurar que el
sistema de administración de accesos responda a la consulta, debe determinar qué
opciones de certificado requiere su configuración. A continuación encontrará una
lista de las diferentes opciones de configuración de control de acceso que requieren
configuraciones especiales de certificado:

„ Sending authorization data over an SSL connection: Si opta por conectarse

al sistema de administración de accesos usando una conexión de SSL, debe
instalar el certificado de CA raíz del sistema de administración de accesos en el
IVE. (En una conexión de SSL, el iniciador debe confiar en el sistema al cual se
está conectando). Al instalar en el IVE el certificado del sistema de
administración de accesos, se garantiza que el IVE confiará en la CA que emitió
el certificado del sistema de administración de accesos.) Puede instalar la CA
raíz desde la página System > Configuration > Certificates > Trusted Client
CAs en la consola de administración. Para obtener más información, consulte
“Uso de CA de cliente de confianza” en la página 758.

252 „ Configuración de perfiles SAML SSO

 Capítulo 10: Inicio de sesión único

„ Transactions using certificate authentication: Si opta por usar autenticación

de certificados, debe configurar el sistema de control de acceso para confiar en
la CA que emitió el certificado del IVE. Opcionalmente, puede también optar
por aceptar el certificado basado en las siguientes opciones adicionales:

„ Cargar la clave pública del certificado del IVE en el sistema de

administración de accesos.

„ Validar el IVE usando atributos de certificado específicos.

Estas opciones requieren que especifique qué certificado debe transmitir el

IVE al sistema de administración de accesos. Puede elegir un certificado en la
página Users > Resource Policies > Web > SAML ACL > [Directiva] >
General en la consola de administración. Para obtener más información,
consulte “Configuración de perfiles SAML SSO” en la página 237.

Para determinar cómo configurar su sistema de administración de accesos

para validar el certificado del IVE, consulte la documentación del sistema de
administración de accesos. Si su sistema de administración de accesos no
requiere autenticación de certificado, o si usa autenticación de nombre de
usuario/contraseña, no necesita configurar el IVE para transmitir un certificado
al servidor de administración de accesos. Si no especifica un método fiable, su
sistema de administración de accesos puede aceptar solicitudes de autorización
desde cualquier sistema.

Configuración de la identidad de usuario

En una relación fiable, las dos entidades deben acordar una forma de identificar
usuarios. Puede elegir compartir un nombre de usuario en sistemas, seleccionar un
LDAP o atributo de usuario de certificado para compartir entre sistemas o incruste
los datos directamente en el código fuente de ID de usuario. (Por ejemplo, puede
elegir configurar el campo Subject Name con el nombre "invitado" con el fin de
permitir el acceso rápido en los sistemas).

Para asegurar que dos sistemas estén transmitiendo información común sobre
usuarios, debe especificar qué información debe transmitir el IVE usando opciones
en la sección User Identity de la página Users > Resource Policies > Web >
SAML SSO > [Directiva] > General (para obtener más información, consulte
“Configuración de SAML” en la página 234) y la página Users > Resource
Policies > Web > SAML ACL > [Directiva] > General de la consola de
administración. Elija un nombre de usuario o atributo que reconozca el sistema
de administración de accesos.

Configuración de perfiles SAML SSO „ 253

 Guía de administración de Secure Access de Juniper Networks

Resumen de tareas: Configuración de SAML mediante el IVE

Para configurar el SAML mediante el IVE, debe:

1. Configure una directiva de recurso Web para una URL mediante las fichas
Users > Resource Policies > Web > SAML ACL y Users > Resource
Policies > Web > SAML SSO en la consola de administración. Para obtener
más información, consulte “Configuración de SAML” en la página 234.

2. Dentro de la directiva, proporcione información sobre el IVE, el sistema de

administración de accesos fiable y el mecanismo que debe usar para compartir
información, según se explica en “Creación de una relación de confianza entre
sistemas habilitados por SAML” en la página 249.

3. Dé acceso a los usuarios de IVE de un rol a la directiva de recursos Web

mediante la ficha Users > User Roles > Seleccionar rol > General de la
consola de administración. Para obtener instrucciones, consulte “Configuración
de las opciones generales del rol” en la página 73.

254 „ Configuración de perfiles SAML SSO

Parte 3
Defensa en el punto final

Trusted Computing Group (TCG) es una organización sin fines de lucro fundada en
el 2003 para desarrollar, definir y promover estándares abiertos para tecnologías de
computación y seguridad fiables con habilitación de hardware en diversas
plataformas, dispositivos periféricos y otros. TCG tiene más de 100 miembros entre
los que se cuentan proveedores de componentes, desarrolladores de software,
proveedores de sistemas y operadores de redes.

Trusted Network Connect (TNC) es un grupo perteneciente a TCG que creó una
arquitectura y un conjunto de estándares para verificar la integridad y el
cumplimiento de directivas en el punto final durante o después de una solicitud de
acceso de red. Muchos de los miembros del TCG participaron en la definición y
especificación de la arquitectura del TNC. El TNC definió varias interfaces estándar
que permiten que componentes de distintos fabricantes funcionen juntos de
manera segura. La arquitectura del TNC está diseñada para aprovechar estándares
y tecnologías establecidos, como 802 1X, RADIUS, IPsec, EAP y TLS/SSL.
Para obtener más información acerca de TNC, visite
www.trustedcomputinggroup.org.

Con el uso de los siguientes componentes de defensa en el punto final, se puede

administrar y proporcionar una variedad de verificaciones en el punto final,
todo ello en el IVE.

„ Host Checker: Host Checker usa tecnología basada en la arquitectura

y estándares de TNC para ofrecer un método integral para determinar la
fiablilidad de los puntos finales. Host Checker es un componente nativo del IVE
que puede usar para realizar comprobaciones de los puntos finales en los hosts
que se conectan al IVE. Host Checker comprueba las aplicaciones, archivos,
procesos, puertos, claves de registro y DLL personalizadas de terceros, así como
el nombre de NetBIOS, dirección MAC o certificado del equipo cliente y niega
o permite el acceso de acuerdo con los resultados de las comprobaciones.
Cuando se cuenta con la licencia adecuada, también se puede usar Host
Checker para descargar software avanzado de detección de malware
directamente en el equipo del usuario. Cuando el equipo del usuario no cumple
con los requisitos especificados, se pueden mostrar instrucciones de corrección
a los usuarios para que puedan adecuar sus equipos. Para obtener más
información, consulte “Host Checker” en la página 257.

Por ejemplo, se puede escoger que se detecten virus antes de otorgar acceso
a cualquiera de los territorios del IVE, lanzar el software en el sistema si es
necesario, asignar el usuario a roles según las directivas particulares que están
definidas en su propia DLL y después restringir más el acceso a los distintos
recursos de acuerdo con la existencia de un software de detección de spyware.

„ 255
 Guía de administración de Secure Access de Juniper Networks

„ Cache Cleaner (sólo Windows): Cache Cleaner es un componente nativo del

IVE que se puede usar para eliminar datos residuales, como cookies, archivos
temporales o cachés de aplicaciones del equipo de un usuario cuando termina
una sesión del IVE. Cache Cleaner ayuda proteger el sistema del usuario
evitando que usuarios posteriores encuentren copias temporales de archivos
que haya visto el usuario anterior y evitando que los exploradores web
almacenen de manera permanente los nombres de usuario, claves y
direcciones web que se introducen en los formularios. Para obtener más
información, consulte “Cache Cleaner” en la página 331.

Esta sección contiene la siguiente información sobre la defensa en el punto final:

„ “Host Checker” en la página 257

„ “Cache Cleaner” en la página 331

256 „
Capítulo 11
Host Checker

Host Checker es un agente del lado cliente que realiza comprobaciones de los
puntos finales en los hosts que se conectan al IVE. Puede invocar el Host Checker
antes de mostrar al usuario la página de inicio de sesión del IVE y cuando evalúe
una regla de asignación de roles o una directiva de recursos.

La arquitectura TNC dentro de Host Checker

Todas las reglas de Host Checker se implementan a través de IMC (recopiladores de
medición de integridad) e IMV (comprobadores de medición de integridad) basados
en la arquitectura abierta de TNC (Trusted Network Computing).

Los IMC son módulos de software que Host Checker ejecuta en el equipo cliente.
Los IMC son responsables de recopilar la información de, por ejemplo, antivirus,
antispyware, administración de parches, cortafuegos y otra información de
seguridad y de configuración para un equipo cliente.

Los IMV son módulos de software que se ejecutan en el IVE y que son responsables
de comprobar un aspecto en particular de la integridad de un punto final.

El IVE y Host Checker administran el flujo de información entre los pares

concordantes de IMV e IMC. Cada IMV presente en el IVE trabaja con el
correspondiente IMC en el equipo cliente para comprobar que el éste cumpla
con las reglas de Host Checker.

También puede configurar Host Checker para supervisar los IMC de terceros
instalados en los equipos cliente usando IMV de terceros que se instalan en
un servidor de IMV remoto. Para obtener más información, consulte “Uso de
Comprobadores de medición de integridad de terceros” en la página 289.

NOTA:

„ El IVE y Host Checker cumplen con las normas emitidas por el subgrupo
Trusted Network Connect (TNC) de Trusted Computing Group. Para obtener
más información acerca de IMV e IMC, visite www.trustedcomputinggroup.org.

La arquitectura TNC dentro de Host Checker „ 257

 Guía de administración de Secure Access de Juniper Networks

El IVE puede buscar propiedades de los puntos finales en los hosts usando varios
tipos de reglas; por ejemplo, reglas que comprueban la presencia e instalan
protección contra malware; reglas predefinidas que buscan software antivirus,
cortafuegos, malware, spyware, sistemas operativos específicos, DLL de terceros,
puertos, procesos, archivos, valores de la clave de registro, el nombre del NetBIOS,
la dirección MAC o el certificado del equipo cliente.

Vista general de Host Checker

Si el equipo del usuario no cumple con alguno de los requisitos de las directivas
de Host Checker, puede crear una página personalizada en HTML que muestra las
acciones correctivas al usuario. Esta página puede contener instrucciones
específicas y vínculos a recursos que le ayudan al usuario a lograr que su equipo
cumpla con las directivas de Host Checker.

Esta sección contiene la siguiente información sobre Host Checker:

„ “Licencia: Disponibilidad de Host Checker” en la página 258

„ “Resumen de tareas: Configuración de Host Checker” en la página 259

„ “Creación de directivas de Host Checker globales” en la página 261

„ “Habilitación de Secure Virtual Workspace” en la página 321

„ “Implementación de las directivas del Host Checker” en la página 298

„ “Corrección de las directivas de Host Checker” en la página 303

„ “Definición de los túneles de acceso de autenticación previa de Host Checker”

en la página 310

„ “Especificación de las opciones generales de Host Checker” en la página 314

„ “Especificación de las opciones de instalación de Host Checker” en la

página 316

„ “Uso de registros de Host Checker” en la página 319

Licencia: Disponibilidad de Host Checker

Host Checker es una característica estándar en todos los dispositivos Secure Access.
Sin embargo, debe tener en cuenta que las expresiones personalizadas de
Host Checker, las reglas detalladas de Host Checker, la opción de corrección de
Host Checker y otras características no están disponibles en el dispositivo SA 700
y que sólo están disponibles en todos los demás productos Secure Access previa
adquisición de una licencia especial. También, si desea admitir más de 25 usuarios
con las directivas avanzadas de detección de malware para la defensa de los puntos
finales, debe adquirir una licencia de actualización.

258 „ Vista general de Host Checker

 Capítulo 11: Host Checker

Resumen de tareas: Configuración de Host Checker

Para configurar Host Checker, debe realizar las siguientes tareas:

1. Cree y habilite las directivas de Host Checker en la página Authentication >

Endpoint Security > Host Checker de la consola de administración, como se
explica en “Creación de directivas de Host Checker globales” en la página 261.

2. Si fuese necesario, configure las opciones de nivel de sistema adicionales a

través de la página Authentication > Endpoint Security > Host Checker de
la consola de administración:

„ Si desea mostrar la información de corrección a los usuarios cuando no

cumplan con los requisitos de una directiva de Host Checker, configure las
opciones de corrección en la página Authentication > Endpoint
Security > Host Checker de la consola de administración, como se
explica en “Corrección de las directivas de Host Checker” en la página 303.

„ Para clientes de Windows, determine si será necesario usar un túnel de

acceso de autenticación previa entre los clientes y los servidores de
directivas o los recursos. Si fuese necesario, cree un archivo manifest.hcif
con la definición de túnel y cárguelo en la página Authentication >
Endpoint Security > Host Checker de la consola de administración,
como se explica en “Definición de los túneles de acceso de autenticación
previa de Host Checker” en la página 310.

„ Si desea cambiar los ajustes predeterminados de Host Checker,

configúrelos en la página Authentication > Endpoint Security >
Host Checker de la consola de administración, como se explica en
“Especificación de las opciones generales de Host Checker” en la
página 314.

3. Determine en qué niveles dentro de la estructura de administración de acceso

del IVE desea aplicar las directivas:

„ Para aplicar las directivas de Host Checker cuando el usuario tenga acceso
por primera vez al IVE, implemente las directivas a nivel de territorio
usando las páginas Administrators > Admin Realms > Seleccionar
territorio > Authentication Policy > Host Checker o Users > User
Realms > Seleccionar territorio > Authentication Policy > Host Checker
de la consola de administración.

„ Para permitir o negar acceso a los roles a los usuarios dependiendo de su

cumplimiento con las directivas de Host Checker, implemente las directivas
en un nivel de rol usando las páginas Administrators > Admin Roles >
Seleccionar rol > General > Restrictions > Host Checker o Users > User
Roles > Seleccionar rol > General > Restrictions > Host Checker de la
consola de administración.

Resumen de tareas: Configuración de Host Checker „ 259

 Guía de administración de Secure Access de Juniper Networks

„ Para asignar usuarios a los roles dependiendo de su cumplimiento con las

directivas de Host Checker, use las expresiones personalizadas en las
páginas Administrators > Admin Realms > Seleccionar territorio > Role
Mapping o Users > User Realms > Seleccionar territorio > Role Mapping
de la consola de administración.

„ Para conceder o denegar el acceso de los usuarios a recursos individuales

dependiendo de su cumplimiento con las directivas Host Checker, use las
condiciones de la página Users > Resource Policies > Seleccionar recurso
> Seleccionar directiva > Detailed Rules > Seleccionar|Crear regla de la
consola de administración.

Para obtener más información, consulte “Configuración de las restricciones de

Host Checker” en la página 301.

4. Especifique la manera en la que los usuarios pueden tener acceso al agente del
lado cliente de Host Checker que aplica las directivas que usted define:

„ Para permitir la instalación automática del agente del lado cliente de

Host Checker en todas las plataformas, use la página Administrators >
Admin Realms > Seleccionar territorio > Authentication Policy > Host
Checker o la página Users > User Realms > Seleccionar territorio >
Authentication Policy > Host Checker de la consola de administración.

„ Para descargar el instalador de Host Checker e instalarlo manualmente en

los sistemas de usuarios de Windows, use la página Maintenance >
System > Installers de la consola de administración.

Para obtener instrucciones acerca de la configuración, consulte “Especificación

de las opciones de instalación de Host Checker” en la página 316.

NOTA: Los usuarios deben habilitar en sus exploradores componentes ActiveX

firmados o applets de Java firmados para que Host Checker descargue,
instale e inicie las aplicaciones de cliente.

5. Determine si desea crear registros del lado cliente. Si habilita la creación de

registros del lado cliente a través de la página System > Log/Monitoring >
Client Logs de la consola de administración, el dispositivo IVE crea archivos de
registro en el sistema del usuario y escribe en el archivo cada vez que se ejecuta
el Host Checker. Para obtener instrucciones sobre la configuración, consulte
“Uso de registros de Host Checker” en la página 319.

260 „ Resumen de tareas: Configuración de Host Checker

 Capítulo 11: Host Checker

Si existe más de una sesión válida del IVE desde el mismo sistema y se usa
Host Checker en esas sesiones, todas las sesiones finalizarán cuando un usuario se
desconecte de una de las sesiones. Para evitar esto, desactive Host Checker en las
sesiones que no lo necesitan.

NOTA: Si hay varios administradores o usuarios finales conectados a un solo IVE

desde el mismo sistema cliente y al menos uno de ellos implementa Host Checker,
podrían ocurrir resultados inesperados. Por ejemplo, Host Checker podría cerrarse,
se podrían perder privilegios de rol y podrían ocurrir desconexiones forzadas.

Creación de directivas de Host Checker globales

Para usar Host Checker como una herramienta de aplicación de directivas para
administrar puntos finales, debe crear directivas de Host Checker globales a nivel
de sistema a través de la página Authentication > Endpoint Security >
Host Checker de la consola de administración y luego debe implementar las
directivas en los niveles de directivas de territorio, roles y recursos.

El IVE proporciona distintos mecanismos que puede usar para habilitar,

crear y configurar las directivas de Host Checker:

„ Directivas predefinidas (impiden ataques dentro de la red o la descarga de

software de detección de malware): El IVE viene equipado con dos tipos de
directivas predefinidas de Host Checker del lado cliente que simplemente
necesita habilitar para usarlas, ya que no es necesario crearlas ni configurarlas.
La directiva de control de conexiones impide ataques en equipos cliente que
usan Windows de otros equipos infectados en la misma red. La defensa de
punto final avanzada: Las directivas de protección contra malware descargan
software de protección contra malware en los equipos cliente antes de que los
usuarios inicien sesión en el IVE. Tenga en cuenta que estas directivas sólo
funcionan en sistemas Windows. Para obtener más información, consulte
“Habilitación de directivas predefinidas del lado cliente (solo en Windows)” en
la página 262.

„ Reglas predefinidas (comprueban aplicaciones de terceros): Host Checker

contiene una amplia matriz de reglas predefinidas que buscan software
antivirus, cortafuegos, malware, spyware y sistemas operativos específicos de
una gran variedad de líderes de la industria. Puede habilitar una o más de estas
reglas dentro de una directiva del lado cliente de Host Checker para garantizar
que las aplicaciones integradas de terceros que especifique se estén ejecutando
en los equipos de los usuarios de acuerdo con sus especificaciones.
Para obtener más información, consulte “Búsqueda de aplicaciones de terceros
usando reglas predefinidas (sólo en Windows)” en la página 268.

„ Reglas personalizadas (comprueban requisitos adicionales): Además de las

reglas predefinidas, puede crear reglas personalizadas dentro de una directiva
de Host Checker para definir los requisitos que deben cumplir los equipos de
los usuarios. Al usar las reglas personalizadas, podrá:

„ Configurar Host Checker para buscar DLL de terceros personalizadas que

realicen comprobaciones personalizadas del lado cliente.

Creación de directivas de Host Checker globales „ 261

 Guía de administración de Secure Access de Juniper Networks

„ Verificar que determinados puertos estén abiertos o cerrados en el equipo

del usuario.

„ Confirmar que determinados procesos estén o no estén ejecutándose en el

equipo del usuario.

„ Comprobar que determinados archivos estén o no estén presentes en el

equipo cliente.

„ Evaluar la antigüedad y el contenido de los archivos requeridos a través de

sumas de comprobación MD5.

„ Confirmar que las claves de registro estén configuradas en el equipo

cliente.

„ Comprobar el nombre del NetBIOS, las direcciones MAC o los certificados

del equipo cliente.

„ Evaluar el sistema operativo de cliente y los paquetes de actualización de la

aplicación para garantizar que estén actualizados.

„ Realizar comprobaciones de la aplicación y de versión para garantizar que

los puntos finales se estén ejecutando en el software correcto.

Para obtener más información, consulte “Especificación de requisitos

personalizados usando reglas personalizadas” en la página 276.

„ Aplicaciones integradas personalizadas (se implementan a través del

servidor API): Para clientes de Windows, puede cargar una DLL J.E.D.I.
de terceros al IVE. Para obtener más información, consulte “Habilitación de
directivas personalizadas del lado del servidor” en la página 296.

„ Dentro de una directiva única, puede crear diferentes requisitos de

Host Checker para Windows, Macintosh y Linux que compruebe diferentes
archivos, procesos y productos en cada sistema operativo. También puede
combinar tantos tipos de comprobación del host como quiera dentro de una
directiva única y buscar conjuntos alternativos de reglas.

Habilitación de directivas predefinidas del lado cliente (solo en Windows)

El IVE viene equipado con dos tipos de directivas de Host Checker del lado cliente
que simplemente necesita habilitar para usarlas, ya que no es necesario crearlas ni
configurarlas:

„ La directiva de control de conexiones previene ataques en equipos cliente que

usan Windows de otros equipos infectados en la misma red. Para obtener más
información, consulte “Habilitación de las directivas de control de conexiones”
en la página 263.

262 „ Creación de directivas de Host Checker globales

 Capítulo 11: Host Checker

„ Las directivas avanzadas de detección de malware para la defensa de los puntos

finales descargan el software Confidence Online de Whole Security a los
equipos cliente. Este software proporciona a los usuarios protección contra
software malicioso, como gusanos, virus, software registrador de pulsaciones
de teclas, software de captura de pantalla y troyanos. Para obtener más
información, consulte “Habilitación de directivas avanzadas de protección
contra malware” en la página 264.

NOTA: Las directivas avanzadas de control de conexiones y de detección de

malware para la defensa de los puntos finales sólo funcionan en sistemas
Windows.

Habilitación de las directivas de control de conexiones

La directiva predefinida de control de conexiones de Host Checker evita que
equipos infectados en la misma red física ataquen a los equipos cliente que usan
Windows. La directiva de control de conexiones de Host Checker bloquea todas las
conexiones TCP entrantes. Esta directiva permite el tráfico saliente de TCP y de
Network Connect, además de las conexiones a servidores DNS, servidores WINS,
servidores DHCP y servidores proxy y el IVE.

NOTA: Los usuarios deben tener privilegios de administrador para que Host
Checker aplique la directiva de control de conexiones en el equipo del cliente.

Para habilitar la directiva predefinida de control de conexiones de Host Checker:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Host Checker.

2. En Options, seleccione la casilla de verificación Create Host Checker

Connection Control Policy.

3. Haga clic en Save Changes. El IVE habilita la directiva de control de conexiones

de Host Checker.

NOTA: Tenga en cuenta que no puede modificar esta directiva, sólo puede
habilitarla o inhabilitarla. También tenga en cuenta que debido a que no puede
modificar esta directiva, el IVE no la muestra en la sección Policies de la página
Authentication > Endpoint Security > Host Checker junto con las otras
directivas que sí se pueden configurar.

4. Implemente la directiva de control de conexiones de Host Checker en los

niveles de directivas de territorio, rol o recurso, usando las opciones descritas
en “Configuración de las restricciones de Host Checker” en la página 301.

NOTA: Debe evaluar o aplicar la directiva de control de conexiones a nivel de

territorio para hacer que la directiva sea eficiente en los equipos cliente.

Creación de directivas de Host Checker globales „ 263

 Guía de administración de Secure Access de Juniper Networks

Habilitación de directivas avanzadas de protección contra malware

Si cuenta con la licencia adecuada, podrá habilitar las directivas avanzadas de
detección de malware para la defensa de los puntos finales a través de
Host Checker. Estas directivas descargan y ejecutan el software Confidence Online
de Whole Security en los equipos de los usuarios. Este software busca programas
maliciosos, como:

„ Troyanos: Los piratas informáticos escriben troyanos para controlar de forma

remota el equipo infectado. Los troyanos casi siempre se instalan por sí mismos
en el equipo de un usuario autorizado sin que éste lo sepa.

„ Software registrador de pulsaciones de teclas: Los piratas informáticos

escriben software registrador de pulsaciones de teclas para espiar a un usuario
y registrar las teclas que presiona. El software registrador de pulsaciones de
teclas se instala por sí mismo en el equipo de un usuario autorizado sin que
éste lo sepa.

„ Aplicaciones de monitorización: Las aplicaciones de monitorización son

aplicaciones de software de usuario final que monitorean y registran la
actividad del usuario. Los usuarios por lo general instalan este tipo de software
para supervisar la actividad de los niños, cónyuges y otros usuarios con los que
comparten sus equipos.

„ Controles remotos: Las aplicaciones de control remoto son aplicaciones

comerciales como VNC que ofrecen fácil acceso remoto a un usuario autorizado
para actividades de administración del equipo.

Para usar el software de protección contra malware de Whole Security, deberá

habilitar la opción Advanced Endpoint Defense Malware Detection a nivel del
sistema y aplicarla en los niveles de directivas de territorio, rol o recurso.

No es necesario que cree o configure las directivas avanzadas de detección de

malware para la defensa de los puntos finales, ya que Host Checker las crea por
usted cuando habilita la opción a nivel de sistema. Tenga en cuenta que se
recomienda que solicite y aplique la directiva avanzada de detección de malware
para la defensa de los puntos finales a nivel de territorio. De esta forma,
Host Checker puede descargar el software de Confidence Online a los equipos de
los usuarios y buscar posibles amenazas antes de que inicien sesión en el IVE pero
después de iniciar sesión en Windows. Después de que Confidence Online
comience a ejecutarse, continuará buscando y bloqueando las amenazas a través de
la sesión del IVE del usuario.

NOTA: Los equipos de los usuarios deben tener acceso al sitio de Whole Security
(update.wholesecurity.com) para que Confidence Online pueda descargar de forma
periódica los últimos archivos de definición.

Para habilitar y configurar las directivas avanzadas de detección de malware para la

defensa de los puntos finales:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Host Checker.

264 „ Creación de directivas de Host Checker globales

 Capítulo 11: Host Checker

2. En Options, seleccione la casilla de verificación Enable Advanced Endpoint

Defense: Malware Protection.

3. Seleccione la casilla de verificación Enable Silent Enforcement of Signature

Scan si es que no desea que Confidence Online les notifique a los usuarios
cuando bloquea troyanos, software registrador de pulsaciones de teclas y otras
aplicaciones que considere maliciosas. (Tenga en cuenta que Confidence Online
entra al servidor de Whole Security diariamente para mantener actualizada la
lista de aplicaciones maliciosas.)

4. Seleccione la casilla de verificación Enable User Control over disabling

Behavior Blocker si desea permitir que los usuarios escojan si quieren o no
bloquear las aplicaciones de monitorización, el software de control remoto
y otras aplicaciones potencialmente legítimas. Si selecciona esta opción,
los usuarios pueden ver y controlar las aplicaciones bloqueadas a través
del.icono de Confidence Online que se encuentra en la bandeja del sistema.
(Para obtener más información, consulte el sistema de ayuda de usuario final
de Confidence Online.) Si no selecciona esta opción, Confidence Online
simplemente bloqueará estas aplicaciones sin la interacción del usuario.

NOTA:

„ Category 1 and Category 2 Signature Scans: Los usuarios restringidos,

los usuarios avanzados y los administradores pueden instalar y ejecutar la
característica de análisis en Confidence Online. La característica de análisis es
compatible con los sistemas Windows NT4, Windows 2000 y Windows XP.

„ Behavior Blocker: Sólo los administradores pueden instalar y ejecutar la

característica de bloqueo de comportamiento en Confidence Online.
La característica de bloqueo de comportamiento se admite en los sistemas
Windows 2000 y Windows XP.

5. Haga clic en Save Changes. El IVE habilita las siguientes directivas avanzadas
de detección de malware para la defensa de los puntos finales:

„ Advanced Endpoint Defense: Malware Protection.Behavior Blocker: Esta

directiva fue creada por Whole Security. Habilita el software bloqueador de
comportamiento para bloquear software registrador de pulsaciones de
teclas y de captura de pantallas y otras aplicaciones que intenten espiar las
sesiones del usuario.

„ Advanced Endpoint Defense: Malware Protection.Category One Threats

(Trojan Horses and Key Loggers): Esta directiva fue creada por Whole
Security. Habilita el software de Confidence Online para bloquear
programas troyanos, spyware, malware y otras aplicaciones maliciosas.

„ Advanced Endpoint Defense: Malware Protection.Category Two Threats

(Monitoring Applications and Remote Controls): Esta directiva fue creada
por Whole Security. Habilita el software de Confidence Online para
bloquear aplicaciones de monitorización, software control remoto y otras
aplicaciones potencialmente legítimas.

Creación de directivas de Host Checker globales „ 265

 Guía de administración de Secure Access de Juniper Networks

Cada una de estas directivas incluye instrucciones para la corrección que

muestran un mensaje a los usuarios si no cumplen con la directiva
especificada. El mensaje comunica a los usuarios que deben seguir las
instrucciones en la ventana emergente para realizar las correcciones en sus
equipos.

6. Implemente las directivas avanzadas de detección de malware para la defensa

de los puntos finales a niveles de directivas de territorio, rol o recurso usando
las opciones descritas en “Configuración de las restricciones de Host Checker”
en la página 301. (Debe evaluar o aplicar al menos una directiva de detección
de malware para la defensa de los puntos finales a nivel de territorio para hacer
que la directiva sea eficiente en los equipos cliente.)

NOTA: Cuando aplique las directivas de detección de malware para la defensa de

los puntos finales, tenga en cuenta que:

„ No puede modificar estas directivas; sólo puede habilitarlas o inhabilitarlas.

También, debido a que no puede modificar estas directivas, el IVE no las
muestra en la sección Policies de la página Authentication > Endpoint
Security > Host Checker junto con las otras directivas que sí puede
configurar.

„ Si sus licencias de usuario simultáneas para el IVE y Whole Security no

concuerdan, estará limitado a la cantidad menor de licencias entre las dos.
Por ejemplo, si tiene una licencia que permite 100 usuarios de IVE
simultáneos y otra licencia que permite 50 usuarios de Whole Security
simultáneos, esta limitación le permitirá que sólo 50 usuarios tengan acceso
de forma simultánea a un IVE habilitado con las directivas de detección de
malware para la defensa de los puntos finales.

„ Si cuenta con licencias GINA y Whole Security, debe recordar que GINA se
ejecuta antes de que el usuario inicie sesión en Windows y que la descarga del
software Confidence Online de Whole Security ocurre después de que el
usuario inicia sesión en Windows. Por lo tanto, Whole Security no realiza la
protección contra malware establecida hasta después que Windows inicia
sesión. Si usa Network Connect, Host Checker, GINA y Whole Security,
pero el usuario final no está en modo de usuario cuando su sistema intenta
iniciar Host Checker, es posible que reciba mensajes de error. Asegúrese de
que el sistema está configurado para iniciar GINA antes del inicio de sesión de
Windows y para iniciar Whole Security después del inicio de sesión.

NOTA: La característica Confidence Online de Whole Security que admite Host

Checker actualmente no se puede traducir a otros idiomas. Para obtener más
información acerca de la localización del IVE, consulte “Traducción de la interfaz
de usuario” en la página 1029.

266 „ Creación de directivas de Host Checker globales

 Capítulo 11: Host Checker

Creación y configuración de nuevas directivas del lado cliente

Puede crear una variedad de directivas a través del cliente Host Checker que
pueden buscar software antivirus, cortafuegos, malware, spyware y sistemas
operativos específicos de una gran variedad de líderes de la industria. Puede crear
comprobaciones para DLL de terceros, puertos, procesos, archivos, claves de
registro y el nombre del NetBIOS, direcciones MAC o certificar el equipo cliente.

Cuando cree las directivas, debe definir el nombre de la directiva y crear reglas
predefinidas o crear reglas personalizadas que ejecuten comprobaciones
específicas. De manera opcional, puede especificar la forma en que Host Checker
debe evaluar las distintas reglas dentro de una directiva única.

Para crear una directiva estándar del lado cliente:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Host Checker.

2. En Policies, haga clic en New.

3. Introduzca un nombre en el campo Policy Name y luego haga clic en Continue.

(Los usuarios verán este nombre en la página de corrección de Host Checker si
habilita las instrucciones personalizadas para esta directiva.)

4. Cree una o más reglas para asociarlas con la directiva siguiendo las
instrucciones de las secciones a continuación:

„ “Búsqueda de aplicaciones de terceros usando reglas predefinidas (sólo en

Windows)” en la página 268

„ “Especificación de requisitos personalizados usando reglas personalizadas”

en la página 276

5. Especifique la forma en que Host Checker debe evaluar las distintas reglas
dentro de la directiva usando las instrucciones en “Evaluación de varias reglas
en una directiva única de Host Checker” en la página 284.

6. (Recomendado) Especifique las opciones de corrección para usuarios cuyos

equipos no cumplen con los requisitos especificados en la directiva.
Para obtener instrucciones, consulte “Configuración de la corrección general de
Host Checker” en la página 305. (Si no crea instrucciones para lograr la
corrección y la directiva no se cumple, los usuarios no conocerán los motivos
por los que no pueden tener acceso a sus recursos.)

7. Implemente la directiva en los niveles de directivas de territorio, rol o recurso

usando las opciones descritas en “Configuración de las restricciones de Host
Checker” en la página 301.

Creación y configuración de nuevas directivas del lado cliente „ 267

 Guía de administración de Secure Access de Juniper Networks

Búsqueda de aplicaciones de terceros usando reglas predefinidas

(sólo en Windows)
Host Checker viene equipado con una gran matriz de reglas predefinidas que
buscan software antivirus, cortafuegos, malware, spyware y sistemas operativos
específicos de una variedad de líderes de la industria. Puede habilitar una o más de
estas reglas dentro de una directiva del lado cliente de Host Checker para garantizar
que las aplicaciones integradas de terceros que especifique se estén ejecutando en
los equipos de los usuarios de acuerdo con sus especificaciones. Para las reglas de
cortafuegos y antivirus, puede especificar las acciones correctivas que lograrán
automáticamente que el punto final cumpla con la directiva.

„ Predefined: AntiVirus: Seleccione esta opción para crear una regla que
busque el software antivirus que usted especifique y para especificar las
opciones de corrección. Consulte “Configuración de una regla de antivirus
predefinida con opciones de corrección” en la página 269.

„ Predefined: Firewall: Seleccione esta opción para crear una regla que
busque el software de cortafuegos que usted especifique y para especificar
las opciones de corrección. Consulte “Configuración de una regla de
cortafuegos predefinida con opciones de corrección” en la página 272.

„ Predefined: Malware: Seleccione esta opción para crear una regla que
busque el software de protección contra malware que usted especifique.

„ Predefined: Spyware: Seleccione esta opción para crear una regla que
busque el software de protección contra spyware que usted especifique.
Consulte “Configuración de una regla predefinida de Spyware” en la
página 273.

„ Predefined: OS Checks: Seleccione esta opción para crear una regla que
busque sistemas operativos Windows y las versiones mínimas del paquete
de actualización que usted especifique. (Cualquier paquete de actualización
de versión igual o mayor a la que usted especifique cumplirá con la
directiva.) Consulte

Para crear una regla de Host Checker usando reglas de comprobación de sistemas
operativos predefinidas o reglas de malware predefinidas:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Host Checker.

2. Cree una directiva nueva siguiendo las instrucciones que se encuentran en

“Creación y configuración de nuevas directivas del lado cliente” en la
página 267 o haga clic en la sección Policies de la página de una directiva
existente.

3. En Rule Settings, elija una de las siguientes opciones y haga clic en Add:

„ Predefined Malware

„ Predefined OS Checks

268 „ Búsqueda de aplicaciones de terceros usando reglas predefinidas (sólo en Windows)

 Capítulo 11: Host Checker

4. En la página Add Predefined Rule:

5. En el campo Rule Name, introduzca un identificador para la regla.

6. Bajo el Criterio, seleccione el malware o los sistemas operativos que desee

buscar y haga clic en Add. (Cuando busque sistemas operativos, también puede
especificar una versión del paquete de actualización.)

NOTA: Cuando seleccione más de un tipo de software dentro de una regla

predefinida, Host Checker considera que la regla se cumple si cualquiera de las
aplicaciones de software seleccionadas está presente en el equipo del usuario.

7. En Optional, seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva de los puntos finales. Si esta
casilla de verificación está seleccionada y ocurre un cambio en el estado de
cumplimiento de un punto final que ha iniciado sesión correctamente,
el IVE establecerá la conexión nuevamente para reevaluar las asignaciones de
territorio o de roles.

NOTA: Si se elimina o detiene el servicio TNCC subyacente, el punto final puede

permanecer en la red, posiblemente sin cumplir con la directiva, hasta que se
actualice la siguiente directiva de Host Checker. Para obtener más información
sobre TNCC, consulte “La arquitectura TNC dentro de Host Checker” en la
página 257.

8. Haga clic en Save Changes.

9. De forma opcional, puede agregar reglas adicionales a la directiva, especificar

la forma en la que Host Checker evalúa las distintas reglas dentro de la directiva
y definir las opciones de corrección siguiendo las instrucciones en “Creación y
configuración de nuevas directivas del lado cliente” en la página 267.

NOTA: Para ver las aplicaciones que actualmente se admiten, vaya a

Authentication > Endpoint Security > Host Checker y cree una directiva
nueva. Puede escoger tipos de reglas predefinidas en la lista desplegable Select
Rule Type para ver una lista de las aplicaciones admitidas dentro de esa categoría.
Las listas de aplicaciones pueden ser muy extensas y se actualizan en cada versión
de soporte, por lo que es útil comprobar esta lista de forma periódica.

Configuración de una regla de antivirus predefinida con opciones de corrección

Puede configurar las acciones de corrección del antivirus con Host Checker. Puede
especificar un requisito para la antigüedad (en días) del último análisis exitoso en
busca de virus y puede especificar que las firmas de virus instaladas en los equipos
cliente no sean más antiguas que un número específico de actualizaciones.

También puede supervisar las directivas para asegurarse de que los puntos finales
que inician sesión se mantengan en el estado de cumplimiento y para corregir el
punto final a otro rol o territorio dependiendo del estado actual.

Búsqueda de aplicaciones de terceros usando reglas predefinidas (sólo en Windows) „ 269

 Guía de administración de Secure Access de Juniper Networks

Si un cliente intenta iniciar sesión y el equipo cliente no cumple los requisitos

especificados, Host Checker puede intentar corregir las deficiencias para permitir
que el cliente inicie sesión correctamente. Con la corrección de antivirus de
Host Checker, puede sugerir a un punto final que descargue los últimos archivos
de firma de virus, active la protección del antivirus e inicie un análisis de antivirus.

No todos los productos de los proveedores de software antivirus admiten todas las
opciones de corrección. Al seleccionar el botón de la opción Require any
supported product podrá ver todos los proveedores y productos disponibles que se
admiten.

Como alternativa, puede seleccionar el botón de opción Require specific

products/vendors y seleccionar las casillas de verificación Require any supported
product from a specific vendor o Require specific products y luego agregue un
tipo disponible a Selected Types. Aparecerán las opciones de corrección y podrá
determinar cuáles estarán disponibles para productos o proveedores específicos.

Para configurar una regla predefinida para antivirus:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Host Checker.

2. Cree una directiva nueva siguiendo las instrucciones que se encuentran en

“Creación y configuración de nuevas directivas del lado cliente” en la
página 267 o haga clic en la sección Policies de la página de una directiva
existente.

3. En Rule Settings, elija Predefined: Antivirus y haga clic en Add.

4. Introduzca un nombre para esta regla de antivirus.

5. Para determinar si la revisión de System Scan admite el producto de su

proveedor de software, haga clic en these Antivirus products. Se abrirá una
nueva ventana con una lista de todos los productos que admiten la
característica.

6. Marque o desmarque la casilla de verificación situada junto a Successful

System Scan must have been performed in the last _ days e introduzca
el número de días en el campo.

Si selecciona esta casilla de verificación, aparecerá una nueva opción.

Si la acción correctiva para iniciar un análisis de antivirus se ha iniciado
correctamente, puede omitir la comprobación anterior.

7. Marque o desmarque la casilla de verificación situada junto a Consider this

rule as passed if ‘Full System Scan’ was started successfully as remediation.

8. Marque o desmarque la casilla de verificación situada junto a Virus definition

files should not be older than _ updates. Introduzca un número entre 1 y 10.
Si introduce 1, el cliente debe tener la última actualización. Debe importar la
lista de firma de virus para el proveedor compatible. Consulte “Configuración
de la supervisión de la versión de la firma de virus y de la supervisión de los
datos de la evaluación de parches” en la página 274.

270 „ Búsqueda de aplicaciones de terceros usando reglas predefinidas (sólo en Windows)

 Capítulo 11: Host Checker

9. Seleccione los productos de su proveedor de antivirus usando los botones de

opción Require any supported product o Require specific products/vendors.

La opción “Require any supported product” le permite buscar cualquier

producto (en vez de solicitar que seleccione cada producto por separado).
Este botón de opción desplegará una lista de productos en la sección de
corrección para permitirle habilitar las opciones de corrección que son
específicas para el producto.

La opción “Require specific products/vendors” permite definir el cumplimiento

al aceptar cualquier producto de un proveedor específico (por ejemplo,
cualquier producto Symantec).

La opción “Require specific products” proporciona funcionalidad que le permite

seleccionar productos individuales para definir el cumplimiento.

Después de seleccionar los proveedores y productos, aparecerán en la página

las opciones de corrección.

Para cada una de las acciones de corrección siguientes:

„ Download latest virus definition files (obtiene el último archivo disponible

para el proveedor especificado)

„ Turn on Real Time Protection (inicia el mecanismo de análisis de virus para

el proveedor especificado)

„ Start Antivirus Scan (realiza un análisis de virus en tiempo real para el

proveedor especificado)

la casilla de verificación está activa (se puede hacer clic) si su producto admite
la acción.

Si su producto antivirus no está admitido, puede hacer clic en los encabezados

de las columnas de corrección para determinar qué proveedores y productos
están admitidos.

10. Si su producto está admitido, seleccione la casilla de verificación para todas las
acciones de corrección que desee aplicar.

11. En Optional, seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva de los puntos finales. Si esta
casilla de verificación está seleccionada y ocurre un cambio en el estado de
cumplimiento de un punto final que ha iniciado sesión correctamente,
el IVE establecerá la conexión nuevamente para reevaluar las asignaciones de
territorio o de roles.

NOTA: Si se elimina o detiene el servicio TNCC subyacente, el punto final puede

permanecer en la red, posiblemente sin cumplir con la directiva, hasta que se
actualice la siguiente directiva de Host Checker. Para obtener más información
sobre TNCC, consulte “La arquitectura TNC dentro de Host Checker” en la
página 257.

Búsqueda de aplicaciones de terceros usando reglas predefinidas (sólo en Windows) „ 271

 Guía de administración de Secure Access de Juniper Networks

12. Haga clic en Save Changes para guardar la regla de antivirus y aplicar la
corrección de antivirus.

13. De forma opcional, puede agregar reglas adicionales a la directiva, especificar

la forma en la que Host Checker evalúa las distintas reglas dentro de la directiva
y definir las opciones de corrección siguiendo las instrucciones en “Creación y
configuración de nuevas directivas del lado cliente” en la página 267.

Configuración de una regla de cortafuegos predefinida con opciones de corrección

Puede configurar acciones de corrección para el cortafuegos con Host Checker
después de crear una regla para cortafuegos de Host Checker que le solicite al punto
final que tenga un cortafuegos específico instalado y ejecutándose antes de
conectarse a la red.

Después de aplicar la regla de Host Checker con las acciones de corrección del
cortafuegos, Host Checker puede intentar habilitar el cortafuegos en el equipo
cliente si un punto final intenta iniciar sesión sin que dicho cortafuegos se esté
ejecutando.

La opción de corrección no está admitida por todos los productos de cortafuegos.

Podrá ver todos los productos disponibles usando los botones de opción Require
any supported product o Require specific products/vendors.

Para configurar una regla predefinida para cortafuegos de Host Checker:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Host Checker.

2. Cree una directiva nueva siguiendo las instrucciones que se encuentran en

“Creación y configuración de nuevas directivas del lado cliente” en la
página 267 o haga clic en la sección Policies de la página de una directiva
existente.

3. En Rule Settings, elija Predefined: Firewall y haga clic en Add.

4. Introduzca un nombre para la regla del cortafuegos.

5. Seleccione los productos de su proveedor de cortafuegos usando los botones de

opción Require any supported product o Require specific products/vendors.

La opción “Require any supported product” le permite buscar cualquier

producto (en vez de solicitar que seleccione cada producto por separado).
Este botón de opción desplegará una lista de productos en la sección de
corrección para permitirle habilitar las opciones de corrección que son
específicas para el producto.

Cuando agregue a Selected Products un producto disponible, aparecerán las

opciones de corrección y podrá determinar si la opción de corrección está
disponible para el cortafuegos que ha seleccionado.

La opción “Require specific products/vendors” permite definir el cumplimiento

al aceptar cualquier producto de un proveedor específico (por ejemplo,
cualquier producto Symantec).

272 „ Búsqueda de aplicaciones de terceros usando reglas predefinidas (sólo en Windows)

 Capítulo 11: Host Checker

La opción “Require specific products” proporciona funcionalidad que le permite

seleccionar productos individuales para definir el cumplimiento.

Después de seleccionar los proveedores y productos, aparecerán en la página

las opciones de corrección. La casilla de verificación Turn on Firewall está
activa (se puede hacer clic) si su producto admite la acción.

6. Si el cortafuegos es compatible, seleccione la casilla de verificación Turn on

Firewall.

7. En Optional, seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva de los puntos finales. Si esta
casilla de verificación está seleccionada y ocurre un cambio en el estado de
cumplimiento de un punto final que ha iniciado sesión correctamente,
el IVE establecerá la conexión nuevamente para reevaluar las asignaciones de
territorio o de roles.

NOTA: Si se elimina o detiene el servicio TNCC subyacente, el punto final puede

permanecer en la red, posiblemente sin cumplir con la directiva, hasta que se
actualice la siguiente directiva de Host Checker. Para obtener más información
sobre TNCC, consulte “La arquitectura TNC dentro de Host Checker” en la
página 257.

8. Haga clic en Save Changes para guardar la regla de cortafuegos y aplicar la

corrección del cortafuegos.

9. De forma opcional, puede agregar reglas adicionales a la directiva, especificar

la forma en la que Host Checker evalúa las distintas reglas dentro de la directiva
y definir las opciones de corrección siguiendo las instrucciones en “Creación y
configuración de nuevas directivas del lado cliente” en la página 267.

Configuración de una regla predefinida de Spyware

Puede configurar Host Checker para buscar spyware instalado en los puntos finales.

Después de aplicar la regla de Host Checker, si un punto final intenta iniciar sesión
sin el spyware requerido, la regla de Host Checker no se cumplirá.

No todos los productos de spyware admiten esta opción. Podrá ver todos los
productos disponibles usando los botones de opción Require any supported product
o Require specific products/vendors.

Para configurar una regla predefinida para spyware de Host Checker:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Host Checker.

2. Cree una directiva nueva siguiendo las instrucciones que se encuentran en

“Creación y configuración de nuevas directivas del lado cliente” en la
página 267 o haga clic en la sección Policies de la página de una directiva
existente.

Búsqueda de aplicaciones de terceros usando reglas predefinidas (sólo en Windows) „ 273

 Guía de administración de Secure Access de Juniper Networks

3. En Rule Settings, elija Predefined: Spyware y haga clic en Add.

4. Introduzca un nombre para la regla del cortafuegos.

5. Seleccione una de las siguientes opciones:

6. Seleccione el botón de opción Require any supported product para buscar

cualquier producto (en vez de solicitarle que seleccione cada producto por
separado).

7. Seleccione el botón de opción Require specific products/vendors para

especificar el spyware que desee buscar.

8. Elija las opciones “Require any supported product from a specific vendor”
o “Require specific products” para seleccionar su spyware.

Agregue el spyware disponible desde Available Products a Selected Products.

9. En Optional, seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva de los puntos finales. Si esta
casilla de verificación está seleccionada y ocurre un cambio en el estado de
cumplimiento de un punto final que ha iniciado sesión correctamente,
el IVE establecerá la conexión nuevamente para reevaluar las asignaciones de
territorio o de roles.

10. Haga clic en Save Changes para guardar las reglas de spyware.

11. De forma opcional, puede agregar reglas adicionales a la directiva, especificar

la forma en la que Host Checker evalúa las distintas reglas dentro de la directiva
y definir las opciones de corrección siguiendo las instrucciones en “Creación y
configuración de nuevas directivas del lado cliente” en la página 267.

Configuración de la supervisión de la versión de la firma de virus y de la supervisión de

los datos de la evaluación de parches
Puede configurar Host Checker para supervisar y verificar que las firmas de virus,
los sistemas operativos, las versiones de software y los parches instalados en los
equipos cliente estén actualizados, además de corregir esos puntos finales que no
cumplan con los criterios especificados. Host Checker usa las firmas de virus y las
versiones de evaluación de parches de los proveedores que usted especifique para
las reglas predefinidas en una directiva de Host Checker.

Puede importar automáticamente las listas actuales de supervisión de la versión de

la firma de virus o de supervisión de la versión de administración de parches desde
el sitio de pruebas de Juniper Networks en intervalos especificados o puede
descargar los archivos desde Juniper y usar su propio servidor de pruebas.

Para entrar al sitio de pruebas de Juniper Networks y recibir actualizaciones,

debe introducir las credenciales de su cuenta de Soporte de Juniper Networks.

274 „ Búsqueda de aplicaciones de terceros usando reglas predefinidas (sólo en Windows)

 Capítulo 11: Host Checker

Para configurar el IVE de modo que importe automáticamente las listas actuales de
supervisión de la versión de la firma de virus y de supervisión de la versión de
administración de parches desde el sitio de pruebas de Juniper:

1. Seleccione Authentication > Endpoint Security > Host Checker.

2. Haga clic en Virus signature version monitoring o en Patch Management Info

Monitoring.

3. Seleccione los datos Auto-update virus signatures list o Auto-update Patch

Management.

4. En Download path, deje la URL existente de los sitios de pruebas donde se

almacenan las listas actuales. Las URL predeterminadas son las rutas a los sitios
de prueba de Juniper Networks:

https://download.juniper.net/software/av/uac/epupdate_hist.xml

(para listas de firmas de virus de actualización automática)

https://download.juniper.net/software/hc/patchdata/patchupdate.dat

(para administración de parches de actualización automática)

5. Para Download interval, especifique la frecuencia en la que quiere que el IVE

importe de forma automática las listas actuales.

6. Para Username y Password introduzca sus credenciales de Soporte de

Juniper Networks.

7. Haga clic en Save Changes.

Para descargar los archivos que usará en su propio servidor de pruebas:

1. Seleccione Authentication > Endpoint Security > Host Checker.

2. Haga clic en Virus signature version monitoring o en Patch Management Info

Monitoring.

3. Descargue las listas desde el sitio de pruebas de Juniper a un servidor de red

o unidad local en su equipo introduciendo la URL de Juniper en una ventana del
explorador.

https://download.juniper.net/software/av/uac/epupdate_hist.xml

(para listas de firmas de virus de actualización automática)

https://download.juniper.net/software/hc/patchdata/patchupdate.dat

(para administración de parches de actualización automática)

4. En Manually import virus signatures list, haga clic en Browse, seleccione la

lista y luego haga clic en OK.

Búsqueda de aplicaciones de terceros usando reglas predefinidas (sólo en Windows) „ 275

 Guía de administración de Secure Access de Juniper Networks

5. Haga clic en Save Changes.

NOTA: Si usa su propio servidor de pruebas para almacenar las listas actuales,
debe cargar el certificado de raíz de confianza del CA que firmó el certificado del
servidor de pruebas del IVE. Para obtener más información, consulte “Carga de
certificados de CA del servidor de confianza” en la página 775.

Especificación de requisitos personalizados usando reglas

personalizadas
Si las directivas y las reglas predefinidas del lado cliente que vienen con el IVE no
satisfacen sus necesidades, puede crear reglas personalizadas dentro de una
directiva de Host Checker para definir los requisitos que los equipos de los usuarios
deben cumplir. Al usar las reglas personalizadas, podrá:

„ configurar verificadores de integridad remota (IMV) para realizar

comprobaciones personalizadas del lado cliente.

„ configurar Host Checker para buscar DLL personalizadas que realicen

comprobaciones personalizadas del lado cliente.

„ verificar que determinados puertos estén abiertos o cerrados en el equipo del

usuario.

„ confirmar que determinados procesos estén o no estén ejecutándose en el

equipo del usuario.

„ comprobar que determinados archivos estén o no estén presentes en el equipo

cliente.

„ evaluar la antigüedad y el contenido de los archivos requeridos a través de

sumas de comprobación MD5.

„ configurar reglas de PatchLink.

„ confirmar que las claves de registro estén configuradas en el equipo cliente.

„ confirmar el nombre del NETBIOS del equipo cliente.

„ confirmar las direcciones MAC del equipo cliente.

„ comprobar la validez del certificado de equipo que está instalado en el equipo

del usuario.

NOTA: Sólo puede buscar claves de registro, DLL de terceros, nombres de

NETBIOS, direcciones MAC y certificados de equipo en equipos que ejecuten
Windows.

276 „ Especificación de requisitos personalizados usando reglas personalizadas

 Capítulo 11: Host Checker

Para crear una directiva de Host Checker del lado cliente:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Host Checker.

2. Cree una directiva nueva siguiendo las instrucciones que se encuentran en

“Creación y configuración de nuevas directivas del lado cliente” en la
página 267 o haga clic en la sección Policies de la página de una directiva
existente.

3. Haga clic en la lengüeta correspondiente al sistema operativo para el que desee

especificar las opciones de Host Checker: Windows, Mac, Linux or Solaris.
En la misma directiva, puede especificar los diferentes requisitos de Host
Checker en cada sistema operativo. Por ejemplo, puede crear una directiva que
compruebe los diferentes archivos o procesos en cada sistema operativo.

NOTA: Debe crear directivas explícitamente para cada sistema operativo que desee
permitir. Por ejemplo, si crea una directiva para Host Checker en Windows,
pero no crea una para Mac o Linux, los usuarios que inicien sesión en el IVE desde
un equipo Mac o Linux no cumplirán con la directiva de Host Checker y, por lo
tanto, no podrán tener acceso al territorio, rol o recurso al que está aplicando
Host Checker.

4. En Rule Settings, elija las opciones en las siguientes secciones y haga clic en
Add. Aparecerá la página Add Custom Rule para el tipo de regla.

„ Custom: Remote IMV: Use este tipo de regla para configurar el software de
medición de integridad que un cliente debe ejecutar para verificar un
aspecto especial de la integridad del cliente, como su sistema operativo,
el nivel de parche o la protección de virus.

„ Integrity Measurement (sólo en Windows): Use este tipo de regla para

configurar el software de medición de integridad que un cliente debe
ejecutar para verificar un aspecto especial de la integridad del cliente,
como su sistema operativo, el nivel de parche o la protección de virus.
Para obtener más información, consulte “La arquitectura TNC dentro de
Host Checker” en la página 257.

„ 3rd Party NHC Check (solo en Windows): Use este tipo de regla para
especificar la ubicación de un DLL personalizado. Host Checker se
comunica con el DLL para realizar comprobaciones personalizadas del lado
cliente. Si el DLL devuelve un valor acertado al Host Checker, entonces el
IVE considera que la regla se cumplió. En la página de configuración de
3rd Party NHC Check:

i. Introduzca un nombre y un proveedor para la regla de NHC Check de

terceros

ii. Introduzca la ubicación del DLL en los equipos cliente (ruta y nombre
de archivo).

Especificación de requisitos personalizados usando reglas personalizadas „ 277

 Guía de administración de Secure Access de Juniper Networks

iii. Haga clic en Save Changes.

NOTA: La característica 3rd Party NHC Check se proporciona principalmente para

compatibilidad con versiones anteriores. Recomendamos que en su lugar use los
IMC y los IMV, como se describe en “La arquitectura TNC dentro de Host Checker”
en la página 257.

„ Ports: Use este tipo de regla para controlar las conexiones de red que un
cliente puede generar durante una sesión. Este tipo de reglas asegura que
determinados puertos estén abiertos o cerrados en el equipo cliente antes
de que el usuario pueda tener acceso al IVE. En la página de configuración
de Ports:

i. Introduzca un nombre para la regla del puerto.

ii. Introduzca una lista delimitada por comas (sin espacios) de puertos
o intervalos de puertos, como: 1234,11000-11999,1235.

iii. Seleccione Required para requerir que estos puertos estén abiertos en
el equipo cliente o Deny para requerir que estén cerrados.

iv. En Optional, seleccione Monitor this rule for change in result para
supervisar continuamente el cumplimiento de la directiva de los
puntos finales. Si esta casilla de verificación está seleccionada y ocurre
un cambio en el estado de cumplimiento de un punto final que ha
iniciado sesión correctamente, el IVE establecerá la conexión
nuevamente para reevaluar las asignaciones de territorio o de roles.

v. Haga clic en Save Changes.

„ Process: Use este tipo de regla para controlar el software que un cliente
puede generar durante una sesión. Este tipo de reglas asegura que
determinados procesos se estén ejecutando o no en el equipo cliente antes
de que el usuario pueda tener acceso a recursos protegidos por el IVE.
En la página de configuración de Processes:

i. Introduzca un nombre para la regla del proceso.

ii. Introduzca el nombre de un proceso (archivo ejecutable), como:

good-app.exe.

NOTA: Para sistemas Linux, Macintosh y Solaris, el proceso que se está detectando
se debe iniciar usando una ruta absoluta.

Puede usar un carácter comodín para especificar el nombre del

proceso. Por ejemplo:

good*.exe

Para obtener más información, consulte “Uso de un comodín o una

variable de entorno en una regla de Host Checker” en la página 283.

278 „ Especificación de requisitos personalizados usando reglas personalizadas

 Capítulo 11: Host Checker

iii. Seleccione Required para solicitar que este proceso se ejecute o Deny
para solicitar que este proceso no se ejecute.

iv. Especifique el valor de la suma de comprobación MD5 de cada archivo

ejecutable para el que desee que se aplique la directiva (opcional).
Por ejemplo, un archivo ejecutable puede tener distintos valores de la
suma de comprobaciones MD5 en un equipo de escritorio, en un
portátil o en sistemas operativos diferentes. En un sistema que tenga
instalado OpenSSL, como muchos sistemas Macintosh, Linux y Solaris
que tienen instalado OpenSSL de forma predeterminada, puede
determinar la suma de comprobaciones MD5 usando este comando:

openssl md5 <processFilePath>

v. Haga clic en Save Changes.

„ File: Use este tipo de regla para asegurar que determinados archivos estén
presentes o no en el equipo cliente antes de que el usuario pueda tener
acceso al IVE. También puede usar comprobaciones de archivos para
evaluar la antigüedad y el contenido (a través de las sumas de
comprobaciones MD5) de los archivos requeridos y permitir o denegar
acceso dependiendo de ello. En la página de configuración de Files:

i. Introduzca un nombre para la regla del archivo.

ii. Introduzca el nombre de un archivo (cualquier tipo de archivo), como:

c:\temp\bad-file.txt o /temp/bad-file.txt.

Puede usar un carácter comodín para especificar el nombre del

archivo. Por ejemplo:

*.txt

También puede usar una variable de entorno para especificar la ruta

del directorio al archivo. (No puede usar un carácter comodín en la ruta
del directorio.) Escriba la variable entre los caracteres <% y %>.
Por ejemplo:

<%windir%>\bad-file.txt

Para obtener más información, consulte “Uso de un comodín o una

variable de entorno en una regla de Host Checker” en la página 283.

iii. Seleccione Required para solicitar que este archivo esté presente en el
equipo cliente o Deny para solicitar que este archivo no esté presente.

iv. Especifique la versión mínima el archivo (opcional). Por ejemplo,

si requiere que notepad.exe esté presente en el cliente, puede
introducir 5.0 en el campo. Host Checker acepta la versión 5.0 y
posteriores de notepad.exe.

Especificación de requisitos personalizados usando reglas personalizadas „ 279

 Guía de administración de Secure Access de Juniper Networks

v. Especifique la antigüedad máxima (en días) para un archivo (File

modified less than n days) (opcional). Si el archivo es más antiguo que
el número de días especificado, entonces el cliente no cumplirá con los
requisitos de comprobación de atributos.

NOTA: Puede usar la opción de antigüedad máxima para comprobar la antigüedad

de las firmas de virus. Verifique que especifica la ruta de un archivo en el campo
File Name cuya marca de tiempo indica la fecha en la que se actualizaron las
firmas de virus por última vez, como la base de datos o el archivo de registro de la
firma de virus que se actualiza cada vez que la base de datos lo hace. Por ejemplo,
si usa TrendMicro, puede especificar:

C:\Program Files\Trend Micro\OfficeScan Client\TmUpdate.ini.

vi. Especifique el valor de la suma de comprobación MD5 de cada archivo

para el que desee que se aplique la directiva (opcional). En Macintosh,
Linux y Solaris, puede determinar la suma de comprobación MD5
usando este comando:

openssl md5 <filePath>

vii. Seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva en los puntos finales.
Si esta casilla de verificación está seleccionada y ocurre un cambio en
el estado de cumplimiento de un punto final que ha iniciado sesión
correctamente, el IVE establecerá la conexión nuevamente para
reevaluar las asignaciones de territorio o de roles.

viii. Haga clic en Save Changes.

„ Registry Setting (Solo en Windows): Use este tipo de regla para controlar
las imágenes, ajustes del sistema y ajustes de software del equipo
corporativo que debe tener un cliente para entrar al IVE. Este tipo de reglas
asegura que determinadas claves de registro estén configuradas en el
equipo cliente antes de que el usuario pueda tener acceso al IVE. También
puede usar comprobaciones del registro para evaluar la antigüedad de los
archivos requeridos y permitir o denegar acceso dependiendo de ello.
En la página de configuración de Registry Settings:

i. Introduzca un nombre para la regla de los ajustes de registro.

ii. Seleccione una clave raíz en la lista desplegable.

iii. Introduzca la ruta a la carpeta de la aplicación para la subclave de

registro.

iv. Introduzca el nombre del valor de la clave que desee solicitar

(opcional). Este nombre aparece en la columna Name del Editor de
Registro.

v. Seleccione el tipo de valor de la clave (String, Binary o DWORD) en la

lista desplegable (opcional). Este tipo aparece en la columna Type del
Editor de Registro.

280 „ Especificación de requisitos personalizados usando reglas personalizadas

 Capítulo 11: Host Checker

vi. Especifique el valor de la clave de registro (opcional). Esta información

aparece en la columna Data del Editor de Registro.

Si el valor de la clave representa la versión de una aplicación,

seleccione Minimum version para permitir la versión especificada
o versiones nuevas de la aplicación. Por ejemplo, puede usar esta
opción para especificar la información de la versión para una
aplicación antivirus para asegurarse de que el software antivirus del
cliente es el actual. El IVE usa la clasificación léxica si el cliente
contiene la versión especificada o una superior. Por ejemplo:

3.3.3 es más reciente que 3.3

4.0 es más reciente que 3.3

4.0a es más reciente que 4.0b

4.1 es más reciente que 3.3.1

NOTA: Si especifica sólo la clave y la subclave, Host Checker simplemente

verificará que la carpeta de la subclave exista en el registro.

vii. En Optional, seleccione Monitor this rule for change in result para
supervisar continuamente el cumplimiento de la directiva de los
puntos finales. Si esta casilla de verificación está seleccionada y ocurre
un cambio en el estado de cumplimiento de un punto final que ha
iniciado sesión correctamente, el IVE establecerá la conexión
nuevamente para reevaluar las asignaciones de territorio o de roles.

Puede configurar las acciones de corrección de los ajustes de registro

con Host Checker. Si un cliente intenta iniciar sesión y el equipo cliente
no cumple con los requisitos especificados, Host Checker puede
intentar corregir las diferencias para permitir que el cliente inicie
la sesión.

viii. Seleccione la casilla de verificación Set Registry value specified in

criteria.

ix. Haga clic en Save Changes.

„ NetBIOS (sólo en Windows pero no incluye Windows Mobile): use este tipo
de regla para comprobar el nombre del NetBIOS del equipo cliente antes de
que el usuario pueda tener acceso al IVE. En la página de configuración de
NetBIOS:

i. Introduzca un nombre para el NetBIOS.

ii. Introduzca una lista delimitada por comas (sin espacios) de nombres
del NetBIOS. El nombre puede tener hasta 15 caracteres. Puede usar
caracteres comodín en el nombre y no distingue mayúsculas de
minúsculas. Por ejemplo, md*, m*xp y *xp coincidirán con MDXP.

Especificación de requisitos personalizados usando reglas personalizadas „ 281

 Guía de administración de Secure Access de Juniper Networks

iii. Seleccione Required para requerir que el nombre del NETBIOS del
equipo cliente coincida con los nombres que usted especifique,
o Deny para requerir el nombre no coincida con ninguno.

iv. Haga clic en Save Changes.

„ MAC Address (sólo en Windows): Use este tipo de regla para comprobar las
direcciones MAC en el equipo cliente antes de que el usuario pueda tener
acceso al IVE. En la página de configuración de MAC Address:

i. Introduzca un nombre para la regla de la dirección MAC.

ii. Introduzca una lista delimitada por comas (sin espacios) de direcciones
MAC en la forma XX:XX:XX:XX:XX:XX donde cada X es un número
hexadecimal. Por ejemplo:

00:0e:1b:04:40:29

Puede usar un carácter comodín * para representar una sección de dos

caracteres de la dirección. Por ejemplo, puede usar un * para
representar las secciones “04”, “40” y “29” de la dirección del ejemplo
anterior:

00:0e:1b:*:*:*

Sin embargo, no puede usar un * para representar un solo carácter.

Por ejemplo, el * en la siguiente dirección no es válido:

00:0e:1b:04:40:*9

iii. Seleccione Required para solicitar que una dirección MAC del equipo
cliente concuerde con las direcciones que usted especifique,
o seleccione Deny para solicitar que todas las direcciones no
concuerden. Un equipo cliente tendrá al menos una dirección MAC
para cada conexión de red, tal como Ethernet, inalámbrica y VPN.
El requisito de esta regla se cumple si hay una concordancia entre
cualquiera de las direcciones especificadas y cualquiera de las
direcciones MAC del equipo cliente.

iv. Haga clic en Save Changes.

NOTA: Debido a que la dirección MAC puede cambiar en algunas tarjetas de red,
esta comprobación no garantiza que un equipo cliente cumpla los requisitos de la
directiva de Host Checker.

„ Machine Certificate (sólo en Windows): Use este tipo de reglas para

comprobar que el equipo cliente cuente con acceso autorizado al validar el
certificado de equipo almacenado en el equipo cliente, como se explica en
“Uso de CA de cliente de confianza” en la página 758. En la página de
configuración de Machine Certificate:

i. Introduzca un nombre para la regla del certificado de equipo.

282 „ Especificación de requisitos personalizados usando reglas personalizadas

 Capítulo 11: Host Checker

ii. En la lista Select Issuer Certificate, seleccione el certificado que desee

recuperar y validar desde el equipo del usuario. O bien, seleccione Any
Certificate para omitir la comprobación del emisor y validar solo el
certificado de equipo basado en los criterios opcionales que puede
especificar abajo.

iii. En los campos Optional (Certificate field y Expected value),

especifique cualquier criterio adicional que Host Checker deba usar
cuando verifique el certificado de equipo.

iv. Haga clic en Save Changes.

NOTA: Si se instala en el equipo cliente más de un certificado que coincida con los
criterios especificados, el cliente de Host Checker transmite al IVE el primer
certificado que encuentra para que éste lo valide.

5. De forma opcional, puede agregar reglas adicionales a la directiva, especificar

la forma en la que Host Checker evalúa las distintas reglas dentro de la directiva
y definir las opciones de corrección siguiendo las instrucciones en “Creación y
configuración de nuevas directivas del lado cliente” en la página 267.

Uso de un comodín o una variable de entorno en una regla de Host Checker

Puede usar los siguientes comodines para especificar un nombre de archivo en una
regla de Custom File o un nombre de proceso en una regla de Custom Process:

Tabla 15: Caracteres comodín para especificar un nombre de archivo o un nombre de

proceso
Carácter comodín Descripción Ejemplo
* Coincide con cualquier carácter *.txt
? Coincide exactamente con un app-?.exe
carácter

En una regla de Custom File para Windows, puede usar las siguientes variables de
entorno para especificar la ruta del directorio a un archivo:

Tabla 16: Variables de entorno para especificar una ruta del directorio en Windows

Variable de entorno Ejemplo del valor en Windows

<%APPDATA%> C:\Documents and Settings\jdoe\Application Data
<%windir%> C:\WINDOWS
<%ProgramFiles%> C:\Program Files
<%CommonProgramFiles%> C:\Program Files\Common Files
<%USERPROFILE%> C:\Documents and Settings\jdoe
<%HOMEDRIVE%> C:
<%Temp%> C:\Documents and Settings \<user name>\Local
Settings\Temp

Especificación de requisitos personalizados usando reglas personalizadas „ 283

 Guía de administración de Secure Access de Juniper Networks

En una regla de Custom File para Macintosh, Linux y Solaris, puede usar las
siguientes variables de entorno para especificar la ruta del directorio a un archivo:

Tabla 17: Variables de entorno para especificar una ruta del directorio en Macintosh,
Linux y Solaris
Ejemplo del valor en Linux
Variable de entorno Ejemplo del valor en Macintosh y Solaris
<%java.home%> /System/Library/Frameworks/JavaVM /local/local/java/j2sdk1.4.1_02/
.framework/ Versions/1.4.2/Home jre
<%java.io.tmpdir%> /tmp /tmp
<%user.dir%> /Users/admin /home-shared/cknouse
<%user.home%> /Users/admin /home/cknouse

NOTA: Aunque las variables de entorno tienen el mismo formato que las directivas
Toolkit Template, no son intercambiables y debe tener cuidado de no confundirlas.

Evaluación de varias reglas en una directiva única de Host Checker

Si escoge incluir varias reglas dentro de una directiva única del lado cliente,
debe especificar la manera en la que Host Checker debe evaluar estas reglas.

Para especificar los requisitos de varias reglas dentro de una directiva de

Host Checker:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Host Checker.

2. En la sección Policies de la página, haga clic en una directiva existente que

incluya reglas múltiples.

3. En la sección Require, seleccione una de las siguientes opciones:

„ All of the above rules: Seleccione esta opción para especificar que el
equipo del usuario debe devolver un valor acertado para todas las reglas de
la directiva a fin de obtener acceso.

„ Any of the above rules: Seleccione esta opción para especificar que el
equipo del usuario debe devolver un valor acertado para cualquiera de las
reglas de la directiva a fin de obtener acceso.

„ Custom: Seleccione esta opción para personalizar las reglas que el equipo
del usuario debe cumplir para obtener acceso. Luego, cree la regla
personalizada usando las instrucciones del siguiente paso.

284 „ Especificación de requisitos personalizados usando reglas personalizadas

 Capítulo 11: Host Checker

4. (Sólo expresiones personalizadas) Si desea usar grupos alternativos de reglas en

la directiva, combine reglas con operadores booleanos (AND, OR, NOT) usando
las siguientes pautas:

„ Introduzca el nombre de las reglas en la casilla de verificación Rules

expression.

„ Use los operadores AND o && para requerir que dos reglas o grupos de
reglas devuelvan un valor acertado.

„ Use los operadores OR o || para requerir que alguna de dos reglas o grupos
de reglas devuelva un valor acertado.

„ Use los operadores NOT o ! para excluir una regla.

„ Use paréntesis para combinar grupos de reglas.

„ Al combinar reglas personalizadas de medición de integridad, puede usar

las palabras clave Allow, Deny, Isolate, y NoRecommendation. Por ejemplo,
puede usar las siguientes expresiones para solicitar que un cortafuegos
personal se ejecute y para requerir que cualquiera de dos posibles antivirus
se ejecuten:

ZoneLabsFirewall AND (McAfeeAntivirus OR NortonAntivirus)

5. Haga clic en Save Changes.

Configuración de directivas de evaluación de parches

Puede configurar directivas de Host Checker que comprueben el cumplimiento de
versión de los parches en las aplicaciones de escritorio, la versión del software o el
paquete de actualización del sistema operativo Windows de los puntos finales.

Host Checker usa una lista de las versiones de parches más actuales de los
proveedores para reglas predefinidas en la directiva de Host Checker.

Puede obtener la información de versión de parches más actual en el sitio de

pruebas de Juniper Networks. Puede descargar e importar manualmente la lista
actual en el IVE o puede importar automáticamente la lista actual desde el sitio de
pruebas de Juniper Networks o su propio sitio de pruebas en los intervalos que
especifique.

Las búsquedas pueden basarse en uno o más productos específicos o en parches

específicos, pero no en la misma directiva. Por ejemplo, con una directiva puede
buscar Internet Explorer versión 7 y el parche MSOO-039: SSL Certificate Validation
Vulnerabilities con una segunda directiva. Después, aplique ambas directivas a los
puntos finales a nivel de rol o territorio para garantizar que el usuario tiene la última
versión del explorador con una parche específico. De forma adicional, puede
especificar el nivel de gravedad de los parches que desee ignorar para los productos
Microsoft; por ejemplo, puede optar por ignorar las amenazas bajas o moderadas.

Especificación de requisitos personalizados usando reglas personalizadas „ 285

 Guía de administración de Secure Access de Juniper Networks

El IVE puede enviar instrucciones de corrección (por ejemplo, un mensaje

señalando los parches o el software que no cumple con la directiva y un vínculo
indicando el lugar donde el punto final puede obtener el parche). El IVE no hace
correcciones automáticas en el caso de que un punto final no cumpla con la
directiva. No obstante, puede optar por enviar los elementos al cliente para la
corrección manual de los equipos administrados.

Cuando un punto final se conecta por primera vez con el IVE, se descargan del IMC
las últimas versiones de los archivos y bibliotecas de datos hacia el equipo host.
La comprobación inicial tarda entre 10 a 20 segundos en ejecutarse, dependiendo
de la velocidad del vínculo. Si está obsoleto, estos archivos se actualizan de forma
automática en comprobaciones sucesivas. Si es la primera vez que el punto final se
conecta al IVE con la directiva de evaluación de parches, y la conexión es Layer 2,
no se podrá descargar el IMC necesario para la comprobación Patch Assesment.
En este caso, deberá configurar un rol de corrección que muestre las instrucciones
que le ordenen al usuario que reintente con la conexión Layer 3 o que se ponga en
contacto con el administrador.

Para configurar una regla personalizada de evaluación de parches:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Host Checker.

2. Cree una directiva nueva siguiendo las instrucciones que se encuentran en

“Creación y configuración de nuevas directivas del lado cliente” en la
página 267 o haga clic en la sección Policies de la página de una directiva
existente.

3. Haga clic en la ficha Windows.

4. En Rule Settings, escoja Custom: Patch assessment.

5. Haga clic en Add bajo Rule Settings. Aparecerá la página Add Custom Rule:
Patch assessment.

6. Introduzca un nombre para la regla de la medida de integridad.

NOTA: Si una selección que no se aplica está incluida en una directiva,

por ejemplo, el punto final no tiene el software señalado, la regla no se
considerará y se omitirá la comprobación de esa selección en especial.

7. Seleccione Scan for specific products o Scan for specific patches.

Si selecciona Scan for specific products deberá seleccionar también All

Products o Specific Products.

Si selecciona All Products, Host Checker buscará todos los parches expuestos
en el punto final.

286 „ Especificación de requisitos personalizados usando reglas personalizadas

 Capítulo 11: Host Checker

Para configurar una directiva basada en todos los productos:

a. Escoja el botón de opción All Products.

b. De manera opcional, haga clic en el botón Add bajo Ignore following

patches para seleccionar los parches específicos que desee ignorar para
todos los productos.

c. Haga clic en Save Changes.

d. De manera opcional para los productos Microsoft, desactive las casillas de

verificación para determinar el nivel de gravedad de los parches que desee
ignorar. Por ejemplo, si desea buscar sólo parches críticos para las opciones
seleccionadas, desactive las casillas de verificación para Important,
Moderate, Low y Unspecified.

e. Haga clic en Save Changes.

Si selecciona Specific Products, se abrirán dos nuevos diálogos. Puede

seleccionar desde una extensa lista de productos y versiones y puede optar por
ignorar parches específicos.

Por ejemplo, si agrega Internet Explorer 6 a la lista Selected Products, puede

optar por ignorar cualquier parche que no considere esencial para el producto.
Puede ajustar de forma adicional el nivel de gravedad de parches específicos
que se ignorarán al desactivar las casillas de verificación de gravedad para los
productos Microsoft.

Para configurar una directiva basada en productos específicos:

a. Escoja el botón de opción Specific Products.

b. Seleccione software de la ventana Available products y agréguelo a la

ventana Selected products.

c. Haga clic en Save Changes.

d. De manera opcional, haga clic en el botón Add bajo Ignore following

patches para seleccionar los parches específicos que desee ignorar para los
productos elegidos.

Cuando haga clic en el botón Add, se abrirá un nuevo diálogo,

que mostrará todos los parches disponibles para el software que ha
seleccionado.

e. Seleccione los parches específicos que desee ignorar desde la ventana

Available patches y agréguelos a la ventana Selected patches.

f. Haga clic en el botón Add bajo Add.

Cuando haga clic en el botón Add, la ventana Ignore followiing patches se

llenará con los parches que seleccionó.

Especificación de requisitos personalizados usando reglas personalizadas „ 287

 Guía de administración de Secure Access de Juniper Networks

g. De manera opcional para los productos Microsoft, desactive las casillas de

verificación para determinar el nivel de gravedad de los parches que desee
ignorar. Por ejemplo, si desea buscar sólo parches críticos para las opciones
seleccionadas, desactive las casillas de verificación para Important,
Moderate, Low y Unspecified.

NOTA: Las casillas de verificación de los niveles de gravedad sólo se aplican a

productos Microsoft. Para otros proveedores, como Adobe, la casilla de verificación
Unspecified determina si se ejecutará o no la comprobación.

h. Haga clic en Save Changes.

La opción Scan for specific patches le permite escoger desde una lista de
parches disponibles.

Para configurar una directiva basada en parches:

a. Escoja el botón de opción Scan for specific patches.

Cuando seleccione la opción Scan for specific patches, se abrirá un nuevo

diálogo, el que le permitirá agregar parches específicos.

b. Haga clic en el botón Add.

c. En la ventana Available patches seleccione los parches específicos que

desee buscar y agréguelos a Selected patches.

d. Haga clic en el botón Add.

e. Haga clic en Save Changes.

8. Haga clic en Save Changes.

Puede mostrar la información de corrección para los usuarios en función de

qué versión o parche se necesite actualizar. Por ejemplo, puede configurar una
cadena de motivos para mostrar la información acerca de un parche que no se
encuentra y especificar un vínculo que lleve al usuario a la página Web donde
puede obtener el parche.

9. Para mostrar la información de corrección a los usuarios, seleccione la opción

Send Reason Strings bajo Remediation. Para obtener más información sobre
esta opción, consulte “Configuración de la corrección general de Host Checker”
en la página 305.

288 „ Especificación de requisitos personalizados usando reglas personalizadas

 Capítulo 11: Host Checker

Uso de Comprobadores de medición de integridad de terceros

Las normas de Trusted Network Connect (TNC) permiten la aplicación de requisitos
de seguridad para puntos finales que se conectan a redes. Los componentes del
lado cliente del TNC son los IMC y el cliente TNC (TNCC). El TNCC compila las
mediciones IMC y las envía al servidor. En el servidor, existe un grupo de
componentes equivalentes: El servidor TNC (TNCS) y los IMV. El TNCS administra
los mensajes entre los IMV y los IMC y envía las recomendaciones en función de los
IMV, que son los motores de directivas. Para obtener más información acerca de los
IMV y los IMC, consulte “La arquitectura TNC dentro de Host Checker” en la
página 257.

El IVE y Host Checker cumplen con los estándares emitidos por TNC. Para obtener
más información acerca de TNC, IMV e IMC, visite
www.trustedcomputinggroup.org.

Puede configurar Host Checker para que supervise los IMC de terceros, que
cumplen con las normas de TNC, instalados en los equipos cliente. Para hacerlo,
debe hacer lo siguiente:

1. Ejecute el instalador de Third-party Integrity Measurement Verifier (IMV)

Server en el sistema designado como servidor IMV remoto. Instale los IMV de
terceros y cree los certificados de servidor. Consulte “Configuración de un
servidor IMV remoto” en la página 289.

2. Especifique el servidor IMV remoto para que el IVE se pueda comunicar con él.
Consulte “Especificación del servidor IMV remoto” en la página 293.

3. Implemente la directiva de Host Checker. Consulte “Implementación de la

directiva para IMV de terceros” en la página 295.

Configuración de un servidor IMV remoto

Durante este paso, instalará IMV de terceros. Los IMV de terceros se instalan en el
servidor IMV remoto, no en el IVE.

Durante este paso, también obtendrá un certificado de servidor para el servidor

IMV remoto. Importará el certificado CA de raíz de confianza que genera el
certificado de servidor al IVE. Luego, el IVE autenticará el servidor IMV remoto
mediante el certificado. Si no cuenta con una autoridad de certificación,
instale y use OpenSSL para generar un certificado CA.

Para instalar y configurar el software del servidor:

1. En la consola de administración del IVE, escoja Maintenance > System >

Installers y descargue el instalador de Third-party Integrity Measurement
Verifier (IMV) Server.

2. Ejecute el instalador en el sistema designado como servidor IMV remoto.

3. Instale los IMV de terceros en el servidor IMV y los IMC correspondientes en los
sistemas del cliente.

Uso de Comprobadores de medición de integridad de terceros „ 289

 Guía de administración de Secure Access de Juniper Networks

4. Genere un certificado de servidor desde una autoridad de certificación para

el servidor IMV remoto. El valor Subject CN del certificado de servidor debe
contener el nombre o la dirección IP real del host del servidor IMV remoto.
Para obtener más información sobre la creación de sistemas, consulte “Uso de
CA del servidor de confianza” en la página 774.

El certificado de servidor y la clave privada deben combinarse en un archivo

PKCS#12 único y se debe encriptar con una contraseña.

Si no tiene una autoridad de certificación, puede seguir estos pasos para crear
una CA y luego crear un certificado de servidor para el servidor IMV remoto.

NOTA: Instale la versión completa de OpenSSL. La versión “light” de OpenSSL no

sirve para esto.

Siga los pasos a continuación para configurar OpenSSL:

i. Descargue e instale OpenSSL desde este sitio:

http://www.slproweb.com/products/Win32OpenSSL.html

ii. En el símbolo de sistema de Windows, escriba los siguientes

comandos:

cd \openssl
md certs
cd certs
md demoCA
md demoCA\newcerts
edit demoCA\index.txt

iii. Presione las teclas ALT-F y luego la tecla S para guardar el archivo.

iv. Presione las teclas ALT-F y luego la tecla X para salir del editor.

v. En el símbolo de sistema de Windows, escriba los siguientes

comandos:

edit demoCA\serial

vi. Escriba estos números en la ventana del documento: 01

vii. Presione las teclas ALT-F y luego la tecla S para guardar el archivo.

viii. Presione las teclas ALT-F y luego la tecla X para salir del editor.

ix. En el símbolo de sistema de Windows, escriba el siguiente comando:

set path=c:\openssl\bin;%path%

290 „ Uso de Comprobadores de medición de integridad de terceros

 Capítulo 11: Host Checker

Siga los pasos a continuación para crear una clave de CA:

x. Para crear una clave de CA, escriba el siguiente comando en el símbolo

de sistema de Windows en el directorio c:\openssl\certs:

openssl genrsa -out ca.key 1024

Debe aparecer el siguiente resultado:

Loading 'screen' into random state - done

Generating RSA private key, 1024 bit long modulus
........++++++
.++++++
e is 65537 (0x10001

Siga los pasos a continuación para crear un certificado de CA:

i. Escriba el siguiente comando en el símbolo de sistema de Windows en

el directorio c:\openssl\certs:

openssl req -new -x509 -days 365 -key ca.key -out

demoCA/cacert.pem

ii. Introduzca la información de nombre completo (DN) apropiada para

el certificado CA. Puede dejar algunos campos en blanco si introduce
un punto.

Por ejemplo:

Country Name: US
State or Province Name: CA
Locality Name: Sunnyvale
Organization Name: XYZ
Org. Unit Name: IT
Common Name: ic.xyz.com
Email Address: user@xyz.com

iii. Para configurar el CA, escriba el siguiente comando en el símbolo de

sistema de Windows en el directorio c:\openssl\certs:

copy ca.key demoCA

notepad demoCA.cnf

iv. Cuando se le pregunte si desea crear un archivo nuevo, pulse el

botón yes.

v. Teclee las líneas siguientes en el documento y pulse la tecla Enter al

final de cada línea.

[ca]
default_ca = demoCA

[demoCA]
dir = ./demoCA
database = $dir/index.txt
new_certs_dir = $dir/newcerts
certificate = $dir/cacert.pem

Uso de Comprobadores de medición de integridad de terceros „ 291

 Guía de administración de Secure Access de Juniper Networks

serial = $dir/serial
private_key = $dir/ca.key
default_days = 365
default_md = md5
policy = policy_any
email_in_dn = no
name_opt = ca_default
cert_opt = ca_default
copy_extensions = none

[ policy_any ]
countryName = supplied
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

vi. Guarde el archivo y cierre el bloc de notas.

vii. Escriba el siguiente comando para generar una clave privada RSA para
el servidor IMV remoto:

openssl genrsa –out rimvs_key.pem 1024

viii. Escriba el siguiente comando para generar un CSR para el servidor IMV
remoto:

openssl req –new –key rimvs_key.pem –out rimvs_csr.pem

ix. Escriba las líneas siguientes:

Country Name:
State or Province Name:
Locality Name:
Organization Name:
Organizational Unit Name:
Common Name: [IPAddress]
Email Address:
A challenge password:
An optional company name:

Puede introducir cualquier valor que desee en la mayoría de los campos,

pero el campo Common Name debe contener la dirección IP del equipo que
ejecuta el servidor IMV remoto. Este equipo debe tener una dirección IP
estática.

x. Escriba el siguiente comando para generar un certificado para el

servidor IMV remoto:

openssl ca –config demoCA.cnf –in rimvs_csr.pem

–out rimvs_cert.pem

292 „ Uso de Comprobadores de medición de integridad de terceros

 Capítulo 11: Host Checker

xi. Presione “y” dos veces cuando se le solicite para generar el certificado.
Este certificado es válido por 365 días de forma predeterminada. Si
desea modificar la duración del certificado, cambie el parámetro
default_days en el archivo demoCA.cnf, o use el parámetro –days en el
comando openssla ca para especificar una duración distinta.

xii. Escriba el siguiente comando para agregar la clave del servidor IMV
remoto y el certificado en un archivo PKCS#12 (use su propia
contraseña):

openssl pkcs12 –export –in rimvs_cert.pem –inkey rimvs_key.pem

–passout
pass:<password> -out rimvs_p12.pem

5. En el servidor IMV remoto, escoja Programs > Juniper Networks > Remote
IMV Server > Remote IMV Server Configurator en el menú Start.

6. En Client Info, haga clic en Add.

7. Configure el puerto que atenderá las solicitudes SOAP desde el IVE.

8. Introduzca la dirección IP del cliente, la cantidad de direcciones que se usarán

y el secreto compartido que usarán tanto el IVE como el servidor IMV remoto.

9. Si desea, cambie los ajustes de creación de registros (el registro se genera en el

directorio de instalación).

10. Busque el archivo PKCS#12 que generó en el sistema de archivos.

11. Especifique la contraseña asociada al certificado.

12. En la consola de administración IVE, use la lengüeta System > Configuration

> Certificates > Trusted Server CAs para importar el certificado CA de raíz de
confianza de la CA que emitió el certificado para el servidor IMV remoto.

Si usó OpenSSL para generar el certificado de servidor del Servidor IMV

remoto, éste es: demoCA\cacert.pem.

Si no usó OpenSSL para generar este certificado, asegúrese de que el archivo

que importe tiene el certificado CA (no el certificado de raíz).

13. Haga clic en Import Trusted Server CA y busque el certificado de servidor que
usó en el servidor IMV remoto.

14. Agregue el nuevo servidor IMV remoto en “Especificación del servidor IMV
remoto” en la página 293.

Especificación del servidor IMV remoto

Para especificar el servidor IMV remoto para que el IVE se pueda comunicar con él:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Host Checker.

2. En Remote IMV, haga clic en New Server.

Uso de Comprobadores de medición de integridad de terceros „ 293

 Guía de administración de Secure Access de Juniper Networks

3. En la página New Server:

a. Cree una etiqueta para el servidor usando los campos Name

y (opcionalmente) Description.

b. En el campo Hostname, introduzca la dirección IP o el nombre del host

como se definió en el certificado de servidor.

c. En el campo Port, introduzca el número de puerto único que el IVE usa

para comunicarse con el servidor IMV remoto. Compruebe que ningún otro
servicio está usando esté número de puerto.

El número de puerto predeterminado es el mismo que el número de puerto

https predeterminado. Si está ejecutando un servidor Web en el mismo
sistema que el servidor IMV remoto, introduzca un número de puerto
nuevo en el campo Port.

d. En el campo Shared Secret, introduzca el mismo secreto compartido que

usó en la entrada de información del cliente en el servidor IMV remoto.

e. Haga clic en Save Changes.

4. En Remote IMV, haga clic en New IMV para especificar el IMV de terceros.

5. En la página New IMV:

a. Cree una etiqueta para el IMV usando los campos Name y (opcionalmente)
Description.

b. En el campo IMV Name, introduzca el nombre del IMV. Este nombre debe
coincidir con el “nombre legible” en la clave de registro conocida del IMV
en el servidor IMV remoto. Para obtener más información acerca de
nombres legibles y la clave de registro conocida, visite
www.trustedcomputinggroup.org.

c. Desde el menú emergente Primary Server, seleccione el servidor IMV

remoto donde este IMV está instalado.

d. (Opcional) Desde el menú emergente Secondary Server, seleccione el

servidor IMV remoto donde este IMV está instalado. El servidor secundario
actúa como un conmutador por error en caso de que el servidor primario
no esté disponible.

El IVE continúa intentando restablecer la conexión con el servidor IMV

remoto primario y lo usa al establecer las conexiones siguientes cuando
vuelve a estar disponible.

e. Haga clic en Save Changes.

6. Haga clic en Save Changes.

294 „ Uso de Comprobadores de medición de integridad de terceros

 Capítulo 11: Host Checker

Implementación de la directiva para IMV de terceros

Para usar el Host Checker como una herramienta de aplicación de directivas para
gestionar puntos finales, debe crear directivas globales del Host Checker a nivel de
sistema a través de la página Authentication > Endpoint Security > Host
Checker de la consola de administración y luego debe implementar las directivas
en los niveles de territorio y roles.

Para implementar la directiva para IMV de terceros:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Host Checker.

2. En Policies, haga clic en New.

3. Introduzca un nombre en el campo Policy Name y luego haga clic en Continue.

(Los usuarios verán este nombre en la página de corrección de Host Checker
si habilita las instrucciones personalizadas para esta directiva.)

4. En Rule Settings, elija Custom: Remote IMV y haga clic en Add.

5. En la página Add Custom Rule: Remote IMV:

a. En el campo Rule Name, introduzca un identificador para la regla.

b. En Criteria, seleccione el IMV de terceros que se asociará a esta regla.

c. Haga clic en Save Changes.

6. Especifique la forma en que Host Checker debe evaluar las distintas reglas
dentro de la directiva usando las instrucciones en “Evaluación de varias reglas
en una directiva única de Host Checker” en la página 284.

7. (Recomendado) Especifique las opciones de corrección para usuarios cuyos

equipos no cumplen con los requisitos especificados en la directiva.
Para obtener instrucciones, consulte “Configuración de la corrección general de
Host Checker” en la página 305.

8. Haga clic en Save Changes.

9. Implemente la directiva en los niveles de territorio o rol usando las opciones

descritas en “Configuración de las restricciones de Host Checker” en la
página 301.

Uso de Comprobadores de medición de integridad de terceros „ 295

 Guía de administración de Secure Access de Juniper Networks

Combinación de varias reglas de medición de integridad con

expresiones personalizadas
Puede combinar reglas de medición de integridad múltiples en una directiva de
Host Checker única y cada regla puede devolver uno de dos resultados: Allow para
permitir o Deny para denegar.

Una regla requerida devolverá Allow si coincide y Deny si no se cumple. Una regla
Deny devolverá Deny si coincide, y Allow si no se cumple. Si escoge la opción Any of
the above rules en la directiva de Host Checker, la regla se entenderá como
cumplida si al menos una de las reglas devuelve Allow. Si escoge All of the above
rules, entonces la regla se entenderá como cumplida si todas las reglas devuelven
Allow. En cualquier caso, si el resultado de una regla de cumplimiento no se puede
completar por alguna razón, esa regla se considerará como no cumplida.

Algunos IMV de terceros también pueden devolver el resultado Isolate. Al usar la

opción Any of the above rules o All of the above rules, el resultado Isolate se se
trata como si fuera Deny. Si desea tratar los resultados Isolate de forma diferente,
debe escoger la opción Custom para usar los resultados exactos de las reglas para
determinar la respuesta final. Por ejemplo, si tiene dos reglas Sym1 y Mac1,
puede usar esta combinación personalizada de reglas:

(Sym1 == Isolate AND Mac1 == NoRecomendation) OR

(Sym1 == NoRecommendation AND Mac1 == Allow)

Puede omitir la palabra clave Allow en la expresión predeterminada. Por ejemplo:

rule1 OR rule2

es equivalente a:

rule1 == Allow OR rule2 == Allow

Habilitación de directivas personalizadas del lado del servidor

Para clientes de Windows, puede crear directivas de Host Checker globales que
toman un DLL-J.E.D.I. de terceros que se cargan en el IVE y se ejecutan en los
equipos cliente.

NOTA: Esta característica se proporciona principalmente para compatibilidad con

versiones anteriores. Recomendamos que en su lugar use los IMC y los IMV, como
se describe en “La arquitectura TNC dentro de Host Checker” en la página 257.

Carga de un paquete de directivas de Host Checker al IVE

Para que el IVE reconozca un archivo de definición del paquete, debe hacer
lo siguiente:

1. Ponerle al archivo de definición del paquete el nombre MANIFEST.HCIF

e incluirlo en una carpeta llamada META-INF.

296 „ Combinación de varias reglas de medición de integridad con expresiones personalizadas

 Capítulo 11: Host Checker

2. Crear un paquete de directivas Host Checker creando un archivo zip. El archivo

debe contener la carpeta META-INF que contiene el archivo MANIFEST.HCIF junto
con la DLL de interfaz y cualquier archivo de inicialización. Por ejemplo,
el paquete de directivas de Host Checker puede contener:

META-INF/MANIFEST.HCIF
hcif-myPestPatrol.dll
hcif-myPestPatrol.ini

3. Cargar el o los paquetes de Host Checker al IVE siguiendo las instrucciones que
se encuentran en “Habilitación de directivas personalizadas del lado del
servidor” en la página 296. Puede cargar varios paquetes de directivas al IVE,
cada uno con un archivo MANIFEST.HCIF diferente.

NOTA: Después de cargar un paquete de directivas de Host Checker al IVE,

no podrá modificar los contenidos del paquete en el servidor. En cambio,
deberá modificar el paquete en su sistema local y luego cargar la versión
modificada al IVE.

Host Checker crea túneles para todas las definiciones de túneles en todos los
archivos MANIFEST.HCIF, siempre y cuando las definiciones sean únicas. Para
ver la lista de definiciones de túneles de acceso de autenticación previa para un
paquete de directivas, haga clic en el nombre del paquete de directivas bajo 3rd
Party Policy en la página Host Checker Configuration. El IVE muestra una lista
de las definiciones de túneles bajo Host Checker Preauth Access Tunnels en la
página 3rd Party Policy.

4. Implemente la directiva en los niveles de directivas de territorio, rol o recurso

usando las opciones descritas en “Configuración de las restricciones de Host
Checker” en la página 301. Si desea verificar que el paquete se instaló y se está
ejecutando en el equipo del cliente (y no si se cumple o no una directiva
específica del paquete), puede usar el nombre que especificó cuando cargó el
paquete de directivas (por ejemplo, myPestPatrol). Para aplicar una directiva en
particular en el paquete, use la sintaxis <PackageName>.<PolicyName>.
Por ejemplo, para aplicar la directiva FileCheck en el paquete myPestPatrol,
use myPestPatrol.FileCheck. Para obtener instrucciones, consulte “Configuración
de las restricciones de Host Checker” en la página 301.

Para permitir una directiva personalizada del Host Checker del lado del servidor:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Host Checker.

2. En Policies, haga clic en New 3rd Party Policy.

3. Introduzca un nombre para identificar su archivo zip en el IVE.

4. Busque el directorio local donde se encuentra el archivo zip.

5. (Opcional) Especifique las instrucciones y acciones de corrección para usuarios

cuyos equipos no cumplen con los requisitos especificados en la directiva.
Para obtener instrucciones, consulte “Configuración de la corrección general de
Host Checker” en la página 305.

Combinación de varias reglas de medición de integridad con expresiones personalizadas „ 297

 Guía de administración de Secure Access de Juniper Networks

6. Haga clic en Save Changes. El IVE agrega las directivas definidas en el archivo
zip a la lista de directivas de la página del Host Checker.

7. Implemente las directivas en los niveles de directivas de territorio, rol o recurso

usando las opciones descritas en “Configuración de las restricciones de Host
Checker” en la página 301.

Implementación de las directivas del Host Checker

Después de crear directivas globales a través de la página del Authentication >
Endpoint Security > Host Checker de la consola de administración, puede
restringir el acceso al IVE y a los recursos requiriendo el Host Checker en las
opciones siguientes:

„ Directiva de autenticación de territorio: Cuando los administradores o los

usuarios intentan iniciar sesión en el IVEo iniciar una sesión de Virtual
Workspace, el IVE evalúa la directiva de autenticación especificada del territorio
para determinar si los requisitos de autenticación previa incluyen al
Host Checker. Puede configurar una directiva de autenticación de territorio
para descargar Host Checker, iniciar Host Checker y aplicar las directivas
especificadas de Host Checker para el territorio, o para no requerir Host
Checker. El usuario debe iniciar sesión en un equipo que cumpla con los
requisitos de Host Checker que se especificaron para el territorio. Si el equipo
del usuario no cumple los requisitos, entonces el IVE negará el acceso al usuario
a menos que configure acciones correctivas que ayuden al usuario a lograr que
su equipo cumpla con las directivas. Puede configurar restricciones a nivel de
territorio a través de la página Administrators > Admin Realms > Seleccionar
territorio > Authentication Policy > Host Checker o la página Users > User
Realms > Seleccionar territorio > Authentication Policy > Host Checker de
la consola de administración.

„ Rol: Cuando el IVE determina la lista de roles válidos para las que puede
asignar un administrador o un usuario, evalúa las restricciones de cada rol para
determinar si requiere que el equipo del usuario se adhiera a determinadas
directivas de Host Checker. Si es así, y el equipo del usuario no sigue las
directivas de Host Checker especificadas, el IVE no asignará al usuario dichos
roles a menos que configure acciones correctivas para ayudar al usuario a
lograr que su equipo cumpla las directivas. Puede configurar la asignación de
roles usando los ajustes de la página Users > User Realms > Seleccionar
territorio > Role Mapping. Puede configurar restricciones a nivel de rol en la
página Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Host Checker de la consola de administración o en la página
Users > User Roles> Seleccionar rol > General > Restrictions >
Host Checker.

298 „ Implementación de las directivas del Host Checker

 Capítulo 11: Host Checker

„ Directiva de recursos: Cuando un usuario solicita un recurso, el IVE evalúa las

reglas detalladas de la directiva de recursos para determinar si el recurso
requiere que el equipo del usuario se adhiera a determinadas directivas de
Host Checker. El IVE denegará acceso a los recursos si el equipo del usuario
no cumple con las directivas de Host Checker, a menos que configure acciones
correctivas para ayudarle al usuario a que logre que su equipo cumpla con las
directivas. Para implementar las restricciones de Host Checker en el nivel de
directivas de recursos, use los ajustes en la página Users > Resource Policies
> Seleccionar recurso > Seleccionar directiva > Detailed Rules.

Puede especificar que el IVE evalúe las directivas del Host Checker sólo cuando el
usuario intenta tener acceso por primera vez al territorio, rol o recurso al que hace
referencia la directiva del Host Checker. Como alternativa, puede especificar que el
IVE evalúe de forma periódica las directivas a través de la sesión del usuario. Si elige
evaluar periódicamente las directivas del Host Checker, el IVE asigna de forma
dinámica los usuarios a los roles y les permite acceder a nuevos recursos en función
de la evaluación más reciente.

Ejecución de las directivas del Host Checker

Cuando el usuario intenta entrar al IVE, el Host Checker evalúa sus directivas en el
siguiente orden:

1. Evaluación inicial: Cuando un usuario intenta acceder por primera vez a la

página de inicio de sesión del IVE, el Host Checker realiza una evaluación
inicial. Con las reglas que especificó en las directivas, el Host Checker
comprueba que el cliente cumpla los requisitos del punto final y devuelve sus
resultados al IVE. El Host Checker realiza una evaluación inicial
independientemente de si ha implementado las directivas del Host Checker
a nivel de territorio, de rol o de directiva.

Si el usuario sale de la página de inicio de sesión del IVE después de que

Host Checker se comienza a ejecutar pero antes de que inicie sesión en el IVE,
Host Checker continuará ejecutándose en el equipo del usuario hasta que se
agote el tiempo de espera del proceso de Host Checker.

Si por cualquier motivo (incluso porque el usuario cerró manualmente

Host Checker) el IVE no recibe un resultado del Host Checker, el IVE mostrará
un mensaje de error y le solicitará al usuario que vuelva a la página de inicio de
sesión.

En caso contrario, si el proceso de Host Checker devuelve un resultado,

el IVE sigue evaluando las directivas de nivel de territorio.

Implementación de las directivas del Host Checker „ 299

 Guía de administración de Secure Access de Juniper Networks

2. Directivas a nivel de territorio: El IVE usa los resultados de la evaluación inicial

del Host Checker para determinar a cuál de los territorios puede tener acceso el
usuario. Después, el IVE muestra u oculta los territorios al usuario y le permite
iniciar sesión en los territorios que habilite para la página de inicio de sesión
sólo si cumple con los requisitos del Host Checker para cada territorio.
Si el usuario no puede cumplir las condiciones que requiere el Host Checker
para alguno de los territorios disponibles, el IVE no mostrará la página de inicio
de sesión, sino que muestra un mensaje de error que indica que el usuario no
tendrá acceso, a menos que configure acciones correctivas para ayudar al
usuario a lograr que su equipo cumpla con las directivas.

Tenga en cuenta que el Host Checker sólo realiza revisiones a nivel de territorio
cuando el usuario inicia sesión por primera vez en el IVE. Si el estado del
sistema del usuario cambia durante su sesión, el IVE no lo expulsa del territorio
actual ni le permite tener acceso a un territorio nuevo basado en el nuevo
estado del sistema.

3. Directivas a nivel de rol: Después de que el usuario inicia sesión en un

territorio, el IVE evalúa las directivas a nivel de rol y asigna el usuario a los roles
si es que cumple con los requisitos del Host Checker para esos roles. Después,
el IVE le muestra al usuario la página de inicio del IVE y habilita esas opciones
que permite el rol asignado.

Si el Host Checker devuelve un estado distinto durante una evaluación

periódica, el IVE reasignará de forma dinámica los roles del usuario en función
de los nuevos resultados. Si el usuario pierde derechos a todos los roles
disponibles durante una de las evaluaciones periódicas, el IVE desconectará la
sesión del usuario, a menos que configure acciones correctivas para ayudar al
usuario a que logre que su equipo cumpla con las directivas.

4. Directivas a nivel de recursos: Después de que el IVE le permite al usuario

tener acceso a la página de inicio, el usuario puede intentar tener acceso a un
recurso que está controlado por una directiva de recursos. Cuando lo hace,
el IVE determina si debe realizar o no la acción especificada en la directiva de
recursos basado en el último informe de estado que devolvió el Host Checker.

Si el Host Checker devuelve un informe de estado distinto durante una

evaluación periódica, el nuevo estado sólo tendrá efecto en los nuevos recursos
a los que el usuario intente tener acceso. Por ejemplo, si el usuario inicia de
forma correcta una sesión de Network Connect y luego no logra comprobar el
host a nivel de recursos, puede seguir teniendo acceso a la sesión abierta de
Network Connect. El IVE solo le denegará el acceso si intenta abrir una nueva
sesión de Network Connect. El IVE comprueba el último estado devuelto por el
Host Checker cuando el usuario intenta tener acceso a un recurso de la web
nuevo o abrir una sesión nueva de Secure Application Manager, Network
Connect o Secure Terminal Access.

Ya sea con un resultado válido o no, el Host Checker permanece en el cliente.

Los usuarios de Windows pueden desinstalar manualmente el agente al ejecutar el
archivo uninstall.exe que se encuentra en el directorio donde está instalado el
Host Checker. Si habilita el inicio de sesión del lado cliente a través de la página
System > Log/Monitoring > Client Logs, este directorio también contendrá un
archivo de registro, el que reescribe el IVE cada vez que se ejecuta el Host Checker.

300 „ Implementación de las directivas del Host Checker

 Capítulo 11: Host Checker

Si habilita la evaluación de directivas dinámicas para Host Checker (consulte

“Comprensión de la evaluación dinámica de directivas” en la página 57),
el IVE evaluará las directivas de recursos implementadas a nivel de territorio cada
vez que el estado de Host Checker cambie. Si no habilita la evaluación de directivas
dinámicas para Host Checker, el IVE no evaluará las directivas de recursos pero
sí evaluará la directiva de autenticación, las reglas de asignación de recursos y las
restricciones de roles cada vez que el estado de Host Checker del usuario cambie.
Para obtener instrucciones sobre la configuración, consulte “Especificación de las
opciones generales de Host Checker” en la página 314.

Configuración de las restricciones de Host Checker

Para especificar las restricciones de Host Checker:

1. Desplácese hasta: Authentication > Endpoint Security > Host Checker y

especifique las opciones globales que el Host Checker debe aplicar a cualquier
usuario que requiera que una directiva de autenticación, una regla de
asignación o una directiva de recursos del Host Checker.

2. Si desea implementar el Host Checker a nivel de territorio:

a. Desplácese hasta:

‰ Administrators > Admin Realms > Seleccionar territorio >

Authentication Policy > Host Checker

‰ Users > User Realms > Seleccionar territorio > Authentication

Policy > Host Checker

b. Escoja una de las siguientes opciones para todas las directivas disponibles o
para directivas individuales que aparecen en la columna Available Policies:

‰ Evaluate Policies: Evalúa sin aplicar la directiva en el cliente y permite

el acceso del usuario. Esta opción no requiere que el Host Checker esté
instalado durante el proceso de evaluación, sino que se instala cuando
el usuario inicia sesión en el IVE.

‰ Require and Enforce: Requiere y aplica la directiva en el cliente para

que el usuario pueda iniciar sesión en el territorio especificado.
Requiere que el Host Checker esté ejecutando las directivas
especificadas del Host Checker para que el usuario pueda cumplir con
los requisitos de acceso. Requiere que el IVE descargue Host Checker
en el equipo cliente. Si elige esta opción para una directiva de
autenticación del territorio, entonces el IVE descarga Host Checker al
equipo cliente después de que el usuario se ha autenticado y antes de
que se le asignen roles en el sistema. Al seleccionar esta opción,
automáticamente se habilita la opción Evaluate Policies.

c. Seleccione la casilla de verificación Allow access to realm if any ONE of

the selected “Require and Enforce” policies is passed si no desea
requerir a los usuarios que cumplan todos los requisitos en todas las
directivas seleccionadas, sino que el usuario puede tener acceso al
territorio si cumple los requisitos de cualquiera de las directivas
seleccionadas de Host Checker.

Implementación de las directivas del Host Checker „ 301

 Guía de administración de Secure Access de Juniper Networks

3. Si desea implementar el Host Checker a nivel de rol:

a. Desplácese hasta:

‰ Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Host Checker

‰ Users > User Roles > Seleccionar rol > General > Restrictions >
Host Checker

b. Escoja una de las siguientes opciones:

‰ Allow all users: No requiere que el Host Checker esté instalado para
que el usuario cumpla el requisito de acceso.

‰ Allow only users whose workstations meet the requirements

specified by these Host Checker policies: Requiere que el Host
Checker esté ejecutando las directivas especificadas del Host Checker
para que el usuario pueda cumplir con los requisitos de acceso.

c. Seleccione la casilla de verificación Allow access to role if any ONE of the

selected “Require and Enforce” policies is passed si no desea requerir
a los usuarios que cumplan todos los requisitos en todas las directivas
seleccionadas, sino que el usuario puede tener acceso al rol si cumple los
requisitos de cualquiera de las directivas seleccionadas de Host Checker.

4. Si desea crear reglas de asignación de roles basadas en el estado del Host

Checker del usuario:

a. Desplácese hasta: Users > User Realms > Seleccionar territorio > Role
Mapping.

b. Haga clic en New Rule, seleccione Custom Expressions en la lista Rule

based on y haga clic en Update. O bien, para actualizar una lista existente,
selecciónela desde la lista When users meet these conditions.

c. Haga clic en Expressions.

d. Usando la variable hostCheckerPolicy, escriba una expresión personalizada

para la regla de asignación de roles que evaluará el estado del Host
Checker. Si necesita ayuda para escribir expresiones personalizadas, utilice
los consejos que se encuentran en Expressions Dictionary. O bien,
consulte “Expresiones personalizadas” en la página 1041.

e. En la sección ...then assign these roles, seleccione los roles que el IVE
debe asignar a los usuarios cuando cumplan los requisitos especificados en
la expresión personalizada y luego haga clic en Add.

f. Seleccione Stop processing rules when this rule matches si desea que
el IVE deje de evaluar las reglas de asignación de roles si el usuario cumple
satisfactoriamente con los requisitos definidos en esta reglas.

302 „ Implementación de las directivas del Host Checker

 Capítulo 11: Host Checker

5. Si desea implementar el Host Checker a nivel de directivas de recursos:

a. Desplácese hasta: Users > Resource Policies > Seleccionar recurso >
Seleccionar directiva > Detailed Rules.

b. Haga clic en New Rule o seleccione una regla existente desde la lista
Detailed Rules.

c. Escriba una expresión personalizada para la regla detallada para evaluar el

estado del Host Checker usando la variable hostCheckerPolicy. Si necesita
ayuda para escribir expresiones personalizadas, utilice los consejos que se
encuentran en Conditions Dictionary. O bien, consulte “Expresiones
personalizadas” en la página 1041.

Estas opciones le permitirán controlar qué versión de una aplicación o servicios se

ejecuta en los equipos cliente.

Corrección de las directivas de Host Checker

Puede especificar acciones correctivas generales que desee que Host Checker lleve
a cabo si un punto final no cumple con los requisitos de una directiva. Por ejemplo,
puede mostrar una página de corrección al usuario que contenga instrucciones
específicas y vínculos a recursos que le ayudarán a lograr que su punto final cumpla
con los requisitos de las directivas de Host Checker.

También puede escoger incluir un mensaje a los usuarios (llamado una cadena de
motivos) que Host Checker o un comprobador de medición de integridad (IMV)
devuelve y explica los motivos por los que el equipo cliente no cumple los requisitos
de las directivas de Host Checker.

Por ejemplo, el usuario puede ver una página de corrección que contenga las
siguientes instrucciones personalizadas, un vínculo a recursos y las cadenas de
motivos:

Your computer's security is unsatisfactory.

Your computer does not meet the following security requirements. Please follow
the instructions below to fix these problems. When you are done click Try Again.
If you choose to Continue without fixing these problems, you may not have access
to all of your intranet servers.

1. Symantec
Instructions: You do not have the latest signature files. Click here to download
the latest signature files.

Motivos: La versión del producto antivirus es muy antigua. La antigüedad de las

definiciones de virus no es aceptable.

Corrección de las directivas de Host Checker „ 303

 Guía de administración de Secure Access de Juniper Networks

Para cada directiva de Host Checker, puede configurar dos tipos de acciones de
corrección:

„ Realizadas por el usuario: Con instrucciones personalizadas, puede informar

al usuario acerca de la directiva que no se cumplió y la forma en que puede
hacer que su equipo cumpla con ella. El usuario debe realizar acciones para
reevaluar satisfactoriamente la directiva que no se cumplió. Por ejemplo,
puede crear una página personalizada que incluya un vínculo a un servidor de
directivas o a una página Web y le permita al usuario hacer que su equipo
cumpla con las directivas.

„ Automática (realizadas por el sistema): Puede configurar Host Checker para

que corrija automáticamente el equipo del usuario. Por ejemplo, cuando la
directiva inicial no se cumple, puede eliminar procesos, borrar archivos o
permitir la corrección automática a través de un IMV (consulte “La arquitectura
TNC dentro de Host Checker” en la página 257). En Windows, también puede
realizar una llamada a la función API HCIF_Module.Remediate () dentro de un
archivo J.E.D.I. DLL de terceros. Cuando realiza acciones automáticas, Host
Checker no informa a los usuarios. (No obstante, podría incluir información
acerca de las acciones automáticas en las instrucciones personalizadas.)

Puede habilitar estas acciones correctivas tanto en las directivas del lado cliente
como de lado del servidor. Para obtener instrucciones acerca de la configuración,
consulte “Creación y configuración de nuevas directivas del lado cliente” en la
página 267 o “Habilitación de directivas personalizadas del lado del servidor” en la
página 296.

Experiencia del usuario en la corrección de Host Checker

Los usuarios pueden ver la página de corrección en las siguientes situaciones:

„ Antes de que inicien sesión:

„ Si habilita las instrucciones personalizadas para una directiva que no se

cumple, el IVE mostrará la página de corrección al usuario. El usuario tiene
dos opciones:

‰ Tomar las acciones apropiadas para hacer que su equipo cumpla con la
directiva y luego hacer clic en el botón Try Again en la página de
corrección. Host Checker comprueba nuevamente si el equipo del
usuario cumple con la directiva.

‰ Dejar su equipo en el estado actual y hacer clic en el botón Continue

para iniciar sesión en el IVE. No podrá tener acceso al territorio, rol o
recurso que requiere que se cumpla con la directiva que no se cumplió.

NOTA: Si no configura el IVE con al menos un territorio que permita acceso sin
aplicar una directiva de Host Checker, el usuario debe hacer que su equipo cumpla
con la directiva antes de iniciar sesión en el IVE.

304 „ Corrección de las directivas de Host Checker

 Capítulo 11: Host Checker

„ Si no habilita las instrucciones personalizadas para una directiva que no

se cumple, Host Checker no mostrará la página de corrección al usuario.
En cambio, el IVE mostrará la página de inicio de sesión pero no le
permitirá al usuario tener acceso a ningún territorio, rol o recurso que
tenga la directiva que no se cumplió.

„ Después de que inicien sesión:

„ (Solo en Windows) Durante una sesión, si el equipo de un usuario que

ejecuta Windows pasa a un estado de incumplimiento de los requisitos de
una directiva de Host Checker, aparecerá un icono en la bandeja del
sistema junto con un mensaje emergente que informa al usuario acerca del
incumplimiento. El usuario podrá hacer clic en el mensaje emergente para
ver la página de corrección.

„ (En Macintosh o Linux) Durante una sesión, si el equipo de un usuario que

ejecuta Macintosh o Linux pasa a un estado de incumplimiento con los
requisitos de una directiva de Host Checker, el IVE mostrará la página de
corrección para informarle al usuario acerca del no cumplimiento.

NOTA: Si el usuario oculta la página de corrección al configurarla como una

preferencia de usuario, sólo podrá continuar usando la puerta de enlace segura
si usted configura otros territorios y roles que no apliquen una directiva de Host
Checker.

Configuración de la corrección general de Host Checker

Para especificar las acciones de corrección para una directiva de Host Checker:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Host Checker.

2. Cree o habilite las directivas de Host Checker usando las instrucciones de

cualquiera de las siguientes secciones:

„ “Creación y configuración de nuevas directivas del lado cliente” en la

página 267

„ “Habilitación de directivas personalizadas del lado del servidor” en la

página 296

Corrección de las directivas de Host Checker „ 305

 Guía de administración de Secure Access de Juniper Networks

3. Especifique las acciones de corrección que desee que Host Checker realice si el
equipo de un usuario no cumple con los requisitos de la directiva actual:

„ Enable Custom Instructions: Escriba las instrucciones que desee mostrar

al usuario en la página de corrección de Host Checker. Puede usar las
siguientes etiquetas de HTML para darle formato al texto y agregar vínculos
a recursos, como servidores de directivas o sitios Web: <i>, <b>, <br>,
<font> y <a href>. Por ejemplo:

No tiene los archivos de firmas más recientes.

<a href="www.empresa.com">Haga clic aquí para descargar los archivos de
firmas más recientes.</a>

NOTA: Para clientes de Windows, si incluye en estas instrucciones un vínculo a un

servidor de directivas protegido por el IVE, defina un túnel de acceso de
autenticación previa. Para obtener más información, consulte “Especificación de
las definiciones de los túneles de acceso de autenticación previa de Host Checker”
en la página 311.

„ Enable Custom Actions: Puede seleccionar una o más directivas

alternativas que desee que Host Checker evalúe si el equipo de un usuario
no cumple con los requisitos de las directivas actuales. La directiva
alternativa debe ser una directiva de terceros que utilice un paquete J.E.D.I.
o una directiva de Secure Virtual Workspace. Por ejemplo, puede usar un
paquete J.E.D.I. para iniciar una aplicación si el equipo del usuario no
cumple con los requisitos de la directiva actual. Seleccione la directiva
alternativa en la lista HC Policies y luego haga clic en Add.

„ Remediate: (Sólo DLL de terceros) Puede seleccionar esta opción para

realizar acciones correctivas a través de la función API Remediate () en un
DLL J.E.D.I. de terceros.

NOTA: La característica Remediate se proporciona principalmente para

compatibilidad con versiones anteriores. Recomendamos que en su lugar use los
IMC y los IMV, como se describe en “La arquitectura TNC dentro de Host Checker”
en la página 257.

„ Kill Processes: En cada línea, introduzca el nombre de uno o más procesos

que desee eliminar si el equipo del usuario no cumple con los requisitos de
la directiva. Puede incluir una suma de comprobaciones MD5 para el
proceso. (No puede usar caracteres comodín en el nombre del proceso.)
Por ejemplo:

keylogger.exe
MD5: 6A7DFAF12C3183B56C44E89B12DBEF56

306 „ Corrección de las directivas de Host Checker

 Capítulo 11: Host Checker

„ Delete Files: Escriba los nombres de los archivos que desee eliminar si el
equipo del usuario no cumple con los requisitos de la directiva. (No puede
usar caracteres comodín en el nombre del archivo.) Escriba un nombre de
archivo por línea. Por ejemplo:

c:\temp\bad-file.txt
/temp/bad-file.txt

„ Send reason strings: Seleccione esta opción para mostrar un mensaje

a los usuarios (llamado una cadena de motivos) que Host Checker o un
comprobador de medición de integridad (IMV) devuelve y explica los
motivos por los que el equipo cliente no cumple los requisitos de las
directivas de Host Checker. Esta opción se aplica a reglas predefinidas,
reglas personalizadas y a IMV de terceros que usan extensiones en el
TNC SDK de Juniper Networks. Por ejemplo, un IMV de antivirus puede
mostrar la siguiente cadena de motivos:

La versión del producto antivirus es muy antigua. La antigüedad de las

definiciones de virus no es aceptable.

NOTA: Al enviar cadenas de motivos, revela a los usuarios las comprobaciones que
el IMV realiza en el equipo cliente.

4. Haga clic en Save Changes.

Actualización del complemento de evaluación de la seguridad de puntos

finales
El complemento de evaluación de la seguridad de puntos finales (ESAP, por sus
siglas en inglés) en el IVE comprueba si las aplicaciones de terceros en los puntos
finales cumplen con las reglas predefinidas que se configuran en una directiva de
Host Checker. (Consulte “Búsqueda de aplicaciones de terceros usando reglas
predefinidas (sólo en Windows)” en la página 268.) Este complemento está incluido
en el paquete del software del sistema IVE.

Juniper Networks suele agregar al complemento mejoras, soluciones para

problemas conocidos y compatibilidad para aplicaciones de terceros. Las nuevas
versiones del complemento están disponibles con independencia de las nuevas
versiones del paquete de software del sistema del IVE, y se publican con más
frecuencia que éste. De ser necesario, puede actualizar el complemento en el IVE
sin tener que actualizar el paquete de software del sistema IVE.

Puede cargar hasta cuatro versiones del complemento al IVE, pero el IVE usa sólo
una versión a la vez (llamada la versión activa). Si fuese necesario, puede volver a la
versión activa anterior del complemento.

Corrección de las directivas de Host Checker „ 307

 Guía de administración de Secure Access de Juniper Networks

Para actualizar el complemento de evaluación de la seguridad de puntos finales:

1. Descargue el complemento de evaluación de la seguridad de puntos finales

desde el Customer Support Center de Juniper Networks:

a. Abra la siguiente página:

https://www.juniper.net/customers/csc/software/ive/

b. Para tener acceso al Customer Support Center, introduzca un nombre y una

contraseña para la cuenta de Soporte de Juniper Networks.

c. Haga clic en el vínculo ESAP.

d. Haga clic en el vínculo ESAP Download Page.

e. Busque la versión de ESAP que necesita.

f. Descargue el archivo comprimido del complemento a su equipo.

2. Seleccione Authentication > Endpoint Security > Host Checker.

3. En la parte inferior de la página Host Checker bajo Manage Endpoint Security

Assessment Plug-In Versions:

a. Si ha cargado anteriormente cuatro versiones del software componente,

debe borrar una de las versiones antes de que pueda cargar otra.
Seleccione la versión que desee borrar y haga clic en Delete.

b. Si desea que el IVE comience a usar de forma activa el nuevo software

componente inmediatamente después de cargarlo, seleccione la opción
Set as active after upload.

c. Haga clic en Browse, seleccione el archivo del complemento que desee

cargar al IVE y haga clic en OK.

d. Haga clic en Upload. Mientras el IVE carga y desencripta el archivo

comprimido del componente, aparecerá el mensaje “Loading...” en la lista
de complementos bajo Manage Endpoint Security Assessment Plug-In
Versions. Si el IVE es un miembro de un clúster, el IVE mostrará el mensaje
“Loading...” mientras el complemento se transfiere al resto de los nodos
del clúster. Después de que se instala el complemento, la fecha y la hora de
la instalación aparecerán en la lista de complementos.

308 „ Corrección de las directivas de Host Checker

 Capítulo 11: Host Checker

e. Si no selecciona la opción Set as active after upload, active el

complemento que desee usar seleccionando la versión en la lista de
complementos y haciendo clic en Activate.

NOTA:

„ Si intenta activar una versión del complemento que no es compatible con

todas las reglas predefinidas ya configuradas en todas las directivas de
Host Checker, el IVE no permitirá la activación de esa versión del
complemento. Por ejemplo, si una directiva de Host Checker está configurada
para usar una regla predefinida para comprobar una versión del software
antivirus y usted intenta activar una versión del complemento que no es
compatible con esa versión del software antivirus en particular, el IVE no le
permitirá activar esa versión del complemento. Para ver la lista de productos
admitidos para una versión del complemento en particular, haga clic en el
número de la versión del complemento bajo Manage Endpoint Security
Assessment Plug-In Versions.

„ Puede volver a una versión anterior del complemento después de actualizar

a una versión posterior si selecciona la versión más antigua como la versión
activa. Sin embargo, es posible que el regreso a la versión antigua no funcione
si modifica alguna directiva de Host Checker después de actualizar a la última
versión. Se garantiza que el regreso a la versión anterior tendrá éxito sólo si
las directivas no han cambiado.

„ Si actualiza el software del sistema IVE a una versión más reciente,

o si importa un archivo de configuración de usuario, la versión del
complemento actualmente activa no cambiará. Si desea usar una versión
diferente del complemento después de actualizar o importar un archivo de
configuración de usuario, debe activar esa versión del complemento de forma
manual.

„ Si el IVE ya tiene instaladas cuatro versiones del complemento cuando

actualiza el software del sistema del IVE a una versión más reciente,
el IVE eliminará automáticamente la versión más antigua del complemento
e instalará, sin activarlo, el complemento incluido en el nuevo software del
sistema del IVE.

Corrección de las directivas de Host Checker „ 309

 Guía de administración de Secure Access de Juniper Networks

Definición de los túneles de acceso de autenticación previa de Host

Checker
Si sus directivas requieren que las reglas de Host Checker o los DLL J.E.D.I.
de terceros tengan acceso a un servidor de directivas (u otro recurso) para
comprobar el cumplimiento antes de que los usuarios se autentiquen, puede usar
uno de los siguientes métodos para hacer que el recurso esté disponible para los
clientes de Windows de Host Checker:

„ Implementar el servidor de directivas en un DMZ donde las reglas de Host

Checker o de los DLL J.E.D.I. de terceros puedan tener acceso al servidor
directamente en vez de pasar por el IVE: Esta implementación es la solución
más simple, ya que no tiene que definir un túnel de acceso de autenticación
previa de Host Checker a través del IVE entre los clientes y el servidor de
directivas.

„ Implementar el servidor de directivas en una zona protegida detrás del IVE

(sólo en Windows): Esta implementación requiere que defina un túnel de
acceso de autenticación previa. Un túnel de acceso de autenticación previa
habilita las reglas de Host Checker o los DLL J.E.D.I. de terceros para obtener
acceso al servidor de directivas o a los recursos protegidos por el IVE antes de
que el IVE autentique a los usuarios. Para definir un túnel de acceso de
autenticación previa, asocie una dirección (o nombre de host) de bucle
invertido y un puerto en el cliente con una dirección IP y un puerto en el
servidor de directivas. Agregue una o más definiciones de túneles a un archivo
MANIFEST.HCIF y luego cárguelo al IVE. Puede cargar múltiples archivos
MANIFEST.HCIF al IVE. Para todas las directivas de terceros habilitadas en un
territorio, Host Checker crea túneles para todas las definiciones de túneles en
todos los archivos MANIFEST.HCIF, siempre y cuando las definiciones sean
únicas. Para obtener instrucciones sobre la configuración, consulte “Carga de
un paquete de directivas de Host Checker al IVE” en la página 296.

Mientras se ejecuta en un cliente de Windows, Host Checker busca una

conexión en cada dirección y puerto de bucle invertido que usted especifique
en las definiciones de los túneles. Las conexiones pueden tener su origen en
reglas integradas en Host Checker y de archivos J.E.D.I. DLL del lado del cliente
o del lado del servidor. Host Checker utiliza los túneles de acceso de
preautenticación para remitir las conexiones hasta los servidores de directivas
del IVE o a otro recurso.

310 „ Definición de los túneles de acceso de autenticación previa de Host Checker

 Capítulo 11: Host Checker

Figura 34: Host Checker crea un túnel desde un cliente a un servidor de directivas detrás
del IVE

NOTA: Los túneles de acceso de autenticación previa de Host Checker son

compatibles sólo con Windows.

Especificación de las definiciones de los túneles de acceso de autenticación previa de

Host Checker
Para clientes de Windows, puede definir un túnel de acceso de autenticación previa
que habilite los métodos de Host Checker o los DLL J.E.D.I. de terceros para obtener
acceso a un servidor de directivas (u otro recurso) protegido por el IVE antes de que
el usuario se autentique.

Una definición para un túnel de acceso de autenticación previa de Host Checker

configura el acceso a un servidor de directivas o a otro recurso. Cada definición de
túnel consta de un par de direcciones IP y puertos: una dirección IP y un puerto de
bucle invertido en el cliente, y una dirección IP y un puerto en el servidor de
directivas.

Usted especifica una o más definiciones de túneles en el archivo de definición del

paquete de directivas de Host Checker. El archivo de definición del paquete,
que debe tener el nombre MANIFEST.HCIF, detalla el nombre de un DLL de interfaz,
las directivas del Host Checker definidas en el DLL y las definiciones de los túneles
de acceso de autenticación previa. Tenga en cuenta que si no incluye directivas en
su paquete, el Host Checker simplemente aplicará las directivas que el paquete
haya ejecutado en el cliente. Si efectivamente declara directivas a través de este
archivo, estarán disponibles mediante la consola de administración donde puede
implementarlas a nivel de directivas de territorio, rol o recurso.

Dentro del archivo MANIFEST.HCIF, debe incluir una definición por línea, con una
línea en blanco entre cada definición, usando el siguiente formato:

HCIF-Main: <DLLName>
HCIF-Policy: <PolicyName>
HCIF-IVE-Tunnel: <client-loopback>:port <policy-server>:port

Definición de los túneles de acceso de autenticación previa de Host Checker „ 311

 Guía de administración de Secure Access de Juniper Networks

donde:

<DLLName> es el nombre del DLL de interfaz, como myPestPatrol.dll. Incluso si no

usa un DLL de interfaz, debe incluir un DLL falso como un archivo marcador de
posición que tenga este nombre exacto.

<PolicyName> es el nombre de una directiva definida en el DLL, como myFileCheck.

Puede definir directivas múltiples usando la declaración HCIF-Policy para cada
directiva. Si no usa un DLL de interfaz, puede usar cualquier nombre de directiva
como marcador de posición.

La sintaxis de una definición de túnel de acceso de Host Checker es:

HCIF-IVE-Tunnel: <client-loopback>:port <policy-server>:port

donde:

<client-loopback> es una dirección de bucle invertido que comienza con 127.

y toma cualquiera de las siguientes formas:

„ Una dirección IP y un puerto que toma la forma 127.*.*.*:port. Para evitar

conflictos con JSAM, no utilice 127.0.0.1 con el puerto 80, pero sí puede usar
127.0.0.1 con otros puertos. Por ejemplo: 127.0.0.1:3220

„ Un nombre de host que resuelva a una dirección de bucle invertido que

comience con 127. Puede usar un archivo de host local en cada equipo cliente
o un servidor DNS para resolver las direcciones de bucle invertido.

„ Un nombre de archivo que no resuelve una dirección de bucle invertido o que

resuelve una dirección de un bucle no invertido. En estos casos, Host Checker
ubica una dirección de bucle invertido y actualiza el archivo de host local en el
cliente con la asignación. Tenga en cuenta que el usuario debe tener privilegios
de administrador para que Host Checker pueda modificar el archivo de host
local. Si el usuario no tiene privilegios de administrador, Host Checker no podrá
actualizar el archivo de host y no podrá abrir el túnel de acceso de
autenticación previa. En ese caso, Host Checker registra un error.

<policy-server> es la dirección IP o el nombre del host del servidor de directivas

back-end. El IVE resuelve el nombre del host que se especifique.

Por ejemplo, en la siguiente definición de túnel, 127.0.0.1:3220 es la dirección del

bucle invertido y el puerto del cliente y mysygate.company.com:5500 es el nombre
del servidor y del puerto de las directivas:

HCIF-IVE-Tunnel: 127.0.0.1:3220 mysygate.company.com:5500

O bien, puede usar un nombre de host para el cliente, como en este ejemplo:

HCIF-IVE-Tunnel: mysygate.company.com:3220 mysygate.company.com:5500

312 „ Definición de los túneles de acceso de autenticación previa de Host Checker

 Capítulo 11: Host Checker

Recuerde este consejo cuando especifique las definiciones de los túneles:

„ Debe incluir una línea en blanco entre cada línea del archivo MANIFEST.HCIF
y puede usar un punto y coma al comienzo de una línea para indicar un
comentario. Por ejemplo:

HCIF-Main: myPestPatrol.dll
HCIF-Policy: myFileCheck
HCIF-Policy: myPortCheck
; Tunnel definitions
HCIF-IVE-Tunnel: 127.0.0.1:3220 mysygate.company.com:5500
HCIF-IVE-Tunnel: 127.1.1.1:3220 mysygate2.company.com:5500
HCIF-IVE-Tunnel: mysygate.company.com:3220 mysygate3.company.com:5500

„ Los túneles de acceso de autenticación previa de Host Checker son compatibles

sólo con Windows.

„ Si <client-loopback> es una dirección sin bucle invertido, entonces Host Checker

no podrá abrir el túnel de acceso de autenticación previa y, en cambio,
registrará un error.

„ Si usa una dirección de bucle invertido distinta a 127.0.0.1 (por ejemplo,

127.0.0.2 y superiores), los clientes que usan Windows XP Service Pack 2
deben instalar el parche urgente XP SP2. Consulte:

http://support.microsoft.com/default.aspx?scid=kb;en-us;884020

NOTA: Si implementa un DLL de terceros del lado cliente o del lado del servidor,
recuerde lo siguiente:

„ Descomprima el paquete del DLL de terceros del lado del servidor y agregue
las definiciones de túneles al archivo MANIFEST.HCIF que contiene las
directivas para el DLL de terceros. (El DLL debe usar la misma dirección y
puerto <client-loopback> o el nombre del servidor que usted especifique en el
archivo MANIFEST.HCIF.)

„ Debido a que un túnel de acceso de autenticación previa está abierto sólo

cuando Host Checker se está ejecutando, un DLL de terceros puede tener
acceso a su servidor de directivas protegido por el IVE sólo mientras Host
Checker se está ejecutando.

„ Si un DLL de terceros usa HTTPS para conectarse a su servidor de directivas a

través de un nombre de host que se conecta adecuadamente a la dirección de
bucle invertido, no aparecerán advertencias del certificado de servidor.
Sin embargo, si los DLL de terceros se conectan explícitamente a través de
una dirección de bucle invertido, entonces sí aparecerán advertencias del
certificado de servidor porque el nombre del host del certificado no coincide
con la dirección de bucle invertido. (El desarrollador del DLL de terceros
puede configurar el DLL para que no haga caso a estas advertencias.)

Definición de los túneles de acceso de autenticación previa de Host Checker „ 313

 Guía de administración de Secure Access de Juniper Networks

Especificación de las opciones generales de Host Checker

Puede especificar las opciones globales para el Host Checker que se aplican a
cualquier usuario que requiera que una directiva de autenticación, una regla de
asignación o una directiva de recursos del Host Checker.

Para especificar las opciones generales del Host Checker:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Host Checker.

2. En Options:

„ En el campo Perform check every X minutes, especifique el intervalo en el

que desee que Host Checker realice la evaluación de directivas en el equipo
cliente. Si el equipo cliente no cumple con los requisitos de las directivas de
Host Checker requeridas por una directiva de rol o de recursos, entonces el
IVE negará la solicitud del usuario asociado.

Por ejemplo, puede solicitar que un usuario ejecute una aplicación de

antivirus de terceros para asignar un Rol A, que habilita las conexiones de
red desde una ubicación externa. Si el equipo cliente del usuario utiliza la
aplicación antivirus exigida en el momento de iniciar sesión en el IVE,
el usuario queda asignado al rol A y disfrutará de acceso a todas las
características habilitadas para el rol A. Sin embargo, si la aplicación
antivirus deja de funcionar duarnte la sesión del usuario, la próxima vez
que se ejecute Host Checker, el usuario no cumplirá los requisitos de
seguridad correspondientes al rol A, y por lo tanto perderá todos los
privilegios de acceso asignados al rol A.

Cuando un usuario final inicia sesión en un territorio, Host Checker realiza

una comprobación de directivas inicial, independiente de si la directiva se
aplica a nivel de Territorio, Rol o Recurso. La comprobación de directivas
inicial establece un tiempo de inicio. Host Checker evalúa las directivas con
la frecuencia configurada en la opción Perform check every X minutes
comenzando la cuenta en la comprobación de directivas inicial. Aunque los
ajustes de frecuencia están configurados de forma global para todas las
comprobaciones de directivas de Host Checker, no están sincronizados
para todos los usuarios finales conectados al IVE. Cada cliente realiza sus
propias comprobaciones de directivas iniciales y comienza su propia
cuenta regresiva.

Si configura la directiva de autenticación dentro de un territorio donde Host

Checker aplica sus directivas (en lugar de instalarlas), solamente se
aplicarán durante la fase de autenticación previa. Después de que un
usuario final inicia sesión y durante la duración de la sesión del usuario,
ninguna de las comprobaciones de directivas del Host Checker afectará al
acceso al territorio, lo que significa que no es posible terminar una sesión
de usuario final de un territorio una vez que el usuario final se ha
autenticado satisfactoriamente en ese territorio.

314 „ Especificación de las opciones generales de Host Checker

 Capítulo 11: Host Checker

Si configura una restricción de rol donde Host Checker aplica directivas,

la aplicación tendrá lugar sólo después de la autenticación durante la
asignación de rol. Las restricciones de rol se aplican de forma periódica
durante la sesión del usuario final a un intervalo especificado usando el
ajuste de frecuencia de Host Checker. Si el usuario final pasa
satisfactoriamente la evaluación de Host Checker durante la asignación de
roles pero más tarde deja de cumplir los requisitos durante un tiempo
después de iniciar sesión, ese usuario específico perderá sus derechos a ese
rol. Si el usuario final pierde los derechos a todos los roles disponibles
debido a la evaluación de directivas de Host Checker, se desconectará la
sesión del usuario final.

Si configura una regla de directivas basada en recursos donde Host Checker

aplica directivas, dichas directivas se aplicarán cuando el usuario final
intente tener acceso al servidor backend o de recursos. Para los recursos de
la web, la evaluación de Host Checker ocurre en cada solicitud.
Para recursos SAM y STA, la evaluación de Host Checker ocurre cuando
el IVE activa la conexión con el servidor o la aplicación backend. Para el
acceso de Network Connect, la evaluación de Host Checker ocurre cuando
el IVE inicia Network Connect. Las conexiones de aplicaciones existentes
que se ejecuten a través de SAM, conexión Telnet/SSH y conexiones
Network Connect no se verán afectadas por más evaluaciones de Host
Checker. Sólo se verán afectadas las nuevas solicitudes de la web,
las nuevas aplicaciones a través de SAM, las nuevas instancias de STA y
el inicio de Network Connect. La evaluación de Host Checker se basa en
la comprobación de directivas más reciente que ocurrió hace X minutos.
Por ejemplo, si configura el ajuste de frecuencia a Perform check every
five minutes y el usuario final intenta tener acceso a un recurso protegido
o intenta iniciar Network Connect cuatro minutos después de la última
comprobación, entonces la evaluación de directivas se basa en el estado
del equipo cliente hace cuatro minutos, no al momento que el usuario final
intentó tener acceso al recurso.

NOTA: Si introduce un valor cero, Host Checker sólo se ejecuta en el equipo cliente
cuando el usuario inicia sesión por primera vez en el IVE.

„ Para la opción Client-side process, login inactivity timeout, especifique

un intervalo para controlar el tiempo de espera en las siguientes
situaciones:

‰ Si el usuario sale de la página de inicio de sesión del IVE después de

que Host Checker se comienza a ejecutar pero antes de que inicie
sesión en el IVE, Host Checker continuará ejecutándose en el equipo
del usuario por el tiempo que usted especifique.

‰ Si el usuario está descargando Host Checker en una conexión lenta,

aumente el intervalo para permitirle suficiente tiempo para que se
complete la descarga.

Especificación de las opciones generales de Host Checker „ 315

 Guía de administración de Secure Access de Juniper Networks

„ Seleccione Perform dynamic policy reevaluation para actualizar

automáticamente los roles de usuarios individuales permitiendo la
evaluación de directivas dinámicas para Host Checker. Host Checker puede
activar el IVE para que evalúe las directivas de recursos cada vez que el
estado de Host Checker de un usuario cambia. (Si no selecciona esta
opción, el IVE no evaluará las directivas de recursos pero sí evaluará la
directiva de autenticación, las reglas de asignación de recursos y las
restricciones de roles cada vez que el estado de Host Checker del usuario
cambie.) Para obtener más información, consulte “Evaluación dinámica de
directivas” en la página 57.

3. Haga clic en Save Changes.

Especificación de las opciones de instalación de Host Checker

Si implementa alguna directiva a nivel de directivas de territorio, rol o recurso que
requiera del Host Checker, debe proporcionar un mecanismo mediante el cual el
IVE o el usuario puedan instalar Host Checker en el equipo cliente. De lo contrario,
cuando el IVE evalúe la directiva del Host Checker, el equipo del usuario no pasará
la evaluación debido a que el cliente del Host Checker no está disponible para
devolver un estado válido.

Puede usar dos métodos para instalar Host Checker en el sistema de un usuario:

„ El IVE instala automáticamente Host Checker: Habilite la instalación

automática a través de la página Users/Administrators > User
Realms/Administrator Realms > [Territorio] > Authentication Policy > Host
Checker de la consola de administración. (Para obtener instrucciones, consulte
“Configuración de las restricciones de Host Checker” en la página 301.) Cuando
lo hace, el IVE evalúa la opción a nivel de territorio cuando el usuario abre la
página de inicio de sesión de IVE y luego determina si la versión actual del Host
Checker está instalada en el equipo del usuario. Si el Host Checker no está
instalado, el IVE intentará instalarlo usando un método de entrega de ActiveX
o Java.

Cuando un usuario de Windows inicia sesión en el IVE, éste intenta instalar

un control ActiveX en el sistema del usuario. Si el IVE instala correctamente
el control ActiveX, el control administra la instalación del programa de
Host Checker.

Si el IVE no puede instalar el control ActiveX debido a que éste está desactivado
en el sistema del usuario, el IVE intentará instalar Host Checker usando Java.
Para hosts Macintosh y Linux, el IVE siempre usa el método de entrega de Java.
El método de entrega de Java requiere sólo privilegios de usuario, pero Java
debe estar habilitado en el sistema del usuario. Para el explorador Firefox en
Linux, deben estar instalados el complemento y el tiempo de ejecución de Java.

NOTA: Debido a ciertas anomalías con JVM, es posible que Host Checker no se
If y instale y aparezca un mensaje de error. Si esto ocurre, haga clic en Try Again.
La instalación siguiente debería ser satisfactoria.

316 „ Especificación de las opciones de instalación de Host Checker

 Capítulo 11: Host Checker

Si el IVE no puede usar el método de entrega de Java porque éste no está

habilitado en el sistema del usuario, el IVE mostrará un mensaje de error que
señala que no hay acceso.

NOTA: Si Microsoft Vista se está ejecutando en el sistema del usuario,

éste debe hacer clic en el vínculo de instalación que aparece durante el proceso
de instalación para continuar la instalación la configuración del cliente y
Host Checker. En todos los otros sistemas operativos Microsoft, el cliente de
configuración y Host Checker se instalan automáticamente.

„ El usuario o administrador instala de forma manual Host Checker (sólo en

Windows): Descargue el instalador de Host Checker desde la página
Maintenance > System > Installers de la consola de administración y úselo
de forma manual para instalar el Host Checker en el sistema del usuario.

NOTA: Para instalar Host Checker, los usuarios deben tener los privilegios
adecuados, como se describe en el manual Client-side Changes Guide en el
Customer Support Center de Juniper Networks. Si el usuario no cuenta con estos
privilegios, use el Servicio de instalador Juniper disponible en la página
Maintenance > System > Installers de la consola de administración para omitir
este requisito.

Eliminación del control ActiveX de Juniper

Si Microsoft Windows XP se está ejecutando en el sistema del usuario y usted desea
eliminar el control ActiveX de configuración de Juniper:

1. Abra Internet Explorer.

2. Haga clic en el botón Tools y luego en Internet Options.

3. Haga clic en Settings, luego en View Objects.

4. Seleccione JuniperSetupSP1 y presione Delete.

Si Microsoft Vista se está ejecutando en el sistema del usuario y usted desea

eliminar el control ActiveX de configuración de Juniper:

1. Abra Internet Explorer.

2. Haga clic en el botón Tools y luego en Manage Add-ons.

3. En la lista Show, haga clic en Downloaded ActiveX controls para mostrar todos
los controles ActiveX.

4. Haga clic en JuniperSetupClient y luego en Delete.

Especificación de las opciones de instalación de Host Checker „ 317

 Guía de administración de Secure Access de Juniper Networks

Uso de Host Checker con la función de inicio de sesión automática de GINA

Al usar Host Checker junto con la función del módulo de Identificación y
Autorización Gráfica de Windows (GINA) para Network Connect se requiere que
ponga especial atención al tipo, nivel y cantidad de elementos que se comprobarán
en el cliente antes de conceder o denegar acceso al IVE. Debido a que la función de
inicio de sesión de GINA se lleva a cabo antes de que Windows se haya iniciado
completamente en el cliente y, por lo tanto, antes de que el perfil de usuario de
Windows se cree, le recomendamos que adopte las siguientes prácticas cuando
cree directivas de Host Checker que usará en los clientes de Windows con la
función de inicio de sesión de GINA:

„ Puede comprobar los procesos a nivel de sistema tanto en la aplicación en el

territorio como la evaluación del territorio. Puede comprobar procesos a nivel
de usuario sólo en la evaluación de territorio.

„ Si tiene procesos a nivel de usuario en evaluación de territorio, cree un rol de

Network Connect distinto que presente sólo comprobaciones de directivas a
nivel de sistema que se puedan llevar a cabo antes de que Windows se haya
iniciado completamente en el cliente. Asegúrese de que este rol le permite
conectividad a la infraestructura de Windows Domain en su red segura para
proporcionar, por ejemplo, asignación de unidades, actualizaciones de software
y directivas de grupo. Asignar sus usuarios a este rol permite que la
autenticación GINA se complete. Este rol se suma al rol final que quiere que se
asigne al usuario.

„ Host Checker debe estar instalado para el usuario del dominio que GINA de
Network Connect usa para la conexión. De lo contrario, este usuario de
dominio no puede usar GINA para iniciar sesión si se requiere de Host Checker

NOTA: No se admiten sesiones múltiples de Host Checker con GINA en el mismo

equipo.

Para obtener más información acerca de la función de inicio de sesión automática

de GINA, consulte “Inicio de sesión automático de Network Connect mediante
GINA” en la página 662.

Instalación automática de Host Checker

Para instalar Host Checker de forma automática en los equipos cliente:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Host Checker.

2. En Options, seleccione Auto-upgrade Host Checker si desea que el IVE

descargue automáticamente la aplicación del Host Checker a un equipo cliente
cuando la versión de Host Checker presente en el IVE sea más reciente que la
versión instalada en el cliente. A continuación encontrará un resumen de lo que
sucede cuando la opción Auto-upgrade Host Checker se selecciona o no:

„ Si Host Checker no está instalado en el equipo cliente, Host Checker se

instalará automáticamente sin importar si la opción Auto-upgrade Host
Checker se ha seleccionado o no.

318 „ Especificación de las opciones de instalación de Host Checker

 Capítulo 11: Host Checker

„ Si la opción Auto-upgrade Host Checker está seleccionada y está instalada

una versión previa del Host Checker, el Host Checker se actualizará en el
cliente de forma automática.

„ Si la opción Auto-upgrade Host Checker no está seleccionada y está

instalada una versión previa del Host Checker, el Host Checker no se
actualizará en el cliente de forma automática.

Si selecciona la opción Auto-upgrade Host Checker, tenga en cuenta

lo siguiente:

‰ En Windows, el usuario debe tener privilegios de administrador para

que el IVE instale automáticamente la aplicación del Host Checker en
el cliente. Para obtener más información, consulte el manual Client-side
Changes Guide en el Customer Support Center de Juniper Networks.

‰ Si un usuario desinstala Host Checker y luego inicia sesión en un IVE

para el cual la opción Auto-upgrade Host Checker no está habilitada,
el usuario no tendrá más acceso al Host Checker.

3. Haga clic en Save Changes.

Instale Host Checker de forma manual

La página Maintenance > System > Installers de la consola de administración
proporciona distintas aplicaciones y un servicio para descargas. Puede descargar
una aplicación o servicio como un archivo ejecutable de Windows, el que le
permitirá:

„ Distribuir el archivo a los equipos cliente usando las herramientas de

distribución de software. Esta opción le permite instalar una aplicación
o servicio en los equipos del cliente cuyos usuarios no tienen privilegios de
administrador, lo que es necesario para instalar la aplicación o el servicio.

„ Ponga el ejecutable en un repositorio seguro para que los usuarios con los
derechos de administrador apropiados puedan descargar e instalar la versión
correcta.

„ Descargue y ejecute un script que recupere de forma automática la versión

adecuada del instalador desde un servidor FTP.

Uso de registros de Host Checker

Use la ficha System > Log/Monitoring > Client Logs > Settings para permitir la
creación de registro del lado cliente para el Host Checker. Cuando habilite esta
opción, el IVE escribe un registro del lado cliente para cualquier cliente que utilice
Host Checker. El IVE adjunta el archivo de registro cada vez que se invoca la
característica durante posteriores sesiones del usuario. Esta característica es útil
cuando se trabaja con equipos de apoyo para solucionar problemas con la
característica respectiva.

Uso de registros de Host Checker „ 319

 Guía de administración de Secure Access de Juniper Networks

NOTA: Debido a que estas configuraciones son globales, el IVE escribe un archivo
de registro para todos los clientes que usan la característica para la que usted
habilitó la creación de registros del lado cliente. Además, el IVE no elimina los
registros del lado cliente. Los usuarios deben eliminar los registros de forma
manual desde sus clientes. Para obtener más información acerca del lugar donde
IVE instala los archivos de registro, consulte el manual Client-side Changes Guide en
el Customer Support Center de Juniper Networks.

Para especificar los ajustes globales de la creación de registro del lado cliente:

1. En la consola de administración, seleccione System > Log/Monitoring >

Client Log > Settings.

2. Seleccione las características deseadas para las cuales el IVE escribe los
registros del lado cliente.

3. Haga clic en Save Changes para guardar estos ajustes de forma global.

NOTA: Para los sistemas IVE 5.x nuevos, todas las opciones están inhabilitadas de
forma predeterminada. Si actualiza el IVE de una configuración 3.x, todas las
opciones de registro están habilitadas de forma predeterminada.

Configuración de Host Checker para Windows Mobile

Puede configurar Host Checker para que aplique las directivas para dispositivos
de mano, como PDA y teléfonos inteligentes que ejecutan el sistema operativo
Windows Mobile.

NOTA: Actualmente sólo se admite Windows Mobile en sus versiones 5 y 6.

Las reglas de Host Checker incluyen comprobaciones para puertos, procesos,

archivos, claves de registro, versiones del sistema operativo y certificados en el
dispositivo de mano. También puede cargar y usar IMC de terceros instalados para
realizar las comprobaciones específicas de cada proveedor. Una vez creada la
directiva, Host Checker se implementa automáticamente cuando el usuario se
conecta a la puerta de enlace del IVE.

Host Checker no requiere de ninguna configuración en el dispositivo de mano.

Cuando el servidor determina que el dispositivo no cumple con la directiva,
Host Checker muestra un icono de notificación ( ) en la bandeja del sistema.
Al hacer clic en este icono, se abre una página del explorador que contiene los
motivos por los que no se cumple la directiva y las instrucciones de corrección.

320 „ Configuración de Host Checker para Windows Mobile

 Capítulo 11: Host Checker

Host Checker permanece en el dispositivo de mano y no necesita descargarse cada

vez que el usuario se conecta a la puerta de enlace. Cuando la puerta de enlace se
actualiza a una versión más reciente de Host Checker, el dispositivo de mano se
actualiza automáticamente la próxima vez que el usuario se conecta a la puerta de
enlace. Para eliminar Host Checker del dispositivo de mano, utilice el subprograma
Remove Programs en el panel Settings del dispositivo.

Las directivas de Host Checker para Windows Mobile se configuran a través de la

página Authentication > Endpoint Security > Host Checker de la consola de
administración. Consulte “Especificación de requisitos personalizados usando
reglas personalizadas” en la página 276 para obtener instrucciones acerca de la
configuración de estas directivas.

Uso de excepciones Proxy

Los clientes del IVE analizan la lista de excepciones proxy de Internet Explorer.
Admitimos la mayoría de las excepciones que admite Internet Explorer, con las
siguientes limitaciones:

„ Para la excepción de la dirección IP, admitimos n.*.*.*, n.n.*.*, n.n.n.*. Por

ejemplo, 10.*.*.*, 10.10.*.*, 10.10.10.* o 10.10.10.10. No admitimos 10*
o 10.*.10.* incluso si Internet Explorer las admite.

„ Para la expresión de cadena, admitimos cadenas específicas, como

my.company.net o un comodín al comienzo de la cadena, por ejemplo,
*.my.company.net o *.company.net. No admitimos *.company.*, *.company*,
*.company. *.com, *.net *.com, etc.

Habilitación de Secure Virtual Workspace

Secure Virtual Workspace garantiza la integridad de los datos de sesión del IVE en
un equipo cliente que ejecute Windows 2000 o Windows XP mediante la creación
de espacios de trabajo protegidos en el escritorio del cliente. Al habilitar Secure
Virtual Workspace, se asegura de que cualquier usuario final que inicie sesión en la
intranet deba realizar todas las interacciones dentro de un entorno completamente
protegido. Si el producto de las aplicaciones e interacciones son datos que se
escriben en el disco o en el registro, Secure Virtual Workspace encripta esa
información. Cuando se finaliza la sesión del IVE, Secure Virtual Workspace
destruye toda la información relativa a él mismo o a la sesión, de forma
predeterminada. Sin embargo, puede configurar el estado de este tipo de
información para ajustarse a sus necesidades especiales. Por ejemplo, puede
permitir que los datos se mantengan a través de las sesiones de Secure Virtual
Workspace.

El IVE sigue los estándares de limpieza y saneamiento DoD 5220.M para la

eliminación segura de datos de Secure Virtual Workspace almacenados en el disco
duro.

Uso de excepciones Proxy „ 321

 Guía de administración de Secure Access de Juniper Networks

Secure Virtual Workspace:

„ Elimina los datos y recursos del espacio de trabajo cuando finaliza la sesión.

„ Garantiza que ningún objeto del ayudante del explorador se quede enganchado
en un proceso de Internet Explorer antes de iniciarlo.

„ Impide que los productos busquen en el escritorio para interceptar el tráfico de

la web e indexar los contenidos.

„ Introduce todas sus configuraciones y operaciones de tiempo de ejecución en

un registro del IVE.

El IVE alberga el binario del Secure Virtual Workspace, que descarga el sistema
cliente desde el IVE cada vez que el usuario se conecta. Secure Virtual Workspace
crea un sistema de archivos virtuales y un registro virtual en el cliente.

Usted define y configura las aplicaciones que pueden ejecutarse dentro de Secure
Virtual Workspace. Por ejemplo, puede configurar los siguientes tipos de
configuraciones de aplicación:

„ Restringir el inicio de Internet Explorer y Outlook a Secure Virtual Workspace.

„ Restringir la instalación y ejecución de aplicaciones dentro de una sesión de

Secure Virtual Workspace. Esto garantiza que los binarios de las aplicaciones se
eliminarán por completo desde el equipo cliente después de que la sesión
finalice.

NOTA: Secure Virtual Workspace no funciona cuando Sametime 7.5 de IBM se está
ejecutando en el escritorio predeterminado. Sametime 7.5 de IBM cambia los
usuarios automáticamente al escritorio predeterminado desde el espacio de
trabajo virtual.

Características de Secure Virtual Workspace

La implementación del IVE de Secure Virtual Workspace:

„ No requiere que el usuario de escritorio cliente tenga privilegios de

administrador para descargar y ejecutar Secure Virtual Workspace.

„ Admite el uso de Secure Virtual Workspace junto con Host Checker, que se
iniciará automáticamente dentro del espacio de trabajo seguro.

„ Proporciona Secure Virtual Workspace como un módulo J.E.D.I., para permitirle

crear directivas de Secure Virtual Workspace a nivel de territorio o rol del
usuario.

322 „ Habilitación de Secure Virtual Workspace

 Capítulo 11: Host Checker

Restricciones y ajustes predeterminados de Secure Virtual Workspace

Secure Virtual Workspace impone ciertas restricciones en su uso y establece
opciones predeterminadas que se pueden modificar.

„ SVW no admite Cache Cleaner.

„ De forma predeterminada, se permite que un navegador específico para la

plataforma se ejecute en SVW, a menos que el administrador lo restrinja
explícitamente.

„ El IVE no permite aplicaciones de software que actualizan las entradas de

registro HKLM en la instalación para funcionar dentro del SVW.

„ El IVE no admite que las aplicaciones JSAM estándar Outlook y NetBIOS

busquen archivos a través de SVW, ya que esas aplicaciones requieren cambios
en la clave de registro. Sin embargo, el IVE admite las aplicaciones JSAM
estándares Citrix y Lotus Notes a través de SVW.

„ De forma predeterminada, el IVE no permite que algunas aplicaciones que se

ejecutan en SVW tengan acceso a dispositivos de almacenamiento externo o de
impresión. Puede permitir acceso a estos dispositivos en un territorio o rol,
si fuera necesario.

„ De forma predeterminada, los usuarios finales no pueden tener acceso a

recursos compartidos de red, a menos que configure el acceso a los recursos
compartidos de red a través de una directiva de SVW.

„ Si los usuarios finales usan cortafuegos u otras aplicaciones que se ejecutan en

el espacio kernel, podrían experimentar problemas al intentar descargar los
componentes clientes del IVE en SVW. Las aplicaciones administrativas de bajo
nivel pueden mostrar cuadros de mensaje que requieran la interacción del
usuario. Si configura la opción para permitir el cambio al escritorio real o
predeterminado, el usuario podría ignorar los cuadros de mensaje. Si la opción
de cambio está inhabilitada, los usuarios no podrán solucionar el problema.

„ Secure Virtual Workspace no admite aplicaciones de 16 bits.

„ Es posible que algunos accesos directos del teclado de Windows no funcionen

bien dentro de una sesión de SVW.

„ Para abrir el administrador de tareas de Windows desde el SVW, no es posible

utilizar el acceso directo de teclado estándar (Ctrl+Alt+Supr), sino que deberá
hacer clic con el botón derecho en la barra de tareas de Windows, que suele
estar en la parte inferior de la pantalla salvo que se cambie de posición,
para abrir un menú desplegable donde se puede seleccionar la opción Task
Manager.

„ Si configura el intervalo de actualización de estado de Host Checker en un valor

de cero (0), Host Checker realizará la comprobación de estado una vez y luego
terminará. Si Host Checker termina, SVW también lo hace. Como resultado,
el usuario final no es capaz de iniciar una sesión de SVW. Configure el intervalo
de actualización de estado de Host Checker a un valor distinto de cero.

Habilitación de Secure Virtual Workspace „ 323

 Guía de administración de Secure Access de Juniper Networks

„ SVW sólo busca unidades de sistema de archivos cuando el usuario inicia

su sesión por primera vez. Si el usuario inicia una sesión y luego agrega una
unidad (como una unidad USB), no podrá tener acceso a la unidad durante
esa sesión.

Configuración de Secure Virtual Workspace

Puede configurar Secure Virtual Workspace dentro de un contexto de un directiva
de Host Checker y todas las directivas de Secure Virtual Workspace que defina
aparecerán en la lista Authentication > Endpoint Security > Secure Virtual
Workspace.

NOTA: Debido a que los datos de la sesión Secure Virtual Workspace se almacenan
en el escritorio real del usuario final, debe implementar la característica de
persistencia sólo si cada uno de los usuarios finales usa siempre el mismo equipo
cliente.

NOTA: No se han tomado precauciones para asegurar que no pueda configurar una
asignación de URL de inicio de sesión a más de un territorio configurado con una
directiva de SVW. Si configura asignaciones múltiples a más de un territorio, los
resultados son impredecibles. Debe configurar explícitamente el escritorio virtual
seguro para permitir que sólo una directiva de SVW se evalúe en el usuario final.

Definición de los permisos de Secure Virtual Workspace

Puede especificar a cuáles dispositivos y recursos el usuario final puede tener
acceso cuando usa Secure Virtual Workspace.

Para definir una directiva de permisos nueva de Secure Virtual Workspace:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Secure Virtual Workspace.

2. Haga clic en New Secure Virtual Workspace Policy.

3. Introduzca un nombre para la directiva.

4. En Permissions, marque las casillas de verificación correspondientes para los

elementos que desee permitir:

„ Printers: Seleccione esta opción para permitir el acceso del usuario final a
las impresoras de red.

324 „ Habilitación de Secure Virtual Workspace

 Capítulo 11: Host Checker

„ Restricted View of Files: Cuando está establecida la opción Restricted

View, solamente estarán disponibles en el SVW los directorios Documents
and Settings, Program Files y las carpetas del sistema de Windows dentro
de la unidad de disco del sistema, que suele ser c:.

NOTA: Si se ha establecido la opción Restricted View of Files y los usuarios finales

tienen configuradas unidades de disco con particiones, no podrán acceder a las
aplicaciones ni a los archivos que residan en otras unidades distintas a la del
sistema (c:). Si permite que los usuarios finales realicen particiones de unidades,
no debería usar la vista restringida.

„ Removable Drives: Selecciónela para permitir que los usuarios finales

obtengan acceso a las unidades extraíbles en el equipo cliente del
usuario final.

Si un usuario final instala un dispositivo de almacenamiento extraíble con

USB, podría experimentar los dos comportamientos siguientes,
dependiendo de cómo está configurada la opción:

‰ Si el usuario conecta el dispositivo USB antes de iniciar una sesión

SVW, el dispositivo aparecerá como un disco duro fijo y el usuario no
podrá leer ni escribir en el dispositivo durante una sesión de SVW,
incluso si ha configurado la opción Removable Drives.

‰ Si el usuario conecta el dispositivo USB después de iniciar sesión en

SVW, el dispositivo aparecerá como una unidad extraíble y el usuario
podrá tener acceso a él, si es que se ha configurado la opción
Removable Drives al configurar SVW.

„ Network Share Access: Seleccione esta opción para permitir el acceso del
usuario final a las unidades compartidas de red.

„ Switch to Real Desktop: Selecciónela para permitir que el usuario alterne

entre Secure Virtual Workspace y el escritorio cliente del usuario final.

„ Desktop Persistence: Seleccione esta opción para permitir que los usuarios
finales mantengan Secure Virtual Workspace a través de las sesiones de los
clientes sólo en los sistemas de archivo NTFS.

NOTA:

„ La persistencia y el cambio de escritorio no se admiten en sistemas de

archivos FAT16 o FAT32.

„ Si selecciona esta opción, tenga en cuenta que si hay varios usuarios usando
la misma contraseña para encriptar su espacio de trabajo SVW en el mismo
host, podrían tener acceso al almacenamiento de datos persistente protegido
por esa contraseña estática. Recomendamos que los usuarios usen
contraseñas fuertes cuando aseguren el almacenamiento de datos
persistentes en SVW en sistemas de usuarios múltiples.

Habilitación de Secure Virtual Workspace „ 325

 Guía de administración de Secure Access de Juniper Networks

„ Virtual File Execution: Selecciónela para permitir que aplicaciones de

archivos virtualizadas se ejecuten en un entorno de Secure Virtual
Workspace. De forma predeterminada, se encriptan los archivos
ejecutables que se descargan dentro de Secure Virtual Workspace y se
impide que se ejecuten. Al seleccionar esta opción se permite que los
archivos ejecutables se descarguen sin encriptarlos.

5. Continúe para definir la directiva o haga clic en Save Changes.

Definición de una directiva para aplicación de Secure Virtual Workspace

Puede especificar las aplicaciones que el usuario final puede instalar o ejecutar
cuando usa Secure Virtual Workspace.

Para definir una directiva de aplicaciones nueva de Secure Virtual Workspace:

1. En la consola de administración, elija Authentication > Endpoint Security >

Secure Virtual Workspace.

2. Haga clic en New Secure Virtual Workspace Policy o en el nombre con el

hipervínculo de una directiva de Secure Virtual Workspace existente.

3. Introduzca un nombre para la directiva.

4. Bajo Applications, seleccione las casillas de verificación para los tipos de

aplicaciones que desee habilitar:

„ Control panel: Selecciónela para permitir que el usuario final tenga acceso
al panel de control de Windows dentro de Secure Virtual Workspace.

„ Run menu: Selecciónela para permitir que el usuario final tenga acceso
al menú de ejecución de Windows dentro de Secure Virtual Workspace.

„ Registry editor: Selecciónela para permitir que el usuario final tenga

acceso al editor de registro (regedt32.exe) de Windows dentro de Secure
Virtual Workspace.

„ Task manager: Selecciónela para permitir que el usuario final tenga acceso
al Administrador de tareas (taskmgr.exe) y a los procesos del sistema de
Windows dentro de Secure Virtual Workspace.

„ Command window: Selecciónela para permitir que el usuario final tenga

acceso a la ventana de Comandos (cmd.exe) de Windows y ejecute
comandos dentro de Secure Virtual Workspace.

„ Custom applications: Puede identificar aplicaciones personalizadas que

el usuario final puede ejecutar cuando está en Secure Virtual Workspace.
Por ejemplo, puede incluir aplicaciones internas, exploradores no
predeterminados y otros tipos de aplicaciones. Introduzca una aplicación,
con la extensión .exe, por línea en el cuadro de texto multilineal. También
puede usar el comodín * para una clase completa de aplicaciones y puede
incluir un valor hash MD5 después del nombre del archivo ejecutable y una
coma, telnet.exe,0414ea8.

326 „ Habilitación de Secure Virtual Workspace

 Capítulo 11: Host Checker

„ Applications to deny: Puede identificar las aplicaciones que desee

restringir para que no las utilicen los usuarios finales de Secure Virtual
Workspace. Introduzca una aplicación con la extensión para cada
ejecutable por cada línea en el cuadro de texto multilineal.

NOTA:

„ Se le negará el acceso al usuario a todas las aplicaciones personalizadas que

no se encuentren en la lista del campo Custom applications.

„ Si agrega la misma aplicación a los cuadros de texto Custom applications

y Applications to deny, la restricción tendrá prioridad y los usuarios no
podrán tener acceso a las sesiones SVW de esas aplicaciones. Recuerde que
esto puede pasar si usa comodines para especificar las aplicaciones en ambas
listas. Por ejemplo, si especifica *plore.exe en la lista de permitidos y iex*.exe
en la lista de restringidos, entonces se denegará el acceso a iexplore.exe.

5. Continúe para definir la directiva o haga clic en Save Changes.

Después de definir una o más directivas de Virtual Workspace, debe habilitarlas

como directivas de autenticación de territorio a nivel de usuario, como se describe
en “Implementación de las directivas del Host Checker” en la página 298.

Definición de una directiva de seguridad de Secure Virtual Workspace

Puede especificar los niveles de encriptación y controlar el uso de extensiones de
terceros en Internet Explorer y Outlook.

Para especificar las opciones de seguridad para una directiva de Secure Virtual
Workspace nueva:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Secure Virtual Workspace.

2. Haga clic en New Secure Virtual Workspace Policy o en el nombre con el

hipervínculo de una directiva de Secure Virtual Workspace existente.

3. Introduzca un nombre para la directiva.

4. Especifique el tipo de clave de encriptación AES que el IVE usa para habilitar
Secure Virtual Workspace en el cliente. Las opciones disponibles son claves de
encriptación de 128, 192 y 256 bits.

5. Identifique las extensiones de IE u Outlook que desee permitir incluyendo cada

DLL permitido en una línea separada en el cuadro de texto IE/Outlook
extensions to allow. De forma predeterminada, se restringirán todas las
extensiones que no aparezcan en la lista.

Estas extensiones son pequeñas aplicaciones que entran y salen de la sesión de

Secure Virtual Workspace.

6. Continúe para definir la directiva o haga clic en Save Changes.

Habilitación de Secure Virtual Workspace „ 327

 Guía de administración de Secure Access de Juniper Networks

Definición de las opciones del entorno Secure Virtual Workspace

Para especificar las opciones de entorno para una directiva de Secure Virtual
Workspace nueva:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Secure Virtual Workspace.

2. Haga clic en New Secure Virtual Workspace Policy o en el nombre con el

hipervínculo de una directiva de Secure Virtual Workspace existente.

3. Introduzca un nombre para la directiva.

4. En Options, especifique:

„ La longitud máxima del tiempo (en minutos) que la sesión de Secure

Virtual Workspace de un cliente puede permanecer inactiva antes de que la
conexión con el IVE caduque.

„ La imagen del papel tapiz del escritorio (opcional).

„ El color de fondo del escritorio (opcional).

„ La URL de inicio de sesión que se usa para tener acceso a SVW.

Entre las URL disponibles están la URL de inicio de sesión del usuario
predeterminada y cualquier URL que defina en Authentication > Signing
in > Sign-in Policies. La primera vez que SVW lleva al usuario al espacio
de trabajo virtual e inicia un explorador, el usuario accede al IVE desde una
URL de inicio de sesión. De forma predeterminada, la URL de inicio de
sesión es la misma que el usuario introdujo para iniciar la sesión del IVE.
Puede configurar una URL de inicio de sesión distinta a través de
esta opción.

NOTA: El IVE no admite nombres de host con comodines, como *.host.com/[ruta].

5. Continúe para definir la directiva o haga clic en Save Changes.

Definición de la directiva de corrección de Secure Virtual Workspace

Para especificar las opciones de corrección para una directiva de Secure Virtual
Workspace nueva:

1. En la consola de administración, seleccione Authentication > Endpoint

Security > Secure Virtual Workspace.

2. Haga clic en New Secure Virtual Workspace Policy o en el nombre con el

hipervínculo de una directiva de Secure Virtual Workspace existente.

3. Introduzca un nombre para la directiva.

328 „ Habilitación de Secure Virtual Workspace

 Capítulo 11: Host Checker

4. En Remediation, seleccione las opciones de corrección para usuarios cuyos

equipos no cumplen con los requisitos especificados en la directiva.
Para obtener instrucciones, consulte “Configuración de la corrección general de
Host Checker” en la página 305.

NOTA: Si no crea instrucciones para la corrección y la directiva no se cumple,

los usuarios no conocerán los motivos por los que no pueden iniciar Secure Virtual
Workspace o tener acceso a los recursos locales.

„ Enable Custom Instructions: Selecciónela para expandir el cuadro de

texto en el que puede introducir instrucciones personalizadas, con texto
plano o HTML, que se presentarán a los usuarios finales cuando Secure
Virtual Workspace encuentre un problema con la corrección.

„ Enable Custom Actions: Puede seleccionar una o más directivas

alternativas que desee que Host Checker evalúe si el equipo de un usuario
no cumple con los requisitos de las directivas actuales. La directiva
alternativa debe ser una directiva de terceros que use un paquete J.E.D.I.
u otra directiva de Secure Virtual Workspace. Por ejemplo, puede usar un
paquete J.E.D.I. para iniciar una aplicación si el equipo del usuario no
cumple con los requisitos de la directiva actual. Seleccione la directiva
alternativa en la lista HC Policies y luego haga clic en Add.

„ Kill Processes: Selecciónela para abrir el cuadro de texto donde introduce

procesos de aplicaciones y valores hash MD5 para los proceso que desee
eliminar. Por ejemplo:

Application.exe
MD5: 6A7DFAF12C3183B56C44E89B12DBEF56
MD5: 9S3AJ912CC3183B56C44E89B12DI2AC9

„ Delete Files: Selecciónela para abrir el cuadro de texto donde puede

introducir los nombres de los archivos, uno por línea, que desee borrar.

„ Send reason strings: Selecciónela para enviar información para la

corrección. Para obtener más información sobre esta opción, consulte
“Configuración de la corrección general de Host Checker” en la página 305.

5. Haga clic en Save Changes.

Habilitación de Secure Virtual Workspace „ 329

 Guía de administración de Secure Access de Juniper Networks

330 „ Habilitación de Secure Virtual Workspace

Capítulo 12
Cache Cleaner

Cache Cleaner corresponde a un agente del lado cliente de Windows que elimina
los datos residuales, como los archivos temporales o memorias caché de
aplicaciones, que quedan en el equipo del usuario después de una sesión del IVE.
Por ejemplo, si un usuario inicia sesión en el IVE desde un equipo público con
Internet y abre un documento de Microsoft Word mediante un complemento del
explorador, Cache Cleaner elimina la copia temporal del archivo Word guardada en
la memoria caché del explorador (carpeta Windows) una vez que finaliza la sesión.
Al eliminar la copia, Cache Cleaner impide que los usuarios de otro equipo público
encuentren y abran el documento Word después de que el usuario del IVE finaliza
la sesión.

Cache Cleaner también impide que los exploradores Web guarden de forma
permanente los nombres de usuario, contraseñas y direcciones Web que los
usuarios introducen en los formularios Web. Al impedir que los exploradores
guarden indebidamente en su memoria caché esta información, Cache Cleaner
evita que la información confidencial del usuario se guarde en sistemas no fiables.

NOTA: Actualmente, Cache Cleaner no admite Secure Virtual Workspace (SVW).

Este tema contiene la siguiente información sobre Cache Cleaner:

„ “Licencia: Disponibilidad de Cache Cleaner” en la página 332

„ “Ajuste de las opciones globales de Cache Cleaner” en la página 332

„ “Implementación de las opciones de Cache Cleaner” en la página 335

„ “Especificación de las opciones de instalación de Cache Cleaner” en la

página 339

„ “Uso de los registros de Cache Cleaner” en la página 340

„ 331
 Guía de administración de Secure Access de Juniper Networks

Licencia: Disponibilidad de Cache Cleaner

Cache Cleaner corresponde a una característica estándar de todos los dispositivos
Secure Access; no es necesaria una licencia especial para su uso.

Ajuste de las opciones globales de Cache Cleaner

Al habilitar Cache Cleaner, éste borra todo el contenido descargado a través del
motor de intermediación de contenido del IVE del sistema de un usuario. Además,
puede usar los ajustes de la página Authentication > Endpoint Security > Cache
Cleaner de la consola de administración para borrar el contenido de los siguientes
lugares:

„ Specified hosts and domains: Si habilita WSAM o JSAM, es recomendable

configurar Cache Cleaner para que borre los hosts y dominios adicionales.
Cuando los usuarios exploran Internet fuera del IVE con WSAM o JSAM,
los archivos de Internet aparecen en la carpeta de archivos temporales de
Internet. Para borrar estos archivos con Cache Cleaner, debe especificar el
nombre de host correspondiente (por ejemplo, www.yahoo.com).

„ Specified files and folders: Si desea habilitar a sus usuarios para que puedan
acceder a aplicaciones cliente-servidor en sus sistemas locales,
es recomendable configurar Cache Cleaner para que borre los archivos y
carpetas temporales que crean las aplicaciones en los sistemas de los usuarios.

NOTA: Si configura Cache Cleaner para que elimine los archivos de un directorio,
Cache Cleaner borra todos los archivos, entre ellos los que el usuario ha guardado
explícitamente en el directorio y los que ya se encontraban ahí antes de iniciarse
la sesión del IVE.

Para especificar las opciones globales de Cache Cleaner:

1. Seleccione Authentication > Endpoint Security > Cache Cleaner en la

consola de administración.

2. En Options:

a. Especifique en el campo Cleaner Frequency la frecuencia con que se debe

ejecutar Cache Cleaner. Los valores válidos son de 1 a 60 minutos. Siempre
que se ejecuta Cache Cleaner, borra todo el contenido descargado a través
del motor de intermediación de contenido del IVE más la memoria caché
del explorador, los archivos y las carpetas que especifique en las secciones
Browser Cache y Files and Folders.

b. Especifique la frecuencia con que espera el IVE en el campo Status Update

Frequency. Los valores válidos son de 1 a 60 minutos.

332 „ Licencia: Disponibilidad de Cache Cleaner

 Capítulo 12: Cache Cleaner

c. Especifique un intervalo para controlar el tiempo de cadudidad del proceso

del lado cliente e inicie sesión en el cuadro de tiempo de espera por
inactividad en las siguientes situaciones (los valores válidos son de 5 a 60
minutos):

‰ Si el usuario sale de la página de inicio de sesión del IVE después de

que Cache Cleaner se comienza a ejecutar, pero antes de que inicie
sesión en el IVE, Cache Cleaner continuará ejecutándose en el equipo
del usuario por el tiempo que usted especifique.

‰ Si el usuario está descargando Cache Cleaner en una conexión lenta,

aumente el intervalo para que tenga tiempo suficiente para completar
la descarga.

d. Seleccione la casilla de verificación Disable AutoComplete of web

addresses para impedir que el explorador use los valores presentes en la
memoria caché para escribir automáticamente direcciones Web durante la
sesión del usuario del IVE. Cuando selecciona esta opción, el IVE establece
el siguiente valor de registro Windows en 0 durante la sesión del usuario
del IVE:
HKEY_CURRENT_USER\Software\\Microsoft\\Windows\\CurrentVersion\\Ex
plorer\ AutoComplete.

Luego, al finalizar la sesión, el IVE restaura el valor de registro a su ajuste

original.

e. Seleccione la casilla de verificación Disable AutoComplete of usernames

and passwords para impedir que Internet Explorer escriba
automáticamente las credenciales del usuario en los formularios Web con
los valores presentes en la memoria caché. Si selecciona esta opción,
también inhabilita el mensaje de petición “Save Password?” de los sistemas
Windows. Cuando selecciona esta opción, el IVE establece los siguientes
valores de registro Windows en 0:

‰ HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\FormSuggest Passwords

‰ HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\FormSuggest Passwords\FormSuggest PW Ask

‰ HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\ DisablePasswordCaching

f. Seleccione la casilla de verificación Flush all existing AutoComplete

Passwords para borrar las contraseñas que Internet Explorer guardó en la
memoria caché del sistema del usuario. Cuando selecciona esta opción,
el IVE establece el siguiente valor de registro Windows en 0:

HKEY_CURRENT_USER \Software\\Microsoft\\Internet Explorer\\

IntelliForms\\SPW

Luego, seleccione una de las siguientes opciones:

‰ Seleccione el botón de opción For IVE session only para especificar

que el IVE debe restaurar las contraseñas guardadas en la memoria
caché del usuario al finalizar su sesión del IVE.

Ajuste de las opciones globales de Cache Cleaner „ 333

 Guía de administración de Secure Access de Juniper Networks

‰ Seleccione el botón de opción Permanently para borrar

permanentemente las contraseñas del usuario guardadas en la
memoria caché.

g. Seleccione la casilla de verificación Empty Recycle Bin and Recent

Documents list para vaciar la papelera de reciclaje y borrar la lista de
documentos recientes. Se elimina el contenido completo, no sólo los
archivos relacionados con las sesiones del usuario.

h. Seleccione la casilla de verificación Uninstall Cache Cleaner at logout si

desea que el IVE desinstale Cache Cleaner del equipo cliente al finalizar la
sesión de un usuario.

3. En Browser Cache, introduzca uno o más nombres de hosts o dominios

(se permiten comodines). Al finalizar la sesión de un usuario, Cache Cleaner
elimina todo el contenido de la memoria caché del explorador que se origina
en estos servidores. Cache Cleaner también elimina este contenido al
ejecutarse en el intervalo de frecuencia especificado. Note que el IVE no
resuelve los nombres de host, así que introduzca todas las representaciones
posibles de un servidor, como su nombre de host, FQDN y dirección IP.

4. En Files and Folders:

a. Especifique:

‰ El nombre de un archivo que desee que Cache Cleaner elimine.

‰ La ruta completa de directorio hacia una carpeta cuyo contenido desee

que Cache Cleaner elimine. Si especifica un directorio, seleccione Clear
Subfolders para borrar también el contenido de todos los
subdirectorios dentro de este directorio.

b. Seleccione la casilla de verificación Clear folders only at the end of

session si desea que Cache Cleaner borre el contenido del directorio sólo al
finalizar la sesión del usuario. De lo contrario, Cache Cleaner también borra
archivos y carpetas en el intervalo de frecuencia especificado.

NOTA: Al especificar los archivos y las carpetas que desea borrar, tenga en cuenta
lo siguiente:

„ Cache Cleaner utiliza una cookie llamada DSPREAUTH para enviar el estado
del cliente al IVE. Si borra esta cookie del cliente del usuario, Cache Cleaner
no funciona correctamente. Para evitar problemas, no especifique directorios
de Internet Explorer, como <userhome>\Local Settings\Temporary Internet
Files\*, en la ruta del archivo o de la carpeta. Tenga en cuenta que Cache
Cleaner de todos modos borra todo el contenido de la memoria caché de
Internet Explorer del host del IVE y de los demás hosts especificados en el
cuadro Hostnames, sin importar los directorios que especifique en Files
and Folders.

„ En el caso del explorador Firefox, Cache Cleaner borra sólo los directorios que
especifique en Files and Folders.

334 „ Ajuste de las opciones globales de Cache Cleaner

 Capítulo 12: Cache Cleaner

5. Haga clic en Save Changes para guardar estos ajustes de forma global.

Si existe más de una sesión válida del IVE en el mismo sistema, y se usa Cache
Cleaner en esas sesiones, todas las sesiones finalizarán cuando un usuario se
desconecte de una de las sesiones. Para evitar esto, desactive Cache Cleaner en las
sesiones que no lo necesitan.

NOTA: Si varios administradores o usuarios finales están conectados a un solo IVE

desde el mismo sistema cliente, y al menos uno de ellos implementa Cache
Cleaner, podrían ocurrir resultados inesperados. Por ejemplo, Cache Cleaner
podría cerrarse, se podrían perder privilegios de rol y podrían ocurrir
desconexiones forzadas.

Implementación de las opciones de Cache Cleaner

Después de especificar los hosts, dominios, archivos y carpetas que desea borrar
mediante los ajustes de la página Authentication > Endpoint Security > Cache
Cleaner de la consola de administración, puede restringir el acceso al IVE y a los
recursos requiriendo Cache Cleaner en las siguientes opciones:

„ Directiva de autenticación de territorio: Si existen usuarios intentando iniciar

sesión en el IVE, éste evalúa la directiva de autenticación de territorio
especificada a fin de determinar si los requisitos de autenticación incluyen
Cache Cleaner. Puede configurar una directiva de autenticación de territorio
para descargar Cache Cleaner, descargar y comenzar a ejecutar Cache Cleaner
o no requerir Cache Cleaner. El usuario debe iniciar sesión en un equipo que
cumpla con los requisitos de Cache Cleaner que se especificaron para el
territorio. Si el equipo del usuario no cumple con los requisitos, se le deniega el
acceso al IVE. Puede configurar restricciones a nivel de territorio en la página
Users > User Realms > Territorio > Authentication Policy > Cache Cleaner de
la consola de administración.

„ Rol: Cuando el IVE determina la lista de roles válidos a los que puede asignar
un administrador o un usuario, evalúa las restricciones de cada una de ellos
para determinar si requieren la ejecución de Cache Cleaner en la estación de
trabajo del usuario. Si es así, y el equipo del usuario ya está ejecutando Cache
Cleaner, el IVE no asigna el usuario a dicho rol. Puede controlar los roles que el
IVE asigna a un usuario mediante los ajustes de Users > User Realms >
Seleccionar territorio > Role Mapping. Seleccione una regla o créela, y
seleccione Custom Expressions. Puede configurar restricciones a nivel de
territorio en la página Users > User Roles > Rol > General > Restrictions >
Cache Cleaner de la consola de administración.

„ Directiva de recursos: Cuando un usuario solicita un recurso, el IVE evalúa las

reglas detalladas de la directiva de recursos a fin de determinar si Cache
Cleaner tiene o no que instalarse o ejecutarse en la estación de trabajo del
usuario. El IVE deniega el acceso a los recursos si el equipo del usuario no
cumple con el requisito de Cache Cleaner. Puede implementar las restricciones
de Cache Cleaner a nivel de directiva de recursos a través del cuadro Condition
Field de la ventana Rules. Seleccione Users > Resource Policies > Selecciona
recurso > Seleccionar directiva > Detailed Rules.

Implementación de las opciones de Cache Cleaner „ 335

 Guía de administración de Secure Access de Juniper Networks

Puede especificar que el IVE evalúe las directivas de Cache Cleaner sólo cuando el
usuario intenta tener acceso por primera vez al territorio, rol o recurso al que hace
referencia la directiva del Cache Cleaner. También puede usar los ajustes de la ficha
Authentication > Endpoint Security > Cache Cleaner a fin de especificar que el IVE
reevalúe de forma periódica las directivas de la sesión del usuario. Si opta por
evaluar periódicamente las directivas de Cache Cleaner, el IVE asigna de forma
dinámica los usuarios a los roles y le permite a los usuarios obtener acceso a
nuevos recursos basado en la evaluación más reciente.

Ejecución de Cache Cleaner

Cuando el usuario intenta tener acceso al IVE, éste determina el estado de Cache
Cleaner del sistema cliente y le solicita comenzar la ejecución mediante los
siguientes procesos:

1. Evaluación inicial: Cuando un usuario intenta abrir por primera vez la página
de inicio de sesión del IVE, éste determina si Cache Cleaner se está ejecutando
en el equipo del usuario. El IVE realiza una evaluación inicial
independientemente de si ha implementado las directivas de Cache Cleaner a
nivel de territorio, rol o directiva de recursos.

Si el usuario sale de la página de inicio de sesión del IVE después de que Cache
Cleaner se comienza a ejecutar, pero antes de iniciar sesión en el IVE,
Cache Cleaner continúa ejecutándose en el equipo del usuario hasta que
finalice el tiempo de espera del proceso de Cache Cleaner.

Si el IVE no recibe un resultado de estado de Cache Cleaner por cualquier razón

(incluso porque el usuario introdujo sus credenciales en la página de inicio de
sesión), muestra un error y devuelve al usuario a la página de inicio de sesión.

De lo contrario, si el proceso de Cache Cleaner del IVE devuelve un estado,

el IVE sigue ejecutando las directivas a nivel de territorio.

2. Directivas a nivel de territorio: El IVE usa los resultados de la evaluación inicial

para determinar a cuál de los territorios puede tener acceso el usuario. A partir
de ese momento, el IVE muestra u oculta los territorios al usuario, y le permite
iniciar sesión en los territorios que se habiliten para la página de inicio de
sesión, y sólo si cumple con los requisitos de Cache Cleaner correspondientes a
cada territorio. Si el usuario no puede cumplir con las condiciones que requiere
Cache Cleaner para alguno de los territorios disponibles, el IVE no muestra la
página de inicio de sesión, sino un error que señala que el equipo no cumple
con la directiva de punto final.

Tenga en cuenta que el IVE sólo realiza revisiones a nivel de territorio de Cache
Cleaner cuando el usuario inicia sesión por primera vez en el IVE. Si el estado
del sistema del usuario cambia durante su sesión, el IVE no lo expulsa del
territorio actual ni le permite tener acceso a un territorio nuevo basado en el
nuevo estado del sistema.

336 „ Implementación de las opciones de Cache Cleaner

 Capítulo 12: Cache Cleaner

3. Directivas a nivel de rol: Después de que el usuario inicia sesión en un

territorio, el IVE evalúa las directivas a nivel de rol y asigna el usuario a los roles
si es que cumple con los requisitos de Cache Cleaner para ellos. Después,
el IVE le muestra al usuario su página de inicio y habilita las opciones que
permiten los roles asignados.

Si Cache Cleaner devuelve un estado distinto durante una evaluación periódica,

el IVE reasigna de forma dinámica a los usuarios los roles en función de los
nuevos resultados. Si el usuario final pierde los derechos a todos los roles
disponibles durante una de las evaluaciones periódicas, el IVE desconecta la
sesión del usuario.

4. Directivas a nivel de recursos: Después de que el IVE le permite al usuario

tener acceso a la página de inicio, éste puede intentar tener acceso a un recurso
que esté controlado por una directiva de recursos. Cuando lo hace, el IVE
determina si debe realizar o no la acción especificada en la directiva de
recursos basado en el último informe de estado que devolvió Cache Cleaner.

Si Cache Cleaner devuelve un informe de estado distinto durante una

evaluación periódica, el nuevo estado sólo tendrá efecto en los nuevos recursos
a los que el usuario intente tener acceso. Por ejemplo, si el usuario inicia de
forma correcta una sesión de Network Connect y luego no logra comprobar el
estado del host de Cache Cleaner a nivel de recursos, puede seguir teniendo
acceso a la sesión abierta de Network Connect. El IVE solo le denegará el
acceso si intenta abrir una nueva sesión de Network Connect. El IVE
comprueba el último estado devuelto por Cache Cleaner cuando el usuario
intenta tener acceso a un recurso Web nuevo o abrir una sesión nueva de
Secure Application Manager, Network Connect o Secure Terminal Access.

5. Limpieza final: Cache Cleaner lleva a cabo una limpieza final y restaura los
ajustes de registro cuando:

„ El usuario cierra explícitamente la sesión: Cuando un usuario hace clic

en Sign Out en la página de inicio del IVE, Cache Cleaner lleva a cabo una
limpieza final y se desinstala del sistema del usuario.

„ Finaliza el tiempo de espera de la sesión: Cuando finaliza el tiempo de

espera de la sesión de un usuario, Cache Cleaner lleva a cabo una limpieza,
y luego, si el usuario vuelve a iniciar sesión, Cache Cleaner lleva a cabo otra
limpieza. Cache Cleaner está al tanto de la finalización del tiempo de
espera de la sesión pues comprueba de forma periódica la validez de una
sesión en el intervalo especificado en la ficha Authentication > Endpoint
Security > Cache Cleaner.

NOTA: Al comprobar la validez de una sesión de usuario, Cache Cleaner se conecta

con el IVE, acción que puede activar advertencias en cortafuegos personales.
Los usuarios deben permitir este tráfico a fin de asegurar que Cache Cleaner
funcione correctamente. Tenga en cuenta además que los usuarios con
cortafuegos personales ven una entrada de registro siempre que Cache Cleaner
borra la memoria caché.

Implementación de las opciones de Cache Cleaner „ 337

 Guía de administración de Secure Access de Juniper Networks

„ Un sistema cliente se reinicia después de una finalización anormal:

Si Cache Cleaner finaliza anormalmente debido a un problema de
conexión del sistema, de la sesión o de la red, Cache Cleaner lleva a cabo
una limpieza final y se desinstala del sistema del usuario después de que se
reinicia el sistema. Tenga en cuenta que Cache Cleaner no puede registrar
datos después de finalizar. Además, todos los cambios hechos a los ajustes
de registro del usuario después de la finalización y antes de volver a iniciar
sesión en el IVE se pierden.

Independientemente de si se está ejecutando o no, Cache Cleaner permanece en el

cliente. Los usuarios pueden desinstalar manualmente el agente ejecutando el
archivo uninstall.exe que se encuentra en el directorio donde está instalado Cache
Cleaner. Si habilita el registro en el lado cliente a través de la página System >
Log/Monitoring > Client Logs > Settings, este directorio también contiene un
archivo de registro, que se reescribe cada vez que se ejecuta Cache Cleaner.
(Cache Cleaner no registra las entradas en el registro estándar del IVE, sino que
puede registrar datos en el archivo de texto temporal del lado cliente. Este registro
encriptado se elimina al desinstalarse Cache Cleaner.)

Especificación de las restricciones de Cache Cleaner

Para especificar las restricciones de Cache Cleaner:

1. Seleccione Authentication > Endpoint Security > Cache Cleaner y

especifique las opciones globales que Cache Cleaner debe aplicar a cualquier
usuario que requiera Cache Cleaner en una directiva de autenticación, una regla
de asignación o una directiva de recursos.

2. Para implementar Cache Cleaner a nivel de territorio:

a. Seleccione Users > User Realms > Seleccionar territorio >

Authentication Policy > Cache Cleaner.

b. Elija una de las siguientes opciones:

‰ Disable Cache Cleaner: No requiere que Cache Cleaner esté instalado

o ejecutándose para que el usuario cumpla con el requisito de acceso.

‰ Just load Cache Cleaner: No requiere que Cache Cleaner se ejecute

para que el usuario cumpla con el requisito de acceso, pero asegura
que esté disponible para un uso futuro. Si elige esta opción para una
directiva de autenticación del territorio, el IVE descarga Cache Cleaner
al equipo cliente después de que el usuario se ha autenticado y antes
de que se le asignen roles en el sistema.

‰ Load and enforce Cache: Requiere que el IVE descargue y ejecute

Cache Cleaner para que el usuario cumpla con el requisito de acceso.
Si elige esta opción para una directiva de autenticación del territorio,
el IVE descarga Cache Cleaner al equipo cliente antes de que el usuario
tenga acceso a la página de inicio de sesión del IVE.

338 „ Implementación de las opciones de Cache Cleaner

 Capítulo 12: Cache Cleaner

3. Para implementar Cache Cleaner a nivel de rol:

a. Seleccione una de estas opciones:

‰ Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Cache Cleaner

‰ Users > User Roles > Seleccionar rol > General > Restrictions >
Cache Cleaner

b. Seleccione la casilla de verificación Enable de Cache Cleaner. Esta opción

requiere que Cache Cleaner esté ejecutándose para que el usuario cumpla
con el requisito de acceso.

4. Para crear reglas de asignación de roles basado en el estado de Cache Cleaner

del usuario:

a. Seleccione Users > User Realms > Seleccionar territorio > Role
Mapping > Seleccionar o crear regla > Expresión personalizada.

b. Usando la variable cacheCleaner, escriba una expresión personalizada para

la regla de asignación de roles que evaluará el estado de Cache Cleaner.

5. Para implementar Cache Cleaner a nivel de directiva de recursos:

a. Seleccione Users > Resource Policies > Selecciona recurso > Seleccionar
directiva > Detailed Rules > Seleccionar o Crear regla > Campo de
condición

b. Cree una expresión personalizada en una regla detallada.

Especificación de las opciones de instalación de Cache Cleaner

Si implementa alguna directiva a nivel de directivas de territorio, rol o recurso que
requiera de Cache Cleaner, debe proporcionar un mecanismo mediante el cual el
IVE o el usuario pueda instalar Cache Cleaner en el equipo cliente. De lo contrario,
cuando el IVE evalúe la directiva de Cache Cleaner, el equipo del usuario devolverá
un error debido a que el cliente de Cache Cleaner no está disponible.

Habilite la instalación automática a través de la página Users > User Realms >
Territorio > Authentication Policy > Cache Cleaner de la consola de administración
para permitirle al IVE intentar instalar Cache Cleaner en el sistema del usuario.
Cuando lo hace, el IVE evalúa la opción a nivel de territorio cuando el usuario abre
la página de inicio de sesión de IVE y luego determina si la versión actual de Cache
Cleaner está instalada en el equipo del usuario. Si Cache Cleaner no está instalado,
el IVE intentará instalarlo mediante ActiveX o Java.

Cuando un usuario inicia sesión en el IVE, éste intenta instalar un control ActiveX
en el sistema del usuario. Si el IVE instala correctamente el control ActiveX,
el control administra la instalación del programa Cache Cleaner.

Especificación de las opciones de instalación de Cache Cleaner „ 339

 Guía de administración de Secure Access de Juniper Networks

Si el IVE no puede instalar el control ActiveX debido a que el usuario no cuenta con
privilegios de administrador o de usuario avanzado, o debido a que ActiveX está
desactivado en el sistema del usuario, el IVE intenta instalar Cache Cleaner
mediante Java. El método de Java requiere sólo privilegios de usuario, pero Java
debe estar habilitado en el sistema del usuario.

NOTA: Si se está ejecutando Microsoft Vista en el sistema del usuario, éste debe
hacer clic en el enlace de configuración que aparece durante el proceso de
instalación para continuar instalando el cliente de configuración y Cache Cleaner.
En todos los otros sistemas operativos Microsoft, el cliente de configuración y
Cache Cleaner se instalan automáticamente.

Si el IVE no puede usar el método de Java debido a que Java está inhabilitado en el
sistema del usuario, muestra un mensaje de error que informa al usuario de que su
sistema no permite la instalación de las aplicaciones ActiveX o Java, por lo que
algunas de las funciones de seguridad de acceso no se pueden ejecutar.

NOTA:

„ Para instalar Cache Cleaner, los usuarios deben contar con los privilegios
correspondientes descritos en el manual Secure Access Client-Side Changes
Guide en el Juniper Networks Customer Support Center. Si el usuario no
cuenta con privilegios, use el Servicio de instalador de Juniper disponible en la
página Maintenance > System > Installers de la consola de administración
para omitir este requisito.

„ Los usuarios deben habilitar en sus exploradores componentes ActiveX

firmados o applets de Java firmados para que Host Checker descargue,
instale e inicie las aplicaciones de cliente.

Para obtener más información sobre el control Juniper Networks ActiveX,

consulte “Eliminación del control ActiveX de Juniper” en la página 317.

Uso de los registros de Cache Cleaner

Seleccione la ficha System > Log/Monitoring > Client Logs > Settings para
habilitar el registro del lado cliente para Cache Cleaner. Cuando habilita esta opción,
el IVE escribe un registro del lado cliente para cualquier cliente que utilice Cache
Cleaner. El IVE adjunta el archivo de registro cada vez que la característica es
invocada durante las sesiones del usuario siguientes. Esta característica es útil
cuando se trabaja con equipos de apoyo para solucionar problemas con la
característica respectiva.

NOTA: Debido a que estas configuraciones son globales, el IVE escribe un archivo
de registro para todos los clientes que usan la característica para la que se habilitó
la creación de registros del lado cliente. Además, el IVE no elimina los registros del
lado cliente. Los usuarios deben eliminar los registros de forma manual desde sus
clientes. Para obtener más información acerca del lugar donde IVE instala los
archivos de registro, consulte el manual Secure Access Client-Side Changes Guide en
el Customer Support Center de Juniper Networks.

340 „ Uso de los registros de Cache Cleaner

 Capítulo 12: Cache Cleaner

Para especificar los ajustes globales de la creación de registro del lado cliente:

1. Seleccione System > Log/Monitoring > Client Logs > Settings en la consola
de administración.

2. Seleccione las características deseadas para las cuales el IVE escribe los
registros del lado cliente.

3. Haga clic en Save Changes para guardar estos ajustes de forma global.

NOTA: Para los nuevos sistemas IVE de versión 5.x, todas las opciones están
inhabilitadas de forma predeterminada. Si actualiza el IVE de una configuración
versión 3.x, todas las opciones de registro están habilitadas de forma
predeterminada.

Uso de los registros de Cache Cleaner „ 341

 Guía de administración de Secure Access de Juniper Networks

342 „ Uso de los registros de Cache Cleaner

Parte 4
Acceso remoto

Esta sección contiene la siguiente información acerca de cómo configurar el acceso

a diversas aplicaciones, servidores y otros recursos mediante mecanismos de
acceso remoto:

„ “Reescritura web” en la página 383

„ “Reescritura de archivos” en la página 465

„ “Secure Application Manager” en la página 491

„ “Telnet/SSH” en la página 551

„ “Terminal Services” en la página 563

„ “Secure Meeting” en la página 619

„ “Email Client” en la página 647

„ “Network Connect” en la página 655

La sección también contiene la siguiente información sobre cómo configurar

fácilmente el acceso a aplicaciones escogidas mediante plantillas de perfil de
recursos disponibles a través de la característica de reescritura web:

„ “Plantillas de applets de Java hospedados” en la página 345

„ “Plantillas de Citrix” en la página 361

„ “Plantillas de Lotus iNotes” en la página 371

„ “Plantillas de Microsoft OWA” en la página 375

„ “Plantillas de Microsoft Sharepoint” en la página 379

„ 343
 Guía de administración de Secure Access de Juniper Networks

Elección de un mecanismo de acceso remoto

El IVE le permite brindar un acceso seguro a una amplia variedad de aplicaciones,
servidores y otros recursos por medio de sus mecanismos de acceso remoto.
Cuando haya escogido los recursos que desea usar, podrá escoger el mecanismo
de acceso adecuado (según se explica en “¿Puedo usar el IVE para proporcionar
seguridad en el tráfico de todas las aplicaciones, servidores y páginas web de mi
empresa?” en la página 28).

Por ejemplo, si desea proporcionar acceso seguro a Microsoft Outlook, puede

usar Secure Application Manager (SAM). Secure Application Manager proporciona
intermediación del tráfico hacia aplicaciones cliente/servidor como Microsoft
Outlook, Lotus Notes y Citrix. Asimismo, si lo que desea es proporcionar acceso
seguro a la Intranet de su empresa, puede usar la característica de reescritura web.
Esta característica usa el motor de intermediación de contenido del IVE para
proporcionar intermediación del tráfico hacia las aplicaciones basadas en web y las
páginas web.

La Tabla 18 muestra una breve comparación de tres de los mecanismos de acceso

de IVE: Network Connect, Windows Secure Application Manager (WSAM), y Java
Secure Application Manager (JSAM).

Tabla 18: Comparación de los métodos de acceso de cliente remoto

Network Connect WSAM JSAM

Acceso seguro a capa de red.
Actúa como un túnel virtual
con IPSec activada. Es
compatible con paredes de
fuego y proxy del lado cliente.
La instalación se realiza
mediante controles ActiveX
para Windows y applet de Java
para Mac.
El aprovisionamiento necesita
un conjunto de direcciones IP
estáticas para recursos de red
o un servidor DHCP presente
en la red.
Admite clientes Windows,
Mac y Linux.
Acceso seguro a capa de
aplicación. Admite la
instalación del servicio Win32
Transport Data Interface (TDI).
Es compatible con paredes de
fuego y proxy del lado cliente.
La instalación se realiza
mediante controles ActiveX,
entrega de Java e instaladores
independientes.
El aprovisionamiento necesita
que se asegure una lista de
direcciones IP, aplicaciones de
Windows y hosts de destino.
Control de acceso dependiente
de las direcciones IP.
Admite clientes Windows.
Acceso seguro a capa de
aplicación. Reenvío de puertos
TCP basado en applet de Java
para hosts de empresa
proporcionados. Es compatible
con paredes de fuego y proxy
del lado cliente.
Sólo necesita un applet de Java
instalado en el cliente.
El aprovisionamiento necesita
una lista de hosts y puertos en
el nivel de grupo. Permite a los
usuarios la opción de definir
aplicaciones cliente-servidor y
configuraciones de seguridad.
Privilegia el uso de nombres de
hosts por sobre direcciones IP.
Admite clientes Windows,
Mac y Linux.

344 „ Elección de un mecanismo de acceso remoto

Capítulo 13
Plantillas de applets de Java
hospedados

La característica de carga de applets de Java del IVE le permite almacenar los

applets de Java que quiera directamente en el IVE sin utilizar otro servidor Web para
hospedarlos. Cuando use esta característica, simplemente cargue los applets en el
IVE (junto con los archivos adicionales a los que hacen referencia los applets) y cree
una página Web simple mediante el IVE que hace referencia a los archivos. El IVE
intermedia entre la página Web y el contenido del applet de Java usando su Motor
de intermediación de contenido.

Este tema contiene la siguiente información sobre los applets de Java en el IVE:

„ “Licencia: disponibilidad de applets de Java hospedados” en la página 345

„ “Resumen de tareas: hospedaje de applets de Java” en la página 346

„ “Información general de applets de Java hospedados” en la página 346

„ “Definición de perfiles de recursos: applets de Java hospedados” en la

página 350

„ “Caso de uso: creación de un marcador de applet de Java Citrix JICA 9.5” en la

página 357

NOTA: El IVE permite hospedar applets de Java usando las plantillas de perfil de
recursos Web (descritas en estos temas) así como los perfiles de recursos de
Terminal Services. Para obtener instrucciones sobre cómo hospedar los applets de
Java mediante los perfiles de recursos de Terminal Services, consulte “Definición
de directivas automáticas del applet de Java hospedado” en la página 573.

Licencia: disponibilidad de applets de Java hospedados

La característica de applets de Java hospedados es una característica estándar
en todos los dispositivos de Secure Access excepto SA 700. Si usa un dispositivo
SA-700, debe instalar una licencia de actualización de Acceso sin cliente de núcleo
para obtener acceso a la característica de applets de Java.

Licencia: disponibilidad de applets de Java hospedados „ 345

 Guía de administración de Secure Access de Juniper Networks

Resumen de tareas: hospedaje de applets de Java

La característica de carga de applets de Java del IVE le permite almacenar los
applets de Java que quiera directamente en el IVE sin utilizar otro servidor Web
para hospedarlos.

Para hospedar applets de Java en el IVE:

1. Especifique los applets que desea cargar, cree marcadores en el IVE que hagan
referencia a los applets cargados y especifique las funciones que pueden tener
acceso a los marcadores usando los ajustes de la página Users > Resource
Profiles > Web de la consola de administración. Para obtener instrucciones,
consulte “Definición de perfiles de recursos: applets de Java hospedados” en la
página 350.

2. (Opcional) Para firmar los applets de Java, seleccione System >

Configuration > Certificates > Code-Signing Certificates en la consola
de administración para cargar el certificado de Java en el IVE. Si se salta este
paso, el usuario visualizará una advertencia de certificado no fiable cada vez
que acceda al marcador correspondiente. Para obtener instrucciones, consulte
“Uso de certificados de firma de código” en la página 776.

3. (Opcional) Para mejorar el rendimiento de sus aplicaciones Java:

a. Seleccione Enable Java instrumentation caching en la página

Maintenance > System > Options de la consola de administración. Esta
opción puede mejorar el rendimiento de la descarga de aplicaciones Java.
Para obtener más información, consulte “Ajuste de las opciones del
sistema” en la página 722.

b. Después de terminar la configuración del IVE, coloque en caché el applet

de Java y acceda a éste como usuario final. Esta acción elimina la
coincidencia de rendimiento que se produce en el motor de intermediación
cuando el primer usuario final accede al applet.

Información general de applets de Java hospedados

La característica de carga de applets de Java del IVE le permite almacenar los
applets de Java que quiera directamente en el IVE sin utilizar otro servidor Web para
hospedarlos. Cuando use esta característica, simplemente cargue los applets en el
IVE (junto con los archivos adicionales a los que hacen referencia los applets) y cree
una página Web simple mediante el IVE que hace referencia a los archivos. El IVE
intermedia entre la página Web y el contenido del applet de Java usando su Motor
de intermediación de contenido.

346 „ Resumen de tareas: hospedaje de applets de Java

 Capítulo 13: Plantillas de applets de Java hospedados

Por ejemplo, quizás le interese usar el IVE para que intermedie el tráfico entre un
sistema IBM AS/400 de la red y los emuladores de terminal 5250 individuales de los
equipos de los usuarios. Para configurar el IVE para que intermedie este tráfico,
obtenga el applet de Java del emulador de terminal 5250. Después, podrá cargar
este applet en el IVE y crear una página Web simple que haga referencia al applet.
Después de crear la página Web con el IVE, el IVE creará un marcador
correspondiente al que los usuarios puede acceder mediante sus páginas
principales.

NOTA:

„ Debe comprender cómo funcionan los applets de Java, sus parámetros

y el HTML que usará con esta característica.

„ Para obtener más información sobre los applets de Java intermedios

hospedados en un servidor externo, consulte “Definición de directivas de
recursos: applets de Java externos” en la página 439.

„ Las opciones de configuración para la característica de applet de Java

hospedado se han trasladado a la página Users > Resource Profiles > Web de
la consola de administración. Si actualiza el producto desde una versión
anterior a la 5.3, el IVE crea automáticamente perfiles de recursos de sus
directivas de recursos antiguas. Si el marcador antiguo hacía referencia a
varios applets de Java, el IVE crea un archivo contenedor único para los
applets y asocia el archivo con el nuevo perfil de recursos.

Los siguientes temas contienen información sobre la carga, la habilitación

y el acceso de los applets de Java mediante el IVE:

„ “Carga de applets de Java al IVE” en la página 347

„ “Firma de applets de Java cargados” en la página 348

„ “Creación de páginas HTML que hacen referencia a los applets de Java

cargados” en la página 349

„ “Acceso a los marcadores de applet de Java” en la página 349

Carga de applets de Java al IVE

Puede usar los applets de Java para que intermedien el tráfico en varios tipos de
aplicaciones mediante el IVE. Por ejemplo, puede cargar el applet 3270, 5250 o
Citrix Java en el IVE. Estos applets permiten que los usuarios establezcan sesiones
en los servidores de codificación de IBM, AS/400s y Citrix MetaFrame mediante
emuladores de terminal. (Tenga en cuenta que para habilitar el cliente de Citrix Java
ICA mediante una sesión del IVE, debe cargar varios archivos Citrix .jar y .cab en
el IVE. Consulte “Caso de uso: creación de un marcador de applet de Java Citrix
JICA 9.5” en la página 357. O bien, configure un perfil de recursos de Citrix
Terminal Services para que hospede los applets de Java, como se explica en
“Definición de directivas automáticas del applet de Java hospedado” en la
página 573.)

Información general de applets de Java hospedados „ 347

 Guía de administración de Secure Access de Juniper Networks

El IVE permite cargar archivos .jar y .cab individuales o archivos de

almacenamiento .zip, .cab o .tar. Los archivos de almacenamiento pueden contener
applets de Java y los archivos a los que hacen referencia los applets. Dentro del
archivo .zip, .cab o .tar, el applet de Java debe residir en el nivel superior del archivo
de almacenamiento. Puede cargar cualquier número de archivos en el IVE siempre
que su tamaño combinado no supere los 100 MB.

Para asegurar la compatibilidad con las máquinas virtuales de Java (JVM) de Sun y
Microsoft, debe cargar los archivos .jar y .cab en el IVE. (La JVM de Sun usa archivos
.jar, mientras que la JVM de Microsoft usa archivos .cab.)

NOTA:

„ Cuando carga los applets de Java en el IVE, el IVE le solicita leer un contrato
legal antes de terminar de instalar los applets. Lea este contrato con
detención; le obliga a asumir la responsabilidad absoluta respecto de la
validez, operación y compatibilidad de los applets de Java que cargó.

„ Puede cargar 100 MB de applets de Java en el IVE. El IVE muestra el tamaño

de cada applet que cargó en el IVE en la página Java Applets para que pueda
determinar los applets que desea eliminar, si fuese necesario.

„ La carga de applets de Java requiere applets de ActiveX o Java firmados a fin

de que se habiliten dentro el explorador para descargar, instalar e iniciar las
aplicaciones cliente.

Puede cargar applets de Java en el IVE mediante los perfiles de recursos. Para
obtener instrucciones, consulte “Definición de perfiles de recursos: applets de
Java hospedados” en la página 350.

Firma de applets de Java cargados

A diferencia de otros applets de Java a los que los usuarios pueden acceder
mediante el IVE, no es necesario que cree otra directiva de firma de código para
los applets de Java que se cargan en el IVE. El IVE los firma (o vuelve a firmar)
automáticamente usando el certificado de firma de código correspondiente.
Un certificado de firma de código (también denominado certificado de applet) es
un tipo de certificado del lado servidor que vuelve a firmar los applets de Java
intermediados por el IVE, como se explica en “Uso de certificados de firma de
código” en la página 776.

El IVE firma (o vuelve a firmar) automáticamente sus applets de Java hospedados

con el certificado de firma de código que se instala mediante la página System >
Configuration > Certificates > Code-signing Certificates de la consola de
administración. Si no instala un certificado de firma de código en el IVE, el IVE usa
su certificado de firma automática para firmar o volver a firmar los applets. En este
caso, los usuarios ven una advertencia de “emisor de certificado no fiable” siempre
que accedan a los applets de Java mediante el IVE.

NOTA: El IVE vuelve a actuar y firmar sus applets de Java cargados siempre que
cambie (es decir, importe, renueve o elimine) el certificado de firma de código
correspondiente en el IVE.

348 „ Información general de applets de Java hospedados

 Capítulo 13: Plantillas de applets de Java hospedados

Creación de páginas HTML que hacen referencia a los applets de Java cargados
Cuando cargue un applet de Java en el IVE, debe crear una página Web simple que
haga referencia al applet. Los usuarios pueden acceder a esta página Web mediante
un marcador en sus páginas principales del IVE o desde servidores Web externos
(como se explica en “Acceso a los marcadores de applet de Java” en la página 349).

La página Web debe contener una definición de página HTML simple que haga
referencia al applet de Java cargado. La página Web también puede contener
cualquier HTML y JavaScript adicional que elija. El IVE puede generar parte de la
página Web, incluyendo la definición de página HTML y las referencias al applet de
Java. (Sin embargo, tenga en cuenta que el IVE no está al tanto de todos los
parámetros específicos del applet que requiere su applet, por lo tanto, debe buscar
y llenar estos parámetros usted mismo). Cuando el IVE genera este HTML, crea
marcadores para cualquier valor sin definir y le solicita que llene los valores
necesarios.

Puede crear estas páginas Web con los perfiles de recursos de carga de applet de
Java. Para obtener instrucciones, consulte “Definición de marcadores del applet de
Java hospedado” en la página 352.

Acceso a los marcadores de applet de Java

Los usuarios pueden obtener acceso a los applets que carga en el IVE mediante
dos métodos:

„ Bookmarks on the IVE end user console: Cuando crea una página Web
que hace referencia a los applets de Java cargados, el IVE crea un vínculo
correspondiente a la página Web y muestra ese vínculo en la sección
Bookmarks de la consola del usuario final del IVE. Los usuarios que asignan
el rol correspondiente pueden hacer clic en el vínculo para obtener acceso al
applet de Java.

„ Links on external Web servers: Los usuarios pueden establecer vínculos con
los marcadores del applet de Java desde un servidor Web externo haciendo
clic en las URL correctas. Cuando el usuario introduce la URL de un marcador
(o hace clic en un vínculo externo que contiene la URL), el IVE le solicita al
usuario que introduzca su nombre de usuario y contraseña del IVE. Si se
autentica de forma correcta, el IVE le permite acceder al marcador. Puede crear
la URL en el marcador de applet de Java usando la sintaxis descrita en las
siguientes líneas:

https://IVE_hostname/dana/home/launchwebapplet.cgi?bmname=bookmark
Nombre

https://IVE_hostname/dana/home/launchwebapplet.cgi?id=<resourceID>&bmna
me=bookmarkName

Información general de applets de Java hospedados „ 349

 Guía de administración de Secure Access de Juniper Networks

(Puede determinar el ID de un marcador de applet de Java accediendo

a éste mediante la página principal del IVE y extrayendo el ID de la barra
de direcciones del explorador de Web.)

NOTA:

„ Aunque el IVE le permite crear varios marcadores con el mismo nombre,

se recomienda encarecidamente que use un nombre exclusivo para cada uno.
Si varios marcadores tienen el mismo nombre y un usuario accede a uno de
ellos mediante una URL que incluye el parámetro bmname, el IVE elige al azar
los marcadores con nombre idéntico que mostrará al usuario. También tenga
en cuenta que el parámetro bmname distingue mayúsculas de minúsculas.

„ Si crea vínculos en servidores externos para marcadores del applet de Java en

el IVE y usa varias URL de inicio de sesión personalizadas, es posible que se
presenten algunas restricciones. Consulte la nota en “Directivas de inicio de
sesión” en la página 211.

Para obtener más información sobre la creación de marcadores, consulte

“Definición de marcadores del applet de Java hospedado” en la página 352.

Definición de perfiles de recursos: applets de Java hospedados

Para crear un recurso de perfil de applet de Java hospedado:

1. Seleccione Users > Resource Profiles > Web en la consola de administración.

2. Haga clic en New Profile.

3. Seleccione Hosted Java Applet en la lista Type.

4. Introduzca un nombre único y una descripción opcional para el perfil de

recursos.

5. Seleccione el applet de Java que desea asociar con el perfil de recursos de

la lista Applet to use. O bien, si el applet que desea usar no se encuentra
disponible actualmente en la lista, haga clic en Edit Applet. Seguidamente:

a. Haga clic en New Applet para agregar un applet a esta lista. O bien,
seleccione un applet existente y haga clic en Replace (para reemplazar un
applet existente con uno nuevo) o Delete (para eliminar un applet del IVE).

NOTA:

„ Si reemplaza un archivo existente, asegúrese de que el nuevo archivo de

almacenamiento del applet contiene todos los archivos necesarios para que
el applet se inicie y ejecute correctamente. Si el HTML asociado con el applet
se refiere a archivos que no existen en el archivo de almacenamiento nuevo,
entonces el applet no funcionará correctamente.

„ El IVE sólo permite que elimine applets que no se encuentran en uso por
un perfil de recursos Web o Terminal Services.

350 „ Definición de perfiles de recursos: applets de Java hospedados

 Capítulo 13: Plantillas de applets de Java hospedados

b. Introduzca un nombre para identificar el applet en el cuadro Name

(sólo para applets nuevos y reemplazados).

c. Busque el applet que desea cargar en el IVE. Puede cargar applets (archivos
.jar o .cab) o archivos de almacenamiento (archivos .zip, .jar y .tar) que
contengan applets y todos los recursos que los applets necesitan (sólo para
applets nuevos y reemplazados).

d. Seleccione la casilla de verificación Uncompress jar/cab file si el archivo

que seleccionó es un archivo de almacenamiento que contiene un applet
(sólo para applets nuevos y reemplazados).

e. Haga clic en OK y luego en Close Window.

NOTA: Cuando selecciona un applet en el cuadro de diálogo Java Applets, carga

software de terceros en el producto Juniper. Al hacer clic en OK, acepta los
siguientes términos en su nombre (como comprador del equipo) o en nombre de
la organización que compró el producto Juniper, según corresponda.

Al cargar software de terceros en el producto Juniper Networks, usted es

responsable de obtener todos los derechos necesarios para el uso, copia o
distribución de dicho software en o con el producto Juniper Networks. Juniper
no es responsable de ninguna obligación que surja del uso de dicho software
de terceros y no brindará asistencia por éste. El uso de software de terceros
puede interferir con el funcionamiento adecuado del producto o software
Juniper Networks, lo que puede anular la garantía del producto o software
Juniper Networks.

6. Use los ajustes de la sección Autopolicy: Java Access Control para habilitar el
acceso si los applets de Java requieren conexiones de socket. Para obtener
información detallada, consulte “Definición de una directiva automática de
control de acceso a Java” en la página 404.

7. Haga clic en Save and Continue.

8. En la ficha Roles, seleccione las funciones a las que se aplica el perfil de

recursos y haga clic en Add.

Las funciones seleccionadas heredan las directivas automáticas y los

marcadores creados por el perfil de recursos. Si aún no se encuentra habilitada,
el IVE también habilita automáticamente la opción Web en la página Users >
User Roles > Seleccionar rol > General > Overview de la consola de
administración y la opción Allow Java Applets de la página Users > User
Roles > Seleccionar rol > Web > Options de la consola de administración para
todas las funciones que seleccione.

9. Haga clic en Save Changes.

10. Cree marcadores en la ficha Bookmarks usando las instrucciones de

“Definición de marcadores del applet de Java hospedado” en la página 352.

Definición de perfiles de recursos: applets de Java hospedados „ 351

 Guía de administración de Secure Access de Juniper Networks

Definición de marcadores del applet de Java hospedado

Debe crear marcadores para los applets de Java hospedados a fin de permitir
que los usuarios accedan a los applets. Para obtener más información sobre los
marcadores del perfil de recursos, consulte “Definición de marcadores” en la
página 98.

Para configurar los marcadores del perfil de recursos del applet de Java hospedado:

1. Seleccione Users > Resource Profiles > Web > Seleccionar perfil
de recurso > Bookmarks en la consola de administración.

2. Haga clic en el vínculo correspondiente de la columna Bookmark si desea

modificar un marcador existente. O bien haga clic en New Bookmark para
crear un marcador adicional.

NOTA: Aunque por lo general es más fácil crear un marcador de sesión de perfil de
recursos mediante la página de configuración del perfil de recursos, puede optar
por crear una con la página de roles de usuario si ya ha creado un perfil de
recursos. Para obtener instrucciones, consulte “Creación de marcadores de applets
de Java hospedados mediante la página de roles de usuario” en la página 353.

3. Introduzca un nombre y una descripción opcional para el marcador. Esta

información aparece en la página principal del IVE. (De forma predeterminada,
el IVE nombra al marcador con el mismo nombre que el perfil de recursos
correspondiente.)

NOTA: Se recomienda encarecidamente que use un nombre exclusivo para cada

marcador con el fin de dejar en claro a los usuarios el vínculo al que acceden.
Consulte “Creación de páginas HTML que hacen referencia a los applets de Java
cargados” en la página 349.

4. Haga clic en Generate HTML para crear una definición de página HTML que
incluya referencias a sus applets de Java. A continuación, llene todos los
atributos y parámetros requeridos usando las pautas de los siguientes temas:

„ “Atributos necesarios para los applets de Java cargados” en la página 354

„ “Parámetros necesarios para los applets de Java cargados” en la página 356

Si usa un HTML generado por el IVE, asegúrese de buscar en el código HTML

para “__PLEASE_SPECIFY__” y actualice el código según corresponda.

También puede agregar más código HTML o Javascript a esta definición de

página Web. El IVE vuelve a escribir todo el código que introduce en este
campo.

NOTA: Asegúrese de introducir un HTML único en este campo. Si crea dos

marcadores que contienen el mismo código HTML, el IVE elimina uno de los
marcadores de la vista del usuario final. Aún podrá ver ambos marcadores,
pero en la consola del administrador.

352 „ Definición de perfiles de recursos: applets de Java hospedados

 Capítulo 13: Plantillas de applets de Java hospedados

5. Indique esos atributos en el cuadro Multi-Valued User Attributes si el código

HTML contiene atributos que se pueden expandir a varios valores (como
userAttr.hostname o userAttr.ports). Cuando el usuario inicia sesión en el IVE,
el IVE evalúa estos atributos y crea marcadores separados, según sea necesario,
basándose en cada uno de los valores individuales. Si usa un atributo que se
expande a varios valores, pero no introduce ese atributo en este cuadro, el IVE
crea un marcador único basándose en el primer valor del atributo.

6. En las opciones de Display, haga clic en Bookmark opens new window para
permitir que el IVE abra automáticamente el recurso Web en una nueva
ventana del explorador. Tenga en cuenta que esta funcionalidad se aplica
sólo a los marcadores de rol y no a los marcadores creados por el usuario.
A continuación, seleccione las siguientes opciones si desea ocultar los
elementos UI al usuario:

„ Do not display the browser address bar: Seleccione esta opción para
eliminar la barra de direcciones de la ventana del explorador. Esta
característica fuerza todo el tráfico web a través del IVE impidiendo que
los usuarios del rol especificado escriban una nueva URL en la barra de
direcciones, lo que pasa por alto al IVE.

„ Do not display the browser toolbar: Seleccione esta opción para eliminar
el menú y la barra de herramientas del explorador. Esta característica
elimina todos los menús, botones de exploración y marcadores de la
ventana del explorador para que el usuario navegue sólo a través del IVE.

7. En Roles, especifique las funciones para las que desea mostrar el marcador
si configurará el marcador mediante las páginas de perfiles de recursos:

„ ALL selected roles: Seleccione esta opción para mostrar el marcador en

todos los roles asociados con el perfil de recursos.

„ Subset of selected roles: Seleccione esta opción para mostrar el marcador

en un subconjunto de los roles asociados con el perfil de recursos.
Seleccione los roles de la lista ALL Selected Roles y haga clic en Add para
moverlos a la lista Subset of selected roles.

8. Haga clic en Save Changes.

Creación de marcadores de applets de Java hospedados mediante la

página de roles de usuario
Por lo general, es más fácil crear un marcador de applets de Java hospedados
mediante las páginas de configuración de perfiles de recursos, como se explicó
en el tema anterior. No obstante, puede optar por crear un marcador de sesión del
perfil de recursos a través de la página de roles de usuario con las siguientes
instrucciones:

1. Seleccione Users > Roles > Seleccionar rol > Web > Bookmarks en la
consola de administración.

2. Haga clic en New Bookmark.

3. Seleccione Pick a Web Resource Profile en la lista Type. (El IVE no muestra
esta opción si no ha creado un perfil de recursos del applet de Java hospedado.)

Definición de perfiles de recursos: applets de Java hospedados „ 353

 Guía de administración de Secure Access de Juniper Networks

4. Seleccione un perfil de recursos existente.

5. Haga clic en OK. (Si aún no ha asociado el rol seleccionado con el perfil de
recursos, el IVE realiza la asociación de forma automática. El IVE también
habilita cualquier directiva de control de acceso para el rol que requiere el perfil
de recursos.)

6. Si este rol aún no ha sido asociado con el perfil de recursos seleccionado, el IVE
muestra un mensaje informativo. Si ve este mensaje, haga clic en Save
Changes para agregar este rol a la lista de roles del perfil de recursos y para
actualizar las directivas automáticas del perfil, según se requiera. A
continuación, repita el paso anterior para crear el marcador.

7. Use las instrucciones de “Definición de marcadores del applet de Java

hospedado” en la página 352 para configurar los ajustes del marcador.

NOTA: Al crear un marcador de perfil de recursos mediante la página de roles de

usuario (en lugar de la página de perfiles de recursos estándar), el IVE sólo asocia
el marcador generado con el rol seleccionado. El IVE no asigna el marcador con
todos los roles asociados con el perfil de recursos seleccionado.

Atributos necesarios para los applets de Java cargados

Cuando crea un marcador de applets de Java mediante el IVE, debe definir los
siguientes atributos y sus valores correspondientes. Si usa la característica Generate
HTML, el IVE llena parte de esta información y agrega PLEASE_SPECIFY a los
atributos cuyos valores debe especificar. Al especificar atributos y sus valores
correspondientes, use el formato attribute=”value”.

NOTA: El IVE genera los parámetros que sabe que necesitará. Sin embargo, tenga
en cuenta que el IVE no está al tanto de todos los parámetros específicos que
requiere su applet; por lo tanto, debe buscar y llenar estos parámetros usted
mismo.

Los atributos que requiere el IVE son:

„ code: indica qué clase de archivo invocar en el applet de Java. Use este valor
para designar la función principal del applet de Java. Ejemplo:

applet code="com.citrix.JICA"

„ codebase: indica si el explorador Web puede buscar el applet. Use la variable

<<CODEBASE>>, que designa la ubicación en el IVE donde el IVE almacena el
applet de Java. Cuando introduzca la ruta de un archivo, tenga en cuenta que
<<CODEBASE>> incluye una barra diagonal al final, lo que significa que el
siguiente ejemplo funciona:

<img src="<<CODEBASE>>path/to/file">

Mientras que este ejemplo no funciona:

<img src="<<CODEBASE>>/path/to/file">

354 „ Definición de perfiles de recursos: applets de Java hospedados

 Capítulo 13: Plantillas de applets de Java hospedados

„ archive: indica qué archivo de almacenamiento (es decir, archivo .jar, .cab o .zip)
debe buscar el explorador de Web. Ejemplo:

archive="JICAEngN.jar"

Además de los atributos requeridos que se indicaron con anterioridad, puede usar
los siguientes atributos opcionales al crear un marcador de applet de Java:

„ name: especifica una etiqueta para el applet de Java. Ejemplo:

name="CitrixJICA"

„ host: especifica, para las sesiones de terminal, el servidor al que debe

conectarse el IVE.

„ port: especifica, para las sesiones de terminal, el puerto al que debe conectarse
el IVE.

„ width and height: indica el tamaño de la ventana del applet de Java. Ejemplo:

width="640" height="480"

„ align: indica la alineación de la ventana del applet de Java dentro de la ventana

del explorador. Ejemplo:

align="top"

NOTA: Cuando defina atributos y sus valores correspondientes, tenga en cuenta

lo siguiente:

„ Se recomienda encarecidamente que no incluya el parámetro

useslibrarycabbase en el código HTML, porque provoca que el archivo cab
se instale permanentemente en el equipo del usuario. Si con posterioridad
cambia un archivo cab en el IVE, todos los usuarios deberán eliminar
manualmente los archivos cab de sus equipos para obtener la nueva versión
del IVE.

„ No se admiten las etiquetas de applet que se crean mediante la función

document.write porque el código HTML dinámico interfiere con el analizador
sintáctico del IVE.

„ No se admiten los vínculos relativos a URL, documentos o imágenes en el

código HTML, ya que los vínculos se dividirían cuando el usuario intentara
obtener acceso a ellos desde la consola del usuario final del IVE. En cambio,
debe incluir vínculos absolutos. Si realiza una vinculación a un documento o
imagen incluida en el archivo zip, use la variable <<CODEBASE>> que indica
que el IVE puede encontrar el archivo en el archivo de almacenamiento zip
cargado en el IVE. Por ejemplo:

<img src="<<CODEBASE>>yourcompany_logo.gif" alt="YourCompany">

Definición de perfiles de recursos: applets de Java hospedados „ 355

 Guía de administración de Secure Access de Juniper Networks

Parámetros necesarios para los applets de Java cargados

Cuando crea un marcador de applets de Java mediante el IVE, debe especificar los
parámetros y valores que el IVE debe pasar al applet de Java. Estos parámetros son
completamente específicos del applet. Al especificar parámetros y sus valores
correspondientes, use el siguiente formato:

<param name=”parameterName” value=”valueName”>

Donde todo el texto es literal excepto parameterName y valueName.

Puede usar las variables del IVE para pasar los valores al applet de Java encerrando
los nombres de variables entre paréntesis angulados dobles. Por ejemplo, puede
elegir pasar los valores <<username>> y <<password>> al applet de Java. Para
obtener una lista de las variables disponibles en el IVE, consulte “Variables del
sistema y ejemplos” en la página 1046.

NOTA: Al usar la característica de carga de applet de Java, si incluye el token de

<password> dentro del código HTML generado, aparece como texto puro si ve el
origen en la ventana del explorador que inicia el applet. Este comportamiento no
se puede cambiar porque el IVE no controla la forma en que el applet de Java
procesa la contraseña. No se recomienda el uso del token <<password>> en el
código HTML.

Si encuentra una página Web que contiene un applet que desea usar, vaya al sitio de
demostración y vea el origen en la página que ejecuta el applet de Java. Dentro del
origen, busque la etiqueta applet. Elija el atributo code en el origen y determine si
contiene algún parámetro especial que deba pasar al explorador. En la mayoría de
los casos, debe copiar y pegar el atributo code y sus parámetros correspondientes
directamente en el campo HTML del marcador del IVE. Sin embargo, tenga en
cuenta que si el parámetro hace referencia a un recurso en el servidor Web local,
no podrá copiar y pegar la referencia en el marcador del IVE porque el IVE no tiene
acceso a los otros recursos locales del servidor Web. Al copiar y pegar parámetros
de otro origen, siempre compruebe los valores de los parámetros.

356 „ Definición de perfiles de recursos: applets de Java hospedados

 Capítulo 13: Plantillas de applets de Java hospedados

Caso de uso: creación de un marcador de applet de Java Citrix

JICA 9.5
Este tema analiza cómo habilitar el acceso a un servidor Citrix Metaframe mediante
el IVE usando la versión 9.5 de Java del cliente Citrix ICA (JICA).

NOTA:

„ Además del método descrito aquí, también puede usar los perfiles de recursos
de Terminal Services para hospedar las versiones de Java de los clientes Citrix
ICA en el IVE. Para obtener instrucciones, consulte “Definición de directivas
automáticas del applet de Java hospedado” en la página 573.

„ El IVE admite varios mecanismos para la intermediación de tráfico entre un

servidor y cliente Citrix, incluyendo Terminal Services, JSAM, WSAM, Network
Connect y las características de applets de Java hospedados. Para determinar
qué mecanismo funciona mejor con su entorno, consulte “Comparación de
los mecanismos de acceso del IVE para la configuración de Citrix” en la
página 362.

Para permitir que el cliente Citrix JICA 9.5 pueda usar característica de carga de
applets de Java:

1. Importe los certificados de firma de código como se explicó en “Uso de

certificados de firma de código” en la página 776.

2. Descargue JICAcomponents.zip desde la página de descargas citrix.com.

3. Cree un perfil de recursos de applet de Java mediante la página Users >

Resource Profiles > Web de la consola de administración. Al definir el perfil
de recursos:

a. Cargue el archivo contenedor de Citrix almacenado en el IVE.

b. Cuando cargue el applet, seleccione la casilla de verificación Uncompress

jar/cab file porque el archivo contenedor incluye varios archivos jar y cab.

c. Especifique cualquier servidor Metaframe al que puedan conectarse estos

applets.

d. Asigne el perfil de recursos a las funciones adecuadas.

(Para obtener información detallada, consulte “Definición de perfiles de

recursos: applets de Java hospedados” en la página 350.)

4. Genere la página Web para el marcador en la ficha Bookmarks del perfil de

recursos. El IVE inserta automáticamente todos los archivos .jar en la página
Web correspondiente. (JICA 95 admite sólo JVM de Sun, por lo que no hay
archivos cab.) Especifique los parámetros para el cliente Citrix usando los
siguientes ejemplos como pauta. (Tenga en cuenta que el marcador de
“Ejemplo de applet JICA 9.5” en la página 358 puede contener referencias
a los archivos jar y cab presentes en el archivo zip).

Caso de uso: creación de un marcador de applet de Java Citrix JICA 9.5 „ 357
 Guía de administración de Secure Access de Juniper Networks

Ejemplo de applet JICA 9.5

<html>
<head>
<title>jica95 Applet</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<!--
Notas:
1) << CODEBASE >> es un valor de sistema que se reemplazará en el momento en
que se inicie el applet. No modifique este valor.
2) Modifique los valores restantes, según sea necesario.
3) Asegúrese de que todos los nombres/valores de atributos estén encerrados en
comillas dobles.
-->
<body>
<applet code="com.citrix.JICA"
codebase="<< CODEBASE >>"
archive="JICA-browseN.jar,JICA-cdmN.jar,JICA-clipboardN.jar,JICA-
configN.jar,JICA-coreN.jar,JICA-printerN.jar,JICA-seamlessN.jar,JICA-sicaN.jar,JICA-
zlcN.jar,JICAEngN.jar,cryptojN.jar,sslN.jar,JICA-audioN.jar"
width="640" height="480"
name="jica95" align="top">
<param name="code" value="com.citrix.JICA">
<param name="codebase" value="<< CODEBASE >>">
<param name="archive" value="JICA-browseN.jar,JICA-cdmN.jar,JICA-
clipboardN.jar,JICA-configN.jar,JICA-coreN.jar,JICA-printerN.jar,JICA-seamlessN.jar,JICA-
sicaN.jar,JICA-zlcN.jar,JICAEngN.jar,cryptojN.jar,sslN.jar,JICA-audioN.jar">
<param name="cabbase" value="">
<param name="name" value="jica95">
<param name="width" value="640">
<param name="height" value="480">
<param name="align" value="top">
<!--
Especifique parámetros adicionales aquí después del comentario.
<param name="paramname" value="paramvalue">
-->
<param name="Address" value="__PLEASE_SPECIFY__">
<param name="Username" value="<< user >>">
<param name="password" value="<< password >>">
<param name="EncryptionLevel" value="1">
<param name="BrowserProtocol" value="HTTPonTCP">
</applet>
</body>
</html>

358 „ Caso de uso: creación de un marcador de applet de Java Citrix JICA 9.5
 Capítulo 13: Plantillas de applets de Java hospedados

Ejemplo de JICA 8.x

Los siguientes ejemplos incluyen código HTML generado para el cliente 8.x JICA,
que es compatible con JVM de Sun y MS:

<html>
<head>
<title>CitrixJICA Applet.</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<!--
Notas:
1) << CODEBASE >> es un valor de sistema que se
reemplazará en el momento en que se inicie el applet.
No modifique este valor.
2) Modifique los valores restantes, según sea necesario.
3) Asegúrese de que todos los nombres/valores de atributos estén
encerrados en comillas dobles.
-->
<body>
<applet code="com.citrix.JICA"
codebase="<< CODEBASE >>"
archive="JICAEngN.jar,JICA-sicaN.jar,cryptojN.jar,JICA-configN.jar,JICA-
coreN.jar"
width="640" height="480"
name="CitrixJICA" align="top">
<param name="code" value="com.citrix.JICA">
<param name="codebase" value="<< CODEBASE >>">
<param name="archive" value="JICAEngN.jar,JICA-sicaN.jar,cryptojN.jar,JICA-
configN.jar,JICA-coreN.jar">
<param name="cabbase" value="cryptojM.cab,JICA-
configM.cab,JICAEngM.cab,JICA-sicaM.cab,JICA-coreM.cab">
<param name="name" value="CitrixJICA">
<param name="width" value="640">
<param name="height" value="480">
<param name="align" value="top">
<!--
Especifique parámetros adicionales aquí después del comentario.
<param name="paramname" value="paramvalue">
-->
<param name="Address" value="__PLEASE_SPECIFY__">
<param name="Username" value="<< user >>">
<param name="password" value="<< password >>">
<param name="EncryptionLevel" value="1">
<param name="BrowserProtocol" value="HTTPonTCP">
</applet>
</body>
</html>

Caso de uso: creación de un marcador de applet de Java Citrix JICA 9.5 „ 359
 Guía de administración de Secure Access de Juniper Networks

360 „ Caso de uso: creación de un marcador de applet de Java Citrix JICA 9.5
 Capítulo 14: Plantillas de Citrix

Capítulo 14
Plantillas de Citrix

El IVE admite varios mecanismos para la intermediación de tráfico entre un

servidor y cliente Citrix, incluido el proxy Juniper Networks Citrix Terminal
Services, JSAM, WSAM, Network Connect y las características de applets de
Java hospedados.

La plantilla Web de Citrix le permite configurar fácilmente el acceso a un servidor

Citrix mediante el proxy Juniper Networks Citrix Terminal Services, JSAM o WSAM.
La plantilla Web de Citrix es un perfil de recursos que controla el acceso a las
aplicaciones de Citrix y configura los ajustes de Citrix según sea necesario. Las
plantillas Web de Citrix reducen considerablemente el tiempo de configuración
agrupando los ajustes de configuración en un solo lugar y llenando previamente
una variedad de ajustes de directivas de recursos para usted dependiendo del tipo
de configuración de Citrix que seleccione.

Debe usar la plantilla Web de Citrix si ya tiene instalada la interfaz Web de Citrix
en su entorno o si usa un servidor Web para hospedar los archivos ICA. Consulte
“Perfiles de recursos” en la página 91.

Este tema contiene la siguiente información sobre las plantillas de Citrix:

„ “Información general sobre las plantillas Web de Citrix” en la página 361

„ “Comparación de los mecanismos de acceso del IVE para la configuración de

Citrix” en la página 362

„ “Creación de perfiles de recursos mediante aplicaciones Web de Citrix” en la

página 365

Información general sobre las plantillas Web de Citrix

Debido a sus configuraciones altamente simplificadas, las plantillas corresponden
al método ideal de configuración de Citrix si desea entregar applets ActiveX o Java
desde un servidor Web de terceros a través del IVE.

Las plantillas Web de Citrix simplifican la configuración detectando

automáticamente el uso del cliente Web de Citrix o del applet de Citrix Java,
y empleando el mecanismo de acceso correspondiente del IVE según corresponda.
Por ejemplo, si tiene configurada la interfaz Web de Citrix para entregar un cliente
Java, el IVE usa automáticamente su motor de reescritura Java para el tráfico de
túnel. Si tiene configurada la interfaz Web de Citrix para entregar un cliente
ActiveX, el IVE usa su características de Citrix Terminal Services, JSAM o WSAM
(dependiendo de la opción que seleccione) para el tráfico de túnel.

Información general sobre las plantillas Web de Citrix „ 361

 Guía de administración de Secure Access de Juniper Networks

Se recomienda encarecidamente el uso de las plantillas de Citrix en lugar de las

opciones de configuración tradicionales de directivas de rol y recursos disponibles
a través del IVE.

NOTA: No admitimos guardar un acceso directo a la aplicación de Citrix en el

escritorio a través del IVE cuando la dirección IP de bucle invertido se ejecuta en
el cliente. Si hace doble clic en este acceso directo, aparece un error ya que no usa
WSAM ni JSAM.

Comparación de los mecanismos de acceso del IVE para la

configuración de Citrix
El IVE admite varios mecanismos para la intermediación de tráfico entre un
servidor y un cliente Citrix, incluyendo el proxy Citrix Terminal Services, JSAM,
WSAM, Network Connect y las características de applets de Java hospedados.

Las siguientes tablas describen las diferencias al utilizar el proxy Citrix Terminal
Services, JSAM y WSAM para tener acceso a Citrix:

„ La Tabla 19 describe las diferencias clave al acceder a un servidor Citrix

Metaframe a través de un servidor de interfaz Web de Citrix. Las descripciones
de esta tabla se centran en la configuración de Citrix Terminal Services, JSAM y
WSAM a través de las plantillas de perfil de recursos web (seleccione Users >
Resource Profiles > Web, haga clic en New Profile y seleccione Citrix Web
interface/JICA en la lista Type.)

„ La Tabla 20 describe las diferencias clave al acceder a un servidor Citrix

Metaframe sin usar un servidor de interfaz Web de Citrix. Las descripciones de
esta tabla se centran en la configuración de Citrix Terminal Services, JSAM y
WSAM a través de perfiles de recursos estándar (seleccione Users > Resource
Profiles > SAM o Terminal Services.)

NOTA: Si desea configurar el acceso a un servidor Citrix Metaframe a través de

un servidor de interfaz Web de Citrix, debe usar las plantillas de perfil de recursos
web. Si desea configurar el acceso a un servidor Citrix Metaframe sin usar un
servidor de interfaz Web de Citrix, debe usar un perfil de recursos o un rol de
Citrix Terminal Services o WSAM.

362 „ Comparación de los mecanismos de acceso del IVE para la configuración de Citrix

Tabla 19: Acceso al servidor de interfaz Web de Citrix mediante plantillas de perfil de recursos web
Requisito Terminal Services
Experiencia de usuario 1. El usuario debe hacer clic en
el marcador de interfaz Web
de Citrix en la sección Web
Bookmarks de la consola de
usuario final del IVE.
2. El usuario pasa a la página de
inicio de sesión de la interfaz 3. El usuario pasa a la página
Web (WI) de Citrix
(suponiendo que no configuró
FORM POST SSO).
3. Una vez que el usuario inicia
sesión en el portal WI (ya sea 4. Una vez que el usuario inicia 4. Una vez que el usuario inicia
de forma manual o
automática a través de SSO),
pasa a la página del portal
WI de Citrix, que contiene
la lista de aplicaciones
publicadas de forma
de icono.
4. Cuando el usuario hace clic
en la aplicación publicada,
se inicia el proxy
Juniper Networks Citrix
Terminal Services (CTS), y
el tráfico de ICA se transmite
por un túnel a través del
proxy Juniper Networks CTS.
Acceso a las No se admite en Mac ni Linux.
aplicaciones publicadas
de Mac o Linux
Configuración El IVE supervisa
de puertos automáticamente todo el tráfico
en el puerto 1494 si se desactiva
la fiablilidad de la sesión en el
servidor. El IVE supervisa el
puerto 2598 si se activa la
fiablilidad de la sesión. No es
necesario especificar los puertos
que desea supervisar ni las
aplicaciones que necesitan
intermediación.
Privilegios de Si un cliente Web de Citrix no
administrador está instalado en el escritorio
del usuario, se requieren
privilegios de administrador.
Ésta es una limitación de la
instalación del cliente Citrix.
Para instalar y ejecutar el cliente
de proxy Juniper Networks
Citrix Terminal Services, no se
requieren privilegios de
administrador.
Comparación de los mecanismos de acceso del IVE para la configuración de Citrix „ 363
JSAM
1. El usuario inicia JSAM.
2. El usuario debe hacer clic en 2. El usuario debe hacer clic en
el marcador de interfaz Web
de Citrix en la sección Web
Bookmarks de la consola de
usuario final del IVE.
3. El usuario pasa a la página
de inicio de sesión de la
interfaz Web (WI) de Citrix
(suponiendo que no
configuró FORM POST SSO).
sesión en el portal WI (ya sea
de forma manual o
automática a través de SSO),
pasa a la página del portal
WI de Citrix, que contiene
la lista de aplicaciones
publicadas de forma
de icono.
5. Cuando el usuario hace clic 5. Cuando el usuario hace clic
en la aplicación publicada,
el tráfico de ICA se transmite
por un túnel a través
de JSAM.
Se admite en Mac y en Linux.
Debe especificar los puertos
que debe supervisar el IVE.
Esto le permite tener acceso
a las aplicaciones publicadas
que usan puertos que no sean
el 1494.
Si un cliente Web de Citrix no
está instalado en el escritorio
del usuario, se requieren
privilegios de administrador.
Ésta es una limitación de la
instalación del cliente Citrix.
Para ejecutar JSAM, no se
requieren privilegios de
administrador.
Capítulo 14: Plantillas de Citrix
WSAM
1. El usuario inicia WSAM.
el marcador de interfaz Web
de Citrix en la sección Web
Bookmarks de la consola de
usuario final del IVE.
de inicio de sesión de la
interfaz Web (WI) de Citrix
(suponiendo que no
configuró FORM POST SSO).
sesión en el portal WI (ya sea
de forma manual o
automática a través de SSO),
pasa a la página del portal
WI de Citrix, que contiene
la lista de aplicaciones
publicadas de forma
de icono.
en la aplicación publicada,
el tráfico de ICA se transmite
por un túnel a través
de WSAM.
No se admite en Mac ni Linux.
No es necesario especificar los
puertos que desea supervisar ni
las aplicaciones que necesitan
intermediación. WSAM
funciona en modo app y
supervisa todo el tráfico que
proviene de determinados
ejecutables de Citrix.
Requiere privilegios
de administrador para
instalar WSAM.
 Guía de administración de Secure Access de Juniper Networks

Tabla 19: Acceso al servidor de interfaz Web de Citrix mediante plantillas de perfil de recursos web

Requisito Terminal Services JSAM WSAM

Modificación de No requiere modificación del No requiere modificación del No requiere modificación del
archivos de host archivo etc/hosts. archivo etc/hosts. archivo etc/hosts.
Más información “Creación de perfiles de “Información general de JSAM” “Información general de
recursos mediante aplicaciones en la página 516. WSAM” en la página 493.
Web de Citrix” en la página 365.

Tabla 20: Acceso a servidores de interfaz Web no de Citrix mediante mecanismos de acceso estándar del IVE

Requisito Terminal Services JSAM WSAM

Experiencia de usuario El usuario inicia la aplicación 1. JSAM se inicia
publicada haciendo clic en el
marcador o icono de la sección
Terminal Services de la consola
de usuario final del IVE.
Acceso a las Los usuarios de Macintosh y
aplicaciones publicadas Linux no pueden tener acceso
de Mac o Linux a las aplicaciones publicadas de
un servidor Citrix Metaframe.
Configuración de Puede especificar los puertos
administrador a los que el IVE debe
proporcionar intermediación.
Además, si no configura esta
información, el IVE supervisa
automáticamente los puertos
1494 y 2598.
Privilegios de Si un cliente Web de Citrix no
administrador está instalado en el escritorio
del usuario, se requieren
privilegios de administrador.
Ésta es una limitación de la
instalación del cliente Citrix.
Para instalar y ejecutar el cliente
de proxy Juniper Networks
Citrix Terminal Services, no se
requieren privilegios de
administrador.
Modificación de archivos No requiere modificación del
de host archivo etc/hosts.
Más información “Terminal Services” en la
página 563
1. WSAM se inicia
automáticamente cuando automáticamente cuando
el usuario inicia sesión en el usuario inicia sesión en
el IVE o inicia manualmente el IVE o inicia manualmente
JSAM. WSAM.
2. El usuario inicia la aplicación 2. El usuario inicia la aplicación
publicada mediante los publicada mediante los
métodos estándar, como el métodos estándar, como el
menú de inicio de Windows menú de inicio de Windows
o un icono del escritorio. o un icono del escritorio.
Los usuarios de Macintosh y Los usuarios de Macintosh y
Linux pueden tener acceso a Linux no pueden tener acceso
las aplicaciones publicadas de a las aplicaciones publicadas de
un servidor Citrix Metaframe. un servidor Citrix Metaframe.
No puede configurar Citrix Debe especificar los puertos
como una aplicación estándar. y las aplicaciones que debe
En cambio, debe crear una supervisar el IVE. Esto le
aplicación personalizada de permite usar aplicaciones tales
JSAM, proporcionar los como puertas de enlace Citrix
nombres de todos los Secure (CSG) y aplicaciones
servidores Metaframe y publicadas que usan puertos
especificar los puertos que que no son el 1494.
debe supervisar el IVE. Esto le
permite usar aplicaciones tales
como puertas de enlace Citrix
Secure (CSG) y aplicaciones
publicadas que usan puertos
que no son el 1494.
Requiere privilegios de Requiere privilegios de
administrador para ejecutar administrador para instalar
JSAM debido a que se requieren WSAM.
modificaciones del archivo de
etc/hosts.
Requiere modificación del No requiere modificación del
archivo de etc/hosts. archivo etc/hosts.
“Información general de JSAM” “Información general de
en la página 516 WSAM” en la página 493.

364 „ Comparación de los mecanismos de acceso del IVE para la configuración de Citrix
 Capítulo 14: Plantillas de Citrix

Creación de perfiles de recursos mediante aplicaciones Web de Citrix

La plantilla Web de Citrix le permite configurar fácilmente el acceso a Citrix
mediante el proxy Juniper Networks Citrix Terminal Services, JSAM o WSAM.

Para crear un perfil de recursos con la plantilla de Citrix:

1. Seleccione Users > Resource Profiles > Web en la consola de administración.

2. Haga clic en New Profile.

3. Seleccione Citrix Web Interface/JICA en la lista Type.

4. Introduzca un nombre único y una descripción opcional para el perfil de

recursos de Citrix.

5. Introduzca la URL del servidor Web que hospeda los archivos ICA en el campo
Web Interface (NFuse) URL. Use el formato: [protocolo://]host[:puerto][/ruta].
Por ejemplo, introduzca la URL de un servidor NFuse, la interfaz Web para un
servidor Citrix Metaframe Presentation o un servidor Web del cual el IVE puede
descargar applets de Citrix Java o archivos cab de Citrix. (El IVE utiliza la URL
especificada para definir el marcador predeterminado del perfil de recursos de
Citrix.) Puede introducir una URL de directorio o una URL de archivo. Para
obtener directrices detalladas sobre cómo aplicar formato a recursos Web,
consulte “Definición de URL de base” en la página 394.

6. Especifique el tipo de administración de Citrix que va a usar en su entorno

seleccionando una de las siguientes opciones:

„ Java ICA Client with Web Interface (NFuse): Seleccione esta opción
si implementó la interfaz Web de Citrix para MPS (es decir, NFuse) para
entregar clientes Java ICA.

„ Java ICA Client without Web Interface (NFuse): Seleccione esta opción
si implementó un servidor Web genérico para entregar clientes Java ICA.

„ Non-Java ICA Client with Web Interface (NFuse): Seleccione esta opción
si implementó la interfaz Web de Citrix para MPS (es decir, NFuse) para
usar cualquiera de los diferentes clientes (Java, ActiveX, local).

„ Non-Java ICA Client without Web Interface (NFuse): (Sólo lectura) Si

implementó un cliente que no sea Java ICA sin la interfaz Web de Citrix
para MPS (es decir, NFuse), no puede crear un perfil de recursos de Citrix
a través de esta plantilla. En lugar de ello, haga clic en el enlace client
application profile bajo esta opción. El enlace conduce a la página Client
Application Profiles, donde puede crear un perfil de recursos de SAM.
Para obtener instrucciones, consulte “Especificación de aplicaciones y
servidores para proteger con WSAM” en la página 501.

Creación de perfiles de recursos mediante aplicaciones Web de Citrix „ 365

 Guía de administración de Secure Access de Juniper Networks

7. En la lista Web Interface (NFuse) version, seleccione la versión de Citrix que

va a utilizar. (El IVE usa este valor para llenar previamente los valores de los
formularios POST SSO en su directiva automática de inicio de sesión único.
Para obtener más información, consulte “Especificación de opciones de
directiva automática de SSO remoto” en la página 400.)

8. Especifique los servidores Metaframe de los cuales desea controlar el acceso

en el área de servidores MetaFrame. Luego, haga clic en Add. Al especificar
servidores, puede introducir comodines o rangos IP.

El IVE usa los valores que introduce para crear automáticamente una directiva
de recursos correspondiente que permite el acceso a los recursos necesarios:

„ Si selecciona Java ICA Client with o without Web Interface, el IVE crea
una directiva de recursos de Java ACL correspondiente que permite que los
applets Java se conecten con los servidores Metaframe especificados.

„ Si selecciona Non-Java ICA Client with Web Interface y luego ICA client
connects over WSAM o JSAM (abajo), el IVE crea una directiva de recursos
SAM correspondiente, que permite a los usuarios tener acceso a los
servidores a los servidores Metaframe especificados.

„ Si selecciona Non-Java ICA Client with Web Interface y luego ICA client
connects over CTS, el IVE crea directivas de recursos de Terminal Services
y Java correspondientes, que permite a los usuarios tener acceso a los
servidores a los servidores Metaframe especificados.

9. (Sólo clientes Java ICA.) Si implementó Citrix con un cliente Java ICA, seleccione
la casilla de verificación Sign applets with uploaded code-signing
certificate(s) para volver a iniciar los recursos especificados con el certificado
cargado a través de la página System > Configuration > Certificates >
Code-signing Certificates de la consola de administración. (Para obtener
instrucciones, consulte “Uso de certificados de firma de código” en la
página 776.)

Al seleccionar esta opción, el IVE usa todos los valores “allow” que introduzca
en la directiva automática de control de acceso Web del perfil de recursos para
crear automáticamente una directiva de recursos de firma de código
correspondiente. En esta directiva, el IVE usa los recursos Web especificados
para crear una lista de servidores de confianza.

10. (Sólo clientes ICA no de Java) Si implementó Citrix con un cliente ICA no de
Java con una interfaz Web, debe usar el proxy Juniper Networks Citrix Terminal
Services, Secure Application Manager o Network Connect para ofrecer tráfico
seguro a los servidores Metaframe en lugar del motor de intermediación de
contenido. Para ofrecer tráfico seguro a través de Network Connect, consulte
las instrucciones en “Network Connect” en la página 655.

366 „ Creación de perfiles de recursos mediante aplicaciones Web de Citrix

 Capítulo 14: Plantillas de Citrix

Para ofrecer tráfico seguro a través del proxy Juniper Citrix Terminal Services o
de Secure Application Manager, seleccione una de las siguientes opciones en la
sección ICA Client Access:

„ ICA client connects over CTS Client: Seleccione esta opción para ofrecer
tráfico seguro de Citrix a través del cliente de Citrix Terminal Services (si
los usuarios utilizan clientes ActiveX) o el motor de reescritura Java (si los
usuarios utilizan clientes Java) del IVE. (Al seleccionar esta opción, el IVE
habilita automáticamente la opción Terminal Services de la página Users >
User Roles > Seleccionar rol > General > Overview de la consola de
administración.)

NOTA: Si utiliza un servidor Web de terceros, como el servidor de Intranet de su

empresa para entregar el archivo ICA, asegúrese de que el tipo de contenido del
encabezado de respuesta HTTP sea application/x-ica. Sólo entonces, el IVE
proporciona intermediación automática al archivo ICA e inicia su cliente Citrix
Terminal Services para transmitir el tráfico por un túnel.

NOTA: Si selecciona esta opción, le recomendamos inhabilitar las descargas de

clientes Citrix a través de la interfaz Web de Citrix. De lo contrario, los usuarios
pueden iniciar inadvertidamente dos ventanas diferentes que descargan
simultáneamente dos versiones del cliente Citrix: una a través del IVE (que
automáticamente intenta descargar el cliente Citrix si no hay uno en el equipo
del usuario) y uno a través de la interfaz Web de Citrix.

„ ICA client connects over WSAM: Seleccione esta opción para ofrecer
tráfico seguro mediante WSAM. (Al seleccionar esta opción, el IVE habilita
automáticamente la opción Secure Application Manager de la página Users
> User Roles > Seleccionar rol > General > Overview de la consola de
administración.)

„ ICA client connects over JSAM: Seleccione esta opción para ofrecer tráfico
seguro mediante JSAM. Luego, configure las siguientes opciones:

i. Number of Servers/Applications: Introduzca el menor de los

siguientes dos números: el número máximo de servidores Citrix en su
entorno o el número máximo de aplicaciones publicadas que el usuario
puede abrir simultáneamente. Por ejemplo, si el entorno contiene un
servidor y cinco aplicaciones publicadas, introduzca 1 en este campo,
o si el entorno contiene 20 servidores y 10 aplicaciones publicadas,
introduzca 10. El valor máximo que acepta este campo es 99.

Creación de perfiles de recursos mediante aplicaciones Web de Citrix „ 367

 Guía de administración de Secure Access de Juniper Networks

ii. Citrix Ports: Especifique los puertos en los cuales escuchan los
servidores Metaframe.

(Al seleccionar la opción ICA client connects over JSAM, el IVE habilita
automáticamente la opción Secure Application Manager en la página
Users > User Roles > Seleccionar rol > General > Overview de la consola
de administración.)

NOTA: No se puede habilitar WSAM y JSAM para el mismo rol. Por lo tanto,
si intenta crear un perfil de recursos de Citrix que utilice uno de estos mecanismos
de acceso (por ejemplo, JSAM), y otro perfil asociado con el rol ya usa el otro
mecanismo de acceso (por ejemplo, WSAM), el IVE no habilita el nuevo
mecanismo de acceso (JSAM) para el rol. Tenga en cuenta además que sólo puede
usar WSAM o JSAM para configurar el acceso a una aplicación de Citrix por rol
de usuario.

11. (Sólo para clientes ICA no de Java con interfaz Web.) Si desea permitir a los
usuarios tener acceso a los recursos locales, como impresoras y unidades a
través de las sesiones de su interfaz Web de Citrix, seleccione la casilla de
verificación Configure access to local resources. Luego, seleccione las
siguientes opciones:

„ Seleccione Connect printers si desea habilitar al usuario para que imprima

la información del servidor terminal a su impresora local.

„ Seleccione Connect drives si desea habilitar al usuario para que copie la

información del servidor terminal a sus directorios de clientes locales.

„ Seleccione Connect COM Ports si desea habilitar la comunicación entre el

servidor y los dispositivos terminales de los puertos serie del usuario.

NOTA:

„ Para controlar el acceso a los recursos locales exclusivamente a través de

los ajustes de su servidor Citrix Metaframe, borre la casilla de verificación
Configure access to local resources. Una vez borrada esta opción, surten
efecto los ajustes del servidor Metaframe. O bien, si desea omitir
selectivamente los ajustes del servidor Citrix Metaframe para el marcador,
seleccione la casilla de verificación Configure access to local resources y
especifique los recursos locales de los cuales desea habilitar o inhabilitar el
acceso. Tenga en cuenta que, aunque habilite el acceso a un recurso local a
través del IVE, deberá habilitarlo también a través del servidor Metaframe.

„ Cuando habilita recursos locales a través del servidor de terminal, cada

usuario sólo puede tener acceso a sus propios recursos locales. Por ejemplo,
el usuario 1 no puede ver los directorios locales del usuario 2.

368 „ Creación de perfiles de recursos mediante aplicaciones Web de Citrix

 Capítulo 14: Plantillas de Citrix

12. Seleccione la casilla de verificación Autopolicy: Web Access Control para crear
una directiva que permita o deniegue a los usuarios el acceso a los recursos
especificados en el campo URL de la interfaz Web (NFuse). (De forma
predeterminada, el IVE crea automáticamente una directiva que permita el
acceso a los recursos y a todos los subdirectorios.) Para obtener información
detallada, consulte “Definición de una directiva automática de control de
acceso web” en la página 395.

13. Si selecciona una de las opciones de interfaz Web anteriores, actualice la

directiva SSO creada por la plantilla de Citrix. Seleccione la casilla de
verificación Autopolicy: Single Sign-on. (Las directivas automáticas de inicio
de sesión único configuran el IVE para que transmita automáticamente datos
del IVE, como nombres de usuario y contraseñas, a la aplicación de Citrix. El
IVE agrega automáticamente los valores usados con mayor frecuencia a la
directiva automática de inicio de sesión único según la implementación de
Citrix que elija.)

Al seleccionar inicio de sesión único, las cookies WIClientInfo y WINGSession

se llenan previamente de forma automática además del recurso POST y la URL.
Para obtener información detallada, consulte “Especificación de opciones de
directiva automática de SSO remoto” en la página 400.

También, si selecciona la opción de interfaz no Web, puede crear

opcionalmente su propia directiva automática de inicio de sesión único gracias
a las instrucciones de “Definición de una directiva automática de inicio de
sesión único” en la página 397.

14. Haga clic en Save and Continue.

15. Seleccione los roles de la ficha Roles a los que se aplica el perfil de recursos
de Citrix y haga clic en Add.

Los roles seleccionados heredan las directivas automáticas y los marcadores

creados por el perfil de recursos de Citrix. Si aún no está habilitada, el IVE
también habilita automáticamente la opción Web de la página Users > User
Roles > Seleccionar rol > General > Overview de la consola de administración
y la opción Allow Java Applets de la página Users > User Roles > Seleccionar
rol > Web > Options de la consola de administración para todos los roles que
seleccione.

16. Haga clic en Save Changes.

17. (Opcional) En la ficha Bookmarks, modifique el marcador predeterminado

creado por el IVE o cree marcadores nuevos según las instrucciones de
“Definición de un marcador web” en la página 412. (De forma predeterminada,
el IVE crea un marcador en la URL de la interfaz Web (NFuse) definido en el
campo Web Interface (NFuse) URL y lo muestra a todos los usuarios asignados
al rol especificado en la ficha Roles.)

Creación de perfiles de recursos mediante aplicaciones Web de Citrix „ 369

 Guía de administración de Secure Access de Juniper Networks

370 „ Creación de perfiles de recursos mediante aplicaciones Web de Citrix

 Capítulo 15: Plantillas de Lotus iNotes

Capítulo 15
Plantillas de Lotus iNotes

Una plantilla de Lotus iNotes es un perfil de recursos que controla el acceso a la

aplicación web y configura los ajustes de iNotes según se necesite. Las plantillas
de Lotus iNotes reducen considerablemente el tiempo de configuración ya que
almacenan los ajustes todos juntos en un solo lugar, y rellenan varios ajustes
de las directivas de recursos de acuerdo con el tipo de configuración que haya
seleccionado. (Para obtener más información sobre las plantillas de perfiles de
recursos, consulte “Perfiles de recursos” en la página 91.)

El IVE admite la intermediación de tráfico a Lotus iNotes a través de una plantilla

del perfil de recursos de reescritura web o a través de JSAM, WSAM y Network
Connect. Este tema describe cómo configurar el acceso mediante la plantilla de
reescritura web. Los valores prellenados varían según la versión de iNotes que
seleccione y están determinados según la implementación más común de los
servidores.

Para obtener más información sobre las características de configuración de JSAM

y WSAM, consulte “Secure Application Manager” en la página 491. Para obtener
más información sobre la característica de configuración Network Connect,
consulte “Network Connect” en la página 655.

Para crear un perfil de recursos con una plantilla de Lotus iNotes:

1. Seleccione Users > Resource Profiles > Web en la consola de administración.

2. Haga clic en New Profile.

3. Seleccione la versión de Lotus Notes de la lista Type.

4. Introduzca un nombre único y una descripción opcional para el perfil de

recursos Lotus Notes.

5. En el cuadro Base URL, introduzca la URL del recurso Lotus iNotes del cual
desea controlar el acceso. Use el formato: [protocolo://]host[:puerto][/ruta].
El IVE utiliza la URL especificada para definir el marcador predeterminado del
perfil de recursos Lotus iNotes. Puede introducir una URL de directorio o una
URL de archivo. Para obtener directrices detalladas sobre cómo aplicar formato
a recursos Web, consulte “Definición de URL de base” en la página 394.

6. En los ajustes de iNotes, seleccione Allow caching on client para que los
exploradores web almacenen en el equipo del usuario datos que nos lo
identifican, como los archivos de Javascript y CSS. Seleccione Minimize
caching on client para permitir al IVE enviar un encabezado cache-control:
no-store o un encabezado cache-control:no-cache según el explorador web del
usuario y el tipo de contenido. Esto es lo mismo que el almacenamiento en
caché inteligente. Consulte “Definición de directivas de recursos:
almacenamiento en caché” en la página 433.

„ 371
 Guía de administración de Secure Access de Juniper Networks

La opción Allow caching on client almacena en caché el contenido que

normalmente almacena el servidor iNotes backend en su caché. Esta opción
mejora el rendimiento ya que usa el contenido almacenado en caché en lugar
de obtenerlo del servidor la próxima vez que se muestra la página. La opción
Minimize caching on client ofrece seguridad ya que envía un encabezado
cache-control:no-store o un encabezado cache-control:no-cache para que no se
almacene el contenido o bien para que se vuelva a validar el contenido
almacenado cada vez que se solicita. Con ambas opciones, se puede permitir
o impedir que se carguen o descarguen archivos adjuntos.

7. Marque la casilla de verificación Prevent download of attachments para

prohibir a los usuarios descargar archivos adjuntos en sus sistemas. Marque
la casilla de verificación Prevent upload of attachments (disponible sólo para
Lotus iNotes 6.5 y Lotus iNotes 7) para impedir que los usuarios transmitan
(carguen) archivos adjuntos al IVE.

8. Marque la casilla de verificación Autopolicy: Web Access Control para crear

una directiva que otorgue o niegue a los usuarios el acceso al recurso web
(y a todos sus subdirectorios) indicado en el campo Resource.

a. En el cuadro Resource, especifique el servidor web o página HTML

de la cual desea controlar el acceso usando el siguiente formato:
[protocolo://]host[:puerto][/ruta]. Para obtener directrices detalladas,
consulte “Definición de recursos Web” en la página 396.

b. En la lista Action, seleccione Allow para otorgar acceso al recurso

especificado o Deny para negarlo.

c. Haga clic en Add.

9. Marque la casilla de verificación Autopolicy: Caching en el cuadro Resource

para especificar los recursos a los que se aplica esta directiva. Para crear la
directiva automática de almacenamiento en caché, siga las instrucciones que
aparecen en “Definición de una directiva automática de almacenamiento en
caché” en la página 401.

NOTA: Debe configurarse la directiva de recursos de almacenamiento en caché

correcta para que los usuarios puedan abrir y guardar documentos adjuntos de
correo electrónico de distinto tipo en iNotes. Por ejemplo, si la directiva de
almacenamiento en caché está configurada en Smart, los usuarios finales no
podrán guardar en el disco documentos adjuntos con la extensión .htm o .html.

10. Marque la casilla de verificación Autopolicy: Web Compression para crear

una directiva que especifique los tipos de datos web que debe o no comprimir
el IVE.

a. En el campo Resources, especifique los recursos a los cuales se aplica

esta directiva. Para obtener directrices detalladas, consulte “Definición
de recursos Web” en la página 396.

372 „
 Capítulo 15: Plantillas de Lotus iNotes

b. Seleccione una de las siguientes opciones de la lista Action:

‰ Compress: El IVE comprime los tipos de contenido compatibles del

recurso específico.

‰ Do not compress: El IVE no comprime los tipos de contenido

compatibles del recurso específico.

c. Haga clic en Add.

11. Marque la casilla de verificación Autopolicy: Single Sign-On para pasar datos al
IVE tales como el nombre de usuario y la contraseña para la aplicación Lotus
iNotes. Para crear la directiva automática de inicio de sesión único, siga las
instrucciones de “Definición de una directiva automática de inicio de sesión
único” en la página 397.

12. Haga clic en Save and Continue.

13. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
Lotus iNotes y haga clic en Add.

Los roles seleccionados heredan las directivas automáticas y los marcadores

creados por el perfil de recursos Lotus iNotes. Si aún no se encuentra habilitada,
el IVE también habilita automáticamente la opción web en la página Users >
User Roles > Select Role > General > Overview de la consola de
administración.

14. Haga clic en Save Changes.

15. (Opcional) En la ficha Bookmarks, modifique el marcador predeterminado

creado por el IVE o cree marcadores nuevos según las instrucciones de
“Definición de un marcador web” en la página 412.

„ 373
 Guía de administración de Secure Access de Juniper Networks

374 „
 Capítulo 16: Plantillas de Microsoft OWA

Capítulo 16
Plantillas de Microsoft OWA

Una plantilla de Microsoft Outlook Web Access (OWA) es un perfil de recursos

que controla el acceso a la aplicación y configura los ajustes de OWA según sea
necesario. Las plantillas de OWA reducen significativamente el tiempo de
configuración al consolidar en un lugar los ajustes de configuración e introducir
de antemano una variedad de ajustes de directrices de recursos según el tipo de
configuración que escoja. (Para obtener más información sobre las plantillas de
perfiles de recursos, consulte “Perfiles de recursos” en la página 91.)

El IVE admite intermediación de tráfico con Microsoft OWA a través de una plantilla
de perfil de recursos de reescritura web, JSAM, WSAM, y Network Connect. Este
tema describe cómo configurar el acceso mediante la plantilla de reescritura web.
Los valores predefinidos varían según la versión de OWA seleccionada y se basan en
la implementación más común de los servidores.

Para obtener más información sobre las características de configuración de JSAM

y WSAM, consulte “Secure Application Manager” en la página 491. Para obtener
más información sobre la característica de configuración Network Connect,
consulte “Network Connect” en la página 655.

Para crear un perfil de recursos a través de la plantilla de Microsoft OWA:

1. Seleccione Users > Resource Profiles > Web Applications/Pages en la

consola de administración.

2. Haga clic en New Profile.

3. Seleccione Microsoft OWA 2000, Microsoft OWA 2003 o Microsoft OWA 2007
en la lista Type.

4. Introduzca un nombre exclusivo y una descripción opcional para el perfil de

recursos de Citrix.

5. Introduzca en el cuadro Base URL la URL del recurso OWA para el que desea
controlar el acceso. Use el formato: [protocolo://]host[:puerto][/ruta]. El IVE
utiliza la URL especificada para definir el marcador predeterminado del perfil
de recursos OWA. Puede introducir una URL de directorio o una URL de archivo.
Para obtener directrices detalladas sobre cómo aplicar formato a recursos Web,
consulte “Definición de URL de base” en la página 394.

„ 375
 Guía de administración de Secure Access de Juniper Networks

6. En ajustes de OWA, seleccione las siguientes opciones:

a. (OWA 2000 y OWA 2003.) Seleccione Allow caching on client para que los
exploradores web guarden en la máquina del usuario datos independientes
del usuario, tales como archivos Javascript y CSS.

La opción Allow caching on client guarda el contenido que el servidor

backend de OWA generalmente almacena. Esta opción mejora el
rendimiento ya que usa el contenido almacenado en caché en lugar
de obtenerlo del servidor la próxima vez que se muestra la página.

b. (OWA 2000 y OWA 2003.) Seleccione Minimize caching on client para que
el IVE envíe un encabezado cache-control:no-store o un encabezado cache-
control:no-cache (no guardar contenido o volver a validar el contenido
guardado cada vez que se solicite) según el explorador web del usuario
y el tipo de contenido. Esto es lo mismo que el almacenamiento en caché
inteligente.

c. (OWA 2007.) Seleccione Managed Device para guardar archivos. Si

configura un formulario post SSO, el parámetro de confianza se establece
en 4, lo que significa que el dispositivo del usuario final es privado.

d. (OWA 2007.) Seleccione Unmanaged Device para no guardar archivos. Si

configura un formulario post SSO, el parámetro de confianza se establece
en 0, lo que significa que el dispositivo del usuario final es público.

NOTA: Si es necesario descargar un archivo adjunto, el archivo se guarda incluso si

selecciona Unmanaged Device.

e. Seleccione Prevent download of attachments para prohibir que los

usuarios descarguen archivos adjuntos en sus sistemas.

f. Seleccione Prevent upload of attachments para evitar que los usuarios

transmitan (carguen) archivos adjuntos al IVE.

7. En Autopolicy: Web Access Control, cree una directiva que permita o niegue
el acceso de los usuarios al recurso Web (y todos sus subdirectorios) que se
muestran en el campo Resource.

a. Especifique en el campo Resource el servidor web o página HTML a los que

desea controlar el acceso. Use el formato: [protocolo://]host[:puerto][/ruta].
Para obtener directrices detalladas, consulte “Definición de recursos Web”
en la página 396.

b. Seleccione Allow para permitir el acceso al recurso especificado o Deny

para bloquear el acceso al recurso especificado en la lista Action.

c. Haga clic en Add.

376 „
 Capítulo 16: Plantillas de Microsoft OWA

8. En Autopolicy: Caching: especifique en el cuadro Resource los recursos

a los que se aplica esta directiva. Para crear la directiva automática de
almacenamiento en caché, siga las instrucciones que aparecen en “Definición
de una directiva automática de almacenamiento en caché” en la página 401.

NOTA: Para permitir que los usuarios abran y guarden archivos adjuntos
de distintos tipos en OWA, se debe configurar la directiva correcta de
almacenamiento de recursos. Por ejemplo, si la directiva de almacenamiento
se configura en Smart, los usuarios finales no podrán guardar archivos .htm
o .html en el disco.

9. En directiva automática: Web Compression, cree una directiva que especifique

el tipo de datos web que el IVE debería y no debería comprimir.

a. Especifique en el cuadro Resources los recursos a los que se aplica esta

directiva. Para obtener directrices detalladas, consulte “Definición de
recursos Web” en la página 396.

b. Seleccione una de las siguientes opciones de la lista Action:

‰ Compress: El IVE comprime los tipos de contenido compatibles del

recurso específico.

‰ Do not compress: El IVE no comprime los tipos de contenido

compatibles del recurso específico.

c. Haga clic en Add.

10. Seleccione la casilla de verificación Autopolicy: Single Sign-On para pasar a

la aplicación OWA IVE datos como el nombre de usuario y la contraseña. Para
crear la directiva automática de inicio de sesión único, siga las instrucciones
de “Definición de una directiva automática de inicio de sesión único” en la
página 397.

11. Haga clic en Save and Continue.

12. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.

Las funciones seleccionadas heredan las directivas automáticas y los

marcadores creados por el perfil de recursos de Microsoft OWA. En caso de no
estar habilitada, el IVE también habilita automáticamente la opción Web en la
página Users > User Roles > Seleccionar rol > General > Overview, de la
consola de administración.

13. Haga clic en Save Changes.

14. (Opcional) En la ficha Bookmarks, modifique el marcador predeterminado

creado por el IVE o cree marcadores nuevos usando las instrucciones de
“Definición de un marcador web” en la página 412.

„ 377
 Guía de administración de Secure Access de Juniper Networks

378 „
 Capítulo 17: Plantillas de Microsoft Sharepoint

Capítulo 17
Plantillas de Microsoft Sharepoint

Una plantilla de Microsoft Sharepoint es un perfil de recursos que controla el acceso

a la aplicación y configura los ajustes de Sharepoint según sea necesario. Las
plantillas de Sharepoint reducen significativamente el tiempo de configuración al
consolidar en un lugar los ajustes de configuración e introducir de antemano una
variedad de ajustes de directrices de recursos según el tipo de configuración que
escoja. (Para obtener más información sobre las plantillas de perfiles de recursos,
consulte “Perfiles de recursos” en la página 91.)

El IVE admite intermediación de tráfico con Microsoft Sharepoint a través de una

plantilla de perfil de recursos de reescritura web, JSAM, WSAM y Network Connect.
Este tema describe cómo configurar el acceso mediante la plantilla de reescritura
web.

NOTA: En la versión actual, se admite el envío de información de contacto desde

Sharepoint al cliente Outlook a través del Motor de intermediación de contenido
(característica de reescritura web). Para transferir la información de contacto al
servidor Exchange backend, se necesita WSAM, JSAM o Network Connect. Para
importar la información de contacto en el servidor Sharepoint desde el cliente
Outlook, primero exporte los contactos y luego cárguelos al servidor Sharepoint.

Para obtener más información sobre las características de configuración de JSAM y

WSAM, consulte “Secure Application Manager” en la página 491. Para obtener más
información sobre la característica de configuración Network Connect, consulte
“Network Connect” en la página 655.

Para crear un perfil de recursos a través de la plantilla de Microsoft Sharepoint:

1. Seleccione Users > Resource Profiles > Web en la consola de administración.

2. Haga clic en New Profile.

3. Seleccione Microsoft Sharepoint en la lista Type.

4. Introduzca un nombre único y una descripción opcional para el perfil de

recursos de Sharepoint.

5. Introduzca en el cuadro Base URL la URL del recurso Sharepoint para el que
desea controlar el acceso. Use el formato: [protocolo://]host[:puerto][/ruta]. El
IVE utiliza la URL especificada para definir el marcador predeterminado del
perfil de recursos Sharepoint. Puede introducir una URL de directorio o una
URL de archivo. Para obtener directrices detalladas sobre cómo aplicar formato
a recursos Web, consulte “Definición de URL de base” en la página 394.

„ 379
 Guía de administración de Secure Access de Juniper Networks

6. En Sharepoint Settings, seleccione Allow in-line editing of documents within

explorer view para que los usuarios puedan modificar los archivos que
aparecen en la vista de explorador.

a. Introduzca la URL para la vista de explorador y haga clic en Add. No

introduzca valores que resuelvan a URL distintas a la de vista de explorador
(como http://*:*). Si lo hace, la vista de explorador podría no funcionar.

b. Ordene los recursos de la lista, si corresponde, marcando la casilla de

verificación junto a un elemento, y use las flechas hacia arriba y hacia
abajo para moverlo al lugar correcto de la lista.

c. Introduzca la cantidad de minutos que una cookie persistente residirá en el

equipo de un usuario antes de que expire en el cuadro Persistent cookie
timeout.

NOTA: No confunda esta opción de inactividad con Max. Session Length,

que determina la cantidad de minutos que una sesión activa de usuario no
administrativo puede permanecer abierta antes de finalizar. Para obtener más
información sobre la opción Max. Session Length, consulte “Especificación de las
opciones de sesión” en la página 76.

7. En Autopolicy: Web Access Control, cree una directiva que permita o niegue
el acceso de los usuarios al recurso Web (y todos sus subdirectorios) que se
muestra en el cuadro Resource.

a. Especifique en el campo Resource el servidor web o página HTML a los que

desea controlar el acceso. Use el formato: [protocolo://]host[:puerto][/ruta].
Para obtener directrices detalladas, consulte “Definición de recursos Web”
en la página 396.

b. Seleccione Allow para permitir el acceso al recurso especificado o Deny

para bloquear el acceso al recurso especificado en la lista Action.

c. Haga clic en Add.

8. (Opcional) Haga clic en Show ALL autopolicy types para crear otras directivas
automáticas que perfeccionen el acceso al recurso. Luego, proceda a crear las
directivas automáticas utilizando las instrucciones que aparecen en los
siguientes temas:

„ “Definición de una directiva automática de inicio de sesión único” en la

página 397

„ “Definición de una directiva automática de almacenamiento en caché” en

la página 401

„ “Definición de una directiva automática de reescritura” en la página 406

„ “Definición de una directiva automática de compresión web” en la

página 411

9. Haga clic en Save and Continue.

380 „
 Capítulo 17: Plantillas de Microsoft Sharepoint

10. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.

Los roles seleccionados heredan las directivas automáticas y los marcadores

creados por el perfil de recursos de Microsoft Sharepoint. En caso de no estar
habilitada, el IVE también habilita automáticamente la opción Web en la página
Users > User Roles > Seleccionar rol > General > Overview, de la consola de
administración.

11. Haga clic en Save Changes.

12. (Opcional) En la ficha Bookmarks, modifique el marcador predeterminado

creado por el IVE o cree marcadores nuevos usando las instrucciones de
“Definición de un marcador web” en la página 412.

„ 381
 Guía de administración de Secure Access de Juniper Networks

382 „
Capítulo 18
Reescritura web

La característica de reescritura web del IVE le permite proporcionar intermediación

de las URL web a través del motor de intermediación de contenido. Puede
proporcionar intermediación de las URL en la World Wide Web o en la intranet
corporativa.

Esta sección contiene la siguiente información acerca de la intermediación de

contenido web:

„ “Licencia: Disponibilidad de la reescritura web” en la página 384

„ “Resumen de tareas: configuración de la característica de reescritura web” en la

página 384

„ “Información general sobre la reescritura de URL web” en la página 386

„ “Definición de perfiles de recursos: Aplicaciones web personalizadas” en la

página 392

„ “Definición de los ajustes de rol: URL web” en la página 415

„ “Definición de directivas de recursos: Información general” en la página 422

„ “Definición de directivas de recursos: acceso web” en la página 424

„ “Definición de directivas de recursos: inicio de sesión único” en la página 425

„ “Definición de directivas de recursos: almacenamiento en caché” en la

página 433

„ “Definición de directivas de recursos: applets de Java externos” en la

página 439

„ “Definición de directivas de recursos: reescritura” en la página 443

„ “Definición de directivas de recursos: compresión web” en la página 454

„ “Definición de directivas de recursos: proxy web” en la página 456

„ “Definición de directivas de recursos: protocolo HTTP 1.1” en la página 459

„ 383
 Guía de administración de Secure Access de Juniper Networks

„ “Definición de directivas de recursos: Acceso a dominio cruzado (llamadas

XMLHttpRequest)” en la página 461

„ “Definición de directivas de recursos: opciones generales” en la página 462

„ “Administración de directivas de recursos: Personalización de vistas de UI” en la

página 463

Licencia: Disponibilidad de la reescritura web

La reescritura web es una característica estándar de todos los dispositivos de acceso
seguro a excepción del SA 700. Si utiliza un dispositivo SA-700, deberá instalar una
licencia de actualización de acceso sin clientes si desea acceder a las características
básicas de reescritura web. Sin embargo, tenga en cuenta que las siguientes
características avanzadas de reescritura web no están disponibles en el dispositivo
SA 700, aunque tenga una licencia de actualización de acceso sin clientes:

„ SSO remoto

„ Directivas de reescritura WSAM y JSAM (disponibles a través de los perfiles de

recursos de aplicación web)

„ Opciones de reescritura no Java ICA (disponibles a través de plantillas Citrix)

Resumen de tareas: configuración de la característica de

reescritura web

NOTA: Al proporcionar intermediación del contenido a través del motor de

intermediación de contenido, recomendamos que la hora GMT sea la misma tanto
en el IVE como en el servidor de aplicaciones web backend. Esto evita el
vencimiento prematuro de las cookies si la hora del IVE es posterior a la hora del
servidor de aplicaciones web.

Para configurar la característica de reescritura web:

1. Cree perfiles de recursos que permitan el acceso a los sitios web, cree directivas
automáticas de soporte (como directivas de inicio de sesión único y directivas
de control de acceso a Java) según sea necesario, incluya marcadores que se
vinculen a los sitios web, y asigne las directivas y los marcadores a roles de
usuarios usando los ajustes de la página Users > Resource Profiles> Web
Application Pages de la consola de administración. Para obtener instrucciones,
consulte:

„ “Definición de perfiles de recursos: Aplicaciones web personalizadas” en la

página 392

„ “Definición de los ajustes de rol: URL web” en la página 415

384 „ Licencia: Disponibilidad de la reescritura web

 Capítulo 18: Reescritura web

Recomendamos que use los perfiles de recursos para configurar la reescritura

web (según se describe con anterioridad). Sin embargo, si no desea usar los
perfiles de recursos, puede configurar la reescritura web usando los ajustes de
la directiva de roles y recursos en las siguientes páginas de la consola de
administración:

a. Cree directivas de recursos que permitan el acceso a los sitios web usando
los ajustes de la página Users > Resource Policies> Web > Web ACL de
la consola de administración. Para obtener instrucciones, consulte
“Definición de directivas de recursos: acceso web” en la página 424.

b. Según sea necesario, cree directivas de recursos de soporte (como

directivas de inicio de sesión único y directivas de control de acceso a Java)
usando los ajustes de las páginas Users > Resource Policies> Seleccionar
tipo de directiva de la consola de administración. Para obtener
instrucciones, consulte:

‰ “Definición de directivas de recursos: inicio de sesión único” en la

página 425

‰ “Definición de directivas de recursos: almacenamiento en caché” en la

página 433

‰ “Definición de directivas de recursos: applets de Java externos” en la

página 439

‰ “Definición de directivas de recursos: reescritura” en la página 443

‰ “Definición de directivas de recursos: compresión web” en la

página 454

‰ “Definición de directivas de recursos: proxy web” en la página 456

‰ “Definición de directivas de recursos: protocolo HTTP 1.1” en la

página 459

c. Determine qué roles de usuario pueden obtener acceso a los sitios web
para los que desea proporcionar intermediación, y permita el acceso web
a dichos roles mediante la página Users > User Roles > Seleccionar rol >
General > Overview de la consola de administración. Para obtener
instrucciones, consulte “Configuración de las opciones generales del rol” en
la página 73.

d. Crear marcadores para sus sitios web usando los ajustes de la página
Users > User Roles > Seleccionar rol > Web > Bookmarks de la consola
de administración. Para obtener instrucciones, consulte “Definición de los
ajustes de rol: URL web” en la página 415.

e. Según sea necesario, habilite las opciones generales web que corresponden
a los tipos de contenido web a los que está proporcionando intermediación
(como Java) usando los ajustes de la página Users > User Roles >
Seleccionar rol > Web > Options de la consola de administración. Para
obtener instrucciones, consulte “Especificación de opciones generales de
exploración web” en la página 418.

Resumen de tareas: configuración de la característica de reescritura web „ 385

 Guía de administración de Secure Access de Juniper Networks

2. Después de habilitar el acceso a las aplicaciones o sitios web mediante los

perfiles de recursos o las directivas de roles y recursos de reescritura web,
puede modificar las opciones generales de roles y recursos de las páginas
siguientes de la consola de administración:

a. (Opcional) Ajuste las opciones adicionales de exploración web (como

permitir que los usuarios creen sus propios marcadores o habilitar el
enmascaramiento de nombre de host) usando los ajustes de la página
Users > User Roles > Seleccionar rol > Web > Options de la consola
de administración. Para obtener instrucciones, consulte “Especificación de
opciones generales de exploración web” en la página 418.

NOTA: Aunque habilite el enmascaramiento de nombre de host, los vínculos

correspondientes a protocolos no reescritos por el IVE no se oscurecen. Por
ejemplo, ftp://xyz.juniper.net y file://fileshare.juniper.net/filename no están
oscurecidos. Al no oscurecer el nombre de host, los usuarios pueden seguir
accediendo a estos recursos.

b. (Opcional) Ajuste las opciones web adicionales para recursos individuales

(como permitir que el IVE haga coincidir las direcciones IP con los nombres
de host) usando los ajustes de la página Users > Resource Policies >
Web > Options de la consola de administración. Para obtener
instrucciones, consulte “Definición de directivas de recursos: opciones
generales” en la página 462.

NOTA: Determinadas características de reescritura web (como proxy passthrough

y SSO a recursos NTLM) requieren configuración adicional. Para obtener más
información, consulte las instrucciones de configuración correspondientes.

Información general sobre la reescritura de URL web

Al proporcionar intermediación del contenido web estándar a través del IVE, puede
crear directivas adicionales que ajusten con mayor precisión los requisitos de
acceso y las instrucciones de procesamiento para el contenido intermediado. Puede
crear estas directivas adicionales a través de perfiles de recursos (recomendado)
o directivas de recursos.

Los tipos de directiva de reescritura web estándar son:

„ Web access control: Las directivas de acceso web controlan a qué recursos
Web pueden acceder los usuarios para conectarse a Internet, intranet o
extranet. Para obtener instrucciones acerca de la configuración, consulte
“Definición de una directiva automática de control de acceso web” en la
página 395 (recomendado) o “Definición de directivas de recursos: acceso
web” en la página 424.

386 „ Información general sobre la reescritura de URL web

 Capítulo 18: Reescritura web

„ Single sign-on: Las directivas de inicio de sesión único permiten transmitir

automáticamente las credenciales de usuario a una aplicación web. Puede
configurar directivas de inicio de sesión único para interceptar desafíos de
autenticación básica y NTLM o colocar las credenciales y los encabezados que
especifique en la aplicación web, según se explica en “Información general de
SSO remoto” en la página 388. Para obtener instrucciones acerca de la
configuración, consulte “Definición de una directiva automática de inicio de
sesión único” en la página 397 (recomendado) o “Definición de directivas de
recursos: inicio de sesión único” en la página 425.

„ Caching: Las directivas de almacenamiento en caché controlan qué contenido

web almacena el IVE en el equipo del usuario. Para obtener instrucciones
acerca de la configuración, consulte “Definición de una directiva automática de
almacenamiento en caché” en la página 401 (recomendado) o “Definición de
directivas de recursos: almacenamiento en caché” en la página 433.

„ Java: Las directivas de Java controlan a qué servidores y puertos se pueden

conectar los applets de Java. Estas directivas también especifican los servidores
de confianza para los cuales el IVE vuelve a firmar el contenido. Para obtener
instrucciones acerca de la configuración, consulte “Definición de una directiva
automática de control de acceso a Java” en la página 404 (recomendado) o
“Definición de directivas de recursos: applets de Java externos” en la
página 439.

„ Rewriting: Las directivas de reescritura especifican los recursos para los que el
IVE no debe proporcionar intermediación, debe proporcionar intermediación
en grado mínimo (según se explica en “Información general de proxy
passthrough” en la página 389), o sólo debe proporcionar intermediación
selectivamente. Para obtener instrucciones acerca de la configuración, consulte
“Definición de una directiva automática de reescritura” en la página 406
(recomendado) o “Definición de directivas de recursos: reescritura” en la
página 443.

„ Web compression: Las directivas de compresión web especifican qué tipos de

datos web debe comprimir o no el IVE, según se explica en “Compresión” en la
página 1023. Para obtener instrucciones acerca de la configuración, consulte
“Definición de una directiva automática de compresión web” en la página 411
(recomendado) o “Definición de directivas de recursos: compresión web” en la
página 454.

„ Web proxy: (Sólo directivas de recursos) Las directivas de recursos proxy web
especifican los servidores proxy web para los cuales el IVE debe proporcionar
intermediación de contenido. Tenga en cuenta que el IVE proporciona
intermediación tanto a proxy de reenvío como a proxy inverso, pero sólo
permite el inicio de sesión único a proxy de confianza. Para obtener
instrucciones sobre la configuración, consulte “Definición de directivas de
recursos: proxy web” en la página 456.

„ Launch JSAM: (Sólo directivas de recursos) Las directivas de Launch JSAM

especifican las URL para las cuales el IVE inicia automáticamente J-SAM en el
cliente. Esta característica es útil cuando habilita aplicaciones que requieren
J-SAM, pero no desea exigir a los usuarios que ejecuten J-SAM
innecesariamente. Para obtener instrucciones sobre la configuración, consulte
“Inicio automático de JSAM” en la página 545.

Información general sobre la reescritura de URL web „ 387

 Guía de administración de Secure Access de Juniper Networks

„ Protocol: (Sólo directivas de recursos) Las directivas de recursos de protocolo

habilitan o inhabilitan la compatibilidad con el protocolo HTTP 1.1 en el IVE.
Para obtener instrucciones sobre la configuración, consulte “Definición de
directivas de recursos: protocolo HTTP 1.1” en la página 459.

„ Options: (Sólo directivas de recursos) Puede habilitar la coincidencia según IP

para nombres de host, así como la coincidencia que distingue mayúsculas y
minúsculas para cadenas de rutas y consultas en recursos Web a través de las
opciones de directivas de recursos. Para obtener instrucciones sobre la
configuración, consulte “Definición de directivas de recursos: opciones
generales” en la página 462.

Información general de SSO remoto

La característica de inicio de sesión único remoto (SSO) permite especificar la
página de inicio de sesión URL de una aplicación en la cual desea que el IVE
coloque las credenciales del usuario, minimizando la necesidad de los usuarios de
reintroducir sus credenciales al acceder a múltiples aplicaciones back-end. También
puede especificar valores de formularios y encabezados personalizados adicionales
(incluidas las cookies) para colocar en un formulario de inicio de sesión de la
aplicación.

La configuración de SSO remoto consiste en especificar las directivas de

recursos Web:

„ Directiva Form POST: Este tipo de directiva de SSO remoto especifica la URL de
la página de inicio de sesión de una aplicación en la cual desea registrar los
datos del IVE y los datos para registrar. Estos datos pueden incluir el nombre de
usuario y la contraseña primaria y secundaria del IVE del usuario (según se
explica en “Información general de credenciales de inicios de sesión múltiples”
en la página 226), así como también datos de sistema almacenados por
variables de sistema (como se describe en “Variables del sistema y ejemplos”
en la página 1046). También puede especificar si los usuarios pueden o no
modificar esta información.

„ Directiva Headers/Cookies: Este tipo de directiva de SSO remoto especifica

recursos, como aplicaciones personalizadas, a las cuales puede enviar
encabezados y cookies personalizados.

Si las credenciales de IVE de un usuario difieren de las requeridas por la aplicación

back-end, el usuario puede acceder a la aplicación de forma alternativa:

„ Iniciando sesión manualmente: El usuario puede acceder rápidamente a la

aplicación back-end introduciendo sus credenciales manualmente en la página
de inicio de sesión de la aplicación. El usuario también puede almacenar
permanentemente sus credenciales y otra información requerida en el IVE
a través de la página Preferences como se describe más abajo, pero no se
requiere introducir información en esta página.

388 „ Información general sobre la reescritura de URL web

 Capítulo 18: Reescritura web

„ Especificando las credenciales requeridas en el IVE: El usuario debe

proporcionar al IVE sus credenciales de aplicación correctas configurándolas a
través de la página Preferences. Una vez efectuada la configuración, el usuario
debe cerrar la sesión e iniciarla nuevamente para guardar sus credenciales en el
IVE. Luego, la próxima vez que el usuario haga clic en el marcador SSO remoto
para iniciar sesión en la aplicación, el IVE envía las credenciales actualizadas.

NOTA: Use la característica de SSO remoto para transferir datos a aplicaciones con
acciones POST estáticas en sus formularios HTML. No es práctico usar SSO
remoto con aplicaciones que usan acciones URL POST que cambian con
frecuencia, vencimientos según el tiempo o acciones POST que se generan en el
momento de la creación del formulario.

Para obtener información acerca de la configuración de SSO remoto:

„ “Definición de una directiva automática de inicio de sesión único” en la

página 397 (método recomendado)

„ “Escritura de una directiva de recursos POST de formulario de SSO remoto” en

la página 429

„ “Escritura de una directiva de recursos de encabezados/cookies de SSO

remoto” en la página 431

Información general de proxy passthrough

La característica proxy passthrough permite especificar las aplicaciones web para
las que el IVE proporciona intermediación mínima. A diferencia de la funcionalidad
proxy inverso tradicional, que además reescribe sólo partes selectivas de una
respuesta de servidor, pero requiere cambios de red, así como también una
configuración compleja, esta característica sólo requiere que especifique los
servidores de la aplicación y la forma en que el IVE recibe las solicitudes de cliente
para los servidores de la aplicación:

„ A través de un puerto del IVE: Al especificar una aplicación para que

intermedie el proxy passthrough, especifique un puerto en el que el IVE
escuche las peticiones de cliente al servidor de la aplicación. Cuando el IVE
recibe una petición de cliente para el servidor de la aplicación, reenvía la
petición al puerto del servidor de la aplicación especificado. Cuando seleccione
esta opción, debe abrir el tráfico al puerto del IVE especificado en el
cortafuegos corporativo.

„ A través de nombre de host virtual: Al especificar una aplicación para que

intermedie el proxy passthrough, especifique un alias para el nombre de host
del servidor de la aplicación. Debe agregar una entrada para este alias en el
servidor DNS externo que resuelva al IVE. Cuando el IVE recibe una petición de
cliente para el servidor de la aplicación, reenvía la petición al puerto del
servidor de la aplicación especificado.

Información general sobre la reescritura de URL web „ 389

 Guía de administración de Secure Access de Juniper Networks

Esta opción es útil si su empresa tiene directivas restrictivas acerca de la

apertura de puertos de cortafuegos tanto a servidores internos como a
servidores en el DMZ. Al usar esta opción, recomendamos que cada alias de
nombre de host contenga la misma subcadena de dominio que el nombre de
host del IVE y que cargue un certificado de servidor comodín al IVE en el
formato: *.domain.com.

Por ejemplo, si su IVE es iveserver.yourcompany.com, un alias de nombre de host

debe estar en el formato appserver.yourcompany.com y el formato de certificado
comodín debería ser *.yourcompany.com. Si no usa un certificado comodín,
entonces el explorador del cliente envía una advertencia de comprobación de
nombre de certificado cuando un usuario explora en un servidor de aplicación,
porque el alias de nombre de host del servidor de la aplicación no coincide con
el nombre de dominio del certificado. Sin embargo, este comportamiento no
evita que un usuario acceda al servidor de la aplicación.

NOTA: Al configurar el proxy passthrough para trabajar en modo de nombre de

host virtual, los usuarios deben usar el nombre de host del IVE que especifique
a través de la página System > Network > Overview de la consola de
administración al iniciar sesión en el IVE. No pueden acceder a usar el proxy
passthrough si inician sesión en el IVE usando su dirección IP.

Al igual que con el motor de intermediación de contenido, la opción de proxy

passthrough ofrece mayor seguridad relativa al Secure Application Manager, porque
cuando está habilitado para una aplicación, el IVE sólo permite al cliente enviar
tráfico de capa 7 dirigido a puertos de aplicación fijos en la red de la empresa.
Use esta opción para habilitar el IVE para que sea compatible con aplicaciones que
tienen componentes incompatibles con el motor de intermediación de contenido,
como los applets de Java en aplicaciones de la suite e-business Oracle o applets que
se ejecuten en una máquina virtual Java (JVM) incompatible.

NOTA:

„ Las URL de proxy passthrough deben ser nombres de host. Rutas de nombres
de host no son compatibles.

„ Juniper Networks recomienda encarecidamente que no mezcle el modo de

puerto proxy passthrough y el modo de host proxy passthrough.

„ La opción proxy passthrough sólo funciona para aplicaciones que escuchan en

puertos fijos y donde el cliente no realiza conexiones de socket directas.

„ Para usar proxy passthrough con aplicaciones E-Business de Oracle, debe

instalar un certificado real en el IVE y debe configurar Oracle Forms para usar
el modo Forms Listener Servlet.

„ Las siguientes características avanzadas de la barra de herramientas de

marcos del IVE no están disponibles en el proxy passthrough: marcar página
actual, mostrar la URL original, mostrar los marcadores favoritos.

390 „ Información general sobre la reescritura de URL web

 Capítulo 18: Reescritura web

Resumen de tareas: configuración de proxy passthrough

Para configurar la característica de reescritura web:

1. Cree perfiles de recursos que permitan el acceso a aplicaciones web, cree

directivas automáticas de reescritura web compatibles que permitan el proxy
passthrough, incluya marcadores que vinculen a las aplicaciones web y asigne
las directivas y marcadores para roles de usuario usando los ajustes de la
página Users > Resource Profiles > Web Application Pages de la consola de
administración. Para obtener instrucciones, consulte “Definición de perfiles de
recursos: Aplicaciones web personalizadas” en la página 392.

Como alternativa, puede:

a. Crear directivas de recursos que permitan el acceso a los sitios web usando
los ajustes de la página Users > Resource Policies > Web > Web ACL de
la consola de administración. Para obtener instrucciones, consulte
“Definición de directivas de recursos: acceso web” en la página 424.

b. Crear directivas de recursos de reescritura Web que permitan proxy

passthrough usando los ajustes de la página Users > Resource Policies >
Web > Web ACL de la consola de administración. Para obtener
instrucciones, consulte “Definición de directivas de recursos: reescritura”
en la página 443.

c. Determinar qué roles de usuario pueden obtener acceso a las aplicaciones

web que desea dejar en nivel intermedio con proxy passthrough, y permitir
el acceso web a dichos roles mediante la página Users > User Roles >
Seleccionar rol > General > Overview de la consola de administración.
Para obtener instrucciones, consulte “Configuración de las opciones
generales del rol” en la página 73.

d. Crear marcadores para sus sitios web usando los ajustes de la página
Users > User Roles > Seleccionar rol > Web > Bookmarks de la consola
de administración. Para obtener instrucciones, consulte “Definición de los
ajustes de rol: URL web” en la página 415.

2. Si su directiva de recursos proxy passthrough habilita al IVE a recibir peticiones

de cliente a través de un puerto del IVE, abra el tráfico al puerto especificado en
su cortafuegos corporativo. O bien, si su directiva habilita peticiones a través de
un nombre de host virtual:

a. Agregue una entrada para cada alias de nombre de host de servidor de

aplicación en el DNS externo que resuelva al IVE.

b. Defina el nombre del IVE y el nombre de host a través de la página

System > Network > Internal Port de la consola de administración.
Para obtener instrucciones, consulte “Configuración de los ajustes de la
red” en la página 702.

Información general sobre la reescritura de URL web „ 391

 Guía de administración de Secure Access de Juniper Networks

c. Cargue un certificado comodín al IVE a través de la página System >

Configuration > Certificates > Device Certificates de la consola de
administración. O bien, cargue múltiples certificados y asocie un puerto
virtual con cada certificado usando los ajustes en la misma página. Para
obtener instrucciones, consulte “Importación de un certificado raíz
existente y una clave privada” en la página 752 y “Asociación de un
certificado con un puerto virtual” en la página 757.

Ejemplos del uso de proxy passthrough

Si el IVE es iveserver.yourcompany.com y tiene un servidor Oracle en
oracle.companynetwork.net:8000, puede especificar los siguientes parámetros
de aplicación al especificar un puerto del IVE:

Server: oracle.companynetwork.net
Port: 8000
IVE port: 11000

Cuando el IVE recibe tráfico de cliente Oracle enviado

a iveserver.yourcompany.com:11000, reenvía el tráfico
a oracle.companynetwork.net:8000.

O bien, si desea especificar un alias de nombre de host, puede configurar

la aplicación con estos parámetros:

Server: oracle.companynetwork.net
Port: 8000
IVE alias: oracle.yourcompany.com

Cuando el IVE recibe tráfico de cliente Oracle enviado a oracle.yourcompany.com,

reenvía el tráfico a oracle.companynetwork.net:8000.

Definición de perfiles de recursos: Aplicaciones web personalizadas

Un perfil de recursos de aplicación web es un perfil de recursos que controla el
acceso a una aplicación web, servidor web o página HTML. (Para obtener más
información sobre los perfiles de recursos, consulte “Perfiles de recursos” en la
página 91.)

Para crear un perfil de recursos de aplicación web personalizado:

1. Diríjase a la página Users > Resource Profiles > Web Applications/Pages en

la consola de administración.

2. Haga clic en New Profile.

392 „ Definición de perfiles de recursos: Aplicaciones web personalizadas

 Capítulo 18: Reescritura web

3. En la lista Type, seleccione Custom.

NOTA: Para obtener información acerca de otras opciones disponibles en la lista

Type, consulte las siguientes secciones:

„ “Plantillas de applets de Java hospedados” en la página 345

„ “Plantillas de Citrix” en la página 361

„ “Plantillas de Lotus iNotes” en la página 371

„ “Plantillas de Microsoft OWA” en la página 375

„ “Plantillas de Microsoft Sharepoint” en la página 379

4. Introduzca un nombre único y una descripción opcional para el perfil

de recursos.

5. En el campo Base URL, utilice el siguiente formato para introducir la URL

de la aplicación o página web para la cual desea controlar el acceso:
[protocolo://]host[:puerto][/ruta]. Para obtener directrices detalladas, consulte
“Definición de URL de base” en la página 394. (El IVE utiliza la URL
especificada para definir el marcador predeterminado del perfil de recursos).

6. En la sección Autopolicy: Web Access Control, cree una directiva que permita
o niegue a los usuarios acceder al recurso especificado en el campo Base URL.
(De forma predeterminada, el IVE crea automáticamente una directiva que
permite el acceso al recurso Web y a todos sus subdirectorios.) Para obtener
información detallada, consulte “Definición de una directiva automática de
control de acceso web” en la página 395.

7. (Opcional) Haga clic en Show ALL autopolicy types para crear directivas
automáticas adicionales que permitan ajustar con mayor precisión el acceso
al recurso. Luego, proceda a crear las directivas automáticas utilizando las
instrucciones que aparecen en las siguientes secciones:

„ “Definición de una directiva automática de inicio de sesión único” en la

página 397

„ “Definición de una directiva automática de almacenamiento en caché” en

la página 401

„ “Definición de una directiva automática de control de acceso a Java” en la

página 404

„ “Definición de una directiva automática de reescritura” en la página 406

„ “Definición de una directiva automática de compresión web” en la

página 411

8. Haga clic en Save and Continue.

Definición de perfiles de recursos: Aplicaciones web personalizadas „ 393

 Guía de administración de Secure Access de Juniper Networks

9. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.

Los roles seleccionados heredan las directivas automáticas y los marcadores

creados por el perfil de recursos. Si aún no está habilitado, el IVE habilita
automáticamente la opción Weben la página Users > User Roles >
Seleccionar rol > General > Overview de la consola de administración para
todos los otros roles que seleccione.

10. Haga clic en Save Changes.

11. (Opcional) En la ficha Bookmarks, modifique el marcador predeterminado

creado por IVE o cree otros utilizando las instrucciones que aparecen en
“Definición de un marcador web” en la página 412. (De forma predeterminada,
el IVE crea un marcador para la URL de base definida en el campo Base URL
y lo muestra a todos los usuarios asignados a los roles especificados en la
ficha Roles).

Definición de URL de base

Al crear un perfil de recursos Web, debe usar el siguiente formato para definir las
URL de base:

[protocol://]host[:port][/path]

En este formato, los componentes son:

„ Protocol (obligatorio): valores posibles: http:// y https://. Tenga en cuenta que

no se pueden utilizar caracteres especiales en el protocolo.

„ Host (obligatorio): valores posibles:

„ DNS Hostname: por ejemplo: www.juniper.com.

„ Dirección IP: Debe introducir la dirección IP en el formato: a.b.c.d.

Por ejemplo: 10.11.149.2. No se pueden usar caracteres especiales
en la dirección IP.

„ Puertos (opcional): Debe usar el delimitador “:” al especificar un puerto.

Por ejemplo: 10.11.149.2/255.255.255.0:*.

„ Ruta (optional): Al especificar una ruta para una URL de base, el IVE no permite
caracteres especiales. Si especifica una ruta, debe usar el delimitador “/”.
Por ejemplo: http://www.juniper.net/sales.

394 „ Definición de perfiles de recursos: Aplicaciones web personalizadas

 Capítulo 18: Reescritura web

Definición de una directiva automática de control de acceso web

Las directivas de acceso web controlan a qué recursos Web pueden acceder los
usuarios para conectarse a Internet, intranet o extranet. Al definir un perfil de
recurso Web personalizado, deberá habilitar la directiva automática de control de
acceso web correspondiente que permita acceder al recurso principal del perfil.
El IVE simplifica el proceso, ya que crea automáticamente una directiva automática
que permite acceder al recurso Web y a todos los subdirectorios.

Si fuera necesario, puede escoger modificar esta directiva automática

predeterminada o crear directivas automáticas complementarias de control de
acceso web para recursos adicionales. Por ejemplo, el departamento de IT puede
usar un servidor para almacenar páginas web para la intranet de la compañía
(http://intranetserver.com) y otro servidor para almacenar las imágenes a las que las
páginas web hacen referencia (http://imagesserver.com). En este caso, puede crear
dos directivas automáticas de control de acceso web que permitan acceder a ambos
servidores, de modo que los usuarios puedan acceder tanto a las páginas web como
a las imágenes correspondientes.

Para crear nuevas directivas automáticas de control de acceso web:

1. Cree un perfil de recursos de aplicación web personalizado, según se explica

en las siguientes secciones:

„ “Definición de perfiles de recursos: Aplicaciones web personalizadas” en la

página 392

„ “Definición de los ajustes de rol: URL web” en la página 415

„ “Definición de los ajustes de rol: URL web” en la página 415

„ “Definición de los ajustes de rol: URL web” en la página 415

„ “Definición de los ajustes de rol: URL web” en la página 415

2. Si está disponible, haga clic en el botón Show ALL autopolicy types para que
aparezcan las opciones de configuración de la directiva automática.

3. En caso de no estar habilitado, seleccione la casilla de verificación Autopolicy:

Web Access Control.

4. En el campo Resource, utilice el siguiente formato para especificar el servidor

web o la página HTML para la cual desea controlar el acceso:
[protocolo://]host[:puertos][/ruta]. Para obtener directrices detalladas, consulte
“Definición de recursos Web” en la página 396.

5. En la lista Action, seleccione Allow para habilitar el acceso al recurso

especificado o Deny para bloquear el acceso al recurso especificado.

6. Haga clic en Add.

7. Haga clic en Save Changes.

Definición de perfiles de recursos: Aplicaciones web personalizadas „ 395

 Guía de administración de Secure Access de Juniper Networks

Definición de recursos Web

Al crear un perfil de recursos Web (por ejemplo, en “Definición de perfiles de
recursos: Aplicaciones web personalizadas” en la página 392), debe usar el
siguiente formato para definir recursos de directivas automáticas:

[protocol://]host[:ports][/path]

En este formato, los cuatro componentes son:

„ Protocol (obligatorio): valores posibles: http:// y https://. Tenga en cuenta que

no se pueden utilizar caracteres especiales en el protocolo.

„ Host (obligatorio): valores posibles:

„ DNS Hostname: por ejemplo: www.juniper.com

Puede usar los siguientes caracteres especiales admitidos en el nombre

de host:

Tabla 21: Caracteres especiales de nombre de host DNS

* Coincidencias con TODOS los caracteres.
% Coincidencias con cualquier carácter a excepción del punto (.)
? Coincide exactamente con un carácter

„ IP address/Netmask: Debe introducir la dirección IP en el formato: a.b.c.d

Puede usar uno de dos formatos para la máscara de red:

‰ Prefijo: bits de ordenación alta

‰ IP: a.b.c.d

Por ejemplo: 10.11.149.2/24 or 10.11.149.2/255.255.255.0

No se pueden usar caracteres especiales en la dirección IP o en la máscara

de red.

„ Puertos (opcional): Debe usar el delimitador “:” al especificar un puerto. Por

ejemplo: 10.11.149.2/255.255.255.0:*

Tabla 22: Valores posibles de puertos

* Coincidencias con todos los puertos; no se pueden usar otros
caracteres especiales.
puerto[,puerto]* Una lista de puertos delimitada por comas. Los números de
puertos válidos son [1-65535].
[puerto1]-[puerto2] Un rango de puertos, desde el puerto1 al puerto2.

396 „ Definición de perfiles de recursos: Aplicaciones web personalizadas

 Capítulo 18: Reescritura web

NOTA: Puede mezclar listas de puertos y rangos de puertos, como:

80,443,8080-8090

Si falta el puerto, el puerto 80 predeterminado se asigna para http y el

443 para https.

„ Path (opcional): Al especificar una ruta para una directiva automática de control
de acceso web, puede usar un carácter *, que significa que TODAS las rutas
coinciden. (El IVE no admite otros caracteres especiales.) Si especifica una ruta,
debe usar el delimitador “/”. Por ejemplo:

„ http://www.juniper.net/sales

„ http://www.juniper.net:80/*

„ https://www.juniper.net:443/intranet/*

Definición de una directiva automática de inicio de sesión único

Las directivas de inicio de sesión único permiten transmitir automáticamente las
credenciales de usuario a la aplicación web especificada en la directiva, según se
explica en “Inicio de sesión único” en la página 223. Las directivas automáticas de
inicio de sesión único también proporcionan intermediación de los datos que
transmiten.

NOTA: Para obtener información acerca de la configuración de opciones avanzadas

de SSO que no están disponibles a través de los perfiles de recursos, incluida la
inhabilitación de la intermediación para recursos especificados o mediante SAML
para recursos individuales, consulte “Definición de directivas de recursos: inicio de
sesión único” en la página 425.

Para crear una directiva automática de inicio de sesión único (SSO):

1. Cree un perfil de recursos Web, según se explica en las siguientes secciones:

„ “Definición de perfiles de recursos: Aplicaciones web personalizadas” en la

página 392

„ “Definición de los ajustes de rol: URL web” en la página 415

2. Si está disponible, haga clic en el botón Show ALL autopolicy types para que
aparezcan las opciones de configuración de la directiva automática.

3. Seleccione la casilla de verificación Autopolicy: Single Sign-On.

Definición de perfiles de recursos: Aplicaciones web personalizadas „ 397

 Guía de administración de Secure Access de Juniper Networks

4. Seleccione un método de inicio de sesión único y configure las opciones de SSO

correspondientes:

„ Basic Auth: Permite que el IVE intermedie la secuencia de

desafío/respuesta durante la autenticación básica y que utilice las
credenciales que recoja para iniciar sesión en un recurso protegido situado
dentro de la misma zona de Intranet. Para obtener instrucciones detalladas
de configuración, consulte “Especificación de opciones de directiva
automática SSO de autenticación básica o NTLM” en la página 398.
(Esta opción no se aplica a perfiles de recursos Citrix.)

„ NTLM: Permite que el IVE intermedie la secuencia de desafío/respuesta

durante la autenticación de NTLM y que utilice las credenciales que recoja
para iniciar sesión en un recurso protegido situado dentro de la misma
zona de Intranet. Para obtener instrucciones detalladas de configuración,
consulte “Especificación de opciones de directiva automática SSO
de autenticación básica o NTLM” en la página 398. (Esta opción no se
aplica a perfiles de recursos Citrix.)

NOTA: La reescritura web sólo admite NTLM v1. La exploración de archivos admite
tanto NTLM v1 como NTLM v2.

„ Remote SSO: Habilita al IVE para colocar los datos que especifica (incluidos
nombres de usuario, contraseñas y datos de sistema almacenados por
variables del IVE) en aplicaciones web. Esta opción también permite
especificar encabezados y cookies personalizados para colocar en
aplicaciones web. Para obtener instrucciones detalladas de configuración,
consulte “Especificación de opciones de directiva automática de SSO
remoto” en la página 400.

5. Haga clic en Save Changes.

Especificación de opciones de directiva automática SSO

de autenticación básica o NTLM

NOTA: Si un usuario inicia sesión en el IVE como un usuario AD y luego accede

a un recurso Web o de archivo en un servidor del mismo dominio que el dominio
AD, el SSO NTLM se realiza siempre y los ajustes de la directiva de recurso de SSO
NTLM se ignoran.

398 „ Definición de perfiles de recursos: Aplicaciones web personalizadas

 Capítulo 18: Reescritura web

Para configurar opciones de directiva automática SSO de autenticación básica

o NTLM:

1. Cree una directiva automática de SSO y seleccione Basic Auth o NTLM, según
se explica en “Definición de una directiva automática de inicio de sesión único”
en la página 397.

2. En el campo Resource, especifique los recursos a los cuales se aplica esta

directiva. Para obtener directrices detalladas, consulte “Definición de recursos
Web” en la página 396.

NOTA: Al introducir un recurso en este campo, tenga en cuenta que:

„ Si desea que el IVE envíe automáticamente valores a una URL específica

cuando un usuario final haga clic en un marcador del IVE, el recurso que
introduzca aquí debe coincidir exactamente con la URL que especifique en
el campo Base URL del perfil de recursos.

„ Si desea que el IVE envíe automáticamente credenciales de usuario del IVE

a otros sitios web en la misma zona de Intranet, el nombre de host que
introduzca aquí debe terminar en el sufijo DNS configurado en la página
System > Network > Overview de la consola de administración.

3. Seleccione una de las siguientes opciones de acción:

„ Use system credentials: El IVE proporciona intermediación en la secuencia

desafío/respuesta, almacena en caché las credenciales que recopila y las
usa para habilitar el inicio de sesión único basado en cualquier credencial
de sistema que haya configurado previamente en el IVE.

„ Use predefined credentials: El IVE proporciona intermediación en la

secuencia desafío/respuesta, almacena en caché las credenciales que
recopila y las usa para habilitar el inicio de sesión único. Cuando selecciona
esta opción, también debe especificar los siguientes parámetros de
credencial de intermediación:

‰ Username: Especifica el nombre de usuario de SSO que el IVE usa para

validar credenciales de inicio de sesión.

‰ Password: Especifica la contraseña de SSO que el IVE usa para validar

credenciales de inicio de sesión. Puede usar una contraseña estática
(como “open_sesame”) o una contraseña variable (como
<PASSWORD>) para validar las credenciales de inicio de sesión.

‰ (sólo NTLM) Domain: Especifica el nombre de dominio.

„ Disable SSO: El IVE inhabilita la autenticación de SSO automática para este

rol de usuario y, en lugar de ello, solicita al usuario las credenciales de inicio
de sesión.

Definición de perfiles de recursos: Aplicaciones web personalizadas „ 399

 Guía de administración de Secure Access de Juniper Networks

Especificación de opciones de directiva automática de SSO remoto

Para configurar las opciones de directiva automática de SSO remoto:

1. Cree una directiva automática de SSO a través de un perfil de recursos Web

personalizado y seleccione Remote SSO, según se explica en “Definición de
una directiva automática de inicio de sesión único” en la página 397.

2. Si desea realizar POST de formulario cuando un usuario realiza una solicitud al

recurso especificado en el campo Resource, seleccione la casilla de verificación
POST the following data. Después:

a. En el campo Resource, especifique la página de inicio de sesión de la

aplicación, como: http://my.domain.com/public/login.cgi. El IVE no acepta
caracteres comodines en este campo.

NOTA: Si desea que el IVE coloque automáticamente valores a una URL específica
cuando un usuario final haga clic en un marcador del IVE, el recurso que
introduzca aquí debe coincidir exactamente con la URL que especifique en el
campo Base URL o Web Interface (NFuse) URL del perfil de recursos.

b. En el campo Post URL, especifique la URL absoluta donde la aplicación

coloca las credenciales del usuario, como: http://yourcompany.com/login.cgi.
Puede determinar la URL apropiada usando una descarga TCP o
visualizando la fuente de la página de inicio de sesión de la aplicación
y buscando el parámetro POST en la etiqueta FORM.

c. Opcionalmente, especifique los datos de usuario que desea colocar y los

permisos de modificación de usuario.

Para especificar los datos de usuario para colocar, introduzca los datos en
los campos siguientes y haga clic en Add:

‰ Label: La etiqueta que aparece en la página Preferences de un usuario

en el IVE. Este campo es obligatorio si permite o requiere que los
usuarios modifiquen los datos para colocar en aplicaciones back-end.

‰ Name: El nombre para identificar los datos del campo Value.

(La aplicación back-end debe esperar este nombre.)

‰ Value: El valor que se debe enviar al formulario para el Name

especificado. Puede introducir datos estáticos, una variable de sistema
(consulte “Variables del sistema y ejemplos” en la página 1046 para ver
una lista de variables válidas) o variables de sesión del IVE que
contienen valores de nombre de usuario y contraseña (consulte
“Información general de credenciales de inicios de sesión múltiples”
en la página 226 para obtener más información).

400 „ Definición de perfiles de recursos: Aplicaciones web personalizadas

 Capítulo 18: Reescritura web

‰ Ajuste User modifiable: Seleccione Not modifiable si no desea que el

usuario pueda cambiar la información del campo Value. Seleccione
User CAN change value si desea que el usuario tenga la opción de
especificar datos para una aplicación back-end. Seleccione User MUST
change value si los usuarios necesitan introducir datos adicionales
para acceder a una aplicación back-end. Si selecciona alguno de estos
ajustes, aparece un campo para introducción de datos en la página
Advanced Preferences del usuario en el IVE. Este campo se etiqueta
con los datos que introduce en el campo User label. Si introduce un
valor en el campo Value, estos datos aparecen en el campo, pero se
pueden editar.

d. Seleccione la casilla de verificación Deny direct login for this resource

si no desea permitir que los usuarios introduzcan manualmente sus
credenciales en una página de inicio de sesión. (Los usuarios pueden
ver una página de inicio de sesión si falla el formulario POST.)

e. Seleccione la casilla de verificación Allow multiple POSTs to this resource

si desea que el IVE envíe valores de POST y cookies al recurso varias veces
si es necesario. Si no selecciona esta opción, el IVE no intenta el inicio de
sesión único cuando un usuario solicita el mismo recurso más de una vez
durante la misma sesión.

3. Si desea colocar datos de encabezado en la URL especificada cuando un

usuario realiza una solicitud a un recurso especificado en el campo Resource,
seleccione la casilla de verificación Send the following data as request
headers. Después:

a. En la sección Resource, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Definición de recursos
Web” en la página 396.

b. Opcionalmente, para especificar los datos de encabezado que se debe

publicar, introduzca los datos en los campos siguientes y haga clic en Add:

‰ Header name: el texto que el IVE envía como datos de encabezado.

‰ Value: el valor para el encabezado especificado.

4. Haga clic en Save Changes.

Definición de una directiva automática de almacenamiento en caché

Las directivas de almacenamiento en caché controlan qué contenido web almacena
el IVE en el equipo del usuario.

NOTA: Para obtener información acerca de la configuración avanzada de opciones

de almacenamiento en caché no disponibles a través de perfiles de recursos,
incluida la especificación del tamaño máximo admisible de imagen para
contenido almacenado en caché, consulte “Definición de directivas de recursos:
almacenamiento en caché” en la página 433. Para obtener información acerca de
los ajustes de almacenamiento en caché recomendados para aplicaciones OWA y
Lotus Notes, consulte “Creación de directivas de recursos de almacenamiento en
caché OWA y Lotus Notes” en la página 437.

Definición de perfiles de recursos: Aplicaciones web personalizadas „ 401

 Guía de administración de Secure Access de Juniper Networks

Para crear una directiva automática de almacenamiento en caché web:

1. Cree un perfil de recursos de aplicación web personalizado, según se explica en

las siguientes secciones:

„ “Definición de perfiles de recursos: Aplicaciones web personalizadas” en la

página 392

„ “Definición de los ajustes de rol: URL web” en la página 415

„ “Definición de los ajustes de rol: URL web” en la página 415

2. Si está disponible, haga clic en el botón Show ALL autopolicy types para que
aparezcan las opciones de configuración de la directiva automática.

3. Seleccione la casilla de verificación Autopolicy: Caching.

4. En el campo Resource, especifique los recursos a los cuales se aplica esta

directiva. Para obtener directrices detalladas, consulte “Definición de recursos
Web” en la página 396.

5. Del campo Action, seleccione una de las opciones siguientes:

„ Smart: Seleccione esta opción para permitir que el IVE envíe un

encabezado cache-control:no-store o un encabezado cache-control:no-cache,
según el tipo de contenido y el explorador web del usuario.

Cuando selecciona esta opción, el IVE hace que los archivos de medios y
los archivos zip funcionen adecuadamente al quitar los encabezados cache-
control del servidor de origen. Por ejemplo, la lógica siguiente busca “msie”
o “windows-media-player” en encabezados de agente de usuario para
eliminar encabezados de respuesta cache o cache-control:no-store y
permitir que los archivos sean almacenables en caché:

(if content type has "audio/x-pn-realaudio" OR

if content type begins with "video/" OR
if content type begins with "audio/" OR
if content type is "application/octet-stream" and the file extension begins
with "rm" or "ram"
)

Si el IVE detecta “msie” o “windows-media-player” en el encabezado de

agente de usuario y si se aplica cualquiera de los casos siguientes:

‰ la solicitud es sobre archivos Flash, .xls, .pps, .ppt

‰ el tipo de contenido es application/, text/rtf, text/xml, model/

‰ el servidor de origen envía un encabezado de disposición de contenido

entonces, el IVE envía el encabezado cache-control:no-store y elimina el

encabezado de control de caché del servidor de origen.

402 „ Definición de perfiles de recursos: Aplicaciones web personalizadas

 Capítulo 18: Reescritura web

En todos los otros casos, el IVE agrega los encabezados de respuesta

pragma:no-cache o cache-control:no-store.

NOTA: Los archivos Citrix .ica y QuickPlace tienen un tratamiento especial. Los
archivos Citrix .ica sólo tienen cache-control:private cuando el almacenamiento
inteligente en caché está habilitado. Los archivos QuickPlace que no coinciden con
una regla especificada (que tiene prioridad) tienen CCNS y cache-control:private.

Además, tenga en cuenta que si selecciona esta opción, habilita la compresión

GZIP e intenta acceder a un archivo de texto adjunto mediante Domino Web
Access 6.5 a través de Internet Explorer, no podrá abrir el archivo adjunto. Para
habilitar los archivos de texto adjuntos, debe instalar el parche 323308 de Internet
Explorer o habilitar la opción No Store.

„ No-Store: Seleccione esta opción para proporcionar archivos adjuntos

a Internet Explorer sin guardarlos en el disco. (El explorador escribe
temporalmente los archivos en el disco, pero los elimina inmediatamente
una vez que abre el archivo en el explorador.) Cuando selecciona esta
opción, el IVE elimina el encabezado de control de caché del servidor de
origen y agrega un encabezado de respuesta cache-control:no-store si la
cadena del agente de usuario enviado por el explorador contiene “msie”
o “windows-media-player.”

Esta opción puede hacer más lenta la exploración al causar repetidas

búsquedas de contenido, que pueden provocar problemas de rendimiento
en conexiones muy lentas.

„ No-Cache: Seleccione esta opción para impedir que el explorador del

usuario almacene los archivos en el disco. Cuando selecciona esta opción,
el IVE agrega los encabezados pragma:no-cache HTTP y cache-control:
no-cache (CCNC) estándar (HTTP 1.1) a los archivos de respuesta. Además,
el IVE no reenvía los encabezados de almacenamiento en caché del
servidor de origen, como age, date, etag, last-modified, expires.

NOTA: Cuando los encabezados no-cache están presentes en determinados tipos

de archivos adjuntos (PDF, PPT, secuencias de archivos), Internet Explorer no
procesa adecuadamente los documentos porque el procesamiento requiere que
el explorador escriba temporalmente los archivos en caché.

„ Unchanged: El IVE reenvía los encabezados de almacenamiento en caché

del servidor de origen sin cambios.

NOTA: Cuando usa aplicaciones publicadas Citrix a través de la interfaz web, el

servidor de la interfaz web puede enviar Cache-Control:no-cache en el encabezado
de respuesta del archivo .ica. Dado que el encabezado de almacenamiento en
caché no se elimina al usar el ajuste Unchanged, los archivos .ica no se descargan
al PC cliente. Para resolver este problema, use la opción de almacenamiento en
caché Smart.

6. Haga clic en Add.

7. Haga clic en Save Changes.

Definición de perfiles de recursos: Aplicaciones web personalizadas „ 403

 Guía de administración de Secure Access de Juniper Networks

Definición de una directiva automática de control de acceso a Java

Una directiva automática de control de acceso a Java define la lista de servidores y
puertos a los que se pueden conectar los applets de Java, según se explica en “Uso
de certificados de firma de código” en la página 776. Esta directiva automática
también especifica qué recursos firma el IVE mediante el certificado de firma de
código que carga en el IVE.

Cuando habilita el control de acceso a Java mediante esta directiva automática,

el IVE habilita automáticamente la opción Allow Java applets en la página Users >
User Roles > Seleccionar rol > Web > Options de la consola de administración.

NOTA:

„ Para obtener información acerca de la configuración de las opciones

avanzadas de Java que no están disponibles a través de perfiles de recursos,
incluida la opción de impedir que los applets de Java se conecten a servidores
especificados, consulte “Definición de directivas de recursos: applets de Java
externos” en la página 439.

„ Para obtener información acerca de hospedar los applets de Java

directamente en el IVE, consulte “Plantillas de applets de Java hospedados” en
la página 345.

Para crear una directiva automática de control de acceso a Java:

1. Cree un perfil de recursos de aplicación web, según se explica en “Definición de

perfiles de recursos: Aplicaciones web personalizadas” en la página 392.

2. Haga clic en Show ALL autopolicy types.

3. Seleccione la casilla de verificación Autopolicy: Java Access Control.

4. En el campo Resource, utilice el siguiente formato para especificar los recursos

del servidor a los que se aplica esta directiva: host:[ports]. (De forma
predeterminada, el IVE llena este campo con el servidor especificado en la URL
de base del perfil de recursos.) Para obtener información detallada, consulte
“Definición de un servidor al cual se pueden conectar los applets de Java” en la
página 405.

5. Seleccione una de las siguientes opciones de la lista Action:

„ Allow socket access: Para permitir que los applets de Java se conecten
a los servidores (y opcionalmente a los puertos) de la lista Resource.

„ Deny socket access: Para impedir que los applets de Java se conecten a los
servidores (y opcionalmente a los puertos) de la lista Resource.

404 „ Definición de perfiles de recursos: Aplicaciones web personalizadas

 Capítulo 18: Reescritura web

6. Haga clic en Add.

7. Seleccione la casilla de verificación Sign applets with code-signing certificate

para volver a firmar los recursos especificados mediante el certificado cargado
a través de la página System > Configuration > Certificates > Code-signing
Certificates de la consola de administración. (El IVE usa el certificado
importado para firmar los recursos del servidor especificado en el campo
Resources.)

8. Haga clic en Save Changes.

Definición de un servidor al cual se pueden conectar los applets de Java

Al definir los servidores a los que se pueden conectar los applets de Java, debe usar
el siguiente formato:

host[:ports]

En este formato, los dos componentes son:

„ Host (obligatorio): valores posibles:

„ DNS Hostname: por ejemplo: www.juniper.com

Puede usar los siguientes caracteres especiales admitidos en el nombre

de host:

Tabla 23: Caracteres especiales de nombre de host DNS

* Coincidencias con TODOS los caracteres
% Coincidencias con cualquier carácter a excepción del punto (.)
? Coincide exactamente con un carácter

„ IP address/Netmask: Debe introducir la dirección IP en el formato: a.b.c.d.

Puede usar uno de dos formatos para la máscara de red:

‰ Prefijo: bits de ordenación alta

‰ IP: a.b.c.d

Por ejemplo: 10.11.149.2/24 or 10.11.149.2/255.255.255.0

No se pueden usar caracteres especiales en la dirección IP o en la máscara

de red.

Definición de perfiles de recursos: Aplicaciones web personalizadas „ 405

 Guía de administración de Secure Access de Juniper Networks

„ Ports: Debe usar el delimitador “:” al especificar un puerto. Por ejemplo:

10.11.149.2/255.255.255.0:*

Tabla 24: Valores posibles de puertos

* Coincidencias con todos los puertos; no se pueden usar otros
caracteres especiales.
puerto[,puerto]* Una lista de puertos delimitada por comas. Los números de
puertos válidos son [1-65535].
[puerto1]- Un rango de puertos, desde el puerto1 al puerto2.
[puerto2]

NOTA: Puede mezclar listas de puertos y rangos de puertos, como:

80,443,8080-8090.

Definición de una directiva automática de reescritura

De forma predeterminada, el IVE proporciona intermediación a todas las solicitudes
de usuarios de host web, a menos que haya configurado el IVE para responder a
solicitudes de ciertos host mediante un mecanismo diferente, como el Secure
Application Manager. Las directivas automáticas de reescritura permiten ajustar con
mayor precisión las opciones predeterminadas mediante el cambio de los
mecanismos que el IVE debe usar para reescribir los datos web y a través de la
definición de los recursos que desea reescribir de forma mínima o no reescribir.

NOTA: Para obtener información acerca de la configuración de las opciones

avanzadas de reescritura no disponibles a través de los perfiles de recursos,
incluida la especificación de los parámetros ActiveX que el IVE debe reescribir,
consulte “Definición de directivas de recursos: reescritura” en la página 443.

Para crear una directiva automática de reescritura:

1. Cree un perfil de recursos de aplicación web, según se explica en “Definición de

perfiles de recursos: Aplicaciones web personalizadas” en la página 392.

2. Haga clic en Show ALL autopolicy types.

3. Seleccione la casilla de verificación Autopolicy: Rewriting Options.

4. Seleccione una de las siguientes opciones:

„ Passthrough Proxy: Seleccione esta opción para especificar las

aplicaciones web para las que el motor de intermediación de contenido
proporciona intermediación mínima (según se explica en “Información
general de proxy passthrough” en la página 389). Para obtener
instrucciones detalladas de configuración, consulte “Definición de opciones
de directiva automática de proxy passthrough” en la página 407.

406 „ Definición de perfiles de recursos: Aplicaciones web personalizadas

 Capítulo 18: Reescritura web

„ No rewriting (use WSAM): Seleccione esta opción para proporcionar

intermediación de contenido usando WSAM en lugar del motor de
intermediación de contenido. (Para obtener información sobre WSAM,
consulte “Información general de WSAM” en la página 493.) Luego,
especifique el servidor de la aplicación para el cual desea proporcionar
intermediación de contenido. (Como mínimo, debe hacer click en Add
para proporcionar intermediación de contenido desde y hacia el servidor
que el IVE extrae de la directiva de control de acceso web.) Para obtener
instrucciones detalladas de configuración, consulte “Definición de opciones
de directiva automática de reescritura WSAM” en la página 409.

„ No rewriting (use JSAM): Seleccione esta opción para proporcionar

intermediación de contenido usando JSAM en lugar del motor de
intermediación de contenido. (Para obtener información sobre JSAM,
consulte “Información general de JSAM” en la página 516.) Luego,
especifique el servidor de la aplicación para el cual desea proporcionar
intermediación de contenido. (Como mínimo, debe hacer clic en Add para
proporcionar intermediación de contenido desde y hacia el servidor que el
IVE extrae de la directiva de control de acceso web.) Para obtener
instrucciones detalladas de configuración, consulte “Definición de opciones
de directiva automática de reescritura JSAM” en la página 410.

„ No rewriting: Seleccione esta opción para crear automáticamente una

directiva de reescritura selectiva para la URL de la directiva automática,
configurando de este modo el IVE para que no proporcione intermediación
de contenidos desde y hacia el recurso. Por ejemplo, puede seleccionar
esta opción si no desea que el IVE proporcione intermediación del tráfico
desde sitios web que residen fuera de la red corporativa, como yahoo.com.
Si selecciona esta opción, no necesita configurar ajustes de reescritura
adicionales.

5. Haga clic en Save Changes.

Definición de opciones de directiva automática de proxy passthrough

Para configurar las opciones de directiva automática de proxy passthrough:

1. Cree una directiva automática de reescritura y seleccione Passthrough Proxy,

según se explica en “Definición de una directiva automática de reescritura” en
la página 406.

2. Seleccione la forma en que desea habilitar la característica proxy passthrough:

„ Use virtual hostname: Si selecciona esta opción, especifique un alias de

nombre de host para el servidor de la aplicación. Cuando el IVE recibe una
petición de cliente para el alias de nombre de host del servidor de la
aplicación, reenvía la solicitud al puerto del servidor de la aplicación
especificado en el campo Base URL.

Definición de perfiles de recursos: Aplicaciones web personalizadas „ 407

 Guía de administración de Secure Access de Juniper Networks

„ Use IVE port: Si selecciona esta opción, especifique un puerto de IVE único
en el rango 11000-11099. El IVE escucha las peticiones de cliente al
servidor de la aplicación en el puerto especificado del IVE y reenvía las
peticiones al puerto del servidor de la aplicación especificado en el campo
Base URL.

NOTA:

„ La URL correspondiente para el perfil de recursos debe especificar el nombre

de host del servidor de la aplicación y el puerto utilizado para acceder
internamente a la aplicación. No se puede introducir una ruta para la URL
de base.

„ Para hacer que Sharepoint funcione correctamente a través del IVE, debe
seleccionar la casilla de verificación Override automatic cookie handling en
Internet Explorer en Tools Internet options > Privacy > Advanced Privacy
Settings si se cumplen las siguientes condiciones:

„ Seleccionar la opción Use virtual hostname durante la configuración de

proxy passthrough.

„ El nombre de host virtual especificado en la configuración de Sharepoint

es diferente del nombre de host definido a través de la configuración de
IVE (esto es, si los dominios son diferentes).

„ Habilitar cookies persistentes mediante la página Users > User Roles >
Seleccionar rol > General > Session Options de la consola de
administración.

3. Seleccione la casilla de verificación Rewrite XML si desea que el IVE reescriba

las URL incluidas en el contenido XML. Si esta opción está inhabilitada, el IVE
transmite sin cambios el contenido XML al servidor.

4. Seleccione la casilla de verificación Rewrite external links si desea que el IVE

reescriba todas las URL presentadas al proxy. Si esta opción está inhabilitada,
el IVE reescribe sólo las URL donde el nombre de host está configurado como
parte de la directiva de proxy passthrough.

5. Seleccione la casilla de verificación Block cookies from being sent to the

browser si desea que el IVE bloquee las cookies destinadas al explorador del
cliente. El IVE almacena localmente las cookies y las envía a las aplicaciones
cuando se solicitan.

6. Seleccione la casilla de verificación Host-Header forwarding si desea que el

IVE transmita el nombre de host como parte del encabezado de host en lugar
del identificador de host real.

NOTA: La opción Host-Header forwarding sólo es válida en el modo de nombre de

host virtual del proxy passthrough.

7. Haga clic en Save Changes.

408 „ Definición de perfiles de recursos: Aplicaciones web personalizadas

 Capítulo 18: Reescritura web

8. Si selecciona:

„ Use virtual hostname, también debe:

i. Agregar una entrada para cada alias de nombre de host de servidor de

aplicación en el DNS externo que resuelva al IVE.

ii. Cargar un certificado de servidor comodín en el IVE (recomendado).

Para obtener más información acerca de los certificados comodines,
consulte “Asociación de un certificado con un puerto virtual” en la
página 757.

iii. Definir el nombre del IVE y el nombre de host en la sección Network

Identity de la ficha System > Network > Internal Port.

„ Use IVE port, también debe abrir el tráfico al puerto del IVE especificado
para el servidor de la aplicación en el cortafuegos corporativo.

NOTA: Si la aplicación escucha en varios puertos, configure cada puerto de la

aplicación como una entrada de proxy passthrough con un puerto de IVE
separado. Si piensa acceder al servidor usando nombres de host o direcciones IP
diferentes, configure por separado cada una de estas opciones; en este caso,
puede usar el mismo puerto del IVE.

Definición de opciones de directiva automática de reescritura WSAM

Para configurar las opciones de directiva automática de reescritura WSAM:

1. Cree una directiva automática de reescritura y seleccione No rewriting

(use WSAM), según se explica en “Definición de una directiva automática
de reescritura” en la página 406.

2. En el campo Destination, especifique los recursos para los cuales WSAM

asegura el tráfico cliente/servidor entre el cliente y el IVE. De forma
predeterminada, el IVE extrae el servidor correcto de la directiva de control
de acceso web. Puede optar por usar este servidor sin cambios, modificarlo
o agregar nuevos servidores a la lista.

Al definir un servidor, especifique el nombre de host (se aceptan los comodines

“*” o “?”) o un par IP/máscara de red. Especifique múltiples puertos para un
host como entradas separadas.

3. Haga clic en Add.

4. Haga clic en Save Changes.

Cuando proporciona intermediación a través de WSAM mediante esta directiva

automática, el IVE habilita automáticamente la opción Secure Application
Manager en la página Users > User Roles > Seleccionar rol > General >
Overview de la consola de administración.

Definición de perfiles de recursos: Aplicaciones web personalizadas „ 409

 Guía de administración de Secure Access de Juniper Networks

Definición de opciones de directiva automática de reescritura JSAM

Para configurar las opciones de directiva automática de reescritura JSAM:

1. Cree una directiva automática de reescritura y seleccione No rewriting

(use JSAM), según se explica en “Definición de una directiva automática
de reescritura” en la página 406.

2. En el campo Server Name, introduzca el nombre DNS del servidor de la

aplicación o la dirección IP del servidor.

3. En el campo Server Port, introduzca el puerto en el que el servidor remoto

escucha las conexiones de cliente.

Por ejemplo, para reenviar el tráfico Telnet de un equipo remoto, especifique el

puerto 23 tanto para el puerto del cliente (en el que escucha JSAM) como para el
puerto del servidor (en el que escucha el servidor Telnet).

NOTA: Para habilitar la asignación de unidades para este recurso, introduzca

139 como puerto de servidor.

4. En el campo Client Loopback IP, proporcione una dirección de bucle invertido

estática. Si no proporciona una dirección IP de bucle invertido estática, el IVE
asigna de forma dinámica una dirección IP de bucle invertido. Para obtener
más información acerca de las direcciones de bucle invertido estáticas, consulte
“Información general de JSAM” en la página 516.

5. En el campo Client Port, introduzca el puerto en el que JSAM debe escuchar las
conexiones de la aplicación del cliente.

Normalmente, el valor del puerto local es el mismo valor que el puerto del
servidor; el valor del puerto local generalmente sólo es distinto para usuarios de
Linux o Macintosh que desean agregar aplicaciones para reenvío de puerto que
usa puertos bajo 1024.

NOTA: Para habilitar la asignación de unidades para este recurso, introduzca

139 como puerto de servidor.

Puede configurar más de una aplicación en un puerto, como

app1.mycompany.com, app2.mycompany.com, app3.mycompany.com. Puede
asignar una dirección de bucle invertido estática o el IVE puede asignar una
dirección de bucle invertido dinámica (127.0.1.10, 127.0.1.11, 127.0.1.12)
para cada aplicación. JSAM luego escucha en estas múltiples direcciones de
bucle invertido en el puerto especificado. Por ejemplo, cuando hay tráfico en
127.0.1.12 en el puerto especificado, el IVE reenvía el tráfico al host de destino
app3.mycompany.com.

6. Seleccione Launch JSAM para iniciar JSAM automáticamente cuando el IVE

encuentra la URL de base.

7. Haga clic en Add.

8. Haga clic en Save Application o en Save + New.

410 „ Definición de perfiles de recursos: Aplicaciones web personalizadas

 Capítulo 18: Reescritura web

Definición de una directiva automática de compresión web

Las directivas automáticas de compresión web especifican qué tipos de datos web
debe comprimir o no el IVE. Por ejemplo, dado que javascript no funciona cuando
se comprime, puede usar esta característica para especificar que el IVE no debe
comprimir datos de javascript que van desde y hacia un servidor de correo
electrónico introduciendo el siguiente recurso: http://owa.juniper.net/*.js. Para
obtener más información acerca de cómo el IVE comprime los datos, consulte
“Compresión” en la página 1023.

NOTA: Para comprimir los datos correctamente, debe habilitar la compresión en el

nivel del sistema, así como también crear directivas automáticas de compresión.
Para habilitar la compresión, use los ajustes de la página Maintenance >
System > Options de la consola de administración. Para obtener instrucciones,
consulte “Habilitación de la compresión en el nivel de sistema” en la página 1026.

Para crear una directiva automática de compresión web:

1. Cree un perfil de recursos de aplicación web personalizado, según se explica en

las siguientes secciones:

„ “Definición de perfiles de recursos: Aplicaciones web personalizadas” en la

página 392

„ “Definición de los ajustes de rol: URL web” en la página 415

„ “Definición de los ajustes de rol: URL web” en la página 415

2. Si está disponible, haga clic en el botón Show ALL autopolicy types para que
aparezcan las opciones de configuración de la directiva automática.

3. Seleccione la casilla de verificación Autopolicy: Web compression.

4. En el campo Resource, especifique los recursos a los cuales se aplica esta

directiva. Para obtener directrices detalladas, consulte “Definición de recursos
Web” en la página 396.

5. Seleccione una de las siguientes opciones de la lista Action:

„ Compress: El IVE comprime los tipos de contenido compatibles del recurso

específico.

„ Do not compress: El IVE no comprime los tipos de contenido compatibles

del recurso específico.

6. Haga clic en Add.

7. Haga clic en Save Changes.

Definición de perfiles de recursos: Aplicaciones web personalizadas „ 411

 Guía de administración de Secure Access de Juniper Networks

Definición de un marcador web

Cuando crea un perfil de recurso Web, el IVE crea automáticamente un marcador
que se vincula a la URL o dominio principal especificado en el perfil de recurso.
IVE le permite modificar este marcador y crear marcadores adicionales en el
mismo dominio.

Por ejemplo, puede crear un perfil de recursos que controla el acceso a la intranet
de la empresa. En el perfil, puede especificar:

„ Resource profile name: la Intranet

„ Primary resource: http://intranet.com

„ Web access control autopolicy: permite el acceso a http://intranet.com:80/*

„ Roles: Sales, Engineering

Cuando crea esta directiva, el IVE crea automáticamente un marcador llamado

“Your Intranet” que permite el acceso a http://intranet.com y muestra el marcador
a los miembros de los roles de Sales y Engineering.

Luego, puede seleccionar crear los siguientes marcadores adicionales para asociar
con el perfil de recursos:

„ Marcador “Sales Intranet”: Crea un vínculo a la página

http://intranet.com/sales y muestra el vínculo a los miembros del rol Sales.

„ Marcador “Engineering Intranet”: Crea un vínculo a la página

http://intranet.com/engineering y muestra el vínculo a los miembros del
rol Engineering.

NOTA: Al configurar los marcadores, observe que:

„ Sólo puede asignar marcadores a roles que ya haya asociado con el perfil de
recursos, no todos los roles definidos en el IVE. Para cambiar la lista de roles
asociados al perfil de recurso, utilice los parámetros de la ficha Roles.

„ Los marcadores simplemente controlan los vínculos que muestra el IVE a los
usuarios, no los recursos a los que los usuarios pueden obtener acceso. En el
ejemplo utilizado anteriormente, un miembro del rol de Sales podría no ver
un vínculo a la página de Intranet Engineering, pero puede acceder a ella al
introducir http://intranet.com/engineering en la barra de direcciones del
explorador web.

„ No podrá crear marcadores que se enlacen a URL y dominios adicionales

definidos a través de directivas automáticas de control de acceso web.

Para obtener más información sobre los marcadores del perfil de recursos, consulte
“Definición de marcadores” en la página 98.

412 „ Definición de perfiles de recursos: Aplicaciones web personalizadas

 Capítulo 18: Reescritura web

Para configurar marcadores de perfil de recursos Web:

1. Si desea crear un marcador de perfil de recursos mediante la página de perfiles

de recursos estándar:

a. Diríjase a la página Users > Resource Profiles > Web > Seleccionar perfil
de recurso > Bookmarks en la consola de administración.

b. Haga clic en el vínculo correspondiente de la columna Bookmark si desea

modificar un marcador existente. O bien haga clic en New Bookmark para
crear un marcador adicional.

Como alternativa, si desea crear un marcador de perfil de recursos mediante la

página de roles de usuario:

a. Diríjase a la página Users > User Roles > Seleccionar rol > Web >
Bookmarks en la consola de administración.

b. Haga clic en New Bookmark.

c. En la lista Type, elija Pick a Web Resource Profile. (El IVE no muestra esta
opción si no ha creado un perfil de recursos Web.)

d. Seleccione un perfil de recursos existente.

e. Haga clic en OK. (Si aún no ha asociado el rol seleccionado con el perfil de
recursos, el IVE realiza la asociación de forma automática. El IVE también
habilita cualquier directiva de control de acceso para el rol que requiere el
perfil de recursos.)

f. Si este rol aún no ha sido asociado con el perfil de recursos seleccionado, el

IVE muestra un mensaje informativo. Si ve este mensaje, haga clic en Save
Changes para agregar este rol a la lista de roles del perfil de recursos y para
actualizar las directivas automáticas del perfil, según se requiera. A
continuación, repita el paso anterior para crear el marcador.

NOTA: Al crear un marcador de perfil de recursos mediante la página de roles de

usuario (en lugar de la página de perfiles de recursos estándar), el IVE sólo asocia
el marcador generado con el rol seleccionado. El IVE no asigna el marcador con
todos los roles asociados con el perfil de recursos seleccionado.

2. De forma opcional, cambie el nombre y la descripción del marcador. (De forma

predeterminada, el IVE llena los nombres que usa el marcador con el nombre
del perfil de recursos.)

Definición de perfiles de recursos: Aplicaciones web personalizadas „ 413

 Guía de administración de Secure Access de Juniper Networks

3. En el campo URL, agregue un sufijo a la URL si desea crear vínculos para

subsecciones del dominio definido en el perfil de recursos principal. Para
obtener información sobre variables y atributos de sistema para incluir en
el marcador, diríjase a “Uso de variables del sistema en territorios, roles y
directivas de recursos” en la página 1054.

NOTA: Asegúrese de introducir una URL única en este campo. Si crea dos
marcadores que contienen la misma URL, el IVE elimina uno de los marcadores
de la vista del usuario final. Aún podrá ver ambos marcadores, pero en la consola
del administrador.

4. En Options, seleccione la casilla de verificación Bookmark opens in new

window si desea permitir que el IVE abra automáticamente el recurso Web
en una nueva ventana del explorador. Luego seleccione:

„ Do not display browser address bar: Seleccione esta opción para eliminar
la barra de direcciones de la ventana del explorador. Esta característica
fuerza todo el tráfico web a través del IVE impidiendo que los usuarios del
rol especificado escriban una nueva URL en la barra de direcciones, con lo
que se pasa por alto al IVE.

„ Do not display browser toolbar: Seleccione esta opción para eliminar el

menú y la barra de herramientas del explorador. Esta característica elimina
todos los menús, botones de exploración y marcadores de la ventana del
explorador para que el usuario navegue sólo a través del IVE.

5. Si configura el marcador mediante las páginas del perfil de recursos, en Roles,

especifique los roles con los que desea mostrar el marcador:

„ ALL selected roles: Seleccione esta opción para mostrar el marcador en

todos los roles asociados con el perfil de recursos.

„ Subset of selected roles: Seleccione esta opción para mostrar el marcador

en un subconjunto de los roles asociados con el perfil de recursos. Luego
seleccione los roles de la lista ALL Selected Roles y haga clic en Add para
trasladarlos a la lista Subset of selected roles.

6. Haga clic en Save Changes.

414 „ Definición de perfiles de recursos: Aplicaciones web personalizadas

 Capítulo 18: Reescritura web

Definición de los ajustes de rol: URL web

Puede utilizar dos métodos distintos para crear marcadores web:

„ Crear marcadores a través de perfiles de recursos existentes (recomendado):

Cuando seleccione este método, el IVE completa automáticamente el marcador
con parámetros clave (como la URL de interfaz web (NFuse)) utilizando los
ajustes del perfil de recursos. Además, mientras crea el perfil de recursos
asociado, el IVE lo guía a través del proceso de creación de cualquier directiva
necesaria para habilitar el acceso al marcador. Para obtener instrucciones sobre
la configuración, consulte “Creación de marcadores a través de perfiles de
recursos existentes” en la página 415.

„ Crear marcadores estándar: Cuando selecciona esta opción, debe introducir

manualmente todos los parámetros de marcadores durante la configuración.
Además, debe habilitar el acceso a la característica web y crear directivas de
recursos que permitan el acceso a los sitios web definidos en el marcador
(como se explica en “Resumen de tareas: configuración de la característica de
reescritura web” en la página 384). Para obtener instrucciones sobre la
configuración, consulte “Creación de marcadores web estándar” en la
página 416.

Esta sección contiene información acerca de la configuración de marcadores

usando ambos métodos. Esta sección también contiene información acerca de la
definición de ajustes generales de nivel de rol para la característica de reescritura
web. Para obtener instrucciones sobre la configuración, consulte “Especificación de
opciones generales de exploración web” en la página 418.

Creación de marcadores a través de perfiles de recursos existentes

Para asociar un marcador a un perfil de recursos existentes:

1. Diríjase a la página Users > User Roles > Seleccionar rol > Web >
Bookmarks de la consola de administración.

2. Haga clic en New Bookmark.

3. En la lista Type, elija Pick a Web Resource Profile.

NOTA: El IVE no muestra esta opción si no ha creado un perfil de recursos Web.

4. Seleccione un perfil de recursos existente.

5. Haga clic en OK. (Si aún no ha asociado el rol seleccionado con el perfil de
recursos, el IVE realiza la asociación de forma automática.)

Definición de los ajustes de rol: URL web „ 415

 Guía de administración de Secure Access de Juniper Networks

6. Haga clic en Save Changes o en Save + New para agregar otra opción.

7. (Opcional) Para modificar las propiedades del marcador, haga clic en el vínculo
en la columna Resource de la página de roles. Luego, haga clic en el vínculo del
marcador en la página del perfil de recursos y actualice los ajustes del marcador
usando las instrucciones en “Definición de un marcador web” en la página 412.

Creación de marcadores web estándar

NOTA: La información de esta sección se proporciona para fines de compatibilidad
con versiones anteriores. Recomendamos que configure el acceso a las URL web y
los servidores mediante los perfiles de recursos, dado que proporcionan un
método de configuración más simple y unificado. Para obtener más información,
consulte “Definición de perfiles de recursos: Aplicaciones web personalizadas” en
la página 392 y “Definición de los ajustes de rol: URL web” en la página 415.

Use la ficha Bookmarks para crear marcadores que aparecen en la página

de bienvenida de usuarios asignados para este rol. Puede crear dos tipos
de marcadores a través de esta página:

„ Marcadores Web URL: Estos marcadores vinculan al usuario a URL web en la

World Wide Web o en la intranet corporativa. Cuando crea marcadores web,
puede insertar el nombre del usuario del IVE en la ruta URL para proporcionar
acceso de inicio de sesión único a aplicaciones web back-end. Para obtener
instrucciones de configuración de marcadores web, consulte las siguientes
instrucciones.

„ Marcadores Java applet: Estos marcadores ofrecen al usuario un vínculo a

applets de Java que se cargan en el IVE a través de la página Users > Resource
Profiles > Web > Hosted Java Applets de la consola de administración. Para
obtener instrucciones de configuración de marcadores de applets de Java,
consulte “Definición de perfiles de recursos: applets de Java hospedados” en la
página 350.

Cuando crea cualquiera de estos tipos de marcadores, los vínculos correspondientes

aparecen en la página de bienvenida de usuarios asignados para este rol.

Para crear un marcador a un recurso Web:

1. En la consola de administración, seleccione Users > User Roles > Rol >
Web > Bookmarks.

2. Haga clic en New Bookmark.

3. Introduzca un nombre y una descripción para el marcador (opcional).

Esta información aparece en la página principal del IVE en lugar de la URL.

4. Seleccione Web URL.

416 „ Definición de los ajustes de rol: URL web

 Capítulo 18: Reescritura web

5. Introduzca la URL del marcador. Si desea incluir un nombre de usuario,

introduzca <username> en el lugar correspondiente de la URL. Para obtener
información sobre variables y atributos de sistema para incluir en el marcador,
diríjase a “Uso de variables del sistema en territorios, roles y directivas de
recursos” en la página 1054.

NOTA: Asegúrese de introducir una URL única en este campo. Si crea dos
marcadores que contienen la misma URL, el IVE elimina uno de los marcadores
de la vista del usuario final. Aún podrá ver ambos marcadores, pero en la consola
del administrador.

6. En Auto-allow, haga clic en Auto-allow Bookmark si desea que el IVE cree

automáticamente una directiva de recurso de acceso web correspondiente.
Tenga en cuenta que esta funcionalidad se aplica sólo a los marcadores de rol
y no a los marcadores creados por el usuario. Luego, seleccione:“Definición de
los ajustes de rol: URL web” en la página 415

„ Only this URL para permitir que los usuarios accedan sólo a la URL.

„ Everything under this URL para permitir que el usuario acceda a cualquier
ruta en la URL.

NOTA: Es posible que no vea la opción Auto-allow si está utilizando una

instalación nueva o si el administrador oculta la opción. Para obtener más
información sobre esta opción, consulte “Ajuste de las opciones del sistema”
en la página 722.

7. En Display options, haga clic en Open bookmark in a new window para

permitir que el IVE abra automáticamente el recurso Web en una nueva
ventana del explorador. Tenga en cuenta que esta funcionalidad se aplica sólo
a los marcadores de rol y no a los marcadores creados por el usuario. Luego
seleccione:

„ Do not display the URL address bar si desea eliminar la barra de

direcciones de la ventana del explorador. Esta característica fuerza todo
el tráfico web a través del IVE impidiendo que los usuarios del rol
especificado escriban una nueva URL en la barra de direcciones, lo que
pasa por alto al IVE.

„ Do not display the menu and the toolbar para eliminar el menú y la barra
de herramientas del explorador. Esta característica elimina todos los
menús, botones de exploración y marcadores de la ventana del explorador
para que el usuario navegue sólo a través del IVE.

8. Haga clic en Save Changes o Save + New para agregar otra opción.

Definición de los ajustes de rol: URL web „ 417

 Guía de administración de Secure Access de Juniper Networks

Especificación de opciones generales de exploración web

El IVE permite configurar una amplia variedad de opciones de exploración web
para un rol de usuario. Esta sección incluye instrucciones para configurar las
opciones básicas y avanzadas de exploración web.

Configuración de opciones básicas de exploración web

Para configurar las opciones básicas de exploración web para un rol:

1. En la consola de administración, seleccione Users > User Roles > Nombre

de rol > Web > Options.

2. Seleccione User can type URLs in IVE browse bar si desea permitir que los
usuarios introduzcan URL en la página de bienvenida y exploren sitios de
Internet.

3. Seleccione User can add bookmarks si desea permitir que los usuarios creen
marcadores web personales en la página de bienvenida del IVE.

4. Seleccione Mask hostnames while browsing si desea que el IVE enmascare

los recursos de destino en las URL a las que acceden los usuarios. Cuando
selecciona esta opción, el IVE enmascara las direcciones IP y los nombres de
host en los elementos siguientes:

„ Barra de direcciones del explorador web (cuando el usuario accede a una

página)

„ Barra de estado del explorador web (cuando un usuario sitúa el cursor

sobre un hipervínculo)

„ Archivos fuente HTML (cuando el usuario selecciona visualizar la fuente)

La característica de codificación de nombre de host (también llamado

oscurecimiento de nombre de host u oscurecimiento de URL) impide que los
observadores ocasionales vean la URL de un recurso interno, al enmascarar el
servidor de destino en la URL sin enmascarar completamente el nombre de
ruta, el archivo de destino o el número de puerto. Por ejemplo, si un usuario se
dirige a www.msn.com sin tener habilitadas las funciones de reescritura selectiva
o codificación de nombre de host, el IVE muestra una URL no enmascarada en
la barra de direcciones del explorador web:

http://www.msn.com/

Si habilita la reescritura selectiva, el IVE puede mostrar la siguiente URL:

https://mycompanyserver.com/,DanaInfo=www.msn.com,SSO=U+

Si habilita la codificación de nombre de host y el mismo usuario accede al

mismo sitio, aparece una URL en la que el nombre de host (www.msn.com)
está enmascarado:

https://i5.asglab.juniper.net/,DanaInfo=.awxyCqxtGkxw,SSO=U+

418 „ Definición de los ajustes de rol: URL web

 Capítulo 18: Reescritura web

La codificación de nombre de host usa un algoritmo reversible ligero, de modo

que los usuarios pueden marcar las URL codificadas. (El IVE puede traducir la
URL codificada y conventirla nuevamente a la URL original.) Por razones de
compatibilidad, los marcadores creados previamente para URL sin enmascarar
continúan funcionando cuando se habilita la codificación de nombre de host.

NOTA:

„ Si habilita la reescritura selectiva y la codificación de nombre de host, el IVE

sólo enmascara los nombres de host y las direcciones IP de los servidores que
ha seleccionado para reescribir mediante la característica de reescritura
selectiva.

„ Los vínculos no reescritos por el IVE no se enmascaran. Por ejemplo,

la característica de reescritura no proporciona intermediación de vínculos ftp,
rtsp, mms y mailto. Por lo tanto, los nombres de host en estos vínculos no
se enmascaran. Esto es necesario para aprobar auditorías de seguridad.

„ Si habilita la barra de herramientas de marcos y la codificación de nombre de

host, el IVE no enmascara los nombres de host que el usuario introduce en el
campo de exploración de la barra de herramientas de marcos.

„ El IVE no enmascara nombres de host y direcciones IP en entradas de

registro, incluidos los nombres de host que enmascaran las entradas
de registro.

5. Haga clic en Save Changes.

Configuración de opciones avanzadas de exploración web

Para configurar las opciones avanzadas de exploración web para un rol:

1. En la consola de administración, seleccione Users > User Roles > Nombre

de rol > Web > Options.

2. Seleccione la casilla de verificación View advanced options.

3. Seleccione Allow Java applets si desea permitir que los usuarios accedan a
páginas web que contienen applets de Java del lado cliente. El servidor IVE
aparece para el servidor de la aplicación como un explorador que usa SSL.
El IVE administra transparentemente las solicitudes HTTP y las conexiones TCP
iniciadas por un applet de Java y administra los applets de Java firmados.

Si habilita esta característica, los usuarios pueden iniciar applets de Java y

ejecutar aplicaciones que se implementan como applets de Java del lado
cliente, como el cliente Java Virtual Computing (VNC), el cliente Java Citrix
NFuse, el cliente web WRQ Reflections y Lotus Webmail. Para obtener más
información, consulte “Definición de una directiva automática de control de
acceso a Java” en la página 404.

Definición de los ajustes de rol: URL web „ 419

 Guía de administración de Secure Access de Juniper Networks

4. Seleccione Allow Flash content para permitir que el IVE proporcione

intermediación del contenido Flash a través del motor de intermediación de
contenido. Tenga en cuenta que el IVE proporciona compatibilidad limitada
para ActionScript 2.0 y Flash Remoting, y no es compatible con conexiones
XMLSocket.

5. Seleccione Persistent cookies para permitir que los usuarios personalicen sus
experiencias de exploración habilitándolos para mantener cookies persistentes.
De forma predeterminada, el IVE limpia las cookies web que se almacenan
durante la sesión del usuario. Un usuario puede eliminar las cookies a través de
la página Advanced Preferences si se habilita esta opción.

6. Seleccione Unrewritten pages open in new window para configurar el IVE de

modo que abra los contenidos en una nueva ventana del explorador cuando un
usuario accede a una página web no reescrita. Abrir contenidos en una nueva
ventana puede ayudar a recordar a los usuarios que aún tienen una sesión
segura. Cuando una solicitud de usuario se realiza a un recurso para el que
se aplica esta opción, el IVE muestra una página que contiene un vínculo al
recurso solicitado y dirige a los usuarios a hacer clic en el vínculo. Este vínculo
abre el recurso en una nueva ventana del explorador y la página desde la cual
se origina la solicitud se sigue mostrando en el IVE.

Si anula la selección de esta casilla, es posible que los usuarios no se den cuenta
de que su sesión en el IVE todavía está activa y que para volver al IVE, deben
usar el botón Back del explorador. Los usuarios deben volver al IVE para cerrar
la sesión. Si solamente cierran la ventana del explorador, sus sesiones
permanecen activas hasta que expira el límite de tiempo de la sesión.

7. Seleccione Allow browsing untrusted SSL Web servers para permitir que los
usuarios accedan a sitios web que no son de confianza a través del IVE. Los
sitios web que no son de confianza son aquellos cuyos certificados de servidor
no están instalados a través de la ficha System > Configuration >
Certificates > Trusted Servers CAs de la consola de administración. Para
obtener más información, consulte “Uso de CA del servidor de confianza” en la
página 774.

NOTA: Si una página web tiene referencias internas a archivos en una etiqueta
SCRIPT y estos archivos se hospedan en diferentes servidores HTTPS que tienen
certificados SSL que no son de confianza para el IVE, la página web no se muestra
correctamente. En estos casos, la opción Warn users about the certificate
problems debe inhabilitarse.

420 „ Definición de los ajustes de rol: URL web

 Capítulo 18: Reescritura web

Si habilita esta opción, puede especificar las opciones que el IVE ofrece a los
usuarios cuando acceden a un sitio web que no es de confianza:

„ Warn users about the certificate problems: Si está habilitada, el IVE

muestra una advertencia al usuario cuando accede por primera vez a un
sitio web que no es de confianza, que dice el motivo por el cual no se
puede confiar en el certificado del sitio y permite continuar o cancelar.
Si el usuario selecciona continuar después de que el IVE muestra una
advertencia, el IVE no muestra más advertencias para el sitio durante la
sesión actual del IVE.

NOTA: Si selecciona la opción Warn users about the certificate problems y el

usuario accede a contenido no HTML (como imágenes, js, y css) de un servidor
SSL diferente al de la página web, es posible que la página que contiene los
vínculos no se muestre correctamente. Para evitar este problema, puede anular la
selección de esta opción o cargar un certificado SSL de producción válido en los
servidores que ofrecen el contenido no HTML.

„ Allow users to bypass warnings on a server-by-server basis: Si esta

opción está habilitada, el IVE permite al usuario suprimir todas las
advertencias siguientes para un sitio web que no es de confianza. Si un
usuario selecciona esta opción, no volverá a ver advertencias para este
sitio, siempre que acceda a éste desde el IVE o clúster actuales.

NOTA: Si opta por permitir que los usuarios accedan a sitios web que no son de
confianza sin ver una advertencia, el IVE registra un mensaje en el registro de
acceso del usuario cada vez que el usuario accede a un sitio que no es de
confianza. Además, tenga en cuenta que si un usuario selecciona suprimir las
advertencias, también puede eliminar los ajustes persistentes de los sitios web
que no son de confianza mediante la opción Delete Passwords de la ficha
System > Preferences > Advanced en la consola del usuario final.

8. Seleccione Rewrite file:// URLs para configurar al IVE para que reescriba las
URL file://, de modo que se enruten a través de la CGI de exploración de
archivos del IVE.

9. Seleccione Rewrite links in PDF files para configurar el IVE para reescribir los
hipervínculos en archivos PDF.

10. En HTTP Connection Timeout, acepte el valor predeterminado o ajuste la

duración para indicarle al IVE cuánto tiempo debe esperar una respuesta de
un servidor HTTP antes de cerrar la conexión. Use valores desde 30 hasta
1 800 segundos.

NOTA: Los valores de tiempo de espera de conexión más altos pueden agotar los
recursos del IVE si las aplicaciones no cierran correctamente las conexiones o
demoran mucho tiempo en cerrarlas. A menos que una aplicación requiera un
valor de tiempo de espera mayor, recomendamos aceptar el valor
predeterminado.

11. Haga clic en Save Changes.

Definición de los ajustes de rol: URL web „ 421

 Guía de administración de Secure Access de Juniper Networks

Definición de directivas de recursos: Información general

Cuando habilita la característica de acceso web para un rol, debe crear directivas de
recursos que especifiquen a qué recursos puede acceder el usuario, si el IVE debe
reescribir o no el contenido solicitado por el usuario y los requisitos de
almacenamiento en caché, applet e inicio de sesión único. Para cada solicitud web,
el IVE primero evalúa las directivas de reescritura configuradas1. Si la solicitud del
usuario se refiere a un recurso especificado como “no reescribir” debido a una
directiva de recursos de reescritura selectiva o de proxy passthrough, el IVE reenvía
la solicitud del usuario al recurso back-end correspondiente. De lo contrario, el IVE
sigue evaluando las directivas de recursos correspondientes a la solicitud, como las
directivas de recursos Java de una solicitud para buscar un applet de Java. Tras
comparar la solicitud de un usuario con un recurso enumerado en una directiva
pertinente, el IVE realiza la acción especificada para el recurso.

Puede crear directivas de recursos mediante la interfaz estándar (según se describe

en esta sección) o mediante los perfiles de recursos (método recomendado).

Cuando escribe una directiva de recursos Web, debe proporcionar

información clave:

„ Resources: Una directiva de recursos debe especificar uno o más recursos a los
que se aplica dicha directiva. Al escribir una directiva web, debe especificar
servidores web o URL específicas, según se explica en la sección siguiente.

„ Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evalúa estas directivas que corresponden a la solicitud.

„ Actions: Cada uno de los tipos de directivas de recursos ejecuta una acción
específica, ya sea permitir o denegar un recurso, así como realizar o no realizar
una acción, como reescribir un contenido, volver a firmar un applet o colocar
datos web. También puede escribir reglas detalladas que impongan más
condiciones a la petición de un usuario. Consulte “Escritura de una regla
detallada” en la página 109.

El motor de la plataforma del IVE que evalúa las directivas de recursos requiere que
los recursos que aparecen en la lista de Resources de una directiva sigan un
formato canónico, como se explica en “Especificación de los recursos para una
directiva de recursos” en la página 103.

Esta sección esboza las consideraciones especiales que debe tener en cuenta al
especificar un recurso Web usando el formato canónico.

Formato canónico:
[protocolo://]host[:puertos][/ruta]

1. Si no configura las directivas de recursos de reescritura, el IVE continúa el proceso de evaluación usando las
directivas que se aplican a la solicitud del usuario.

422 „ Definición de directivas de recursos: Información general

 Capítulo 18: Reescritura web

Los cuatro componentes son:

„ Protocolo (opcional): valores posibles: http y https (no distingue mayúsculas

y minúsculas)

Si falta el protocolo, se suponen http y https. Si se especifica un protocolo, se

requiere el delimitador “://”. No se permiten caracteres especiales.

„ Host (obligatorio): valores posibles:

„ DNS Hostname: por ejemplo: www.juniper.com

Los caracteres especiales permitidos se describen en la siguiente tabla:

Tabla 25: Caracteres especiales de nombre de host DNS

* Coincidencias con TODOS los caracteres
% Coincidencias con cualquier carácter a excepción del punto (.)
? Coincide exactamente con un carácter

„ IP address/Netmask: la dirección IP debe tener el formato: a.b.c.d

El máscara de red puede estar en uno de estos dos formatos:

‰ Prefijo: bits de ordenación alta

‰ IP: a.b.c.d

Por ejemplo: 10.11.149.2/24 or 10.11.149.2/255.255.255.0

No se permiten caracteres especiales.

„ Ports: Debe especificar un puerto cuando especifica una dirección IP/máscara

de red como un recurso. El puerto es opcional cuando especifica un nombre de
host DNS. Si se especifica un puerto, se requiere el delimitador “:”. Por ejemplo:
10.11.149.2/255.255.255.0:*

Tabla 26: Valores posibles de puertos

* Coincidencias con TODOS los puertos; no se permiten otros
caracteres especiales.
puerto[,puerto]* Una lista de puertos delimitada por comas. Los números de
puertos válidos son [1-65535].
[puerto1]- Un rango de puertos, desde el puerto1 al puerto2.
[puerto2]

NOTA: Puede mezclar listas de puertos y rangos de puertos, como:

80,443,8080-8090

Si falta el puerto, el puerto 80 predeterminado se asigna para http y el

443 para https.

Definición de directivas de recursos: Información general „ 423

 Guía de administración de Secure Access de Juniper Networks

„ Path (opcional): si falta la ruta, se supone un asterisco (*), lo que significa que
TODAS las rutas coinciden. Si se especifica una ruta, se requiere el delimitador
“/”. No se admiten otros caracteres especiales. Por ejemplo:

„ http://www.juniper.com:80/*

„ https://www.juniper.com:443/intranet/*

„ *.yahoo.com:80,443/*

„ %.danastreet.net:80/share/users/<username>/*

Definición de directivas de recursos: acceso web

Las directivas de recursos de acceso web controlan a qué recursos Web pueden
acceder los usuarios para conectarse a Internet, intranet o extranet. Puede negar o
permitir el acceso a recursos Web por URL o rango IP. Para las URL, puede usar los
comodines “*” y “?” para especificar eficientemente múltiples nombres de host y
rutas. Para recursos especificados por nombre de host, también puede seleccionar
los protocolos HTTP, HTTPS o ambos.

Para escribir una directiva de recursos de acceso web:

1. En la consola de administración, elija Users > Resource Policies > Web >
Web ACL.

2. En la página Web Access Policies, haga clic en New Policy.

3. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

4. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Especificación de los
recursos para una directiva de recursos” en la página 103. Para habilitar la
coincidencia según IP o la coincidencia que distingue entre mayúsculas y
minúsculas para estos recursos, consulte “Definición de directivas de recursos:
opciones generales” en la página 462.

5. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

424 „ Definición de directivas de recursos: acceso web

 Capítulo 18: Reescritura web

6. En la sección Action, especifique:

„ Allow access: Para permitir el acceso a los recursos especificados en la lista

Resources.

„ Deny access: Para denegar el acceso a los recursos especificados en la lista

Resources.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

7. Haga clic en Save Changes.

8. En la página Web Access Policies, ordene las directivas en el orden en el que

desee que el IVE las evalúe. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la acción especificada y detiene las
directivas de procesamiento.

Para ver un ejemplo de directiva de recursos Web, consulte las figuras en

“Definición de directivas de recursos: Información general” en la página 422.

Definición de directivas de recursos: inicio de sesión único

Las directivas de inicio de sesión único permiten transmitir automáticamente las
credenciales de usuario a la aplicación web especificada en la directiva. Puede
configurar directivas de inicio de sesión único para interceptar desafíos de
autenticación básica y NTLM, mostrar una página de inicio de sesión intermediaria
para recopilar credenciales para el recurso Web y luego reescribir las credenciales
junto con la secuencia completa de desafío/respuesta. O bien, puede colocar las
credenciales y los encabezados especificados en la aplicación web.

Esta sección contiene las siguientes instrucciones para crear directivas de recursos
de inicio de sesión único:

„ “Especificación de opciones de directiva automática SSO de autenticación

básica o NTLM” en la página 398

„ “Escritura de una directiva de recursos POST de formulario de SSO remoto” en

la página 429

„ “Escritura de una directiva de recursos de encabezados/cookies de SSO

remoto” en la página 431

Definición de directivas de recursos: inicio de sesión único „ 425

 Guía de administración de Secure Access de Juniper Networks

Escritura de una directiva de recursos de intermediación de autenticación básica

o NTLM
Las directivas de recursos de intermediación de autenticación básica o NTLM
permiten controlar la intermediación NTLM en el IVE. Si un usuario accede a un
recurso Web que envía un desafío de autenticación básica, el IVE puede interceptar
el desafío, mostrar una página de inicio de sesión intermediaria para recopilar
credenciales para el recurso Web y luego reescribir las credenciales junto con la
secuencia desafío/respuesta completa.

NOTA: La solicitud HTTP inicial generada para un servidor protegido NTLM debe
ser para una solicitud que produce contenido HTML. Si SSO no está habilitado o si
las credenciales de SSO fallan, el IVE responde con una página HTML para obtener
las credenciales de usuario. Si el explorador espera contenido no HTML, rechaza la
respuesta y falla la navegación al recurso.

El contenido POST no autenticado superior a 4k no podrá enviar contenido a un

servidor protegido por autenticación básica.

Para escribir una directiva de recursos de intermediación de autenticación básica

o NTLM:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si la vista de administrador aún no está configurada para mostrar las directivas

SSO, realice las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación SSO.

c. Seleccione la casilla de verificación Basic Auth/NTLM ubicada debajo de

la casilla de verificación SSO.

d. Haga clic en OK.

3. Seleccione la ficha SSO > Basic Auth/NTLM.

4. En la página Basic Auth and NTLM policies, haga clic en New Policy.

5. En la página New Policy, introduzca un nombre para etiquetar esta directiva

(obligatorio) y una descripción de la directiva (opcional).

426 „ Definición de directivas de recursos: inicio de sesión único

 Capítulo 18: Reescritura web

6. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Especificación de los
recursos para una directiva de recursos” en la página 103. Para habilitar la
coincidencia según IP o la coincidencia que distingue entre mayúsculas y
minúsculas para estos recursos, consulte “Definición de directivas de recursos:
opciones generales” en la página 462.

NOTA: Si desea que el IVE envíe automáticamente valores a una URL específica
cuando un usuario final haga clic en un marcador del IVE, el recurso que
introduzca aquí debe coincidir exactamente con la URL que especifique en la
página Users > User Roles > Rol > Web > Bookmarks de la consola de
administración.

7. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

8. En la sección Action, especifique:

„ Basic: Esta opción especifica que el IVE usa el método de intermediación

de autenticación básica para controlar el comportamiento de SSO.

‰ Enable Intermediation: Cuando selecciona esta opción, también debe

especificar el tipo de intermediación de autenticación básica: Use
System Credentials for SSO, Use Specified Credentials for SSO o
Disable SSO. Estas tres opciones se describen a continuación, en el
elemento NTLM.

‰ Disable Intermediation: Cuando selecciona esta opción, el IVE no

proporciona intermediación de la secuencia desafío/respuesta.

NOTA:

„ El IVE siempre proporciona intermediación de solicitudes a proxies web que

requieren autenticación básica, aunque seleccione Disable Intermediation.

„ Aunque dispone de una opción para inhabilitar la intermediación de

autenticación básica, no recomendamos esta opción porque es un método de
autenticación muy inseguro y, en algunos casos, puede transmitir credenciales
de usuario en la red en texto sin encriptar.

Definición de directivas de recursos: inicio de sesión único „ 427

 Guía de administración de Secure Access de Juniper Networks

„ NTLM: esta opción especifica que el IVE usa el método de intermediación

de Microsoft NTLM para controlar el comportamiento de SSO.

‰ Use System Credentials for SSO: El IVE proporciona intermediación

en la secuencia desafío/respuesta, almacena en caché las credenciales
que recopila y las usa para habilitar inicio de sesión único basado en
cualquier credencial de sistema que haya configurado previamente en
el IVE.

‰ Use Specified Credentials for SSO: El IVE proporciona intermediación

en la secuencia desafío/respuesta, almacena en caché las credenciales
que recopila y las usa para habilitar el inicio de sesión único. Cuando
selecciona esta opción, también debe especificar los siguientes
parámetros de credencial de intermediación:

Username: Especifica el nombre de usuario de SSO que el IVE usa para

validar credenciales de inicio de sesión.

Variable password: Especifica la contraseña variable de SSO que el IVE

usa para validar credenciales de inicio de sesión. La contraseña
variable es el texto, “<PASSWORD>” y significa que el IVE usa la
contraseña de inicio de sesión del usuario como el método de
autenticación al presentar credenciales para SSO.

Password: Especifica la contraseña estática de SSO que el IVE usa para

validar credenciales de inicio de sesión. Por ejemplo, puede especificar
una contraseña como “open_sesame” que el IVE presenta
automáticamente al servidor de autenticación al proporcionar
intermediación de credenciales de usuario.

Domain: Especifica el nombre de dominio. Use la variable

<userDN.DC> si está usando un servidor LDAP. El IVE completa esta
variable con el nombre de dominio. Si se deja en blanco, el IVE envía
el dominio devuelto del desafío NTLM al servidor como parte de la
respuesta NTLM.

‰ Disable SSO: El IVE inhabilita la autenticación de SSO automática para

este rol de usuario y, en lugar de ello, solicita al usuario las credenciales
de inicio de sesión.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

9. Haga clic en Save Changes.

10. En la página Basic Auth and NTLM policies, ordene las directivas en el orden
en el que desee que el IVE las evalúe. Tenga presente que una vez que el IVE
compara el recurso solicitado por el usuario con un recurso en una lista de
Resource de la directiva (o una regla detallada), realiza la acción especificada
y detiene las directivas de procesamiento.

Para ver un ejemplo de directiva de recursos Web, consulte las figuras en

“Definición de directivas de recursos: Información general” en la página 422.

428 „ Definición de directivas de recursos: inicio de sesión único

 Capítulo 18: Reescritura web

Escritura de una directiva de recursos POST de formulario de SSO remoto

Las directivas de recursos POST de formulario de SSO remoto especifican las
aplicaciones web a las cuales coloca datos el IVE. Estos datos pueden incluir el
nombre de usuario y la contraseña de IVE del usuario, así como datos del sistema
almacenados por variables del sistema. Para obtener más información, consulte
“Información general de SSO remoto” en la página 388.

Para escribir una directiva de recursos POST de formulario de SSO remoto:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si la vista de administrador aún no está configurada para mostrar las directivas

SSO, realice las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación SSO.

c. Seleccione la casilla de verificación Form Post ubicada debajo de la casilla

de verificación SSO.

d. Haga clic en OK.

3. Seleccione la ficha SSO > Form Post.

4. En la página Form POST Policies, haga clic en New Policy.

5. En la página New Policy, introduzca un nombre para etiquetar esta directiva

(obligatorio) y una descripción de la directiva (opcional).

6. En la sección Resources, especifique la página de inicio de sesión de la

aplicación, como: http://yourcompany.com. Para obtener más información,
consulte “Especificación de los recursos para una directiva de recursos” en la
página 103. Para habilitar la coincidencia según IP o la coincidencia que
distingue entre mayúsculas y minúsculas para estos recursos, consulte
“Definición de directivas de recursos: opciones generales” en la página 462.

NOTA: Si desea que el IVE envíe automáticamente valores a una URL específica
cuando un usuario final haga clic en un marcador del IVE, el recurso que
introduzca aquí debe coincidir exactamente con la URL que especifique en la
página Users > User Roles > Rol > Web > Bookmarks de la consola de
administración.

Definición de directivas de recursos: inicio de sesión único „ 429

 Guía de administración de Secure Access de Juniper Networks

7. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

8. En la sección Action, especifique:

„ Perform the POST defined below: El IVE realiza un POST de formulario

con los datos de usuario especificados en la sección POST details para la
URL especificada cuando un usuario realiza una solicitud a un recurso
especificado en la lista Resources.

„ Do NOT perform the POST defined below: El IVE no realiza un POST

de formulario con los datos de usuario especificados en la sección
POST details.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

9. En la sección POST details:

„ En el campo POST to URL, especifique la URL absoluta donde la aplicación

coloca las credenciales del usuario, como:
http://yourcompany.com/login.cgi. Puede determinar la URL apropiada
usando una descarga TCP o visualizando la fuente de la página de inicio de
sesión de la aplicación y buscando el parámetro POST en la etiqueta FORM.
(El IVE no acepta caracteres comodines en este campo.)

„ Seleccione Deny direct login for this resource si no desea que los usuarios
puedan acceder directamente a la URL.

„ Seleccione la casilla de verificación Allow multiple POSTs to this resource

si desea que el IVE envíe valores de POST y cookies al recurso varias veces
si es necesario. Si no selecciona esta opción, el IVE no intenta el inicio de
sesión único cuando un usuario solicita el mismo recurso más de una vez
durante la misma sesión.

430 „ Definición de directivas de recursos: inicio de sesión único

 Capítulo 18: Reescritura web

„ Especifique los datos de usuario para colocar y el permiso de modificación

de usuario:

‰ User label: La etiqueta que aparece en la página Preferences de un

usuario en el IVE. Este campo es obligatorio si permite o requiere
que los usuarios modifiquen los datos para colocar en aplicaciones
back-end.

‰ Name: El nombre para identificar los datos del campo Value.

(La aplicación back-end debe esperar este nombre.)

‰ Value: El valor que se debe incluir en el formulario para el Name

especificado. Puede introducir datos estáticos, una variable de sistema
(consulte “Variables del sistema y ejemplos” en la página 1046 para ver
una lista de variables válidas) o variables de sesión del IVE que
contienen valores de nombre de usuario y contraseña (consulte
“Información general de credenciales de inicios de sesión múltiples”
en la página 226 para obtener más información).

‰ Ajuste User modifiable: Seleccione Not modifiable si no desea que el

usuario pueda cambiar la información del campo Value. Seleccione
User CAN change value si desea que el usuario tenga la opción de
especificar datos para una aplicación back-end. Seleccione User MUST
change value si los usuarios deben introducir datos adicionales para
acceder a una aplicación back-end. Si selecciona alguno de estos
ajustes, aparece un campo para introducción de datos en la página
Advanced Preferences del usuario en el IVE. Este campo se etiqueta
con los datos que introduce en el campo User label. Si introduce un
valor en el campo Value, estos datos aparecen en el campo, pero se
pueden editar.

10. Haga clic en Save Changes.

11. En la página Form POST Policies, ordene las directivas en el orden en el que
desee que el IVE las evalúe. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la acción especificada y detiene las
directivas de procesamiento.

Para ver un ejemplo de directiva de recursos Web, consulte las figuras en

“Definición de directivas de recursos: Información general” en la página 422.

Escritura de una directiva de recursos de encabezados/cookies de SSO remoto

Las directivas de recursos de encabezados/cookies de SSO remoto especifican las
aplicaciones web personalizadas a las que el IVE envía encabezados y cookies
personalizados. Para obtener más información, consulte “Información general de
SSO remoto” en la página 388.

NOTA: Al crear una directiva de encabezados/cookies, tenga en cuenta que el IVE

no analiza ni “entiende” los encabezados que introduce en esta sección. Por
ejemplo, si agrega un encabezado Accept-Encoding: gzip o Accept-Encoding:deflate,
no significa que el IVE puede manejar contenido gzip o comprimido.

Definición de directivas de recursos: inicio de sesión único „ 431

 Guía de administración de Secure Access de Juniper Networks

Para escribir una directiva de recursos de encabezados/cookies de SSO remoto:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si la vista de administrador aún no está configurada para mostrar las directivas

SSO, realice las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación SSO.

c. Seleccione la casilla de verificación Headers/Cookies ubicada debajo de

la casilla de verificación SSO.

d. Haga clic en OK.

3. Seleccione la ficha SSO > Headers/Cookies.

4. En la página Headers/Cookies Policies, haga clic en New Policy.

5. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

6. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Especificación de los
recursos para una directiva de recursos” en la página 103. Para habilitar la
coincidencia según IP o la coincidencia que distingue entre mayúsculas y
minúsculas para estos recursos, consulte “Definición de directivas de recursos:
opciones generales” en la página 462.

7. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

432 „ Definición de directivas de recursos: inicio de sesión único

 Capítulo 18: Reescritura web

8. En la sección Action, especifique:

„ Append headers as defined below: El IVE coloca los datos de usuario

especificados en la sección POST details para la URL especificada cuando
un usuario realiza una solicitud a un recurso especificado en la lista
Resources.

„ Do NOT append headers as defined below: El IVE no coloca los datos de

usuario especificados en la sección POST details para la URL especificada
cuando un usuario realiza una solicitud a un recurso especificado en la lista
Resources.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

9. En la sección Headers and values, especifique:

„ Header name: El texto que el IVE envía como datos de encabezado.

„ Value: El valor para el encabezado especificado.

NOTA: Si necesita reenviar una cookie a un servidor backend, debe

configurar el campo Header Name en "Cookie" y el campo Value en
"CookieName=CookieValue".

10. Haga clic en Save Changes.

11. En la página Headers/Cookies Policies, ordene las directivas en el orden en

el que desee que el IVE las evalúe. Tenga presente que una vez que el IVE
compara el recurso solicitado por el usuario con un recurso en una lista de
Resource de la directiva (o una regla detallada), realiza la acción especificada
y detiene las directivas de procesamiento.

Para ver un ejemplo de directiva de recursos Web, consulte las figuras en

“Definición de directivas de recursos: Información general” en la página 422.

Definición de directivas de recursos: almacenamiento en caché

Las directivas de recursos de almacenamiento en caché controlan qué contenido
web se almacena en el equipo del usuario.

Esta sección contiene la siguiente información acerca de las directivas de

almacenamiento en caché:

„ “Escritura de una directiva de recursos de almacenamiento en caché” en la

página 434

„ “Creación de directivas de recursos de almacenamiento en caché OWA y Lotus

Notes” en la página 437

„ “Especificación de opciones generales de almacenamiento en caché” en la

página 438

Definición de directivas de recursos: almacenamiento en caché „ 433

 Guía de administración de Secure Access de Juniper Networks

Escritura de una directiva de recursos de almacenamiento en caché

Para escribir una directiva de recursos de almacenamiento en caché web:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si la vista de administrador aún no está configurada para mostrar las directivas

de almacenamiento en caché, realice las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación Caching.

c. Seleccione la casilla de verificación Policies ubicada debajo de la casilla

de verificación Caching.

d. Haga clic en OK.

3. Seleccione la ficha Caching > Policies.

4. En la página Web Caching Policies, haga clic en New Policy.

5. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

6. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109. Para habilitar la coincidencia según IP o la
coincidencia que distingue entre mayúsculas y minúsculas para estos recursos,
consulte “Definición de directivas de recursos: opciones generales” en la
página 462.

7. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

434 „ Definición de directivas de recursos: almacenamiento en caché

 Capítulo 18: Reescritura web

8. En la sección Action, seleccione una de las siguientes opciones:

„ Smart Caching (send headers appropriate for content and browser):

Seleccione esta opción para permitir que el IVE envíe un encabezado
cache-control:no-store o un encabezado cache-control:no-cache, según el tipo
de contenido y el explorador web del usuario.

Cuando selecciona esta opción, el IVE hace que los archivos de medios y
los archivos zip funcionen correctamente al eliminar los encabezados
cache-control del servidor de origen. Por ejemplo, la lógica siguiente busca
“msie” o “windows-media-player” en encabezados de agente de usuario para
eliminar encabezados de respuesta cache o cache-control:no-store y
permitir que los archivos sean almacenables en caché:

(if content type has "audio/x-pn-realaudio" OR

if content type begins with "video/" OR
if content type begins with "audio/" OR
if content type is "application/octet-stream" and the file extension begins
with "rm" or "ram"
)

Si el IVE detecta “msie” o “windows-media-player” en el encabezado de

agente de usuario y si se aplica cualquiera de los casos siguientes:

‰ la solicitud es sobre archivos Flash, .xls, .pps, .ppt

‰ el tipo de contenido es application/, text/rtf, text/xml, model/

‰ el servidor de origen envía un encabezado de disposición de contenido

entonces, el IVE envía el encabezado cache-control:no-store y elimina el

encabezado de control de caché del servidor de origen.

En todos los otros casos, el IVE agrega los encabezados de respuesta

pragma:no-cache o cache-control:no-store.

NOTA: Los archivos .ica Citrix y QuickPlace tienen un tratamiento especial. Los
archivos .ica Citrix siempre se pueden almacenar en caché y también tienen
cache-control-private. Los archivos QuickPlace que no coinciden con una regla
especificada (que tiene prioridad) tienen CCNS y cache-control:private.

Además, tenga en cuenta que si selecciona esta opción, habilita la compresión

GZIP e intenta acceder a un archivo de texto adjunto mediante Domino Web
Access 6.5 a través de Internet Explorer, no podrá abrir el archivo adjunto. Para
habilitar los archivos de texto adjuntos, debe instalar el parche 323308 de Internet
Explorer o habilitar la opción Don't Cache (send “Cache Control: No Store”).

Definición de directivas de recursos: almacenamiento en caché „ 435

 Guía de administración de Secure Access de Juniper Networks

„ Don't Cache (send “Cache Control: No Store”): Seleccione esta opción

para proporcionar archivos adjuntos a Internet Explorer sin guardarlos en
el disco. (El explorador escribe temporalmente los archivos en el disco,
pero los elimina inmediatamente una vez que abre el archivo en el
explorador.) Cuando selecciona esta opción, el IVE elimina el encabezado
de control de caché del servidor de origen y agrega un encabezado de
respuesta cache-control:no-store si la cadena del agente de usuario enviado
por el explorador contiene “msie” o “windows-media-player.”

Esta opción puede entorpecer la exploración al causar repetidamente

búsquedas de contenido, que pueden provocar problemas de rendimiento
en conexiones muy lentas. Como alternativa, puede especificar una
directiva que permita que se almacenen en caché determinados tipos de
contenido, como imágenes que no excedan un límite de tamaño
especificado.

„ Don't Cache (send “Pragma: No Cache”): Seleccione esta opción para

evitar que el explorador del usuario almacene los archivos en el disco.
Cuando selecciona esta opción, el IVE agrega los encabezados pragma:
no-cache HTTP y cache-control:no-cache (CCNC) estándar (HTTP 1.1) a los
archivos de respuesta. Además, el IVE no reenvía los encabezados de
almacenamiento en caché del servidor de origen, como age, date, etag,
last-modified, expires.

NOTA: Cuando los encabezados no-cache están presentes en determinados tipos

de archivos adjuntos (PDF, PPT, secuencias de archivos), Internet Explorer no
procesa adecuadamente los documentos porque el procesamiento requiere que
el explorador escriba temporalmente los archivos en caché.

„ Unchanged (do not add/modify caching headers): El IVE no agrega

los encabezados de respuesta pragma:no-cache o cache-control:no-store
y reenvía los encabezados de almacenamiento en caché del servidor
de origen.

„ Remove Cache-Control: No-Cache|No-Store: Seleccione esta opción para

ayudar a almacenar en caché los archivos enviados por aplicaciones web
en un entorno HTTPS. Esta opción elimina los encabezados Cache
Control:No Cache y Pragma:no-cache. Es necesario eliminar estos
encabezados para permitir la descarga exitosa de determinados tipos de
archivos. Estos encabezados funcionan bien en un entorno HTTP, pero
fallan en un entorno HTTPS donde las páginas asociadas no se pueden
almacenar en caché, lo cual impide que el explorador web del usuario
descargue las páginas.

Use esta opción cuando desea que el usuario final tenga la capacidad
de descargar y abrir un archivo que será abierto por otra aplicación de
terceros. Por ejemplo, los archivos zip y wav se almacenan en el disco
y los abre otra aplicación.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

436 „ Definición de directivas de recursos: almacenamiento en caché

 Capítulo 18: Reescritura web

9. Haga clic en Save Changes.

10. En la página Web Caching Policies, ordene las directivas en el orden en el que
desee que el IVE las evalúe. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la acción especificada y detiene las
directivas de procesamiento.

Para ver un ejemplo de directiva de recursos Web, consulte las figuras en

“Definición de directivas de recursos: Información general” en la página 422.

Creación de directivas de recursos de almacenamiento en caché OWA y Lotus Notes

Las tablas siguientes incluyen ejemplos de algunos de los tipos de contenidos que el
IVE admite con las aplicaciones Outlook Web Access (OWA) y Lotus iNotes. Además,
especifica las directivas de control de caché que debe implementar en Microsoft
Internet Explorer para admitir abrir y guardar los tipos de contenido especificados.

Tenga en cuenta que por razones de rendimiento, recomendamos crear directivas

de almacenamiento en caché para todo lo que se encuentra en el directorio iNotes.

Tabla 27: Directivas de recursos de almacenamiento en caché OWA

Tipo de archivo Para abrir el archivo Para guardar el archivo adjunto,

adjunto adjunto, use: use:
zip Caché Almacenamiento en caché inteligente
ppt Almacenamiento en caché Almacenamiento en caché inteligente
inteligente
doc Almacenamiento en caché Almacenamiento en caché inteligente
inteligente
xls Almacenamiento en caché Almacenamiento en caché inteligente
inteligente
pdf Almacenamiento en caché Almacenamiento en caché inteligente
inteligente
txt Caché Control del almacenamiento en
caché: no guardar
html Almacenamiento en caché Control del almacenamiento en
inteligente caché: no guardar

Tabla 28: Directivas de recursos de almacenamiento en caché iNotes

Tipo de archivo Para abrir el archivo Para guardar el archivo

adjunto adjunto, use: adjunto, use:
zip Control del almacenamiento en Control del almacenamiento en
caché: no guardar caché: no guardar
ppt Control del almacenamiento en Control del almacenamiento en
caché: no guardar caché: no guardar
doc Almacenamiento en caché Almacenamiento en caché
inteligente inteligente
xls Control del almacenamiento en Control del almacenamiento en
caché: no guardar caché: no guardar

Definición de directivas de recursos: almacenamiento en caché „ 437

 Guía de administración de Secure Access de Juniper Networks

Tabla 28: Directivas de recursos de almacenamiento en caché iNotes

Tipo de archivo Para abrir el archivo Para guardar el archivo

adjunto adjunto, use:
pdf Control del almacenamiento en
caché: no guardar
txt Control del almacenamiento en
caché: no guardar
html Control del almacenamiento en
caché: no guardar
otros tipos de archivos Control del almacenamiento en
caché: no guardar
adjunto, use:
Control del almacenamiento en
caché: no guardar
Control del almacenamiento en
caché: no guardar
Control del almacenamiento en
caché: no guardar
Control del almacenamiento en
caché: no guardar

Especificación de opciones generales de almacenamiento en caché

Puede usar opciones de almacenamiento en caché para especificar el tamaño
máximo de archivo de imagen que se almacena en caché en un cliente. Si el
encabezado content-type del servidor de origen comienza con "image/" y el
encabezado content-length especifica un tamaño menor que el tamaño máximo
configurado para esta opción, el IVE transmite los encabezados de almacenamiento
en caché del servidor de origen. De lo contrario, el IVE trata la solicitud como si el
almacenamiento en caché estuviera inhabilitado.

Para especificar las opciones de almacenamiento en caché:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si la vista de administrador aún no está configurada para mostrar las directivas

de almacenamiento en caché, realice las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación Caching.

c. Seleccione la casilla de verificación Options ubicada debajo de la casilla de

verificación Caching.

d. Haga clic en OK.

3. Seleccione la ficha Caching > Options.

4. En la página Caching Options, especifique un tamaño máximo de imagen

admisible en el campo Clients should cache all images less than field.

5. Haga clic en Save Changes.

438 „ Definición de directivas de recursos: almacenamiento en caché

 Capítulo 18: Reescritura web

Definición de directivas de recursos: applets de Java externos

Esta sección contiene la siguiente información acerca de la reescritura de applets de
Java en un servidor externo:

„ “Escritura de una directiva de recursos de control de acceso a Java” en la

página 439

„ “Escritura de una directiva de recursos de firma de código Java” en la

página 441

NOTA: Para obtener información acerca del alojamiento de applets de Java

directamente en el IVE, consulte “Plantillas de applets de Java hospedados” en la
página 345.

Escritura de una directiva de recursos de control de acceso a Java

Las directivas de recursos de control de acceso a Java controlan a qué servidores
y puertos se pueden conectar los applets de Java.

Para escribir una directiva de recursos de control de acceso a Java:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si la vista de administrador aún no está configurada para mostrar las directivas

java, realice las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación Java.

c. Seleccione la casilla de verificación Access Control ubicada debajo de

la casilla de verificación Java.

d. Haga clic en OK.

3. Seleccione la ficha Java > Access Control.

4. En la página Java Access Policies, haga clic en New Policy.

5. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

Definición de directivas de recursos: applets de Java externos „ 439

 Guía de administración de Secure Access de Juniper Networks

6. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Especificación de los
recursos para una directiva de recursos” en la página 103. Para habilitar la
coincidencia según IP o la coincidencia que distingue entre mayúsculas y
minúsculas para estos recursos, consulte “Definición de directivas de recursos:
opciones generales” en la página 462.

7. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

8. En la sección Action, especifique:

„ Allow socket access: Para permitir que los applets de Java se conecten
a los servidores (y opcionalmente a los puertos) de la lista Resources.

„ Deny socket access: Para impedir que los applets de Java se conecten a los
servidores (y opcionalmente a los puertos) de la lista Resources.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

9. Haga clic en Save Changes.

10. En la página Java Access Policies, ordene las directivas en el orden en el que
desee que el IVE las evalúe. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la acción especificada y detiene las
directivas de procesamiento.

11. (Opcional) Para mejorar el rendimiento de sus aplicaciones Java:

a. Seleccione Enable Java instrumentation caching en la página

Maintenance > System > Options de la consola de administración. Esta
opción puede mejorar el rendimiento de la descarga de aplicaciones Java.
Para obtener más información, consulte “Ajuste de las opciones del
sistema” en la página 722.

b. Después de terminar la configuración del IVE, coloque en caché el applet

de Java y acceda a éste como usuario final. Esta acción elimina la
coincidencia de rendimiento que se produce en el motor de intermediación
cuando el primer usuario final accede al applet.

Para ver un ejemplo de directiva de recursos Web, consulte las figuras que se
incluyen en “Definición de directivas de recursos: Información general” en la
página 422.

440 „ Definición de directivas de recursos: applets de Java externos

 Capítulo 18: Reescritura web

Escritura de una directiva de recursos de firma de código Java

Las directivas de recursos de firma de código Java especifican cómo el IVE reescribe
los applets de Java. De forma predeterminada, cuando el IVE proporciona
intermediación de un applet de Java firmado, vuelve a firmar el applet con su
propio certificado, el cual no está encadenado a un certificado de raíz estándar.
Cuando un usuario solicita un applet que realiza tareas que implican un alto riesgo
potencial, como acceder a servidores de red, el explorador del usuario muestra una
advertencia de seguridad que indica que la raíz no es de confianza. Para evitar esta
advertencia, puede importar un certificado de firma de código que el IVE usa para
volver a firmar applets para los que proporciona intermediación. Para obtener más
información acerca de los certificados de firma de código, consulte “Uso de
certificados de firma de código” en la página 776.

Al configurar directivas de recursos de firma de código Java, introduzca los

servidores en cuyos applets confía. Puede introducir una dirección IP o un nombre
de dominio de servidor. El IVE sólo vuelve a firmar applets de un servidor de
confianza. Si un usuario solicita un applet de un servidor que no está en la lista, el
IVE no usa los certificados de producción importados para firmar el applet, lo que
significa que el explorador muestra una advertencia de seguridad al usuario. Para
usuarios de JVM de Sun, el IVE adicionalmente comprueba que el CA de raíz del
certificado del applet original esté en la lista de autoridades del certificado de raíz
de confianza.

Para escribir una directiva de recursos de firma de código de Java:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si la vista de administrador aún no está configurada para mostrar las directivas

java, realice las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación Java.

c. Seleccione la casilla de verificación Code-Signing ubicada debajo de la

casilla de verificación Java.

d. Haga clic en OK.

3. Seleccione la ficha Java > Code-Signing.

4. En la página Java Signing Policies, haga clic en New Policy.

5. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

Definición de directivas de recursos: applets de Java externos „ 441

 Guía de administración de Secure Access de Juniper Networks

6. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Especificación de los
recursos para una directiva de recursos” en la página 103. Para habilitar la
coincidencia según IP o la coincidencia que distingue entre mayúsculas y
minúsculas para estos recursos, consulte “Definición de directivas de recursos:
opciones generales” en la página 462.

7. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

8. En la sección Action, especifique:

„ Resign applets using applet certificate: Para permitir que los applets de
Java se conecten a los servidores (y opcionalmente a los puertos) de la lista
Resources.

„ Resign applets using default certificate: Para impedir que los applets de
Java se conecten a los servidores (y opcionalmente a los puertos) de la lista
Resources.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

9. Haga clic en Save Changes.

10. En la página Java Signing Policies, ordene las directivas en el orden en el que
desee que el IVE las evalúe. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la acción especificada y detiene las
directivas de procesamiento.

Para ver un ejemplo de directiva de recursos Web, consulte las figuras en

“Definición de directivas de recursos: Información general” en la página 422.

442 „ Definición de directivas de recursos: applets de Java externos

 Capítulo 18: Reescritura web

Definición de directivas de recursos: reescritura

Las directivas de recursos de reescritura controlan qué datos web el IVE reescribe
o no a través del motor de intermediación de contenido. Esta sección contiene la
siguiente información acerca de la creación de directivas de recursos de reescritura:

„ “Creación de una directiva de recursos de reescritura selectiva” en la

página 443

„ “Creación de una directiva de recursos proxy passthrough” en la página 446

„ “Creación de una directiva de recursos de encabezados personalizados” en la

página 449

„ “Creación de una directiva de recursos de parámetros ActiveX” en la

página 450

„ “Restauración de las directivas de recursos ActiveX predeterminadas del IVE”

en la página 452

„ “Creación de filtros de reescritura” en la página 454

Creación de una directiva de recursos de reescritura selectiva

Las directivas de recursos de reescritura selectiva permiten definir una lista de host
para los cuales desea que el IVE proporcione intermediación de contenido, así
como también excepciones a la lista. De forma predeterminada, el IVE proporciona
intermediación a todas las solicitudes de usuarios de host web, a menos que haya
configurado el IVE para responder a solicitudes de determinados host mediante un
mecanismo diferente, como el Secure Application Manager.

Cree una directiva de reescritura selectiva si no desea que el IVE proporcione

intermediación del tráfico de sitios web que residen fuera de la red corporativa,
como yahoo.com, o si no desea que el IVE proporcione intermediación del tráfico
para aplicaciones cliente/servidor implementadas como recursos Web, como
Microsoft OWA (Outlook Web Access).

Para escribir una directiva de recursos de reescritura selectiva:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si la vista de administrador aún no está configurada para mostrar las directivas

de reescritura, realice las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación Rewriting.

c. Seleccione la casilla de verificación Selective Rewriting ubicada debajo

de la casilla de verificación Rewriting.

d. Haga clic en OK.

Definición de directivas de recursos: reescritura „ 443

 Guía de administración de Secure Access de Juniper Networks

3. Seleccione la ficha Rewriting > Selective Rewriting.

4. En la página Web Rewriting Policies, haga clic en New Policy.

5. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

6. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Especificación de los
recursos para una directiva de recursos” en la página 103. Para habilitar la
coincidencia según IP o la coincidencia que distingue entre mayúsculas y
minúsculas para estos recursos, consulte “Definición de directivas de recursos:
opciones generales” en la página 462.

7. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

8. En la sección Action, especifique:

„ Rewrite content: El IVE proporciona intermediación de todo el contenido

web de los recursos especificados en la lista Resources1.

„ Rewrite content as...: El IVE proporciona intermediación de todo el

contenido web de los recursos especificados en la lista Resources y
reescribe el contenido como si fuera el tipo de archivo especificado
en la lista desplegable1. Las opciones disponibles son las siguientes:

‰ HTML: Reescribe el contenido en lenguaje HTML (Hypertext Markup

Language).

‰ XML: Reescribe el contenido en lenguaje XML (Extensible Markup

Language).

‰ Javascript: Reescribe el contenido en lenguaje de script Java.

‰ VBScript: Reescribe el contenido en lenguaje de script Virtual Basic.

‰ CSS: Reescribe el contenido en la forma de hojas de estilo en cascada.

‰ XSLT: Reescribe el contenido en la forma de hojas de estilo XML.

1. Los nuevos dispositivos IVE incluyen una directiva de reescritura inicial que reescribe todo el contenido para
todos los roles.

444 „ Definición de directivas de recursos: reescritura

 Capítulo 18: Reescritura web

‰ Flash: Reescribe el contenido en formato Shockwave Flash.

‰ DTD: Reescribe el contenido en la forma de DTD (Document Type

Definitions).

‰ HTC: Reescribe el contenido en la forma de componente HTML.

„ Don’t rewrite content: Redirect to target Web server: El IVE no

proporciona intermediación del contenido web de los recursos
especificados en la lista Resources y redirige automáticamente la solicitud
al servidor web de destino. Ésta es la opción predeterminada para todas las
directivas de recursos de reescritura que se crean. Si selecciona esta
opción, es posible que desee especificar que el IVE abra las páginas no
reescritas en una nueva ventana usando las opciones de la sección
“Definición de directivas de recursos: opciones generales” en la
página 462.

NOTA: No seleccione esta opción si el contenido especificado debe acceder a

recursos dentro de la red corporativa. Por ejemplo, si especifica que el IVE no debe
reescribir un archivo en particular, y ese archivo invoca otro archivo dentro de la
red, el usuario verá un error.

„ Don’t rewrite content: Do not redirect to target Web server: El IVE

obtiene el contenido del servidor web original, pero no lo modifica. Esto es
útil en casos en que los usuarios no pueden acceder al servidor original. Por
lo tanto, se inhabilita la redirección. (Por ejemplo, si el servidor web no es
accesible desde Internet pública porque se encuentra tras un cortafuegos.)

NOTA: La opción Don’t rewrite content: Do not redirect to target Web server
permite a los usuarios descargar datos de recursos de red a través del IVE,
pero omite el motor de reescritura del IVE en el proceso. Recomendamos usar
esta característica sólo al reescribir applets de Java firmados, no otros tipos de
contenido. Para otros tipos de contenido, como HTML y Javascript, use la opción
Don’t rewrite content: Redirect to target Web server para descargar un applet
a través del IVE, habilitando, de este modo, las conexiones directas a recursos
de red.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

9. Haga clic en Save Changes.

10. En la página Web Rewriting Policies, ordene las directivas en el orden en

el que desee que el IVE las evalúe. Tenga presente que una vez que el IVE
compara el recurso solicitado por el usuario con un recurso en una lista de
Resource de la directiva (o una regla detallada), realiza la acción especificada
y detiene las directivas de procesamiento.

Para ver un ejemplo de directiva de recursos Web, consulte las figuras en

“Definición de directivas de recursos: Información general” en la página 422.

Definición de directivas de recursos: reescritura „ 445

 Guía de administración de Secure Access de Juniper Networks

Creación de una directiva de recursos proxy passthrough

Las directivas de recursos proxy passthrough especifican las aplicaciones web
para las que el IVE proporciona intermediación mínima, según se explica en
“Información general de proxy passthrough” en la página 389. Para crear una
directiva de recursos proxy passthrough, debe especificar dos elementos:

„ La aplicación web a la que proporcionará intermediación con el proxy

passthrough

„ El modo en que el IVE escucha solicitudes de cliente al servidor de la aplicación

Para escribir una directiva de recursos proxy passthrough:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si la vista de administrador aún no está configurada para mostrar las directivas

de reescritura, realice las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación Rewriting.

c. Seleccione la casilla de verificación Passthrough Proxy ubicada debajo

de la casilla de verificación Rewriting.

d. Haga clic en OK.

3. Seleccione la ficha Rewriting > Passthrough Proxy.

4. En la página Passthrough Proxy Policies, haga clic en New Application.

5. En la página New Passthrough Application, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

6. En el campo URL, especifique el nombre de host del servidor de la aplicación y

el puerto utilizado para acceder internamente a la aplicación. Tenga en cuenta
que no se puede introducir una ruta en este campo.

446 „ Definición de directivas de recursos: reescritura

 Capítulo 18: Reescritura web

7. Seleccione la forma en que desea habilitar la característica proxy passthrough:

„ Use virtual hostname: Si selecciona esta opción, especifique un alias de

nombre de host para el servidor de la aplicación. Cuando el IVE recibe una
petición de cliente para el alias de nombre de host del servidor de la
aplicación, reenvía la solicitud al puerto del servidor de la aplicación
especificado en el campo URL.

NOTA:

„ Si selecciona esta opción, también debe definir el nombre de host y el

nombre del IVE en la sección Network Identity de la ficha System >
Network > Internal Port.

„ Para hacer que Sharepoint funcione correctamente a través del IVE, debe
seleccionar la casilla de verificación Override automatic cookie handling en
Internet Explorer en Tools Internet options > Privacy > Advanced Privacy
Settings si se cumplen las siguientes condiciones:

„ Seleccionar la opción Use virtual hostname durante la configuración de

proxy passthrough.

„ El nombre de host virtual especificado en la configuración de Sharepoint

es diferente del nombre de host definido a través de la configuración de
IVE (esto es, si los dominios son diferentes).

„ Habilitar cookies persistentes mediante la página Users > User Roles >
Seleccionar rol > General > Session Options de la consola de
administración.

„ Use IVE port: Si selecciona esta opción, especifique un puerto de IVE único
en el rango 11000-11099. El IVE escucha las peticiones de cliente al
servidor de la aplicación en el puerto especificado del IVE y reenvía las
peticiones al puerto del servidor de la aplicación especificado en el
campo URL.

8. En la sección Action, especifique el método que el IVE usa para proporcionar

intermediación del tráfico:

„ Rewrite XML: Si selecciona esta opción, el IVE reescribe las URL incluidas
en el contenido XML. Si inhabilita esta opción, el IVE transmite sin cambios
el contenido XML al servidor.

„ Rewrite external links: Si selecciona esta opción, el IVE reescribe todas las
URL. Si inhabilita esta opción, el IVE sólo reescribe las URL que contienen
un nombre de host especificado en la directiva de proxy passthrough.

Definición de directivas de recursos: reescritura „ 447

 Guía de administración de Secure Access de Juniper Networks

„ Block cookies from being sent to the browser: Si selecciona esta opción,
el IVE bloquea las cookies destinadas al explorador del cliente. El IVE
almacena localmente las cookies y las envía a las aplicaciones cuando
se solicitan.

„ Host-Header forwarding: Si selecciona esta opción, el IVE transmite

el nombre de host como parte del encabezado de host, en lugar del
identificador de host real.

NOTA: La opción Host-Header forwarding sólo es válida en el modo de host

virtual del proxy passthrough.

9. Haga clic en Save Changes.

10. En la página Pass-through Proxy Policies, ordene las directivas en el orden

en el que desee que el IVE las evalúe. Tenga presente que una vez que el IVE
compara la aplicación solicitada por el usuario con una aplicación especificada
en una lista de Resource de la directiva (o regla detallada), realiza la acción
especificada y detiene las directivas de procesamiento.

11. Si selecciona:

„ Use virtual hostname, también debe:

i. Agregar una entrada para cada alias de nombre de host de servidor de

aplicación en el DNS externo que resuelva al IVE.

ii. Cargar un certificado de servidor comodín en el IVE (recomendado).

Para obtener más información acerca de los certificados comodines,
consulte “Asociación de un certificado con un puerto virtual” en la
página 757.

„ Use IVE port, abra el tráfico al puerto del IVE especificado para el servidor
de la aplicación en el cortafuegos corporativo.

NOTA: Si la aplicación escucha en múltiples puertos, configure cada puerto de

la aplicación como una entrada de proxy passthrough con un puerto de IVE
separado. Si piensa acceder al servidor usando nombres de host o direcciones
IP diferentes, configure por separado cada una de estas opciones; en este caso,
puede usar el mismo puerto del IVE.

Para ver un ejemplo de directiva de recursos Web, consulte las figuras en

“Definición de directivas de recursos: Información general” en la página 422.

Es posible que no funcionen los vínculos de proxy passthrough externos que

se incluyen en una página de proxy passthrough. Por ejemplo, si la página
bar.company.com contiene un vínculo a foo.company.com y foo.company.com está
configurada como una aplicación de proxy passthrough application de modo de
host, el vínculo a foo.company.com falla. Para evitar esto, use proxy passthrough de
modo de puerto para vínculos de proxy passthrough incluidos en aplicaciones de
proxy passthrough.

448 „ Definición de directivas de recursos: reescritura

 Capítulo 18: Reescritura web

Creación de una directiva de recursos de encabezados personalizados

De forma predeterminada, el motor de reescritura del IVE sólo envía encabezados
personalizados seleccionados a exploradores (clientes) y servidores backend. Sin
embargo, puede usar directivas de recursos de encabezados personalizados para
permitir o denegar encabezados personalizados para recursos específicos.

NOTA: Tenga en cuenta que las directivas de recursos de encabezados

personalizados no controlan encabezados HTTP estándar como Content-Type.

Para escribir una directiva de recursos de encabezados personalizados:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si la vista de administrador aún no está configurada para mostrar las directivas

de reescritura, realice las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación Rewriting.

c. Seleccione la casilla de verificación Custom Headers ubicada debajo de la

casilla de verificación Rewriting.

d. Haga clic en OK.

3. Seleccione la ficha Rewriting > Custom Headers.

4. En la página Custom Header Policies, haga clic en New Policy.

5. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

6. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Especificación de los
recursos para una directiva de recursos” en la página 103. Para habilitar la
coincidencia según IP o la coincidencia que distingue entre mayúsculas y
minúsculas para estos recursos, consulte “Definición de directivas de recursos:
opciones generales” en la página 462.

7. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

Definición de directivas de recursos: reescritura „ 449

 Guía de administración de Secure Access de Juniper Networks

8. En la sección Action, especifique:

„ Allow Custom Headers: Seleccione esta opción para evitar que el IVE
bloquee los encabezados a exploradores (clientes) y servidores backend.

„ Deny Custom Headers: Seleccione esta opción para usar el

comportamiento de encabezado personalizado predeterminado en el IVE.
Cuando selecciona esta opción, el IVE bloquea los encabezados
personalizados para mayor seguridad.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

9. Haga clic en Save Changes.

10. En la página Web Rewriting Policies, ordene las directivas en el orden en

el que desee que el IVE las evalúe. Tenga presente que una vez que el IVE
compara el recurso solicitado por el usuario con un recurso en una lista de
Resource de la directiva (o una regla detallada), realiza la acción especificada
y detiene las directivas de procesamiento.

Para ver un ejemplo de directiva de recursos Web, consulte las figuras en

“Definición de directivas de recursos: Información general” en la página 422.

Creación de una directiva de recursos de parámetros ActiveX

Cuando el IVE reescribe una página web, no reescribe los controles ActiveX
incluidos en la página web. Sin embargo, puede crear directivas de recursos que
especifiquen que el IVE debe reescribir los parámetros de URL y nombre de host
transmitidos por la página web a los controles ActiveX. Para configurar estas
directivas de recursos, debe obtener la siguiente información:

„ Class ID: Las páginas web generalmente usan un ID de clase para incluir un
control ActiveX. Un ID de clase es una cadena única y constante que identifica
de forma inequívoca un control ActiveX.

Puede determinar el ID de clase de un objeto ActiveX que usa

Internet Explorer 6: Seleccione Tools > Internet Options, haga clic en
Settings y haga clic en View Objects. Seleccione el objeto ActiveX, haga clic
con el botón secundario y seleccione Properties. El ID del objeto ActiveX
se resalta.

„ Language: Las páginas web pueden usar HTML estático o dinámico (usando
JavaScript) para incluir un control ActiveX. Cuando una página web usa HTML
estático, el IVE puede reescribir los parámetros ActiveX especificados en el IVE
mientras proporciona intermediación del tráfico, dado que toda la información
requerida se transmite entre el explorador del usuario y el servidor web de la
aplicación. Sin embargo, cuando una página web usa HTML dinámico para
incluir un control ActiveX, la página extrae frecuentemente información del
cliente y luego genera HTML para incluir el control ActiveX. Por lo tanto,
el IVE debe ejecutar un script en el explorador del usuario para obtener la
información que necesita para reescribir los parámetros ActiveX especificados.

450 „ Definición de directivas de recursos: reescritura

 Capítulo 18: Reescritura web

„ Parameter type: Al configurar el IVE para reescribir un parámetro, debe

determinar si el parámetro es una URL o un nombre de host. El IVE no admite
otros tipos de parámetros.

„ Parameter name: Debe especificar el nombre del parámetro que desea que
el IVE reescriba. Puede encontrar los parámetros al buscar la etiqueta de
parámetros dentro de la etiqueta del objeto. Por ejemplo, puede encontrar
una película flash incluida en una página mediante el siguiente código:

<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" > <param

name="movie" value="mymovie.swf" />
<param name="quality" value="high" />
</object>
Al configurar la directiva de recursos correspondiente, debe introducir movie en
el campo Parameter name porque movie se refiere a la URL que requiere
reescritura. Frecuentemente, las páginas contienen varias etiquetas de
parámetros, pero no todas requieren reescritura. En este ejemplo, el parámetro
quality no requiere reescritura.

Para escribir una directiva de recursos de reescritura de parámetros ActiveX:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si la vista de administrador aún no está configurada para mostrar las directivas

de reescritura, realice las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación Rewriting.

c. Seleccione la casilla de verificación ActiveX Parameter Rewriting ubicada

debajo de la casilla de verificación Rewriting.

d. Haga clic en OK.

3. Seleccione la ficha Rewriting > ActiveX Parameter Rewriting.

4. En la página ActiveX Parameter Rewriting Policies, haga clic en New Policy.

5. En la página New Policy, introduzca:

a. El ID de clase del control ActiveX que desea controlar con la directiva.

b. Una descripción de la directiva (opcional).

Definición de directivas de recursos: reescritura „ 451

 Guía de administración de Secure Access de Juniper Networks

6. En la sección Parameters, especifique los parámetros ActiveX que desea

controlar con la directiva y las acciones correspondientes. Las acciones posibles
son las siguientes:

„ Rewrite URL and response (Static HTML only): El IVE reescribe el

parámetro de la URL especificada en el IVE. El IVE también reescribe
cualquier respuesta del servidor web que solicita la URL. Tenga en cuenta
que debe seleccionar esta opción si la página web incluye el control ActiveX
que sólo usa HTML estático.

„ Rewrite URL and response (Static and dynamic HTML): El IVE reescribe
la URL especificada en el cliente, además de la reescritura en el IVE. El IVE
también reescribe cualquier respuesta del servidor web que solicita la URL.
Tenga en cuenta que debe seleccionar esta opción si la página web incluye
el control ActiveX que usa HTML dinámico.

„ Rewrite URL (Static HTML only): El IVE reescribe el parámetro de la URL

especificada en el IVE. Tenga en cuenta que debe seleccionar esta opción si
la página web incluye el control ActiveX que sólo usa HTML estático.

„ Rewrite URL (Static and dynamic HTML): El IVE reescribe la URL

especificada en el cliente, además de la reescritura en el IVE. Tenga en
cuenta que debe seleccionar esta opción si la página web incluye el control
ActiveX que usa HTML dinámico.

„ Rewrite hostname (Static HTML only): El IVE reescribe el parámetro

de nombre de host especificado en el IVE. Tenga en cuenta que debe
seleccionar esta opción si la página web incluye el control ActiveX que sólo
usa HTML estático.

„ Rewrite hostname (Static and dynamic HTML): El IVE reescribe el

nombre de host especificado en el cliente, además de la reescritura en el
IVE. Tenga en cuenta que debe seleccionar esta opción si la página web
incluye el control ActiveX que usa HTML dinámico.

„ Do not rewrite: El IVE no reescribe ninguno de los parámetros del

componente ActiveX.

7. Haga clic en Save Changes.

Para ver un ejemplo de directiva de recursos Web, consulte las figuras en

“Definición de directivas de recursos: Información general” en la página 422.

Restauración de las directivas de recursos ActiveX predeterminadas del IVE

El IVE incluye varias directivas de recursos predeterminadas para reescribir los
parámetros de objetos ActiveX que se utilizan habitualmente. Si opta por eliminar
alguna de estas directivas y después desea restaurarla, puede volver a crearla
usando la siguiente tabla como guía.

452 „ Definición de directivas de recursos: reescritura


Tabla 29: Directivas de recursos predefinidas
Descripción
Objeto Citrix NFuse
xginen_EmbeddedApp
OrgPlus OrgViewer
Quickplace
iNotes Discussion
B20D9D6A-0DEC-4d76-9BEF- B20D9D6A-0DEC-4d76-9BEF- ServerURL
175896006B4A 175896006B4A
Citrix NFuse Elite
WebPhotos LEAD
Shockwave Flash
iNotes Blue
Tabular Data Control
Windows Media Player
FlowPartPlace
HTML Help
MS Media Player
CSV Files Handler
Special ActiveX control for
Microsoft OWA
FlowPartPlace1
scriptx print control
94F40343-2CFD-42A1-A774-
4E7E48217AD4
Capítulo 18: Reescritura web
ID de clase Parámetro Acción
238f6f83-b8b4-11cf-8771- ICAFile Rewrite URL and response
00a024541ee3 (Static HTML only)
DCB98BE9-88EE-4AD0-9790- URL Rewrite URL and response
2B169E8D5BBB (Static HTML only)
05D96F71-87C6-11D3-9BE4- GeneralURL Rewrite URL and response
00902742D6E0 (Static and dynamic HTML)
General_ServerName Rewrite host name (Static and
dynamic HTML)
5BDBA960-6534-11D3-97C7- FullURL Rewrite URL and response
00500422B550 (Static and dynamic HTML)
Rewrite URL and response
Error URL (Static HTML only)
Rewrite URL and response
(Static HTML only)
2E687AA8-B276-4910-BBFB- ServerURL Rewrite URL and response
4E412F685379 (Static HTML only)
00120000-B1BA-11CE-ABC6- BitmapDataPath Rewrite URL and response
F5B2E79D9E3F (Static and dynamic HTML)
D27CDB6E-AE6D-11cf-96B8- Src Rewrite URL and response
444553540000 Movie (Static and dynamic HTML)
Rewrite URL and response
(Static and dynamic HTML)
3BFFE033-BF43-11d5-A271- General_URL Rewrite URL and response
00A024A51325 (Static and dynamic HTML)
General_ServerName Rewrite host name (Static and
dynamic HTML)
333C7BC4-460F-11D0-BC04- DataURL Rewrite URL (Static HTML
0080C7055A83 only)
6BF52A52-394A-11D3-B153- URL Rewrite URL and response
00C04F79FAA6 (Static HTML only)
4A266B8B-2BB9-47db-9B0E- URL Rewrite URL and response
6226AF6E46FC (Static HTML only)
adb880a6-d8ff-11cf-9377- Item1 Rewrite URL and response
00aa003b7a11 (Static and dynamic HTML)
22d6f312-b0f6-11d0-94ab- FileName Rewrite URL and response
0080c74c7e95 (Static HTML only)
333c7bc4-460f-11d0-bc04- DataURL Rewrite URL and response
0080c7055a83 (Static HTML only)
D801B381-B81D-47a7-8EC4- mailboxUrl Rewrite URL and response
EFC111666AC0 (Static HTML only)
639325C9-76C7-4d6c-9B4A- Url Rewrite URL and response
523BAA5B30A8 (Static HTML only)
5445be81-b796-11d2-b931- Path Rewrite URL and response
002018654e2e (Static HTML only)
94F40343-2CFD-42A1-A774- HomeViewURL Rewrite URL and response
4E7E48217AD4 (Static HTML only)
Definición de directivas de recursos: reescritura „ 453
 Guía de administración de Secure Access de Juniper Networks

Tabla 29: Directivas de recursos predefinidas (continuación)

Descripción ID de clase Parámetro Acción
Microsoft License Manager 5220cb21-c88d-11cf-b347- LPKPath Rewrite URL and response
00aa00a28331 (Static HTML only)
Domino 7 beta 2 E008A543-CEFB-4559-912F- General_URL Rewrite URL and response
UploadControl C27C2B89F13B (Static and dynamic HTML)
General_ServerName Rewrite host name (Static and
dynamic HTML)
iNotes 1E2941E3-8E63-11D4-9D5A- General_URL Rewrite URL and response
00902742D6E0 (Static and dynamic HTML)
General_ServerName Rewrite host name (Static and
dynamic HTML)
ActiveCGM F5D98C43-DB16-11CF-8ECA- FileName Rewrite URL and response
0000C0FD59C7 (Static HTML only)
00130000-B1BA-11CE-ABC6- 00130000-B1BA-11CE-ABC6- BitmapDataPath Rewrite URL and response
F5B2E79D9E3F F5B2E79D9E3F (Static and dynamic HTML)

Creación de filtros de reescritura

Use la ficha Rewriting Filters solamente cuando se lo indique el equipo de soporte
de Juniper Networks.

Definición de directivas de recursos: compresión web

Esta sección contiene la siguiente información acerca de la definición de directivas
de recursos de compresión:

„ “Escritura de una directiva de recursos de compresión web” en la página 454

„ “Definición de una directiva de recursos de compresión OWA” en la página 456

Escritura de una directiva de recursos de compresión web

El IVE está preequipado con una directiva de compresión web (*:*/*) que
comprime todos los datos web aplicables. Puede habilitar esta directiva a través de
las páginas Users > Resource Policies > Web > Compression de la consola de
administración.

Para escribir una directiva de recursos de compresión web:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si la vista de administrador aún no está configurada para mostrar las directivas

de compresión, realice las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación Compression.

c. Haga clic en OK.

454 „ Definición de directivas de recursos: compresión web

 Capítulo 18: Reescritura web

3. Seleccione la ficha Compression.

4. En la página Web Compression Policies, haga clic en New Policy.

5. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

6. En la sección Resources, especifique las URL a las cuales se aplica esta

directiva. Para obtener más información, consulte “Especificación de los
recursos para una directiva de recursos” en la página 103. Para habilitar la
coincidencia según IP o la coincidencia que distingue entre mayúsculas y
minúsculas para estos recursos, consulte “Definición de directivas de recursos:
opciones generales” en la página 462.

7. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

8. En la sección Action, especifique:

„ Compress: El IVE comprime los tipos de contenido compatibles del recurso

específico.

„ Do not compress: El IVE no comprime los tipos de contenido compatibles

del recurso específico.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

9. Haga clic en Save Changes.

Definición de directivas de recursos: compresión web „ 455

 Guía de administración de Secure Access de Juniper Networks

Definición de una directiva de recursos de compresión OWA

Debido a problemas de almacenamiento en caché con OWA, el IVE incluye las
siguientes directivas integradas que especifican que el IVE no debe comprimir
archivos Javascript o CSS que se enrutan a través de OWA:

1. Do Not Compress *:*/exchWeb/controls/*.css (todos los roles)

2. Do Not Compress *:*/exchWeb/controls/*.js (todos los roles)

3. Do Not Compress *:*/exchWeb/*/controls/*.css (todos los roles)

4. Do Not Compress *:*/exchWeb/*/controls/*.js (todos los roles)

En las últimas dos directivas, se incluye un comodín (*) en la ruta para considerar
diferentes versiones de OWA.

Juniper Networks recomienda que no cambie las directivas de recursos de

compresión para OWA a menos que sea absolutamente necesario.

Definición de directivas de recursos: proxy web

Las directivas de recursos proxy web especifican los servidores proxy web para los
cuales el IVE debe proporcionar intermediación de contenido. Tenga en cuenta que
el IVE proporciona intermediación tanto a proxy de reenvío como a proxy inverso,
pero sólo permite el inicio de sesión único a un proxy cuando usa estas fichas para
configurar el proxy y especifica, de este modo, que confía en él. Para obtener más
información, consulte “Inicio de sesión único” en la página 223.

Esta sección contiene la siguiente información acerca de las directivas de recursos

proxy web:

„ “Escritura de una directiva de recursos proxy web” en la página 456

„ “Especificación de servidores proxy web” en la página 458

Escritura de una directiva de recursos proxy web

Para escribir una directiva de recursos proxy web:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si la vista de administrador aún no está configurada para mostrar las directivas

proxy web, realice las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación Web Proxy.

c. Seleccione la casilla de verificación Policies ubicada debajo de la casilla de

verificación Web Proxy.

d. Haga clic en OK.

456 „ Definición de directivas de recursos: proxy web

 Capítulo 18: Reescritura web

3. Seleccione la ficha Web Proxy > Policies.

4. En la página Web Proxy Policies, haga clic en New Policy.

5. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

6. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Especificación de los
recursos para una directiva de recursos” en la página 103. Para habilitar la
coincidencia según IP o la coincidencia que distingue entre mayúsculas y
minúsculas para estos recursos, consulte “Definición de directivas de recursos:
opciones generales” en la página 462.

7. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

8. En la sección Action, especifique:

„ Access Web resources directly: El IVE proporciona intermediación de la

solicitud del usuario a un servidor back-end y la respuesta del servidor al
usuario para solicitudes realizadas a un recurso especificado en la lista
Resources.

„ Access Web resources through a Web proxy: Especifique un servidor

proxy web en la lista desplegable definida en la ficha Users > Resource
Policies > Web > Web Proxy > Servers. Consulte “Definición de
directivas de recursos: proxy web” en la página 456 para definir servidores
proxy web.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

Definición de directivas de recursos: proxy web „ 457

 Guía de administración de Secure Access de Juniper Networks

9. Haga clic en Save Changes.

10. En la página Web Proxy Policies, ordene las directivas en el orden en el que
desee que el IVE las evalúe. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la acción especificada y detiene las
directivas de procesamiento.

Para ver un ejemplo de directiva de recursos Web, consulte las figuras en

“Definición de directivas de recursos: Información general” en la página 422.

Especificación de servidores proxy web

Puede dirigir todas las solicitudes web realizadas a través del IVE a un proxy web,
en lugar de usar el IVE para conectarse directamente a servidores web. Esta
característica puede ser útil si la directiva de seguridad de red requiere esta
configuración o si desea usar un proxy web de almacenamiento en caché para
mejorar el rendimiento.

Para especificar servidores para directivas de recursos proxy web:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si la vista de administrador aún no está configurada para mostrar las directivas

proxy web, realice las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación Web Proxy.

c. Seleccione la casilla de verificación Servers ubicada debajo de la casilla de

verificación Web Proxy.

d. Haga clic en OK.

3. Seleccione la ficha Web Proxy > Servers.

4. En Web Proxy Servers, introduzca el nombre o la dirección IP del servidor

proxy web y el número de puerto en el cual escucha el servidor proxy y haga
clic en Add.

5. Repita este paso para especificar servidores proxy web adicionales.

458 „ Definición de directivas de recursos: proxy web

 Capítulo 18: Reescritura web

Definición de directivas de recursos: protocolo HTTP 1.1

Las directivas de recursos de protocolo habilitan o inhabilitan la compatibilidad con
el protocolo HTTP 1.1 entre el IVE y los servidores backend. El IVE admite los
encabezados de código de transferencia fragmentados, los encabezados de código
de contenido gzip y deflate, los encabezados de persistencia de conexiones y los
encabezados de almacenamiento en caché como If-Modified-Since, If-None-Match,
If-Unmodified-Since e If-Match. El IVE admite solicitudes de rango con contenido
parcial cuando selecciona la opción de reescritura selectiva Don’t rewrite content:
Do not redirect to target web server.

NOTA:

„ Para obtener una descripción detallada del protocolo HTTP 1.1, consulte
Hyptertext Transfer Protocol -- HTTP 1.1 specification de World Wide Web
Consortium.

„ El IVE sólo se comunica con servidores de red mediante el protocolo HTTP 1.1
si el cliente también se comunica mediante el protocolo HTTP 1.1. Si el cliente
usa el protocolo HTTP 1.0, el IVE se comunica con servidores backend
mediante el protocolo HTTP 1.0, sin tener en cuenta si el protocolo HTTP 1.1
está habilitado.

„ Si desea usar el protocolo HTTP 1.1 para un recurso específico, habilite el

protocolo HTTP 1.1 para la directiva y asegúrese de que la nueva directiva
aparezca encima de la predeterminada en la lista de directivas configuradas.
Debe agregar la directiva HTTP 1.1 al comienzo de la lista de directivas porque
el motor de evaluación de directivas evalúa las directivas desde arriba hacia
abajo y se detiene cuando encuentra una coincidencia. Para obtener más
información, consulte “Evaluación de las directivas de recursos” en la
página 106.

„ El IVE incluye una directiva predeterminada que inhabilita HTTP 1.1 para
todos los recursos. Si desea usar HTTP 1.1 para todos los recursos, redefina la
directiva “*:*/*” o cree una nueva directiva para habilitar el protocolo HTTP
1.1 y colóquela al comienzo de la lista de directivas. Si elimina esta directiva
predeterminada (y cualquier otra directiva que inhabilite HTTP 1.1), el IVE usa
HTTP 1.0 para todos los recursos.

Para escribir una directiva de recursos de protocolo HTTP 1.1:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si la vista de administrador aún no está configurada para mostrar las directivas

de protocolo, realice las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación Protocol.

c. Haga clic en OK.

Definición de directivas de recursos: protocolo HTTP 1.1 „ 459

 Guía de administración de Secure Access de Juniper Networks

3. Seleccione la ficha Protocol.

4. En la página Web Protocol Policies, haga clic en New Policy.

5. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

6. En la sección Resources, especifique las URL a las cuales se aplica esta

directiva. Para obtener más información, consulte “Especificación de los
recursos para una directiva de recursos” en la página 103. Para habilitar la
coincidencia según IP o la coincidencia que distingue entre mayúsculas y
minúsculas para estos recursos, consulte “Definición de directivas de recursos:
opciones generales” en la página 462.

7. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

8. En la sección Action, especifique:

„ Disable HTTP 1.1: El IVE se comunica automáticamente con los servidores

backend a través del protocolo HTTP 1.0.

„ Enable HTTP 1.1: El IVE se comunica automáticamente con servidores

backend mediante el protocolo HTTP 1.1 siempre y cuando el cliente
también se comunique mediante el protocolo HTTP 1.1.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

9. Haga clic en Save Changes.

460 „ Definición de directivas de recursos: protocolo HTTP 1.1

 Capítulo 18: Reescritura web

Definición de directivas de recursos: Acceso a dominio cruzado

(llamadas XMLHttpRequest)
El objeto XMLHttpRequest permite a los scripts realizar la funcionalidad de cliente
HTTP, como enviar datos de formulario o cargar datos de un servidor. Los
exploradores web actuales imponen una restricción de seguridad al uso de
XMLHttpRequest. No se permite realizar XMLHttpRequests a ningún servidor,
excepto al servidor desde el cual proviene la página web. Por ejemplo, si la
aplicación web y los datos requeridos para esa aplicación provienen del mismo
servidor web, no hay restricción. Sin embargo, si la aplicación web está en un
servidor y realiza una solicitud a un servidor diferente, el explorador impide que la
conexión se abra. De todos modos, es posible omitir esta seguridad.

El IVE permite crear un perfil de recursos que determina si se impone o no esta

restricción y a qué nivel. De forma predeterminada, esta restricción se omite y se
permite el acceso a dominio cruzado.

Para crear una directiva de acceso a dominio cruzado:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si la vista de administrador aún no está configurada para mostrar las directivas

de dominio cruzado, realice las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación Rewriting.

c. Seleccione la casilla de verificación Cross Domain Access ubicada debajo

de la casilla de verificación Rewriting.

d. Haga clic en OK.

3. Seleccione la ficha Rewriting > Cross Domain Access.

4. En la página Cross Domain Access, haga clic en New Policy.

5. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

6. En la sección Resources, especifique las URL a las cuales se aplica esta

directiva. Para obtener más información, consulte “Especificación de los
recursos para una directiva de recursos” en la página 103. Para habilitar la
coincidencia según IP o la coincidencia que distingue entre mayúsculas y
minúsculas para estos recursos, consulte “Definición de directivas de recursos:
opciones generales” en la página 462.

Definición de directivas de recursos: Acceso a dominio cruzado (llamadas XMLHttpRequest) „ 461

 Guía de administración de Secure Access de Juniper Networks

7. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

8. En la sección Action, especifique:

„ Allow Cross Domain Access: Para no imponer ninguna restricción

y permitir el acceso a dominio cruzado.

„ Deny XMLHttpRequest Cross Domain Access only: Para denegar el

acceso a dominio cruzado si se usa el objeto XMLHttpRequest en la
llamada.

„ Deny all Cross Domain Access: Para denegar el acceso a dominio cruzado
sin tener en cuenta si se usa o no el objeto XMLHttpRequest en la llamada.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

9. Haga clic en Save Changes.

Definición de directivas de recursos: opciones generales

Cuando habilita las opciones de directiva de recursos Web, el IVE crea una lista de
los nombres de host especificados en el campo Resources de cada directiva de
recursos Web. Luego, el IVE aplica las opciones habilitadas a esta completa lista de
nombres de host.

Para especificar opciones de recursos Web:

1. En la consola de administración, diríjase a Users > Resource Policies > Web.

2. Si la vista de administrador aún no está configurada para mostrar las opciones

web, realice las siguientes modificaciones:

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación Options.

c. Haga clic en OK.

3. Seleccione la ficha Options.

462 „ Definición de directivas de recursos: opciones generales

 Capítulo 18: Reescritura web

4. Seleccione IP based matching for Hostname based policy resources si desea

que el IVE busque la dirección IP que corresponde a cada nombre de host
especificado en una directiva de recursos Web. Cuando un usuario intenta
obtener acceso a un servidor especificando una dirección IP en lugar de un
nombre de host, el IVE compara la IP con su lista en caché de direcciones IP
para determinar si un nombre de host coincide con una IP. Si coinciden, el IVE
acepta la coincidencia como una coincidencia de directiva y aplica la acción
especificada para la directiva de recursos.

NOTA: Esta opción no se aplica a los nombres de host que incluyen comodines
y parámetros.

5. Seleccione Case sensitive matching for the Path and Query string
components in Web resources si desea solicitarle a los usuarios que
introduzcan una URL que distinga entre mayúsculas y minúsculas para un
recurso. Por ejemplo, utilice esta opción cuando traslade datos de un nombre
de usuario o una contraseña a una URL.

6. Haga clic en Save Changes.

Administración de directivas de recursos: Personalización de vistas

de UI
Puede controlar qué páginas de configuración de directivas de recursos Web
muestra el IVE, de modo que sólo tenga que ver las páginas que realmente usa.
O bien, si tiene una nueva instalación del IVE, puede usar estos ajustes para ver
páginas adicionales (dado que el IVE sólo muestra a los usuarios nuevos las páginas
de directivas de recursos que se usan con más frecuencia).

Para controlar qué páginas de configuración de directivas de recursos Web muestra

el IVE:

1. Diríjase a Users > Resource Policies > Web > Tipo de directiva.

2. Haga clic en el botón Customize View en la esquina superior derecha de

la consola:

3. En el cuadro de diálogo Customize View, especifique qué directivas de recursos

Web desea ver en la consola de administración. Puede seleccionar
manualmente casillas de verificación individuales, haga clic en All Pages para
ver todas las páginas de configuración de directivas de recursos Web o haga clic
en Common Pages para ver las páginas de configuración de directivas de
recursos Web que se utilizan con más frecuencia. (Tenga en cuenta que el IVE
no permite ocultar la página Web Access Policies.)

4. Haga clic en OK.

Administración de directivas de recursos: Personalización de vistas de UI „ 463

 Guía de administración de Secure Access de Juniper Networks

464 „ Administración de directivas de recursos: Personalización de vistas de UI

Capítulo 19
Reescritura de archivos

Un perfil de recurso de archivos controla el acceso a los recursos compartidos del

servidor de Windows o Unix. La siguiente sección contiene información para
configurar las opciones de escritura de archivos:

„ “Licencia: Disponibilidad para la reescritura de archivos” en la página 465

„ “Definición de perfiles de recursos: Reescritura de archivo” en la página 465

„ “Definición de los ajustes de rol: Recursos de Windows” en la página 473

„ “Definición de directivas de recursos: Recursos de archivos de Windows” en la

página 476

„ “Definición de los ajustes de rol: Recursos de archivos para UNIX/NFS” en la

página 483

„ “Definición de directivas de recursos: Recursos de archivos para UNIX/NFS” en

la página 485

Licencia: Disponibilidad para la reescritura de archivos

La reescritura de archivos es una característica estándar de todos los dispositivos
Secure Access a excepción del SA 700. Si utiliza un dispositivo SA-700, deberá
instalar una licencia de actualización Core Clientless Access si desea acceder a las
características de reescritura de archivos.

Definición de perfiles de recursos: Reescritura de archivo

Un perfil de recurso de archivos controla el acceso a los recursos compartidos del
servidor de Windows o Unix. (Para obtener más información sobre los perfiles de
recursos, consulte “Perfiles de recursos” en la página 91.)

Si desea crear un perfil de recurso de reescritura de archivos:

1. Diríjase a la página Users > Resource Profiles > Files en la consola de

administración.

2. Haga clic en New Profile.

Licencia: Disponibilidad para la reescritura de archivos „ 465

 Guía de administración de Secure Access de Juniper Networks

3. Desde la lista Type, seleccione Windows o Unix.

4. Introduzca un nombre único y una descripción opcional para el perfil de

recursos. (Este nombre será el nombre predeterminado del marcador.)

5. Introduzca el recurso del cual desea controlar el acceso. Observe que el formato
del recurso variará dependiendo del tipo de perfil de recurso que cree:

„ Windows: Introduzca el nombre del servidor o la dirección IP, nombre del

recurso compartido y, opcionalmente, la ruta cuyo acceso desea controlar
en el campo Server/share. Al introducir el recurso, utilice el formato:
\\servidor[\recurso compartido[\ruta]].

„ Unix: Introduzca el nombre del servidor o la dirección IP y, opcionalmente,

la ruta cuyo acceso desea controlar en el campo Server. Al introducir el
recurso, utilice el formato: servidor[/ruta]

Para obtener directrices detalladas, consulte “Definición de recursos de

archivos” en la página 467. (El IVE utiliza el directorio especificado para definir
el marcador predeterminado para el perfil de recurso.)

6. En las secciones Autopolicy: Windows File Access Control o Autopolicy: Unix

Access Control, cree una directiva que permita o niegue a los usuarios el
acceso al recurso especificado en el paso anterior. (Como mínimo, deberá
hacer clic en Add para utilizar la directiva de control de acceso que el IVE crea
automáticamente. Esta directiva permite acceder al directorio especificado y a
todos sus subdirectorios). Para obtener información detallada, consulte
“Definición de una directiva automática de control de acceso a archivos” en la
página 468.

7. (Opcional) Haga clic en Show ALL autopolicy types para crear directivas
automáticas adicionales que permitan ajustar con mayor precisión el acceso
al recurso. Luego, proceda a crear las directivas automáticas utilizando las
instrucciones que aparecen en las siguientes secciones:

„ “Definición de una directiva automática de compresión de archivos” en la

página 469

„ “Definición de una directiva automática de inicio de sesión único (sólo

Windows)” en la página 470

NOTA: Para obtener información específica sobre opciones de codificación para

recursos de Window o Unix, consulte “Codificación de archivos” en la
página 1028. (La codificación es una opción avanzada que actualmente sólo puede
configurar a través de las directivas de recursos.)

8. Haga clic en Save and Continue.

466 „ Definición de perfiles de recursos: Reescritura de archivo

 Capítulo 19: Reescritura de archivos

9. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.

Las funciones seleccionadas heredan las directivas automáticas y los

marcadores creados por el perfil de recursos. En caso de no estar habilitada,
el IVE también activa automáticamente las opciones Files, Windows o Files,
UNIX/NFS en la página Users > User Roles > Seleccionar rol > General >
Overview de la consola de administración para todos los roles que seleccione.

10. Haga clic en Save Changes.

11. (Opcional) En la ficha Bookmarks, modifique el marcador predeterminado

creado por IVE o cree otros utilizando las instrucciones que aparecen en
“Definición de un marcador de archivo” en la página 471. (De forma
predeterminada, el IVE crea un marcador para el recurso definido en el campo
Windows o Unix y lo muestra a todos los usuarios asignados al rol especificado
en la ficha Roles.)

Definición de recursos de archivos

Al crear un perfil de recurso de archivo (según se explica en “Definición de perfiles
de recursos: Reescritura de archivo” en la página 465), deberá utilizar los siguientes
formatos para definir un recurso principal de la directiva de recurso y sus recursos
de directiva automática.

Recursos de Windows:

\\server[\share[\path]]

Recursos de Unix:

server[/path]

En estos formatos, los tres componentes son:

„ Server (necesario): Posibles valores:

„ Hostname: Puede utilizar las variables de sistema <username> al definir el

nombre de host.

„ IP address: La dirección IP deberá tener el formato: a.b.c.d

Se necesitan dos barras invertidas que precedan a los recursos de Windows que
no sean Nfs.

„ Share (necesario, solo para Windows): Se permite la variable de sistema

<username>. Observe que cuando el IVE intenta conectarse a un recurso
compartido de archivo Windows, se conecta a los puertos 445 y 139.

Definición de perfiles de recursos: Reescritura de archivo „ 467

 Guía de administración de Secure Access de Juniper Networks

„ Path (opcional): Las características especiales que se permiten incluyen:

Tabla 30: Caracteres especiales de ruta

* Coincide con cualquier carácter. Tenga en cuenta que no puede
utilizar el carácter comodín * al definir un recurso principal de un
perfil de recurso (es decir, el campo Server/share para los recursos
de Windows o el campo Server para los recursos Unix).
% Coincide con cualquier carácter a excepción de la barra inclinada (/)
? Coincide exactamente con un carácter

Los recursos válidos de Windows incluyen:

\\juniper.com\dana
\\10.11.0.10\share\web
\\10.11.254.227\public\test.doc

Los recursos válidos de Unix incluyen:

juniper.com/dana
10.11.0.10/share/web
10.11.254.227/public/test.doc

Definición de una directiva automática de control de acceso a archivos

Las directivas de control de acceso a archivos especifican los recursos de sus
servidores de archivo a los que pueden acceder los usuarios. Al definir un perfil
de recurso de archivo, deberá crear la directiva automática de control de acceso
correspondiente que permita acceder al recurso principal del perfil. IVE simplifica
su proceso ya que crea automáticamente una directiva automática que permite
acceder al directorio especificado en los campos Server/share (Windows) o Server
(Unix) así como a todos los subdirectorios. Para habilitar esta directiva automática,
solamente deberá seleccionarla y hacer clic en Add.

Si fuera necesario, puede escoger modificar esta directiva automática

predeterminada o crear directivas automáticas complementarias de control de
acceso a archivos para recursos adicionales.

Para crear nuevas directivas automáticas de control de acceso a archivos:

1. Cree un perfil de recurso de archivo, según se explica en “Definición de perfiles

de recursos: Reescritura de archivo” en la página 465.

2. En caso de no estar habilitado, seleccione las casillas de verificación

Autopolicy: Windows File Access Control o Autopolicy: Unix Access Control.

3. En el campo Resource, utilice el siguiente formato para especificar el recurso

aplicable a esta directiva: \\servidor[\recurso compartido[\ruta]] para recursos
de Windows y \\servidor[\ruta] para recursos de Unix. Para obtener directrices
detalladas, consulte “Definición de recursos de archivos” en la página 467.

468 „ Definición de perfiles de recursos: Reescritura de archivo

 Capítulo 19: Reescritura de archivos

4. Desde la lista Action, seleccione una de las opciones siguientes:

„ Allow: Seleccione esta opción para permitir el acceso al recurso

especificado.

„ Read-only: Seleccione esta opción para permitir que los usuarios vean pero
no editen el recurso especificado.

„ Deny: Seleccione esta opción para bloquear el acceso al recurso

especificado.

5. Haga clic en Add.

6. Haga clic en Save Changes.

Definición de una directiva automática de compresión de archivos

Las directivas automáticas de compresión especifican qué tipo de datos de archivo
IVE debe comprimir al habilitar la compresión GZIP a través de la página
Maintenance > System > Options de la consola de administración. Para obtener
más información, consulte “Ejecución de la compresión” en la página 1023.

Para crear una directiva automática de compresión de archivos:

1. Cree un perfil de recurso de archivo, según se explica en “Definición de perfiles

de recursos: Reescritura de archivo” en la página 465.

2. Haga clic en Show ALL autopolicy types.

3. Selecciones las casillas de verificación Autopolicy: Windows File Compression

o Autopolicy: Unix File Compression.

4. En el campo Resource, utilice el siguiente formato para especificar el recurso

aplicable a esta directiva: \\servidor[\recurso compartido[\ruta]] para recursos
de Windows y \\servidor[\ruta] para recursos de Unix. Para obtener directrices
detalladas, consulte “Definición de recursos de archivos” en la página 467.

5. Del campo Action, seleccione una de las opciones siguientes:

„ Compress: Seleccione esta opción para comprimir datos del recurso

especificado.

„ Do not compress: Seleccione esta opción para inhabilitar la compresión

del recurso especificado.

Para obtener una lista de los tipos de datos que IVE comprime, consulte “Tipos
de datos admitidos” en la página 1025.

6. Haga clic en Add.

Definición de perfiles de recursos: Reescritura de archivo „ 469

 Guía de administración de Secure Access de Juniper Networks

Definición de una directiva automática de inicio de sesión único (sólo Windows)

Las directivas automáticas del inicio de sesión único (SSO) configuran IVE para
enviar credenciales automáticamente a un recurso compartido o directorio de
Windows de modo que el usuario no tenga que reintroducir sus credenciales, según
se explica en “Inicio de sesión único” en la página 223.

Para crear una directiva automática SSO de Windows:

1. Cree un perfil de recurso de archivo Windows, según se explica en “Definición

de perfiles de recursos: Reescritura de archivo” en la página 465.

2. Haga clic en Show ALL autopolicy types.

3. Seleccione la casilla de verificación Autopolicy: Windows Server Single

Sign-On.

4. En el campo Resource, utilice el siguiente formato para especificar el recurso

aplicable a esta directiva: \\servidor[\recurso compartido[\ruta]]. Para obtener
directrices detalladas, consulte “Definición de recursos de archivos” en la
página 467.

5. Seleccione una de las siguientes opciones:

„ Use predefined credentials: Seleccione esta opción si desea especificar

credenciales para pasar al recurso compartido o directorio de Windows.
Después:

i. En el campo Username, introduzca una variable (como<USERNAME>)

o un nombre de usuario estático (como administrator) para enviar al
recurso compartido o directorio de Windows. Al introducir una variable
también puede incluir un dominio. Por ejemplo:
yourcompany.net\<USERNAME>.

ii. Introduzca una variable IVE (como <PASSWORD>) en el campo

Variable Password o introduzca una contraseña estática en el campo
Variable. Observe que IVE enmascara con asteriscos la contraseña que
se introduce aquí.

Al introducir credenciales estáticas, observe que el servidor de exploración

de archivos el IVE mantiene las conexiones abiertas a un servidor común,
pero es posible que no funcion de manera fiable si se conecta a otra
carpeta utilizando una cuenta diferente.

En el caso de que las credenciales especificadas fallen, puede que el IVE

envíe credenciales alternativas, según se explica en “Información general
de credenciales de inicios de sesión múltiples” en la página 226.

„ Disable SSO: Seleccione esta opción si no desea que el IVE envíe

automáticamente credenciales al recurso compartido o directorio
de Windows.

6. Haga clic en Save Changes.

470 „ Definición de perfiles de recursos: Reescritura de archivo

 Capítulo 19: Reescritura de archivos

Definición de un marcador de archivo

Cuando se crea un perfil de recurso de archivo, el IVE crea automáticamente un
marcador que se enlaza al recurso principal especificado en el perfil de recurso.
IVE le permite modificar este marcador y crear marcadores adicionales en el
mismo dominio.

NOTA: Al configurar los marcadores, observe que:

„ Sólo puede asignar marcadores a roles que ya haya asociado con el perfil de
recursos, no todos los roles definidos en el IVE. Para cambiar la lista de roles
asociados al perfil de recurso, utilice los parámetros de la ficha Roles.

„ Los marcadores simplemente controlan los vínculos que muestra el IVE a los
usuarios, no los recursos a los que los usuarios pueden obtener acceso. Por
ejemplo, si habilita el acceso a un directorio de Windows, pero no crea un
marcador para dicho directorio, los usuarios pueden acceder al directorio a
través de Windows Explorer.

„ No podrá crear marcadores que se enlacen a servidores adicionales definidos

a través de directivas automáticas de control de acceso a archivos.

„ Si utiliza un marcador para hacer referencia a un acceso directo a un archivo,

observe que el IVE solo muestra marcadores con accesos directos para
archivos o carpetas en un recurso compartido de red como
\\server5\share\users\jdoe\file.txt. No obstante, el IVE no muestra
marcadores con accesos directos a directorios locales como
C:\users\jdoe\file.txt.

Para obtener más información sobre los marcadores del perfil de recursos, consulte
“Definición de marcadores” en la página 98.

Para configurar marcadores de perfil de recursos de archivos:

1. Si desea crear un marcador de perfil de recursos mediante la página de perfiles

de recursos estándar:

a. Diríjase a la página Users > Resource Profiles > Files > Seleccionar perfil
de recurso > Bookmarks en la consola de administración.

b. Haga clic en el vínculo correspondiente de la columna Bookmark si desea

modificar un marcador existente. O bien haga clic en New Bookmark para
crear un marcador adicional.

Como alternativa, si desea crear un marcador de perfil de recursos mediante la

página de roles de usuario:

a. Diríjase a la página Users > User Roles > Seleccionar rol > Files >
Windows Bookmarks|Unix Bookmarks en la consola de administración.

b. Haga clic en New Bookmark.

c. En la lista Type, elija File Resource Profile. (El IVE no muestra esta opción
si no ha creado un perfil de recurso de archivo.)

Definición de perfiles de recursos: Reescritura de archivo „ 471

 Guía de administración de Secure Access de Juniper Networks

d. Seleccione un perfil de recursos existente.

e. Haga clic en OK. (Si aún no ha asociado el rol seleccionado con el perfil de
recursos, el IVE realiza la asociación de forma automática. El IVE también
habilita cualquier directiva de control de acceso para el rol que requiere el
perfil de recursos.)

f. Si este rol aún no ha sido asociado con el perfil de recursos seleccionado,

el IVE muestra un mensaje informativo. Si ve este mensaje, haga clic en
Save Changes para agregar este rol a la lista de roles del perfil de recursos
y para actualizar las directivas automáticas del perfil, según se requiera.
A continuación, repita el paso anterior para crear el marcador.

NOTA: Al crear un marcador de perfil de recursos mediante la página de funciones

de usuario (en lugar de la página de perfiles de recursos estándar), el IVE sólo
asocia el marcador generado con el rol seleccionado. El IVE no asigna el marcador
con todos los roles asociados con el perfil de recursos seleccionado.

2. De forma opcional, cambie el nombre y la descripción del marcador. (De forma

predeterminada, el IVE llena los nombres que usa el marcador con el nombre
del perfil de recursos.)

3. En el campo File Browsing Path, agregue un sufijo al recurso si desea crear

enlaces para subdirectorios del recurso definido en el perfil de recurso
principal. Para obtener información sobre variables y atributos de sistema para
incluir en el marcador, diríjase a “Uso de variables del sistema en territorios,
roles y directivas de recursos” en la página 1054.

NOTA: En este campo, asegúrese de introducir un único servidor y ruta. Si crea

dos marcadores que contengan el mismo servidor o cadena de ruta concatenada,
el IVE elimina uno de los marcadores de la vista del usuario final. Aún podrá
ver ambos marcadores, pero en la consola del administrador.

4. En la sección Appearance, seleccione una de las siguientes opciones:

„ Appear as bookmark on homepage and in file browsing: Seleccione esta

opción si desea que el marcador aparezca en la página de bienvenida para
el usuario y al explorar archivos de red.

„ Appear in file browsing only: Seleccione esta opción si desea que el

marcador aparezca solamente cuando los usuarios exploren archivos
de red.

472 „ Definición de perfiles de recursos: Reescritura de archivo

 Capítulo 19: Reescritura de archivos

5. Si configura el marcador mediante las páginas del perfil de recursos, en Roles,

especifique los roles con los que desea mostrar el marcador:

„ ALL selected roles: Seleccione esta opción para mostrar el marcador

en todos los roles asociados con el perfil de recursos.

„ Subset of selected roles: Seleccione esta opción para mostrar el marcador

en un subconjunto de los roles asociados con el perfil de recursos. Luego
seleccione los roles de la lista ALL Selected Roles y haga clic en Add para
trasladarlos a la lista Subset of selected roles.

6. Haga clic en Save Changes.

Definición de los ajustes de rol: Recursos de Windows

Puede utilizar dos métodos para crear marcadores de archivos para Windows:

„ Crear marcadores a través de perfiles de recurso existentes (recomendado):

Cuando seleccione este método, el IVE completa automáticamente el marcador
con parámetros clave (como el servidor y recurso compartido principal)
utilizando parámetros del perfil de recurso. Además, mientras crea el perfil de
recursos asociado, el IVE lo guía a través del proceso de creación de cualquier
directiva necesaria para habilitar el acceso al marcador. Para obtener
instrucciones sobre la configuración, consulte “Definición de un marcador de
archivo” en la página 471.

„ Crear marcadores estándar: Cuando selecciona esta opción, debe introducir

manualmente todos los parámetros de marcadores durante la configuración.
Adicionalmente, deberá habilitar el acceso a la exploración de archivos en el
nivel de roles y crear directivas de recursos que permitan tener acceso a los
servidores definidos en el marcador. Para obtener instrucciones sobre la
configuración, consulte “Creación de marcadores avanzados para recursos de
Windows” en la página 474.

Puede crear marcadores de Windows para que aparezcan en la página de

bienvenida de usuarios asignados para este rol. Puede introducir el nombre de
usuario del IVE en la ruta URL para proporcionar un acceso rápido a los directorios
de red del usuario.

Cuando los usuarios del IVE se encuentran explorando archivos en un servidor Dfs,
este servidor utiliza los datos de configuración del sitio almacenados en Active
Directory para devolver las referencias Dfs al IVE en el orden correcto. Las
referencias de los servidores más cercanos son dispuestas en la parte superior de la
lista a diferencia de las referencias de los servidores que se encuentran más
alejados. Los clientes intentan las referencias en el orden en que son recibidas. Si se
recibe una petición de un cliente que reside en una subred que no se encuentre en
la lista, el servidor no sabrá de dónde proviene el cliente y devolverá la lista de
referencias al cliente en un orden arbitrario. Esto podría provocar que las solicitudes
Dfs del IVE (que en este caso actúa como el cliente) accedan a un servidor mucho
más lejano. A su vez, esta situación podría causar serios retrasos, especialmente si
el IVE intenta acceder a un servidor inalcanzable desde la subred en la que reside el
IVE. Si el IVE se instala en una subred que no se encuentra en la lista del servidor
Dfs, el administrador de Dfs puede utilizar la herramienta “Active Directory Sites
and Services” en el controlador de dominio para agregar la subred del IVE en el
lugar apropiado.

Definición de los ajustes de rol: Recursos de Windows „ 473

 Guía de administración de Secure Access de Juniper Networks

Esta sección contiene información para definir marcadores y parámetros de niveles

de rol para recursos de exploración de archivos de Windows:

„ “Creación de marcadores avanzados para recursos de Windows” en la

página 474

„ “Creación de marcadores de Windows que se asignan a servidores LDAP” en la

página 475

„ “Definición de opciones generales para la exploración de archivos” en la

página 476

Creación de marcadores avanzados para recursos de Windows

NOTA: La información de esta sección se proporciona para fines de compatibilidad
con versiones anteriores. Recomendamos que configure el acceso a los recursos
compartidos y directorios de Windows mediante los perfiles de recurso, ya que
proporcionan un método de configuración más simple y unificado. Para obtener
más información, consulte “Definición de perfiles de recursos: Reescritura de
archivo” en la página 465.

Creación de un marcador para un recurso de Windows:

1. En la consola de administración, seleccione Users > User Roles >

Nombre de rol > Files > Windows Bookmarks.

2. Haga clic en New Bookmark y luego explore o introduzca el nombre del

servidor y del recurso compartido. Especifique una ruta para restringir el
acceso. Si desea incluir un nombre de usuario, introduzca <username> en el
lugar correspondiente de la ruta. Para obtener información sobre variables y
atributos de sistema para incluir en el marcador, diríjase a “Uso de variables del
sistema en territorios, roles y directivas de recursos” en la página 1054. Si
otorga un nombre y descripción específicas para el marcador, esta información
se mostrará en la página principal del IVE en lugar del servidor/recurso
compartido.

NOTA:

„ No puede marcar un servidor de Windows. Deberá especificar el servidor y el

nombre del recurso compartido.

„ En este campo, asegúrese de introducir un único servidor y ruta. Si crea dos

marcadores que contengan el mismo servidor o cadena de ruta concatenada,
el IVE elimina uno de los marcadores de la vista del usuario final. Aún podrá
ver ambos marcadores, pero en la consola del administrador.

474 „ Definición de los ajustes de rol: Recursos de Windows

 Capítulo 19: Reescritura de archivos

3. En el caso de Appearance, elija:

„ Appear as bookmark on homepage and in file browsing si desea que el

marcador aparezca en la página de bienvenida para el usuario y al explorar
archivos de red.

„ Appear in file browsing only si desea que el marcador aparezca

solamente al explorar archivos de red.

4. Para Access, haga clic en Enable auto-allow access to this bookmark si desea
que el IVE cree automáticamente una directiva de recurso para Windows
Access. Tenga en cuenta que esta funcionalidad se aplica sólo a los marcadores
de rol y no a los marcadores creados por el usuario. Luego seleccione:

„ Read-write access para permitir a los usuarios guardar archivos en el

servidor. Tenga en cuenta que los usuarios no pueden cargar en el servidor
archivos que superen los 500 MB.

„ Include sub-folders para permitir a los usuarios ver archivos en la ruta de

marcador especificada.

NOTA: Es posible que no vea la opción Auto-allow si está utilizando una

instalación nueva o si el administrador oculta la opción. Para obtener más
información sobre esta opción, consulte “Ajuste de las opciones del sistema”
en la página 722.

5. Haga clic en Save Changes o Save + New para agregar otra opción.

Creación de marcadores de Windows que se asignan a servidores LDAP

Para crear un marcador que se asigne automáticamente a un directorio raíz LDAP
de un usuario:

1. Cree una instancia de servidor LDAP, como se muestra en “Definición de una

instancia de servidor LDAP” en la página 129.

2. Agregue el atributo LDAP homeDirectory al catálogo del servidor.

3. Configure un territorio y asocie LDAP como el servidor de autenticación,

según se describe en “Definición de una instancia de servidor LDAP” en la
página 129.

4. Configure las reglas de asignación de roles según sea necesario.

5. Cree un marcador de Windows utilizando las instrucciones de una de las

siguientes opciones:

„ “Definición de un marcador de archivo” en la página 471

„ “Creación de marcadores avanzados para recursos de Windows” en la

página 474

Durante la configuración, especifique <userAttr.homeDirectory> en el marcador.

6. Haga clic en Save Changes.

Definición de los ajustes de rol: Recursos de Windows „ 475

 Guía de administración de Secure Access de Juniper Networks

Definición de opciones generales para la exploración de archivos

Para especificar las opciones generales para la exploración de archivos de Windows:

1. En la consola de administración, seleccione Users > User Roles >

Nombre de rol > Files > Options.

2. Bajo Windows Network Files, especifique qué opciones desea habilitar para
los usuarios:

„ User can browse network file shares: En caso de estar habilitada, los
usuarios podrán ver y crear marcadores para los recursos en los recursos
de archivo compartidos de Windows que estén disponibles.

„ User can add bookmarks: En caso de estar habilitada, los usuarios podrán
ver y crear marcadores para los recursos en los recursos de archivo
compartidos de Windows que estén disponibles.

3. Haga clic en Save Changes.

Definición de directivas de recursos: Recursos de archivos

de Windows
Cuando habilite la característica de acceso a archivos en un rol, deberá crear
directivas de recursos que especifiquen a qué recursos de Windows y UNIX/NFS
podrá acceder un usuario, así como la codificación que se debe utilizar para
comunicarse con los recursos compartidos de archivos de Windows y NFS. Cuando
un usuario realiza una solicitud de archivo, el IVE evalúa las directivas de recursos
correspondientes a la solicitud, como las directivas de recursos de acceso de
Windows para solicitar la búsqueda un documento MS Word (archivo .doc). Después
de comparar la solicitud de un usuario con un recurso enumerado en una directiva
pertinente, el IVE realiza la acción especificada para el recurso.

Puede crear directivas de recursos mediante la interfaz estándar (según se describe

en esta sección) o mediante los perfiles de recursos (método recomendado).

Al escribir una directiva de recurso de archivo, deberá proporcionar

información clave:

„ Resources: Una directiva de recursos debe especificar uno o más recursos a

los que se aplica dicha directiva. Al escribir una directiva de archivo, deberá
especificar los servidores de archivos o los componentes compartidos
específicos.

„ Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evalúa estas directivas que corresponden a la solicitud.

„ Actions: Cada uno de los tipos de directivas de recursos ejecuta una acción
específica, ya sea permitir o denegar un recurso, así como realizar o no realizar
una acción, como permitir que un usuario escriba un directorio. También puede
escribir reglas detalladas que impongan más condiciones a la petición de un
usuario. Consulte “Escritura de una regla detallada” en la página 109.

476 „ Definición de directivas de recursos: Recursos de archivos de Windows

 Capítulo 19: Reescritura de archivos

El motor IVE que evalúa las directivas de recursos necesita que el recurso
enumerado en una lista de directiva Resources siga un formato canónico.

La siguiente sección contiene información sobre la escritura de directivas de

recursos para archivos UNIX/NFS:

„ “Formato canónico: Recursos de archivos de Windows” en la página 477

„ “Escritura de una directiva de recurso de acceso para Windows” en la

página 478

„ “Para escribir una directiva de recurso SSO para Windows” en la página 479

„ “Para escribir una directiva de recurso de compresión para Windows” en la

página 481

„ “Definición de opciones generales de escritura de archivos” en la página 482

Formato canónico: Recursos de archivos de Windows

NOTA: La información de esta sección se proporciona para fines de compatibilidad
con versiones anteriores. Recomendamos que configure el acceso a los servidores
de archivos de Windows mediante perfiles de recurso ya que estos proporcionan
un método de configuración más simple y unificado. Para obtener más
información, consulte “Definición de perfiles de recursos: Reescritura de archivo”
en la página 465.

Cuando escriba una directiva de recurso para un recurso de archivo de Windows,

deberá comprender el siguiente formato canónico.

Formato canónico:
\\servidor[\recurso compartido[\ruta]]

Los tres componentes son:

„ Servidor (necesario): Posibles valores:

„ Nombre de host: Se puede utilizar la variable de sistema <username>.

„ Dirección IP: La dirección IP deberá tener el formato: a.b.c.d

Es necesario incluir dos barras inclinadas al principio.

„ Recurso compartido (opcional): Si falta el recurso compartido, se presupone

que hay un asterisco (*), lo que significa que todas las rutas coinciden. Se
permite la variable de sistema <username>.

„ Path (opcional): Las características especiales que se permiten incluyen:

Tabla 31: Caracteres especiales de ruta

* Coinciden con cualquier carácter
% Coincide con cualquier carácter a excepción de la barra inclinada (/)
? Coincide exactamente con un carácter

Definición de directivas de recursos: Recursos de archivos de Windows „ 477

 Guía de administración de Secure Access de Juniper Networks

Si falta la ruta, se asume una barra inclinada (/), lo que significa que solamente
coinciden las carpetas del nivel superior-. Por ejemplo:

\\%.danastreet.net\share\<username>\*
\\*.juniper.com\dana\*
\\10.11.0.10\share\web\*
\\10.11.254.227\public\%.doc

Escritura de una directiva de recurso de acceso para Windows

NOTA: La información de esta sección se proporciona para fines de compatibilidad
con versiones anteriores. Recomendamos que configure el acceso a los servidores
de archivos de Windows mediante perfiles de recurso ya que estos proporcionan
un método de configuración más simple y unificado. Para obtener más
información, consulte “Definición de perfiles de recursos: Reescritura de archivo”
en la página 465.

Para escribir una directiva de recurso de acceso para Windows:

1. En la consola de administración, elija Users > Resource Policies > Files >
Access > Windows.

2. En la página Windows File Access Policies, haga clic en New Policy.

3. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva. (opcional)

4. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Formato canónico: Recursos
de archivos de Windows” en la página 477.

5. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

478 „ Definición de directivas de recursos: Recursos de archivos de Windows

 Capítulo 19: Reescritura de archivos

6. En la sección Action, especifique:

„ Allow access: Para permitir el acceso a los recursos especificados en la lista

Resources. Compruebe Read-only para evitar que los usuarios guarden
archivos en el servidor.

„ Deny access: Para denegar el acceso a los recursos especificados en la lista

Resources.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

7. Haga clic en Save Changes.

8. En la página Windows File Access Policies, ordene las directivas en el orden

en el que desee que el IVE las evalúe. Tenga presente que una vez que el IVE
compara el recurso solicitado por el usuario con un recurso en una lista de
Resource de la directiva (o una regla detallada), realiza la acción especificada
y detiene las directivas de procesamiento.

Si desea escribir una directiva de recurso de archivos que le permita especificar

credenciales para que el IVE lo envíe a un servidor de archivos cuando la solicitud
de un usuario coincida con un recurso de la lista Resource, deberá utilizar el
siguiente procedimiento para tal propósito. También puede configurar el IVE para
solicitar credenciales a los usuarios.

Para escribir una directiva de recurso SSO para Windows

NOTA: La información de esta sección se proporciona para fines de compatibilidad
con versiones anteriores. Recomendamos que configure el acceso a los servidores
de archivos de Windows mediante perfiles de recurso ya que estos proporcionan
un método de configuración más simple y unificado. Para obtener más
información, consulte “Definición de perfiles de recursos: Reescritura de archivo”
en la página 465.

Para escribir una directiva de recurso de credenciales para Windows:

1. En la consola de administración, elija Users > Resource Policies > Files >
SSO > Windows.

2. En la página Windows Credentials Policies, haga clic en New Policy.

3. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva. (opcional)

4. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Formato canónico: Recursos
de archivos de Windows” en la página 477.

Definición de directivas de recursos: Recursos de archivos de Windows „ 479

 Guía de administración de Secure Access de Juniper Networks

5. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a los roles
de la lista Selected roles. Asegúrese de agregar roles a esta lista desde la
lista Available roles.

6. En la sección Action, especifique la acción que se debe tomar cuando un

recurso requiera credenciales:

„ Use System Credentials: Si el IVE ha almacenado credenciales para

el usuario y recurso específicos en su caché, enviará las credenciales
almacenadas. Si las credenciales almacenadas fallan o si no existen
credenciales almacenadas para ese usuario, el IVE solicitará nuevas
credenciales y las almacenará.

„ Use Specific Credentials: Para que especifique credenciales estáticas que

el IVE envía a los recursos. El servidor de exploración de archivos del IVE
mantiene las conexiones abiertas con un servidor\recurso compartido de
manera que la conexión con una carpeta distinta en el mismo recurso
compartido mediante el uso de una cuenta diferente puede no funcionar
de manera fiable. En el caso de que las credenciales especificadas fallen,
puede que el IVE envíe credenciales alternativas, según se explica en
“Inicio de sesión único” en la página 223. Observe que el IVE enmascara
la contraseña que introduce aquí con asteriscos.

„ Prompt for user credentials: El IVE actúa como intermediario para para
compartir archivos al imponer una autenticación en el IVE la primera vez
que un usuario intenta acceder a un recurso compartido. El usuario
introduce las credenciales y éstas se almacenan en el IVE. Si las
credenciales fallan posteriormente, el IVE vuelve a solicitar al usuario sus
credenciales.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

7. Haga clic en Save Changes.

8. En la página Windows File Access Policies, ordene las directivas en el orden

en el que desee que el IVE las evalúe. Tenga presente que una vez que el IVE
compara el recurso solicitado por el usuario con un recurso en una lista de
Resource de la directiva (o una regla detallada), realiza la acción especificada
y detiene las directivas de procesamiento.

480 „ Definición de directivas de recursos: Recursos de archivos de Windows

 Capítulo 19: Reescritura de archivos

Para escribir una directiva de recurso de compresión para Windows

NOTA: La información de esta sección se proporciona para fines de compatibilidad
con versiones anteriores. Recomendamos que configure la compresión mediante
perfiles de recurso ya que estos proporcionan un método de configuración más
simple y unificado. Para obtener más información, consulte “Definición de una
directiva automática de compresión de archivos” en la página 469.

Las directivas automáticas de compresión especifican qué tipo de datos de archivo

debe comprimir el IVE al habilitar la compresión GZIP a través de la página
Maintenance > System > Options de la consola de administración. Para obtener
más información, consulte “Ejecución de la compresión” en la página 1023.

El IVE está preequipado con dos directivas de compresión de archivos (*:*/*) que
comprimen todos los datos de archivo aplicables. Puede habilitar estas directivas a
través de las páginas Resource Policies > Files > Compression de la consola de
administración.

Para escribir una directiva de recurso de compresión para Windows:

1. En la consola de administración, elija Resource Policies > Files >

Compression.

2. Seleccione la ficha Windows.

3. Haga clic en New Policy.

4. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

5. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Especificación de los
recursos para una directiva de recursos” en la página 103.

6. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

7. En la sección Action, especifique:

„ Compress: El IVE comprime los tipos de contenido compatibles del recurso

específico.

Definición de directivas de recursos: Recursos de archivos de Windows „ 481

 Guía de administración de Secure Access de Juniper Networks

„ Do not compress: El IVE no comprime los tipos de contenido compatibles

del recurso específico.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

8. Haga clic en Save Changes.

Definición de opciones generales de escritura de archivos

Puede especificar opciones de recursos de archivos aplicables a sus directivas de
recursos de archivos. Cuando habilita una opción de directiva de recursos de
archivos, el IVE crea una lista de los nombres de host especificados en el campo
Resources de cada una de las directivas de recursos de archivos. Luego, el IVE
aplica las opciones habilitadas a esta completa lista de nombres de host.

Para especificar opciones de recursos para servidores de archivos para Windows:

1. En la consola de administración, elija Users > Resource Policies > Files >
Options.

2. Seleccione:

„ IP based matching for Hostname based policy resources: El IVE consulta

la dirección IP correspondiente a cada uno de los nombres de host
especificados en la directiva de recursos de archivos. Cuando un usuario
intenta obtener acceso a un servidor especificando una dirección IP en
lugar de un nombre de host, el IVE compara la IP con su lista en caché de
direcciones IP para determinar si un nombre de host coincide con una IP.
Si coinciden, el IVE acepta la coincidencia como una coincidencia de
directiva, y aplica la acción especificada para la directiva de recursos.

NOTA: Esta opción no se aplica a los nombres de host que incluyen comodines y
parámetros.

„ Case sensitive matching for the Path component in File resources:

Exige a los usuarios que introduzcan un componente de ruta que distingue
mayúsculas y minúsculas.

„ Encoding: Seleccione la codificación que utilizará al momento para

comunicarse con los recursos compartidos de archivos de Windows y NFS.

„ Use NTLM v1, NTLM v1 will be used for all NTLM negotiations:
Seleccione esta opción para utilizar solamente NTLM V1 para la
autenticación de recursos compartidos de archivos.

„ Use NTLM v2, NTLM v2 will be used for all NTLM negotiations:
Seleccione esta opción para utilizar solamente NTLM V2 para la
autenticación de recursos compartidos de archivos.

„ Number of NTLM authentication protocol variant attempts: Controla la

cantidad de intentos de inicios de sesión mientras realiza SSO. Seleccione
“Baja” si nota problemas de bloqueo de cuentas.

3. Haga clic en Save Changes.

482 „ Definición de directivas de recursos: Recursos de archivos de Windows

 Capítulo 19: Reescritura de archivos

Definición de los ajustes de rol: Recursos de archivos para UNIX/NFS

Puede utilizar dos métodos distintos para crear marcadores de archivos para Unix:

„ Crear marcadores a través de perfiles de recurso existentes (recomendado):

Cuando selecciona este método, el IVE completa automáticamente el marcador
con parámetros clave (como el servidor) utilizando parámetros del perfil de
recurso. Además, mientras crea el perfil de recursos asociado, el IVE lo guía a
través del proceso de creación de cualquier directiva necesaria para habilitar el
acceso al marcador. Para obtener instrucciones sobre la configuración, consulte
“Definición de un marcador de archivo” en la página 471.

„ Crear marcadores estándar: Cuando selecciona esta opción, debe introducir

manualmente todos los parámetros de marcadores durante la configuración.
Adicionalmente, deberá habilitar el acceso a la exploración de archivos en el
nivel de roles y crear directivas de recursos que permitan tener acceso a los
servidores definidos en el marcador. Para obtener instrucciones sobre la
configuración, consulte “Creación de marcadores avanzados a recursos de
UNIX” en la página 483.

Puede crear marcadores de Unix para que aparezcan en la página de bienvenida de

usuarios asignados para este rol. Puede introducir el nombre de usuario del IVE en
la ruta URL para proporcionar un acceso rápido a los directorios de red del usuario.

Esta sección contiene información para definir marcadores y parámetros de niveles

de rol para recursos de exploración de archivos de Unix:

„ “Creación de marcadores avanzados a recursos de UNIX” en la página 483

„ “Definición de opciones generales para la exploración de archivos” en la

página 485

Creación de marcadores avanzados a recursos de UNIX

NOTA: La información de esta sección se proporciona para fines de compatibilidad
con versiones anteriores. Recomendamos que configure el acceso a los servidores
de archivos de Unix mediante perfiles de recurso ya que estos proporcionan un
método de configuración más simple y unificado. Para obtener más información,
consulte “Definición de perfiles de recursos: Reescritura de archivo” en la
página 465.

Puede crear marcadores de UNIX/NFS que aparezcan en la página principal del IVE.
Puede introducir el nombre de usuario del IVE en la ruta URL para proporcionar un
acceso rápido a los directorios de red del usuario.

Definición de los ajustes de rol: Recursos de archivos para UNIX/NFS „ 483

 Guía de administración de Secure Access de Juniper Networks

Creación de un marcador para un recurso de UNIX/NFS:

1. En la consola de administración, seleccione Users > User Roles >

Nombre de rol > Files > UNIX Bookmarks.

2. Haga clic en New Bookmark y luego introduzca el nombre de host o dirección

IP del servidor y la ruta del recurso compartido. Si desea incluir un nombre de
usuario, introduzca <username> en el lugar correspondiente de la ruta. Si
otorga un nombre y descripción específicas para el marcador, esta información
se mostrará en la página principal del IVE en lugar del servidor/ruta.

NOTA: En este campo, asegúrese de introducir un único servidor y ruta. Si crea dos
marcadores que contengan el mismo servidor o cadena de ruta concatenada, el
IVE elimina uno de los marcadores de la vista del usuario final. Aún podrá ver
ambos marcadores, pero en la consola del administrador.

3. En el caso de Appearance, elija:

„ Appear as bookmark on homepage and in file browsing si desea que el

marcador aparezca en la página de bienvenida para el usuario y al explorar
archivos de red.

„ Appear in file browsing only si desea que el marcador aparezca

solamente al explorar archivos de red.

4. Para Access, haga clic en Enable auto-allow access to this bookmark si desea
que el IVE cree automáticamente una directiva de recurso para UNIX/NFS.
Tenga en cuenta que esta funcionalidad se aplica sólo a los marcadores de rol y
no a los marcadores creados por el usuario. Luego seleccione:

„ Read-write access para permitir a los usuarios guardar archivos en el

servidor. Tenga en cuenta que los usuarios no pueden cargar en el servidor
archivos que superen los 500 MB.

„ Include sub-folders para permitir a los usuarios ver archivos en la ruta de

marcador especificada.

NOTA: Es posible que no vea la opción Auto-allow si está utilizando una

instalación nueva o si el administrador oculta la opción. Para obtener más
información sobre esta opción, consulte “Ajuste de las opciones del sistema” en la
página 722.

5. Haga clic en Save Changes o Save + New para agregar otra opción.

484 „ Definición de los ajustes de rol: Recursos de archivos para UNIX/NFS

 Capítulo 19: Reescritura de archivos

Definición de opciones generales para la exploración de archivos

NOTA: Para que la exploración de archivos de NFS funcione apropiadamente,

deberá configurar un servidor NIS en el IVE antes de habilitar la exploración
de archivos de NFS.

Para especificar las opciones generales para la exploración de archivos:

1. En la consola de administración, seleccione Users > User Roles >

Nombre de rol > Files > Options.

2. Bajo UNIX Network Files, especifique qué opciones desea habilitar para
los usuarios:

„ User can browse network file shares: En caso de estar habilitada, los
usuarios podrán ver y crear marcadores para los recursos en los recursos
de archivo compartidos disponibles de UNIX.

„ User can add bookmarks: En caso de estar habilitada, los usuarios podrán
ver y crear marcadores para los recursos en los recursos de archivo
compartidos disponibles de UNIX.

„ Allow automount shares: Si está habilitada, los usuarios acceden

a recursos compartidos de montaje automático especificados en un
servidor NIS.

3. Haga clic en Save Changes.

Definición de directivas de recursos: Recursos de archivos para

UNIX/NFS
Cuando habilite la característica de acceso a archivos en un rol, deberá crear
directivas de recursos que especifiquen a qué recursos de Windows y UNIX/NFS
podrá acceder un usuario, así como la codificación que se debe utilizar para
comunicarse con los recursos compartidos de archivos de Windows y NFS. Cuando
un usuario realiza una solicitud de archivo, el IVE evalúa las directivas de recursos
correspondientes a la solicitud, como las directivas de recursos de acceso de
Windows para solicitar la búsqueda un documento MS Word (archivo .doc). Tras
comparar la solicitud de un usuario con un recurso enumerado en una directiva
pertinente, el IVE realiza la acción especificada para el recurso.

Puede crear directivas de recursos mediante la interfaz estándar (según se describe

en esta sección) o mediante los perfiles de recursos (método recomendado).

Definición de directivas de recursos: Recursos de archivos para UNIX/NFS „ 485

 Guía de administración de Secure Access de Juniper Networks

Al escribir una directiva de recurso de archivo, deberá proporcionar

información clave:

„ Resources: Una directiva de recursos debe especificar uno o más recursos a

los que se aplica dicha directiva. Al escribir una directiva de archivo, deberá
especificar los servidores de archivos o los componentes compartidos
específicos.

„ Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evalúa estas directivas que corresponden a la solicitud.

„ Actions: Cada uno de los tipos de directivas de recursos ejecuta una acción
específica, ya sea permitir o denegar un recurso, así como realizar o no realizar
una acción, como permitir que un usuario escriba un directorio. También puede
escribir reglas detalladas que impongan más condiciones a la petición de un
usuario. Consulte “Escritura de una regla detallada” en la página 109.

El motor IVE que evalúa las directivas de recursos necesita que el recurso
enumerado en una lista de directiva Resources siga un formato canónico.

La siguiente sección contiene información sobre la escritura de directivas de

recursos para archivos UNIX/NFS:

„ “Formato canónico: Recursos de archivos para UNIX/NFS” en la página 486

„ “Escritura de directivas de recursos para UNIX/NFS” en la página 487

„ “Para escribir una directiva de recurso de compresión para Unix/NFS” en la

página 488

„ “Definición de opciones generales de escritura de archivos” en la página 489

Formato canónico: Recursos de archivos para UNIX/NFS

Cuando escriba una directiva de recurso para un recurso de archivo de UNIX/NFS,
deberá comprender el siguiente formato canónico.

Formato canónico:
servidor[/ruta]

Los dos componentes son:

„ Servidor (necesario): Posibles valores:

„ Nombre de host: Se puede utilizar la variable de sistema <username>.

„ Direción IP: La dirección IP deberá tener el formato: a.b.c.d

Es necesario incluir dos barras inclinadas al principio.

486 „ Definición de directivas de recursos: Recursos de archivos para UNIX/NFS

 Capítulo 19: Reescritura de archivos

„ Ruta (opcional): Las características especiales que se permiten incluyen:

Tabla 32: Caracteres especiales de ruta

* Coincide con cualquier carácter
% Coincide con cualquier carácter a excepción de la barra invertida (\)
? Coincide exactamente con un carácter

Si falta la ruta, se asume una barra invertida (\), lo que significa que solamente
coinciden las carpetas del nivel superior. Por ejemplo:

%.danastreet.net/share/users/<username>/*
*.juniper.com/dana/*
10.11.0.10/web/*
10.11.254.227/public/%.txt

Escritura de directivas de recursos para UNIX/NFS

NOTA: La información de esta sección se proporciona para fines de compatibilidad
con versiones anteriores. Recomendamos que configure el acceso a los servidores
de archivos de Unix mediante perfiles de recurso ya que estos proporcionan un
método de configuración más simple y unificado. Para obtener más información,
consulte “Definición de perfiles de recursos: Reescritura de archivo” en la
página 465.

Para escribir una directiva de recurso de acceso para UNIX/NFS:

1. En la consola de administración, elija Users > Resource Policies > Files >
Access > Unix/NFS.

2. En la página Unix/NFS File Access Policies, haga clic en New Policy.

3. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva. (opcional)

4. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Formato canónico: Recursos
de archivos para UNIX/NFS” en la página 486.

Definición de directivas de recursos: Recursos de archivos para UNIX/NFS „ 487

 Guía de administración de Secure Access de Juniper Networks

5. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

6. En la sección Action, especifique:

„ Allow access: Para permitir el acceso a los recursos especificados en la lista

Resources. Compruebe Read-only para evitar que los usuarios guarden
archivos en el servidor.

„ Deny access: Para denegar el acceso a los recursos especificados en la lista

Resources.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

7. Haga clic en Save Changes.

8. En la página Unix/NFS File Access Policies, ordene las directivas en el orden

en el que desee que el IVE las evalúe. Tenga presente que una vez que el IVE
compara el recurso solicitado por el usuario con un recurso en una lista de
Resource de la directiva (o una regla detallada), realiza la acción especificada
y detiene las directivas de procesamiento.

Para escribir una directiva de recurso de compresión para Unix/NFS

NOTA: La información de esta sección se proporciona para fines de compatibilidad
con versiones anteriores. Recomendamos que configure el acceso a los servidores
de archivos de Unix mediante perfiles de recurso ya que estos proporcionan un
método de configuración más simple y unificado. Para obtener más información,
consulte “Definición de perfiles de recursos: Reescritura de archivo” en la
página 465.

Las directivas automáticas de compresión especifican qué tipo de datos de archivo

debe comprimir el IVE al habilitar la compresión GZIP a través de la página
Maintenance > System > Options de la consola de administración. Para obtener
más información, consulte “Ejecución de la compresión” en la página 1023.

El IVE está preequipado con dos directivas de compresión de archivos (*:*/*) que
comprimen todos los datos de archivo aplicables. Puede habilitar estas directivas a
través de las páginas Resource Policies > Files > Compression de la consola de
administración.

488 „ Definición de directivas de recursos: Recursos de archivos para UNIX/NFS

 Capítulo 19: Reescritura de archivos

Para escribir una directiva de recurso de compresión para Unix/NFS:

1. En la consola de administración, elija Resource Policies >

Files > Compression.

2. Seleccione la ficha Unix/NFS.

3. Haga clic en New Policy.

4. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

5. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Especificación de los
recursos para una directiva de recursos” en la página 103.

6. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

7. En la sección Action, especifique:

„ Compress: El IVE comprime los tipos de contenido compatibles del recurso

específico.

„ Do not compress: El IVE no comprime los tipos de contenido compatibles

del recurso específico.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

8. Haga clic en Save Changes.

Definición de opciones generales de escritura de archivos

Puede especificar opciones de recursos de archivos aplicables a sus directivas
de recursos de archivos. Cuando habilita una opción de directiva de recursos de
archivos, el IVE crea una lista de los nombres de host especificados en el campo
Resources de cada una de las directivas de recursos de archivos. Luego, el IVE
aplica las opciones habilitadas a esta completa lista de nombres de host.

Definición de directivas de recursos: Recursos de archivos para UNIX/NFS „ 489

 Guía de administración de Secure Access de Juniper Networks

Para especificar opciones para recursos UNIX/NFS:

1. En la consola de administración, elija Users > Resource Policies >

Files > Options.

2. Seleccione:

„ IP based matching for Hostname based policy resources: El IVE consulta

la dirección IP correspondiente a cada uno de los nombres de host
especificados en la directiva de recursos de archivos. Cuando un usuario
intenta obtener acceso a un servidor especificando una dirección IP en
lugar de un nombre de host, el IVE compara la IP con su lista en caché de
direcciones IP para determinar si un nombre de host coincide con una IP. Si
coinciden, el IVE acepta la coincidencia como una coincidencia de directiva
y aplica la acción especificada para la directiva de recursos.

NOTA: Esta opción no se aplica a los nombres de host que incluyen comodines
y parámetros.

„ Case sensitive matching for the Path component in File resources:

Seleccione esta opción para solicitarle a los usuarios que introduzcan una
URL que distinga entre mayúsculas y minúsculas para un recurso NFS.
Utilice esta opción cuando traslade datos de un nombre de usuario o una
contraseña a un URL.

NOTA: Esta opción no es aplicable para servidores de Windows.

„ Encoding: Seleccione la codificación que utilizará para comunicarse con los

recursos compartidos de archivos de Windows y NFS.

„ NTLM Version: Seleccione si se debe recurrir a la versión 1 o 2 de

autenticación de NTLM en el caso de que falle la autenticación Kerberos
de las credenciales del administrador.

„ Number of NTLM authentication protocol: Seleccione High para permitir

que exista un mayor número de intentos de autenticación en el servidor
interno. Esto se aplica solamente a NTLM y no a la autenticación básica.
Si su servidor bloquea a los usuarios debido a que realizaron demasiados
intentos fallidos, seleccione Low.

NOTA: Muchos servidores no admiten los distintos intentos de variantes de

protocolo NTLM en el caso que seleccione High. Si observa que el proceso de
autenticación está fallando a pesar de haber introducido un nombre de usuario
y una contraseña correctamente, establezca esta opción en Low.

3. Haga clic en Save Changes.

490 „ Definición de directivas de recursos: Recursos de archivos para UNIX/NFS

Capítulo 20
Secure Application Manager

La opción Secure Application Manager ofrece acceso remoto seguro a nivel de

aplicación a servidores de empresas desde aplicaciones cliente. Puede implementar
dos versiones de Secure Application Manager:

„ Versión de Windows (WSAM): La versión de Windows de la aplicación Secure

Application Manager es una solución basada en Windows, que le permite
ofrecer tráfico seguro hacia aplicaciones cliente/servidor individuales y
servidores de aplicaciones.

„ Versión Java (JSAM): La versión Java de Secure Application Manager admite

aplicaciones de cliente/servidor de puerto TCP estático, e incluye
compatibilidad mejorada para Microsoft MAPI, Lotus Notes y Citrix NFuse.
JSAM también proporciona compatibilidad con NetBIOS, lo que permite a los
usuarios asignar unidades a recursos protegidos especificados.

Esta sección contiene la siguiente información acerca de Secure Application

Manager:

„ “Licencia: Disponibilidad de Secure Application Manager” en la página 492

„ “Resumen de tareas: Configuración de WSAM” en la página 492

„ “Información general de WSAM” en la página 493

„ “Definición de perfiles de recursos: WSAM” en la página 498

„ “Definición de los ajustes de rol: WSAM” en la página 501

„ “Definición de directivas de recursos: WSAM” en la página 508

„ “Uso del iniciador de WSAM” en la página 510

„ “Resumen de tareas: Configuración de JSAM” en la página 514

„ “Información general de JSAM” en la página 516

„ “Definición de perfiles de recursos: JSAM” en la página 535

„ “Definición de los ajustes de rol: JSAM” en la página 540

„ “Definición de directivas de recursos: JSAM” en la página 545

„ 491
 Guía de administración de Secure Access de Juniper Networks

Licencia: Disponibilidad de Secure Application Manager

Las características de Secure Application Manager (WSAM y JSAM) no están
disponibles en el dispositivo SA 700.

Resumen de tareas: Configuración de WSAM

Esta sección indica los pasos de configuración de WSAM de alto nivel. Estos pasos
no consideran los de la configuración preliminar del IVE, como especificar la
identidad de la red del IVE o agregar ID de usuario al IVE.

Para configurar WSAM:

1. Cree perfiles de recursos que permitan acceso a aplicaciones de cliente/servidor

o redes de destino, cree directivas automáticas compatibles según sea
necesario y asigne las directivas a los roles de usuario mediante ajustes de las
páginas Users > Resource Profiles > SAM de la consola de administración.
Para obtener instrucciones, consulte “Definición de perfiles de recursos:
WSAM” en la página 498.

Recomendamos que use los perfiles de recursos para configurar WSAM (como
se describe antes). Sin embargo, si no desea usar los perfiles de recursos, puede
configurar WSAM con los ajustes de la directiva de rol y recursos en las
siguientes páginas de la consola de administración:

a. Permita el acceso a WSAM a nivel de rol mediante los ajustes de la página

Users > User Roles > Rol > General > Overview de la consola de
administración. Para obtener instrucciones, consulte “Configuración de los
roles de usuario” en la página 72.

b. Especifique a qué aplicaciones de cliente/servidor y servidores WSAM debe

proporcionar intermediación mediante los ajustes de la página Users >
User Roles > SAM > Applications de la consola de administración. Para
obtener instrucciones, consulte “Especificación de aplicaciones y
servidores para proteger con WSAM” en la página 501.

c. Especifique a qué servidores de aplicaciones pueden tener acceso los

usuarios a través de WSAM con los ajustes de la página Users > Resource
Policies > SAM > Access de la consola de administración. Para obtener
instrucciones, consulte “Especificación de los servidores de aplicaciones a
los cuales los usuarios pueden tener acceso” en la página 508.

492 „ Licencia: Disponibilidad de Secure Application Manager

 Capítulo 20: Secure Application Manager

2. Después de habilitar el acceso a las aplicaciones de cliente/servidor y las redes

de destino con los perfiles de recursos o roles y directivas de recursos de
WSAM, puede modificar el rol general y las opciones de recursos en las
siguientes páginas de la consola de administración.

a. (Opcional) Configure las opciones a nivel de rol, por ejemplo, si el IVE debe
iniciar y actualizar automáticamente WSAM con los ajustes de la página
Users > User Roles > SAM > Options de la consola de administración.
Para obtener instrucciones, consulte “Especificación de opciones WSAM a
nivel de recurso” en la página 510.

b. (Opcional) Controlar la coincidencia del nombre de host basado en IP a

nivel de recursos con los ajustes de la página Users > Resource Policies >
SAM > Options de la consola de administración. Para obtener
instrucciones, consulte “Especificación de opciones WSAM a nivel de
recurso” en la página 510.

3. Asegúrese de que una versión apropiada de WSAM se encuentra disponible

para clientes remotos con los ajustes de la página Maintenance > System >
Installers de la consola de administración. Para obtener instrucciones, consulte
“Descarga de los instaladores de aplicaciones” en la página 724.

4. Si desea habilitar o inhabilitar los registros del lado cliente para WSAM,
configure las opciones correspondientes mediante la ficha System >
Configuration > Security > Client-side Logs de la consola de administración.
Para obtener instrucciones, consulte “Habilitación de registros del lado cliente”
en la página 841.

Información general de WSAM

WSAM es una solución basada en Windows que le permite garantizar la seguridad
del tráfico a aplicaciones de cliente/servidor, como la exploración de archivos de
Lotus Notes, Microsoft Outlook, Citrix y NetBIOS, así como también servidores de
aplicaciones. Puede descargar e iniciar WSAM con un control ActiveX hospedado en
el IVE, un mecanismo de entrega de Java o el iniciador de WSAM instalado
previamente en el cliente.

También puede habilitar WSAM en dispositivos de mano o PDA. Para obtener

información específica relacionada con la configuración y compatibilidad con PDA,
consulte “Habilitación de WSAM en PDA” en la página 1036.

NOTA: Cuando utilice WSAM o Terminal Services para conectar remotamente la

red empresarial, si desea tener acceso a los recursos protegidos del Control de
acceso unificado (UAC) de Juniper Networks, necesita crear una directiva en UAC
para gestionar tráfico proveniente del IVE como un dispositivo no administrado.

Información general de WSAM „ 493

 Guía de administración de Secure Access de Juniper Networks

Esta sección contiene la siguiente información acerca de WSAM:

„ “Tráfico de cliente/servidor seguro con WSAM” en la página 494

„ “Compatibilidad del antivirus y la aplicación cliente VPN” en la página 496

„ “Inicio de Network Connect durante una sesión de WSAM” en la página 497

„ “Depuración de problemas de WSAM” en la página 497

Tráfico de cliente/servidor seguro con WSAM

El siguiente diagrama ilustra cómo WSAM brinda seguridad del tráfico de cliente
y servidor. Después del diagrama encontrará una descripción de cada paso.

Figura 35: WindowsSecure Application Manager

1. El usuario invoca a WSAM a través de su sesión de IVE. El usuario puede

invocar a WSAM de forma automática o manual. Si configura WSAM para
iniciarse automáticamente, el usuario invoca a WSAM sólo con iniciar sesión en
el IVE. También si usted o el usuario desactivan la opción de inicio automático,
el usuario puede invocar manualmente al WSAM haciendo clic en su vínculo
ubicado en la página de inicio del IVE. (Si activa el inicio automático, los
usuarios pueden sobrescribir los ajustes en la página Preferences >
Applications de la consola del usuario final).

2. Si WSAM aún no se ha instalado en el sistema del usuario, el IVE lo descarga en

el equipo del usuario. El mecanismo de entrega instala el software de WSAM en
el equipo cliente. Los mecanismos de entrega de WSAM incluyen:

„ Control ActiveX: Este mecanismo de entrega de software controla todas

las funciones de la instalación del WSAM. Se descarga del IVE cuando un
usuario inicia WSAM desde la página de inicio del IVE.

494 „ Información general de WSAM

 Capítulo 20: Secure Application Manager

„ Entrega de Java: El dispositivo IVE proporciona este mecanismo de entrega

secundario si el IVE no descarga o actualiza el control ActiveX debido a
restricciones del explorador. Tal como sucede con el control ActiveX, el
mecanismo de entrega de Java controla todas las funciones de instalación
de WSAM.

NOTA: Si se está ejecutando Microsoft Vista en el sistema del usuario, éste debe
hacer clic en el vínculo de configuración que aparece durante el proceso de
instalación para continuar instalando el cliente de configuración y WSAM.
En todos los demás sistemas operativos Microsoft, el cliente de configuración
y WSAM se instalan automáticamente.

Para obtener más información sobre la eliminación del control Juniper

ActiveX, consulte “Eliminación del control ActiveX de Juniper” en la
página 317.

„ Iniciador de WSAM para secuencia de comandos: Esta herramienta

permite a los usuarios iniciar WSAM manualmente desde una línea de
comandos o de forma automática desde un archivo de lote, una aplicación
que realiza una llamada shell o un servicio Win32. Para usar este
mecanismo, necesita distribuir el iniciador a los usuarios, tal como se
describe en “Descarga de los instaladores de aplicaciones” en la
página 724. A continuación, los usuarios pueden invocar el WSAM a través
de una ventana de símbolo de sistema con los argumentos de la línea de
comandos descritos en “Uso del iniciador de WSAM” en la página 510.
También una aplicación o script puede iniciar WSAM al entregar los
parámetros al iniciador. (Por ejemplo, un script de archivo de lote del
equipo puede invocar el iniciador del WSAM cuando el equipo se inicia.)

NOTA: Para obtener información acerca de los directorios en los cuales se ejecutan
los mecanismos de entrega de WSAM, los archivos que éstos instalan en el equipo
del usuario, las ubicaciones de archivo de registro, los derechos que los usuarios
deben tener para ejecutar cada uno de estos mecanismos de entrega y los ajustes
del explorador que los usuarios deben activar, consulte el manual Client-side
Changes Guide en Juniper Networks Customer Support Center.

El IVE entrega la información de rol y de cliente definida en el servidor al

equipo cliente de WSAM durante el inicio de WSAM. (Si las directivas de filtrado
cambian, el equipo cliente no refleja esos cambios hasta el próximo inicio de
sesión. Cualquier cambio a las reglas de control de acceso de servidor del IVE
surte efecto inmediatamente.)

3. El cliente WSAM instala un Layered Service Provider (LPS) o un controlador

de Interfaz de controlador de transporte (TDI) en el cliente para garantizar la
seguridad del tráfico de la aplicación. (Si el tráfico se origina desde un sistema
Windows 98 o Windows Millennium, WSAM usa un mecanismo LSP. Si el
tráfico se origina desde un sistema Windows 2000 o Windows XP, WSAM usa
un mecanismo TDI.) El icono de ventana de estado del WSAM aparece en la
bandeja del sistema. Los usuarios pueden hacer doble clic en este icono para
ver el estado de la sesión actual y una lista de las aplicaciones y hosts
especificados para WSAM para proporcionar intermediación.

Información general de WSAM „ 495

 Guía de administración de Secure Access de Juniper Networks

4. El usuario inicia una aplicación o pide datos de un servidor que usted configuró
a través de WSAM. Cuando la aplicación cliente o el proceso tratan de
conectarse al recurso, WSAM intercepta la petición. WSAM intercepta las
llamadas de conexión TCP y UDP desde las aplicaciones y las consultas DNS
para los nombres de host de servidor de destino.

5. WSAM reenvía el nombre de host de la aplicación cliente o el servidor de

destino al IVE sobre SSL.

6. El IVE resuelve el nombre de host con el servidor DNS.

7. El IVE devuelve hasta 8 direcciones IP resueltas del host de destino al WSAM.

8. WSAM configura automáticamente un canal de reenvío de puerto con una

dirección IP localhost previamente proporcionada.

NOTA:

„ Si usted activó la opción Persistent Session en la ficha Users > User Roles >
Rol > General > Session Options, el IVE guarda en caché el nombre de
usuario y la contraseña en la cookie de sesión persistente después de la
primera autenticación exitosa. Esto genera un riesgo de seguridad potencial,
puesto que el iniciador de WSAM utiliza la información almacenada en la
cookie de sesión persistente para todos los intentos de inicio de sesión
posteriores durante la sesión existente aunque finalice la conexión WSAM.
Para obtener más información sobre las sesiones persistentes, consulte
“Especificación de las opciones de sesión” en la página 76.

„ Los usuarios pueden experimentar problemas mientras esperan que Secure

Application Manager se cargue completamente, si activan bloqueadores de
ventanas emergentes a través de sus exploradores Web. Este problema se
produce debido a que una ventana emergente, que avisa a los usuarios que
acepten el complemento de Secure Application Manager, puede aparecer en
segundo plano (detrás de la ventana del explorador Web) donde los usuarios
no pueden verla.

Compatibilidad del antivirus y la aplicación cliente VPN

La Tabla 33 muestra la compatibilidad de varios antivirus y las aplicaciones cliente
VPN con WSAM y Windows 98 y Windows Millenium.

Tabla 33: Compatibilidad de WSAM para Windows 98 y Windows Millennium

Software Versión ¿Compatible?

Norton AntiVirus 2003 Sí
Norton AntiVirus 2004 Sí
Norton AntiVirus Professional 2004 Sí
Norton AntiVirus Corporate Edition 8.0 Sí
McAfee 7.0 No
McAfee 8.0 Sí

496 „ Información general de WSAM

 Capítulo 20: Secure Application Manager

NOTA: Si existe un conflicto entre WSAM y una de las aplicaciones de terceros de

Windows 98 o Windows Millennium, el IVE bloquea la descarga y muestra un
mensaje de error que entrega información detallada del conflicto.

La Tabla 34 muestra la compatibilidad de varios antivirus y las aplicaciones cliente

VPN con WSAM para Windows 2000 y Windows XP.

Tabla 34: Compatibilidad de WSAM para Windows 2000 y Windows XP

Uso compartido de Uso compartido de

Software Versión archivos desactivado archivos activado
Norton AntiVirus 2003 Sí Sí
Norton AntiVirus 2004 Sí Sí
Norton AntiVirus Professional 2004 Sí No
Norton AntiVirus Corporate Edition 8.0 Sí Sí
Trend Micro PC-cillin 2004 No Sí
TheGreenBow Personal Firewall 2.5 Sí Sí

Inicio de Network Connect durante una sesión de WSAM

Los usuarios pueden iniciar Network Connect mientras inician sesión en el IVE a
través de WSAM. Sin embargo, si lo hacen el instalador de Network Connect finaliza
automáticamente la sesión de WSAM antes de iniciar Network Connect. Durante el
proceso, el IVE envía un mensaje de advertencia a los usuarios informándoles que
están punto de finalizar su sesión de WSAM para poder iniciar Network Connect.

Para abordar la situación, recomendamos que otorgue a los usuarios el mismo

acceso a los recursos de la red a través de Network Connect que a través de WSAM.
Si lo hace, cuando los usuarios elijan iniciar Network Connect (finalizando
simultáneamente WSAM), podrán seguir accediendo a los mismos recursos de red.
Para obtener más información, consulte “Inicio de Network Connect durante una
sesión de Windows Secure Application Manager” en la página 666.

Depuración de problemas de WSAM

Puede utilizar el cuadro de diálogo Secure Application Manager en el sistema del
usuario final para ver el estado de WSAM y una variedad de detalles acerca de la
sesión de usuario. Por ejemplo, el cuadro de diálogo Secure Application Manager
muestra las aplicaciones y los servidores que WSAM tiene configurados para
brindar seguridad, registros de eventos y datos de Winsock para la sesión de
usuario y diversos diagnósticos del sistema y datos de rendimiento. Esta
información le puede ayudar a usted o al representante de Soporte técnico de
Juniper Networks a depurar cualquier problema que sus usuarios puedan encontrar.

Para tener acceso al cuadro de diálogo Secure Application Manager, los usuarios
sólo necesitan hacer doble clic en el icono WSAM de la barra de tareas de Windows:

Para obtener más información acerca de la visualización de información en el

cuadro de diálogo Secure Application Manager, consulte el sistema de ayuda de
usuario final del vínculo Help en la consola de usuario final del IVE.

Información general de WSAM „ 497

 Guía de administración de Secure Access de Juniper Networks

Definición de perfiles de recursos: WSAM

Puede crear dos tipos de perfiles de recursos de WSAM:

„ Perfiles de recursos de aplicación de WSAM: Estos perfiles de recursos

configuran WSAM para que brinde seguridad al tráfico hacia una aplicación
cliente/servidor. Cuando se crea un perfil de recursos de aplicación de WSAM,
el cliente WSAM intercepta las peticiones desde las aplicaciones cliente
especificadas hacia los servidores de su red interna.

„ Perfiles de recursos de red de destino de WSAM: Estos perfiles de recursos

configuran WSAM para que brinde seguridad al tráfico hacia un servidor.
Cuando se crea un perfil de recursos de red de destino de WSAM, el cliente
WSAM intercepta peticiones desde procesos que se ejecutan en el cliente,
que se conecta, hasta los host internos especificados.

Para obtener más información sobre los perfiles de recursos, consulte “Perfiles de
recursos” en la página 91. Para obtener más información sobre WSAM, consulte
“Información general de WSAM” en la página 493.

NOTA:

„ Cuando cree perfiles de recursos WSAM, tenga en cuenta que los perfiles de
recursos no contienen marcadores. Para tener acceso a las aplicaciones y
servidores que WSAM intermedia, los usuarios primero deben iniciar WSAM y
luego iniciar la aplicación o servidor especificados con los métodos estándar
(como el menú Start de Windows o un icono de escritorio). Para obtener
información acerca del inicio automático de WSAM cuando el usuario inicia
sesión en el IVE, consulte “Especificación de opciones WSAM a nivel de rol”
en la página 506.

„ Cuando activa JSAM o WSAM a través de directivas automáticas de reescritura

web en la página Users > Resource Profiles > Web Applications/Pages de la
consola de administración, el IVE automáticamente crea directivas
automáticas de JSAM o WSAM para usted. Estas directivas SAM sólo se pueden
ver a través del perfil de recursos web apropiado, no mediante las páginas de
perfil de recursos SAM de la consola de administración. Para obtener más
información, consulte “Definición de una directiva automática de reescritura”
en la página 406.

„ Para obtener consejos sobre la configuración de las aplicaciones PDA a través

de WSAM, consulte “Habilitación de WSAM en PDA” en la página 1036.

Creación de perfiles de recursos de aplicaciones de cliente WSAM

Cuando usted crea un perfil de recursos de aplicación de WSAM, el cliente WSAM
intercepta las peticiones desde las aplicaciones cliente especificadas hacia los
servidores de su red interna.

498 „ Definición de perfiles de recursos: WSAM

 Capítulo 20: Secure Application Manager

Para crear un perfil de recursos de aplicación WSAM:

1. Diríjase a la página Users > Resource Profiles > SAM > Client Applications
en la consola de administración.

2. Haga clic en New Profile.

3. En la lista Type, elija WSAM.

4. De la lista Application, seleccione una de las siguientes opciones:

„ Custom: Cuando selecciona esta opción debe introducir manualmente el

nombre de archivo ejecutable de su aplicación personalizada (por ejemplo,
telnet.exe). Además, puede especificar la ruta del archivo y el hash MD5 del
archivo ejecutable (aunque no se requiere que especifique la ruta exacta al
ejecutable). Si introduce un valor de hash MD5, WSAM verifica que el valor
de la suma de comprobación del ejecutable corresponde a este valor. Si el
valor no corresponde, WSAM notifica al usuario que la identidad de la
aplicación no se pudo verificar y no reenvía conexiones de la aplicación
al IVE.

„ Lotus Notes: Cuando selecciona esta opción, WSAM intermedia tráfico

desde la aplicación cliente de Lotus Notes.

„ Microsoft Outlook: Cuando selecciona esta opción, WSAM intermedia

tráfico desde la aplicación Microsoft Outlook.

„ NetBIOS file browsing: Cuando selecciona esta opción, WSAM intercepta

consultas de nombre NetBIOS en los controladores TDI del puerto 137.

„ Citrix: Cuando selecciona esta opción, WSAM intermedia tráfico desde

aplicaciones Citrix.

NOTA: Sólo puede utilizar WSAM para configurar acceso a una aplicación estándar
una vez por rol de usuario. Por ejemplo, puede activar una configuración de
Microsoft Outlook y una configuración de Lotus Notes para el rol “Usuarios”.

NOTA: El IVE admite varios mecanismos para intermediar tráfico a las aplicaciones
de Lotus Notes, Microsoft Outlook y Citrix. Para obtener más información,
consulte:

„ “Plantillas de Lotus iNotes” en la página 371

„ “Plantillas de Microsoft OWA” en la página 375

„ “Comparación de los mecanismos de acceso del IVE para la configuración de

Citrix” en la página 362

5. Introduzca un nombre único y una descripción opcional para el perfil de

recursos. El IVE muestra esta información en la sección Client Application
Sessions de la página de inicio para usuarios finales del IVE.

Definición de perfiles de recursos: WSAM „ 499

 Guía de administración de Secure Access de Juniper Networks

6. En la sección Autopolicy: SAM Access Control, cree una directiva que permita
o deniegue a los usuarios tener acceso al servidor que hospeda la aplicación
especificada.

a. En caso de no estar habilitado, seleccione la casilla de verificación

Autopolicy: SAM Access Control.

b. En el campo Resource, especifique el servidor de aplicaciones al que se

aplica esta directiva. Puede especificar el servidor como un nombre de host
o par de máscara de red/IP. También puede incluir un puerto.

c. En la lista Action, seleccione Allow para permitir el acceso al servidor

especificado o Deny para bloquear el acceso al servidor especificado.

d. Haga clic en Add.

7. Haga clic en Save and Continue.

8. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.

Los roles seleccionados heredan la directiva automática creada por el perfil de

recursos. Si aún no está habilitado, el IVE habilita automáticamente la opción
SAM en la página Users > User Roles > Seleccionar rol > General >
Overview de la consola de administración para todos los otros roles que
seleccione.

9. Haga clic en Save Changes.

Creación de perfiles de recursos de red de destino de WSAM

Cuando se crea un perfil de recursos de red de destino de WSAM, el cliente WSAM
intercepta peticiones desde los procesos que se ejecutan en el cliente hasta los
hosts internos.

Para crear un perfil de recursos de red de destino de WSAM:

1. Diríjase a la página Users > Resource Profiles > SAM > WSAM Destinations
en la consola de administración.

2. Haga clic en New Profile.

3. Introduzca un nombre único y una descripción opcional para el perfil

de recursos.

4. En la sección WSAM Destinations, especifique para qué servidores desea

garantizar la seguridad con WSAM y haga clic en Add. Puede especificar los
servidores como nombres de host o pares de máscara de red/IP. También puede
incluir un puerto. Para obtener información sobre las variables y atributos del
sistema que puede usar en este campo, consulte “Uso de variables del sistema
en territorios, roles y directivas de recursos” en la página 1054.

5. Seleccione la casilla de verificación Create an access control policy allowing

SAM access to this server para permitir el acceso al servidor especificado en el
paso anterior (habilitado De forma predeterminada).

500 „ Definición de perfiles de recursos: WSAM

 Capítulo 20: Secure Application Manager

6. Haga clic en Save and Continue.

7. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.

Los roles seleccionados heredan la directiva automática creada por el perfil

de recursos. Si aún no está habilitado, el IVE habilita automáticamente la
opción SAM en la página Users > User Roles > Seleccionar rol > General >
Overview de la consola de administración para todas las otras funciones
que seleccione.

8. Haga clic en Save Changes.

Definición de los ajustes de rol: WSAM

Esta sección contiene la siguiente información sobre la configuración de ajustes
a nivel de rol para WSAM:

„ “Especificación de aplicaciones y servidores para proteger con WSAM” en la

página 501

„ “Especificación de aplicaciones que necesitan evitar WSAM” en la página 504

„ “Especificación de opciones WSAM a nivel de rol” en la página 506

„ “Descarga de aplicaciones WSAM” en la página 507

Especificación de aplicaciones y servidores para proteger con WSAM

NOTA: La información de esta sección se proporciona para fines de compatibilidad
con versiones anteriores. Recomendamos que garantice la seguridad del tráfico
con perfiles de recursos de WSAM, ya que estos proporcionan un método de
configuración más simple y unificado. Para obtener más información, consulte
“Definición de perfiles de recursos: WSAM” en la página 498.

Use la ficha Applications para especificar aplicaciones y servidores para los cuales
WSAM otorgue seguridad de tráfico. Cuando WSAM se descarga a un PC cliente,
éste contiene la información que se configura en la ficha Applications para el rol.
Después de que un usuario inicia Secure Application Manager, WSAM intercepta las
peticiones desde las aplicaciones cliente a los servidores de su red interna y las
peticiones desde los procesos que se ejecutan en el cliente hasta los hosts internos.
Estos recursos se definen en la ficha Applications mediante la configuración de
dos listas:

„ Lista WSAM supported applications: Esta lista contiene aplicaciones a las

cuales usted que WSAM proporcione un tráfico de cliente/servidor seguro entre
el cliente y el IVE.

„ Lista WSAM allowed servers: Esta lista contiene hosts a los cuales desea
que WSAM proporcione un tráfico de cliente/servidor seguro entre el cliente
y el IVE.

Definición de los ajustes de rol: WSAM „ 501

 Guía de administración de Secure Access de Juniper Networks

Especificación de aplicaciones para proteger con WSAM

Para especificar aplicaciones a las cuales WSAM debe proporcionar tráfico de
cliente/servidor seguro entre el cliente y el IVE:

1. En la consola de administración, elija Users > User Roles > Seleccionar rol >
SAM > Applications.

2. Haga clic en Add Application.

3. Introduzca el nombre de la aplicación y, opcionalmente, una descripción.

Esta información se muestra en la sección Client Application Sessions de la
página de inicio para usuarios finales del IVE.

4. De la lista Type, seleccione una de las opciones siguientes:

„ Standard: Si selecciona esta opción, elija una de las siguientes aplicaciones

de la sección Application Parameters.

‰ Citrix: Cuando selecciona esta opción, WSAM intermedia tráfico desde

aplicaciones Citrix.

‰ Lotus Notes: Cuando selecciona esta opción, WSAM intermedia tráfico

desde la aplicación cliente de Lotus Notes.

‰ Microsoft Outlook/Exchange: Cuando selecciona esta opción, WSAM

intermedia tráfico desde la aplicación Microsoft Outlook.

NOTA: El IVE admite varios mecanismos para intermediar tráfico a las aplicaciones
de Lotus Notes, Microsoft Outlook y Citrix. Para obtener más información,
consulte:

„ “Plantillas de Lotus iNotes” en la página 371

„ “Plantillas de Microsoft OWA” en la página 375

„ “Comparación de los mecanismos de acceso del IVE para la configuración de

Citrix” en la página 362

‰ NetBIOS file browsing: Cuando selecciona esta opción, WSAM

intercepta consultas de nombre NetBIOS en los controladores TDI del
puerto 137.

NOTA: Tenga en cuenta que con el fin de acceder a recursos compartidos usando
WSAM con NetBIOS, necesita especificar explícitamente el nombre de NetBIOS
del servidor (cadena alfanumérica de hasta 15 caracteres) en dos lugares: en la
página Add Server y en una directiva de recursos de SAM. (Actualmente los
comodines no son compatibles). También puede activar la opción Auto-allow
application servers de la ficha SAM > Options y luego el IVE crea
automáticamente una directiva de recursos de SAM que permite acceder a
este servidor.

502 „ Definición de los ajustes de rol: WSAM

 Capítulo 20: Secure Application Manager

„ Custom: Seleccione esta opción para especificar una aplicación

cliente/servidor personalizada. Después:

i. En el campo Filename, especifique el nombre del archivo ejecutable

del archivo.

ii. También es posible especificar la ruta del archivo y el hash MD5 del
archivo ejecutable. Si introduce un valor de hash MD5, WSAM verifica
que el valor de la suma de comprobación del ejecutable corresponde a
este valor. Si el valor no corresponde, WSAM notifica al usuario que la
identidad de la aplicación no se pudo verificar y no reenvía conexiones
de la aplicación al IVE.

5. Haga clic en Save Changes o en Save + New.

6. Configure una directiva de recursos WSAM para especificar a qué recursos

empresariales (según la combinación de dirección IP/puerto) el IVE puede
enviar la aplicación.

Especificación de los servidores para proteger con WSAM

Para especificar servidores para los cuales WSAM proporcione tráfico de
cliente/servidor seguro entre el cliente y el IVE:

1. En la consola de administración, elija Users > User Roles > Seleccionar rol >
SAM > Applications.

2. Haga clic en Add Server.

3. Introduzca el nombre del servidor y, opcionalmente, una descripción.

4. Especifique el nombre de host del servidor (se aceptan los comodines “*” o “?”)
o un par IP/máscara de red. Especifique varios puertos para un host como
entradas separadas. Para obtener información sobre las variables y atributos
del sistema que puede usar en este campo, consulte “Uso de variables del
sistema en territorios, roles y directivas de recursos” en la página 1054.

5. Haga clic en Save Changes o en Save + New.

6. Configure una directiva de recursos WSAM para especificar a qué recursos de la

empresa (según la combinación de dirección IP/puerto) el IVE puede enviar una
petición de servidor.

También puede activar la opción Auto-allow application servers de la ficha

SAM > Options y luego el IVE crea automáticamente una directiva de recursos
de SAM que permite acceder al servidor especificado. Tenga en cuenta que
necesita activar esta opción antes de especificar la aplicación o servidor, de lo
contrario, necesitará crear una directiva de recursos SAM.

Definición de los ajustes de rol: WSAM „ 503

 Guía de administración de Secure Access de Juniper Networks

Especificación de aplicaciones que necesitan evitar WSAM

El cliente WSAM viene configurado previamente con una lista de aplicaciones
“passthrough” que evitan el WSAM. El cliente WSAM no brinda seguridad a estas
aplicaciones. Además de evitar estas aplicaciones predefinidas, también puede
especificar aplicaciones adicionales en el servidor del IVE que deben evitar
el WSAM.

NOTA: WSAM no pasa por alto aplicaciones en Pocket PC y otros dispositivos

de mano.

Esta sección contiene la siguiente información acerca de las aplicaciones que

evitan WSAM:

„ “Especificación de aplicaciones que se pasan por alto” en la página 504

„ “Aplicaciones que se pasan por alto de forma predeterminada” en la

página 504

Especificación de aplicaciones que se pasan por alto

Use la ficha Applications para especificar aplicaciones del servidor del IVE para las
cuales WSAM no otorgue seguridad de tráfico. Estas aplicaciones “passthrough”
evitan el WSAM.

Para especificar aplicaciones a las cuales WSAM otorgue seguridad:

1. En la consola de administración, elija Users > User Roles > Seleccionar rol >
SAM > Applications.

2. Seleccione el botón Add Bypass Application. Aparecerá la página New Bypass

Application.

3. Coloque el nombre de la aplicación y proporcione una descripción (opcional).

4. Proporcione el nombre del archivo (necesario).

5. Introduzca la ruta absoluta a la aplicación (opcional).

6. Seleccione Save Changes para agregar a la lista la aplicación que se pasa por
alto o Save + New para guardar la aplicación que se pasa por alto y crear otra
aplicación que se pasa por alto.

Aplicaciones que se pasan por alto de forma predeterminada

El cliente WSAM está configurado previamente para pasar por alto el procesamiento
de WSAM en las siguientes aplicaciones:

„ apache.exe

„ apache*

„ licadmin.exe

„ vni.exe

504 „ Definición de los ajustes de rol: WSAM

 Capítulo 20: Secure Application Manager

„ lmgrd.exe

„ TNSLSNR.EXE

„ ORACLE.EXE

„ Agntsrvc.exe

„ ONRSD.EXE

„ Pagntsrv.exe

„ ENCSVC.EXE

„ Agntsvc.exe

„ sqlplus.exe

„ sqlplusw.exe

„ EiSQLW.exe

„ Sqlservr.exe

„ Sqlmangr.exe

„ inetinfo.EXE

„ svchost.exe

„ LSASS.EXE

„ CSRSS.EXE

„ WINLOGON.EXE

„ SERVICES.EXE

„ spoolsv.exe

„ hostex32.exe

„ xstart.exe

„ idsd.exe

„ dsTermServ.exe

„ dsCitrixProxy.exe

„ dsNcService.exe

„ dsNetworkConnect.exe

Definición de los ajustes de rol: WSAM „ 505

 Guía de administración de Secure Access de Juniper Networks

Especificación de opciones WSAM a nivel de rol

Para especificar las opciones WSAM a nivel de rol:

1. En la consola de administración, elija Users > User Roles > Seleccionar rol >
SAM > Options.

2. Si aún no está activada, seleccione la opción Windows SAM en el principio de

la página.

3. En Secure Application Manager options, configure las siguientes opciones:

„ Auto-launch Secure Application Manager: Si activa esta opción, el IVE

inicia automáticamente Secure Application Manager cuando un usuario
inicia sesión. Si no selecciona esta opción, los usuarios deben iniciar
manualmente Secure Application Manager desde la sección Client
Applications Sessions de la página de inicio para usuarios finales del IVE.

NOTA: Aunque configure Secure Application Manager para que se inicie

automáticamente cuando los usuarios inicien sesión en el IVE, los usuarios
pueden sobrescribir este ajuste a través de la página Preferences > Applications
de la consola de usuario final del IVE. Si usted o el usuario final desactiva el inicio
automático de WSAM, los usuarios necesitan iniciar manualmente Secure
Application Manager haciendo clic en este vínculo en la página de inicio del IVE.

„ Auto-allow application servers: Si activa esta opción, el IVE crea

automáticamente una directiva de recursos SAM que permite acceder
al servidor especificado en la aplicación WSAM y las listas de servidor.

NOTA: Es posible que no vea la opción Auto-allow si está utilizando una

instalación nueva o si el administrador oculta la opción. Para obtener más
información sobre esta opción, consulte “Ajuste de las opciones del sistema”
en la página 722.

4. En Windows SAM Options, configure las siguientes opciones:

„ Auto-uninstall Secure Application Manager: Si activa esta opción el IVE

desinstala Secure Application Manager automáticamente después de que
los usuarios cierran la sesión.

„ Prompt for username and password for intranet sites: Si activa esta
opción, el IVE requiere que los usuarios introduzcan sus credenciales de
inicio de sesión antes de conectarse a los sitios de su red interna. Esta
opción cambia el ajuste de zona de intranet de Internet Explorer, de tal
manera que este programa solicita al usuario las credenciales de inicio de
sesión en red siempre que éste desea acceder a un sitio de intranet.

506 „ Definición de los ajustes de rol: WSAM

 Capítulo 20: Secure Application Manager

„ Auto-upgrade Secure Application Manager: Si activa esta opción, el IVE

automáticamente descarga Secure Application Manager en un equipo
cliente, cuando la versión de Secure Application Manager en el IVE es más
reciente que la versión instalada en el cliente. Si selecciona esta opción,
tenga en cuenta lo siguiente:

‰ El usuario debe tener privilegios de administrador para que el IVE

instale automáticamente Secure Application Manager en el cliente.

‰ Si un usuario desinstala Secure Application Manager y luego inicia

sesión en un IVE para el cual la opción Auto-upgrade Secure
Application Manager no está activada, el usuario ya no tendrá acceso
a Secure Application Manager.

„ Session start script and Session end script: Si desea ejecutar un lote,
aplicación o archivo de servicio Win32 cuando la sesión de WSAM
comienza o finaliza, introduzca el nombre y la ruta para el archivo. Por
ejemplo, si desea finalizar una aplicación y luego reiniciarla, puede usar
PSKILL.exe (una utilidad de terceros que finaliza los procesos en los
sistemas locales o remotos).

NOTA: Si activa la opción Session start script o Session end script, tenga en
cuenta lo siguiente:

„ Debe instalar el archivo especificado en los equipos de los usuarios finales

o especificar una ruta en un directorio de red accesible.

„ Para asegurar que el IVE pueda localizar un archivo en diferentes plataformas,

puede usar variables de Windows, por ejemplo, en una ruta como
%WINDIR%\system32\log.

„ El archivo debe invocar al iniciador de WSAM con las opciones de línea de

comandos apropiadas, tal como se describe en “Uso del iniciador de WSAM”
en la página 510.

5. Haga clic en Save Changes.

Descarga de aplicaciones WSAM

Para descargar aplicaciones de Secure Application Manager para Windows, vaya a la
ficha Maintenance > System > Installers. Para obtener más información sobre
aplicaciones WSAM, consulte “Descarga de los instaladores de aplicaciones” en la
página 724.

Definición de los ajustes de rol: WSAM „ 507

 Guía de administración de Secure Access de Juniper Networks

Definición de directivas de recursos: WSAM

Esta sección contiene las siguientes instrucciones para configurar las directivas de
recursos de WSAM.

„ “Especificación de los servidores de aplicaciones a los cuales los usuarios

pueden tener acceso” en la página 508

„ “Especificación de opciones WSAM a nivel de recurso” en la página 510

Especificación de los servidores de aplicaciones a los cuales los usuarios pueden

tener acceso
NOTA: La información de esta sección se proporciona para fines de compatibilidad
con versiones anteriores. Recomendamos que garantice la seguridad del tráfico
con perfiles de recursos de WSAM, ya que estos proporcionan un método de
configuración más simple y unificado. Para obtener más información, consulte
“Definición de directivas de recursos: WSAM” en la página 508.

Cuando habilita la característica de acceso de Secure Application Manager para

un rol, debe crear directivas de recursos que especifiquen los servidores de
aplicaciones a los que puede obtener acceso un usuario. Estas directivas se aplican
a la versión Java y a la versión Windows de Secure Application Manager (JSAM y
WSAM respectivamente). Cuando un usuario realiza una solicitud a un servidor de
aplicaciones, el IVE evalúa estas directivas de recursos de SAM. Si el IVE hace
coincidir una petición de un usuario con un recurso que aparece en una directiva de
SAM, el IVE realiza la acción especificada para el recurso.

Al escribir una directiva de recurso de SAM, deberá proporcionar información clave:

„ Recursos: Una directiva de recursos debe especificar uno o más recursos en los
que se aplica la directiva. Al escribir una directiva de SAM, debe especificar los
servidores de aplicaciones a los que un usuario se puede conectar.

„ Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evalúa estas directivas que corresponden a la solicitud. Las
directivas de recursos de SAM se aplican a las solicitudes de los usuarios
realizadas a través de la versión JSAM o WSAM.

„ Acciones: Una directiva de recursos de Secure Application Manager permite

o rechaza el acceso a un servidor de aplicaciones.

Puede crear directivas de recursos mediante la interfaz estándar (según se describe

en esta sección) o mediante los perfiles de recursos (método recomendado).

El motor de la plataforma del IVE que evalúa las directivas de recursos requiere que
los recursos que aparecen en la lista de Resources de una directiva sigan un
formato canónico, como se explica en “Especificación de los recursos para una
directiva de recursos” en la página 103.

508 „ Definición de directivas de recursos: WSAM

 Capítulo 20: Secure Application Manager

Para escribir una directiva de recursos de Secure Application Manager:

1. En la consola de administración, elija Users > Resource Policies >

SAM > Access.

2. En la página Secure Application Manager Policies, haga clic en New Policy.

3. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

4. En la sección Resources, especifique los servidores de aplicaciones a los que se

aplica esta directiva.

5. En la sección Roles, especifique:

„ Policy applies to ALL roles: Use esta opción para aplicar esta directiva
a todos los usuarios.

„ Policy applies to SELECTED roles: Elija esta opción para aplicar esta
directiva sólo a los usuarios que estén asignados a roles en la lista
Selected roles. Asegúrese de agregar funciones a esta lista desde la lista
Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Elija esta
opción para aplicar esta directiva a todos los usuarios excepto a aquellos a
quienes asigne a los roles en la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

6. En la sección Action, especifique:

„ Allow socket access: Elija esta opción para otorgar acceso a los servidores
de aplicaciones especificados en la lista Resources.

„ Deny socket access: Elija esta opción para denegar acceso a los servidores
de aplicaciones especificados en la lista Resources.

„ Use Detailed Rules: Elija esta opción para especificar una o más reglas
detalladas para esta directiva. Para obtener más información, consulte
“Escritura de una regla detallada” en la página 109.

7. Haga clic en Save Changes.

8. En la página Secure Application Manager Policies, ordene las directivas en el

orden en el que desee que el IVE las evalúe. Tenga presente que una vez que el
IVE compara el recurso solicitado por el usuario con un recurso en una lista
Resource de la directiva (o una regla detallada), realiza la acción especificada
y detiene las directivas de procesamiento.

Definición de directivas de recursos: WSAM „ 509

 Guía de administración de Secure Access de Juniper Networks

Especificación de opciones WSAM a nivel de recurso

Use la ficha Options para especificar la opción de recurso de SAM para comparar
direcciones IP con nombres de host especificados como recursos en las directivas
de recursos de su SAM. Cuando habilita esta opción, el IVE busca las direcciones IP
correspondientes a cada nombre de host especificado en una directiva de recursos
de SAM. Cuando un usuario intenta obtener acceso a un servidor especificando una
dirección IP en lugar de un nombre de host, el IVE compara la IP con su lista en
caché de direcciones IP para determinar si un nombre de host coincide con una IP.
Si coinciden, el IVE acepta la coincidencia como una coincidencia de directiva y
aplica la acción especificada para la directiva de recursos.

Cuando habilita esta opción, el IVE compila una lista de los nombres de host
especificados en el campo Resources de cada directiva de recursos de SAM. El IVE
aplica la opción a su lista integral de nombres de host.

NOTA: Esta opción no se aplica a los nombres de host que incluyen comodines
y parámetros.

Para especificar la opción de recursos de SAM:

1. En la consola de administración, elija Users > Resource Policies > SAM >
Options.

2. Seleccione IP based matching for Hostname based policy resources. Cuando

habilita esta opción, el IVE busca las direcciones IP correspondientes a cada
nombre de host especificado en una directiva de recursos de Secure Application
Manager. Cuando un usuario intenta obtener acceso a un servidor
especificando una dirección IP en lugar de un nombre de host, el IVE compara
la IP con su lista en caché de direcciones IP para determinar si un nombre de
host coincide con una IP. Si coinciden, el IVE acepta la coincidencia como una
coincidencia de directiva y aplica la acción especificada para la directiva
de recursos.

3. Haga clic en Save Changes.

Uso del iniciador de WSAM

El iniciador de WSAM (samlauncher.exe) es una herramienta que conecta a un
usuario al IVE y luego descarga e inicia el WSAM. El iniciador proporciona una
interfaz de línea de comandos que un script o una aplicación pueden llamar. Por
ejemplo, puede escribir una aplicación que llama al ejecutable de WSAM si es
necesario.

Para usar el iniciador de WSAM, necesita:

1. Escriba un script, archivo de lote, servicio o aplicación que llame al iniciador de

WSAM con argumentos de línea de comandos. Será necesario que distribuya
este archivo a cada equipo cliente que lo requiera: Para obtener más
información, consulte “Ejecución manual de scripts” en la página 512 y
“Ejecución automática de scripts” en la página 513.

510 „ Uso del iniciador de WSAM

 Capítulo 20: Secure Application Manager

2. Descargue el iniciador de WSAM desde la página Maintenance > System >

Installers de la consola de administración y luego distribúyalo a los usuarios.

Use los argumentos de la línea de comandos de la Tabla 35 para invocar el iniciador

de WSAM.

Tabla 35: Argumentos de la línea de comandos de WSAM

Argumento Acción
-start Inicia la conexión a WSAM.
-stop Finaliza la conexión a WSAM.
-signout Finaliza la conexión a WSAM y la sesión de usuario del IVE.
-version Muestra información de la versión de WSAM y luego sale de la
aplicación.
-help Muestra los argumentos disponibles.
-noupgrade Cancela la actualización automática del software WSAM.
-reboot Reinicia automáticamente si se lo solicita una actualización. Si
no se establece un flag de reinicio, WSAM sale y no se reinicia
durante una actualización. Asegúrese de establecer el flag de
reinicio si WSAM opera de forma automática en un equipo
remoto.
-u <username> Especifica el nombre de usuario.
-p <password> Especifica la contraseña para autenticación.
-loginscript file Especifica la ubicación y nombre del archivo de script que se
debe ejecutar cuando se inicia WSAM. Este comando tiene
prioridad sobre el archivo de script especificado en la página
Users > User Roles > Seleccionar rol > SAM > Options.
-postscript file Especifica la ubicación y nombre del archivo de script que se
debe ejecutar cuando se sale de WSAM. Este comando tiene
prioridad sobre el archivo de script especificado en la página
Users > User Roles > Seleccionar rol > SAM > Options.
-c <certificate name> Especifica el certificado enviado por el usuario para
autenticación. Tenga en cuenta que el usuario sólo puede usar
esta opción si tiene instalado un certificado SSL válido en el IVE.
Si el IVE utiliza un certificado autofirmado, el usuario debe
importar ese certificado a su explorador.
-u <URL> Especifica la URL de inicio de sesión para el IVE.
-r <realm> Especifica el territorio al cual el IVE envía las credenciales del
usuario.
-verbose Solicita a los usuarios entradas a través de cuadros de diálogo.

La Tabla 36 incluye los posibles códigos que el iniciador de WSAM devuelve al salir.

Tabla 36: Códigos de retorno de la aplicación

Código Descripción
0 Éxito
1 Argumentos no válidos
2 No se pudo conectar

Uso del iniciador de WSAM „ 511

 Guía de administración de Secure Access de Juniper Networks

Tabla 36: Códigos de retorno de la aplicación (continuación)

Código Descripción
3 Credenciales no válidas
4 Rol no especificada (las credenciales se asignan múltiples roles)
5 Error de autenticación previa (no se cargó Host Checker o el limpiador
de caché)
6 La instalación falló
7 Reinicio necesario (si no se especifica “-reboot”)
8 No se puede realizar una actualización de software necesaria
10 El IVE no admite esta característica
12 No se pudo autenticar el certificado del cliente
100 No se pudo detener Secure Application Manager
101 No se puede iniciar Secure Application Manager debido a un conflicto
de software provocado por otro Layered Service Provider

Ejecución manual de scripts

Los usuarios pueden especificar manualmente scripts que ejecutar cuando una
sesión WSAM comienza o termina mediante los siguientes argumentos de línea
de comandos.

NOTA: Si se especifican los scripts que se ejecutarán en la página Users > User
Roles > Seleccionar rol > SAM > Options de la consola de administración,
el script configurado no se ejecuta si un usuario invoca manualmente el WSAM
mediante el iniciador y especifica un script diferente.

Para iniciar manualmente un script después de que comienza una sesión de WSAM:

„ Cuando aparezca el símbolo del sistema, introduzca -loginscript file seguido de

una variable de sistema o nombre y ubicación del archivo de script.

Para iniciar manualmente un script después de que finaliza una sesión de WSAM:

„ Cuando aparezca el símbolo del sistema, introduzca -postscript file seguido de

una variable de sistema y el nombre y ubicación del archivo de script.

NOTA:

„ Encierre con comillas las variables del sistema, las rutas de archivos y los
nombres de archivo

„ Incluya un signo de porcentaje (%) delante y detrás de las variables de

sistema

Por ejemplo:

-loginscript file “%program files:%\Internet Explorer\IEXPLORER.EXE”

512 „ Uso del iniciador de WSAM

 Capítulo 20: Secure Application Manager

Ejecución automática de scripts

Puede ejecutar un script de forma automática cuando WSAM se inicia o se detiene
introduciendo la ruta y el nombre del script en el campo Session start script o el
campo Session end script en la página Users > User Roles > Seleccionar rol >
SAM > Options de la consola de administración, tal como se describe en
“Especificación de opciones WSAM a nivel de rol” en la página 506. Esta sección
incluye un archivo de lote de ejemplo que puede iniciar automáticamente.

Ejemplo de archivo de lote

El siguiente ejemplo demuestra cómo usar el iniciador de WSAM para invocar
WSAM. Este archivo de lote de muestra genera mensajes de error cuando WSAM
se inicia:

SamLauncher –start –url %1 –user %2 –password %3 –realm %4

if errorlevel 1 goto error_invalid_args
if errorlevel 2 goto error_connect
if errorlevel 3 goto error_credentials
if errorlevel 4 goto error_role
if errorlevel 5 goto error_preauth
if errorlevel 6 goto error_install
if errorlevel 7 goto error_reboot

:error_invalid_args
@echo invalid arguments
goto done

:error_connect
@echo could not connect
goto done

:error_credentials
@echo invalid credentials
goto done

:error_role
@echo invalid role
goto done

:error_preauth
@echo pre auth version checking
goto done

:error_install
@echo install failed
goto done

:error_reboot
@echo reboot required
goto done

Uso del iniciador de WSAM „ 513

 Guía de administración de Secure Access de Juniper Networks

:error_success
@echo Secure Application Manager has started
goto done

:done

Win32 API example

CHAR szCmd = “SamLauncher.exe –stop”;
DWORD dwExitCode = 0;
STARTUPINFO si;
PROCESS_INFORMATION pi;
ZeroMemory(&si, sizeof(si));
si.cb = sizeof(si);
ZeroMemory(&pi, sizeof(pi));
if (!CreateProcess(NULL, szCmd, NULL, NULL, FALSE,
0, NULL, NULL, &si, &pi)) {
printf ("CreateProcess(%s) failed %d", szCmd, GetLastError());
return -1;
}
WaitForSingleObject(pi.hProcess, 20000);
GetExitCodeProcess(&pi.hProcess, &dwExitCode);
CloseHandle(pi.hProcess);
CloseHandle(pi.hThread);
printf(“SamLauncher return %d\n”, dwExitCode);
return 0;

NOTA: Si utiliza Windows Vista, abra la ventana de comandos como

administrador: El resultado estándar de SamLauncher.exe no aparece si
un usuario sin privilegios de administrador abre la ventana de comandos.

Resumen de tareas: Configuración de JSAM

Esta sección indica los pasos de configuración de JSAM de alto nivel. Estos pasos no
consideran los de la configuración preliminar del IVE, como especificar la identidad
de la red del IVE o agregar ID de usuario al IVE.

Para configurar JSAM:

1. Cree perfiles de recursos que permitan acceso a aplicaciones de

cliente/servidor, cree directivas automáticas compatibles según sea necesario y
asigne las directivas a los roles de usuario mediante los ajustes de las páginas
Users > Resource Profiles > SAM de la consola de administración. Para
obtener instrucciones, consulte “Definición de perfiles de recursos: JSAM” en la
página 535.

514 „ Resumen de tareas: Configuración de JSAM

 Capítulo 20: Secure Application Manager

Recomendamos que use los perfiles de recursos para configurar JSAM (como
se describe antes). No obstante, si no desea usar los perfiles de recursos, puede
configurar JSAM con los ajustes de la directiva de rol y los recursos de las
siguientes páginas de la consola de administración:

a. Permita el acceso a JSAM a nivel de rol mediante los ajustes de la página

Users > User Roles > Seleccionar rol > General > Overview de la
consola de administración. Para obtener instrucciones, consulte
“Configuración de los roles de usuario” en la página 72.

b. Especifique a qué aplicaciones de cliente/servidor JSAM debe proporcionar

intermediación mediante los ajustes de la página Users > User Roles >
SAM > Applications de la consola de administración. Para obtener
instrucciones, consulte “Especificación de aplicaciones para proteger con
JSAM” en la página 540.

c. Especifique a qué servidores de aplicaciones pueden tener acceso los

usuarios a través de JSAM con los ajustes de la página Users > Resource
Policies > SAM > Access de la consola de administración. Para obtener
instrucciones, consulte “Especificación de los servidores de aplicaciones a
los cuales los usuarios pueden tener acceso” en la página 547.

2. Después de habilitar el acceso a las aplicaciones de cliente/servidor con los

perfiles de recursos o roles y directivas de recursos de JSAM, puede modificar el
rol general y las opciones de recursos en las siguientes páginas de la consola de
administración:

a. (Opcional) Configurar las opciones a nivel de rol, por ejemplo, si el IVE

debe iniciar automáticamente JSAM con los ajustes de la página Users >
User Roles > SAM > Options de la consola de administración. Para
obtener instrucciones, consulte “Especificación de opciones JSAM a nivel
de rol” en la página 543.

b. (Opcional) Controlar la coincidencia del nombre de host basado en IP a

nivel de recursos con los ajustes de la página Users > Resource Policies >
SAM > Access de la consola de administración. Para obtener
instrucciones, consulte “Especificación de los servidores de aplicaciones a
los cuales los usuarios pueden tener acceso” en la página 547.

3. Si desea habilitar o inhabilitar los registros del lado cliente para JSAM, configure
las opciones correspondientes mediante la ficha System > Configuration >
Security > Client-side Logs de la consola de administración. Para obtener
instrucciones, consulte “Habilitación de registros del lado cliente” en la
página 841.

4. Si cuenta con varios dominios internos, como company-a.com and company-

b.com, agregue dominios DNS al IVE mediante los ajustes de la página
System > Network > Overview de la consola de administración, de tal forma
que nombres como app1.company-a.com y app2.company-b.com se resuelvan
correctamente.

Resumen de tareas: Configuración de JSAM „ 515

 Guía de administración de Secure Access de Juniper Networks

5. Si el equipo de un usuario remoto está configurado para usar un proxy Web en

Internet Explorer, configure el equipo cliente para que pase por alto el servidor
proxy cuando el usuario inicie aplicaciones que necesiten conectarse a Secure
Application Manager. Para obtener instrucciones, consulte “Configuración de un
equipo que se conecta al IVE a través de un servidor Web proxy” en la
página 519.

6. Habilite JSAM para asociar direcciones IP de bucle invertido con servidores de

aplicaciones en puertos específicos, ya sea habilitando JSAM para editar el
archivo hosts en los sistemas de sus usuarios (tal como se explica en
“Resolución de nombres de host como Localhost” en la página 524) o mediante
la creación de un DNS externo para enrutar el tráfico de la aplicación cliente al
applet de JSAM (como se explica en “Configuración de servidores DNS externos
y equipos de usuario” en la página 525).

Información general de JSAM

La versión Java de Secure Application Manager admite aplicaciones de
cliente/servidor de puerto TCP estático, e incluye compatibilidad mejorada
para Microsoft MAPI, Lotus Notes y Citrix NFuse. JSAM también proporciona
compatibilidad con NetBIOS, lo que permite a los usuarios asignar unidades
a recursos protegidos especificados.

JSAM funciona bien en muchas configuraciones de red, pero no admite aplicaciones

de cliente/servidor basadas en TCP de puerto dinámico, conexiones iniciadas por
servidor ni tráfico UDP.

Para obtener información acerca de los sistemas operativos, exploradores Web

y JVM en los cuales Juniper Networks admite JSAM, consulte el documento sobre
plataformas admitidas en Juniper Networks Customer Support Center.

Esta sección contiene la siguiente información acerca de JSAM:

„ “Uso de JSAM para comunicaciones cliente/servidor” en la página 517

„ “Compatibilidad con Linux y Macintosh” en la página 526

„ “Compatibilidad con aplicaciones estándar: MS Outlook” en la página 526

„ “Compatibilidad con aplicaciones estándar: Lotus Notes” en la página 528

„ “Compatibilidad con aplicaciones estándar: Citrix Web Interface for MetaFrame

(NFuse Classic)” en la página 530

„ “Compatibilidad con aplicaciones personalizadas: aplicaciones publicadas de

Citrix configuradas desde el cliente nativo” en la página 531

„ “Compatibilidad con aplicaciones personalizadas: Citrix Secure Gateways” en la

página 534

516 „ Información general de JSAM

 Capítulo 20: Secure Application Manager

Uso de JSAM para comunicaciones cliente/servidor

JSAM proporciona reenvío de puerto seguro dirigiendo el tráfico de la aplicación
cliente al applet de JSAM que se ejecuta en un equipo cliente. Para la aplicación
cliente que se ejecuta en el equipo local, JSAM aparece como el servidor de
aplicaciones. Para el servidor de aplicaciones de su red, el IVE aparece como
la aplicación cliente.

El siguiente diagrama ilustra la interacción entre una aplicación cliente y su servidor

a través del IVE. (Esta ilustración supone que el usuario especificó una dirección IP
localhost como el servidor en la aplicación cliente).

Figura 36: Java Secure Application Manager

1. El usuario inicia una aplicación cliente que aparece en la sección Client

Application Sessions de la página de inicio del IVE para usuarios finales1.
La aplicación resuelve el servidor remoto como localhost.

2. La aplicación cliente se conecta a JSAM que se ejecuta en el equipo del usuario

y comienza a enviar peticiones.

3. JSAM encapsula y reenvía todas las peticiones de cliente al IVE sobre SSL.

4. El IVE desencapsula los datos del cliente y los reenvía al servidor de

aplicaciones especificado.

5. El servidor de aplicaciones responde con datos al servidor del IVE.

6. El IVE encapsula y reenvía la respuesta del servidor de aplicaciones al JSAM

sobre SSL.

7. JSAM desencapsula los datos del servidor de aplicaciones y los reenvía a la

aplicación cliente.

1. Sólo sistema operativo Windows 98: si la propiedad “Close on Exit” está desactivada en el cuadro DOS, que se
abre durante el proceso de inicio de JSAM (para ejecutar el proceso “restore.bat”), el cuadro DOS no se cierra
después de que el archivo de lote ha terminado de ejecutarse. El usuario debe cerrar manualmente el cuadro
DOS antes de que el proceso de inicio de JSAM se pueda completar.

Información general de JSAM „ 517

 Guía de administración de Secure Access de Juniper Networks

Un indicador de estado en la ventana de JSAM muestra el estado actual de JSAM. Si

es de color verde, JSAM funciona correctamente. Si es de color rojo, JSAM no puede
enviar ni recibir peticiones desde o hacia el IVE.

NOTA: La ventana de JSAM actualiza el indicador de estado sólo cuando el tráfico

pasa a través de JSAM. Si no pasa tráfico a través de JSAM, el indicador de estado
permanece en su estado actual. Por ejemplo, si existe una interrupción de la red o
si la sesión del usuario caduca, el indicador de estado permanece de color verde
aunque no puede enviar ni recibir peticiones desde o hacia el IVE.

Para obtener más información acerca de cómo se ejecuta JSAM, consulte

“Asignación de direcciones IP de bucle invertido a servidores” en la página 520.

NOTA:

„ Si el equipo de un usuario remoto está configurado para usar un proxy Web en

Internet Explorer, debe configurar el equipo cliente para que evite el servidor
proxy cuando el usuario inicie aplicaciones que necesiten conectarse a Secure
Application Manager. Consulte “Configuración de un equipo que se conecta al
IVE a través de un servidor Web proxy” en la página 519.

„ JSAM asigna de 20 a 30 MB de RAM cuando se ejecuta (la cantidad exacta de

memoria depende de la máquina virtual de Java (JVM) utilizada) y, si la caché
está activada, puede dejar un archivo .jar en el equipo cliente. Para obtener
más información acerca de los archivos que deja JSAM en los equipos cliente,
consulte el manual Client-side Changes Guide en Juniper Networks Customer
Support Center.

„ Los usuarios pueden experimentar problemas mientras esperan que Secure

Application Manager se cargue completamente, si activan bloqueadores de
ventanas emergentes a través de sus exploradores Web. Este problema se
produce debido a que una ventana emergente, que avisa a los usuarios que
acepten el complemento de Secure Application Manager, puede aparecer en
segundo plano (detrás de la ventana del explorador Web) donde los usuarios
no pueden verla.

„ Cuando inicia aplicaciones a través de JSAM, Juniper Networks admite la

configuración de 1200 combinaciones IP/puerto únicas en Windows y Mac
y 800 combinaciones IP/puerto únicas en Linux. Observe que este límite
se basa en combinaciones de IP/puerto, no en aplicaciones (que pueden
escuchar en más de una dirección IP y puerto). Juniper Networks determinó
esos números a través de pruebas en equipos con Windows XP y Windows
2000 que usan ajustes de memoria JRE predeterminados.

518 „ Información general de JSAM

 Capítulo 20: Secure Application Manager

Configuración de un equipo que se conecta al IVE a través de un servidor

Web proxy
Si el equipo de un usuario remoto está configurado para usar un proxy Web en
Internet Explorer, debe configurar el equipo cliente para que evite el servidor proxy
y se comunique con Secure Application Manager.

Para configurar un equipo que se conecta al IVE a través de un proxy Web en

Internet Explorer:

1. En el menú Tools de Internet Explorer, elija Internet Options.

2. El la ficha Connections, haga clic en el botón LAN Settings.

3. Bajo Proxy server, haga clic en el botón Advanced.

4. En Exceptions, introduzca las direcciones para las cuales no desea usar un

servidor proxy. Introduzca todas las direcciones (nombres de host y localhost)
que la aplicación cliente utiliza cuando se conecta a través de Secure
Application Manager. Por ejemplo:

Si su servidor de aplicaciones es app1.company.com, introduzca las siguientes

excepciones:

app1;app1.company.com;127.0.0.1

Si su servidor Exchange es exchange.company.com, introduzca las siguientes

excepciones:

exchange;exchange.company.com;127.0.0.1

NOTA: Los clientes IVE dividen la lista de excepciones proxy de Internet Explorer.
Admitimos la mayoría de las excepciones que admite Internet Explorer, con las
siguientes limitaciones:

„ Para la excepción de la dirección IP, admitimos n.*.*.*, n.n.*.*, n.n.n.*. Por

ejemplo, 10.*.*.*, 10.10.*.*, 10.10.10.* o 10.10.10.10. No admitimos 10*
o 10.*.10.* incluso si Internet Explorer las admite.

„ Para la expresión de cadena, admitimos cadenas específicas, como

my.company.net o un comodín al comienzo de la cadena, por ejemplo,
*.my.company.net o *.company.net. No admitimos *.company.*, *.company*,
*.company.*.com, *.net, *.com, etc.

Información general de JSAM „ 519

 Guía de administración de Secure Access de Juniper Networks

Asignación de direcciones IP de bucle invertido a servidores

Para que JSAM funcione, debe escuchar en direcciones de bucle invertido las
peticiones del cliente a los servidores de aplicaciones de red. El IVE asigna esta
dirección IP de bucle invertido única a cada servidor de aplicaciones que usted
especifica para un puerto determinado. Por ejemplo, si especifica:

app1.mycompany.com, app2.mycompany.com. app3.mycompany.com,...

para un único puerto, el IVE asigna una dirección IP de bucle invertido única a cada
aplicación.

127.0.1.10, 127.0.1.11, 127.0.1.12,...

Cuando el IVE instala JSAM en el equipo de un usuario, JSAM escucha en las

direcciones de bucle invertido (en el puerto de cliente correspondiente, especificado
para el servidor de aplicaciones) las peticiones de cliente a los servidores de
aplicaciones de la red. Puede configurar el IVE para asignar dinámicamente estas
direcciones de bucle invertido o puede configurar direcciones estáticas de bucle
invertido a través de la consola de administración (tal como se explica en “Uso de
direcciones estáticas de bucle invertido” en la página 521).

Debe habilitar estas asociaciones entre las direcciones IP de bucle invertido y los
servidores de aplicaciones en un puerto específico de una de las siguientes
maneras:

„ Permita que el IVE edite el archivo hosts en el sistema del cliente con
asignaciones IP de bucle invertido. El IVE hace una copia del archivo hosts
actual y luego crea un archivo hosts nuevo con las asignaciones IP de bucle
invertido. Cuando el usuario termina la sesión, el IVE borra el archivo hosts
nuevo y restaura el archivo hosts original.

Si el sistema cliente se apaga inesperadamente, el archivo hosts aún dirige al

cliente a direcciones de bucle invertido para conexiones exteriores. Los ajustes
del archivo host se restablecen a su estado original cuando se reinicia el sistema
cliente.

Los usuarios deben tener los privilegios adecuados en sus equipos para que el
IVE edite el archivo hosts. Para obtener más información, consulte “Resolución
de nombres de host como Localhost” en la página 524.

„ Cree un DNS externo para enrutar el tráfico de la aplicación cliente al applet de

JSAM. Para obtener más información, consulte “Configuración de servidores
DNS externos y equipos de usuario” en la página 525.

Para obtener más información sobre direcciones de bucle invertido, consulte:

„ “Uso de direcciones estáticas de bucle invertido” en la página 521

„ “Determinación de la dirección de bucle invertido asignada al IVE” en la

página 522

„ “Consideraciones de la dirección IP de bucle invertido al combinar roles” en la

página 523

520 „ Información general de JSAM

 Capítulo 20: Secure Application Manager

Uso de direcciones estáticas de bucle invertido

Usar un servidor DNS externo con direcciones dinámicas de bucle invertido
requiere de un administrador que actualice los ajustes DNS cada vez que cambia
la configuración de la aplicación JSAM. Por otro lado, configurar un servidor DNS
externo con direcciones estáticas de bucle invertido proporciona a los
administradores el grado más alto de control de configuración.

Por ejemplo, considere las siguientes asignaciones IP de bucle invertido:

app1.mycompany.com - 127.0.1.10
app2.mycompany.com - 127.0.1.11
app3.mycompany.com - 127.0.1.12

Si configura un servidor DNS externo con asignaciones de dirección dinámica de

bucle invertido y elimina el primer servidor de aplicaciones, las asignaciones de
direcciones cambian:

app2.mycompany.com - 127.0.1.10
app3.mycompany.com - 127.0.1.11

Con direcciones IP estáticas de bucle invertido en un DNS externo, la eliminación

del primer servidor de aplicaciones no afecta a las asignaciones IP de bucle
invertido para el resto de los servidores de aplicaciones:

app2.mycompany.com - 127.0.1.11
app3.mycompany.com - 127.0.1.12

Puede asignar direcciones IP estáticas de bucle invertido cuando crea un perfil de

recursos personalizado de JSAM a través de la página Users > Resource Profiles >
SAM > Client Applications de la consola de administración cuando habilita
aplicaciones JSAM a través de la página Users > User Roles > Seleccionar rol >
SAM > Applications de la consola de administración.

Si asigna una dirección IP de bucle invertido mientras crea una nueva aplicación,
el IVE verifica la dirección para ver si existen conflictos con las otras aplicaciones
configuradas en el mismo rol. Si otra aplicación utiliza la misma dirección, el IVE
muestra un mensaje de error que indica que se introdujo otra dirección IP.

NOTA: Las direcciones IP estáticas de bucle invertido sólo se aplican a servidores

de aplicaciones configurados por un administrador. El IVE asigna direcciones IP
dinámicas de bucle invertido para servidores de aplicaciones definidos por el
usuario. Si el administrador no asigna una dirección IP de bucle invertido a un
servidor de aplicaciones, el IVE asigna una dirección dinámica.

Información general de JSAM „ 521

 Guía de administración de Secure Access de Juniper Networks

Determinación de la dirección de bucle invertido asignada al IVE

Los usuarios no pueden modificar el servidor DNS corporativo para las aplicaciones
que agreguen para reenvío de puerto. Si permite a los usuarios especificar
aplicaciones para que JSAM envíe a través de proxy, los usuarios necesitan
configurar una aplicación cliente para usar la dirección localhost asignada por
el IVE donde ellos acostumbran introducir el nombre de host del servidor.

El panel Details de la ventana del explorador de JSAM muestra la dirección IP de

bucle invertido asignada por el IVE junto con el puerto especificado por el usuario.
Para determinar qué dirección IP asigna el IVE a una aplicación especificada a
través de la página Client Applications IVE, el usuario debe reiniciar Secure
Application Manager después de agregar la aplicación. La dirección de bucle
invertido asignada a la aplicación aparece en el panel Details de la ventana del
explorador de Secure Application Manager, tal como se muestra en la Figura 37.

Figura 37: Panel de detalles de Java Secure Application Manager (JSAM)

En la aplicación cliente, el usuario necesita introducir la dirección de bucle invertido

asignada al IVE como el servidor de aplicaciones. Por ejemplo, si un usuario desea
tener acceso al servidor telnet detrás de su cortafuegos corporativo, el usuario
necesita seguir estos pasos:

1. En la sección Client Application Sessions de la página de inicio para usuarios

finales del IVE, haga clic en el icono Item Properties y luego haga clic en Add
Application.

2. En la página Add Application, especifique:

„ El nombre de dominio completo del servidor o dirección IP en el campo

Remote Server, como terminalserver.juniper.com.

„ El puerto en el cual JSAM debe escuchar el tráfico del cliente al servidor en

el campo Client Port, tal como 3389.

„ El puerto en el cual el servidor remoto debe escuchar el tráfico de la

aplicación cliente (JSAM) en el campo Server Port, tal como 3389.

3. Haga clic en Add para guardar la información.

522 „ Información general de JSAM

 Capítulo 20: Secure Application Manager

4. Cierre la ventana del explorador de Secure Application Manager.

5. En la sección Client Application Sessions de la página de inicio para usuarios

finales del IVE, haga clic en Start para reiniciar Secure Application Manager

6. En la ventana del explorador de Secure Application Manager, haga clic

en Details.

7. En la ficha Details, mire a qué dirección de bucle invertido el IVE asignó al

servidor remoto, como 127.0.1.18.

8. En la aplicación cliente, como Remote Desktop Connection, especifique la

dirección de bucle invertido en el campo de configuración del servidor. Este
campo aparece en diferentes lugares para distintas aplicaciones. Los usuarios
pueden introducir esta información a través de un asistente de configuración
u otro diálogo de configuración.

Consideraciones de la dirección IP de bucle invertido al combinar roles

Si planea combinar dos o más roles, puede encontrar conflictos de dirección IP de
bucle invertido. Piense en los siguientes factores cuando combine roles:

„ Si dos o más roles se asignan a la misma aplicación y cada asignación contiene

una dirección IP estática de bucle invertido diferente, todas las direcciones IP
de bucle invertido permanecen invariables.

„ Si dos o más roles se asignan a la misma aplicación y sólo un rol utiliza una
dirección IP estática de bucle invertido, JSAM utiliza sólo la dirección IP estática
de bucle invertido y se vincula sólo a un socket definido estáticamente en el
cliente.

„ Si uno o más roles se asignan a la misma aplicación con direcciones IP

dinámicas de bucle invertido, sólo se utiliza una dirección IP dinámica de bucle
invertido. El oyente de la aplicación se vincula a sólo un socket asignado
dinámicamente en el cliente.

„ Si utiliza el mismo nombre de host en varios roles, use la misma dirección IP

estática de bucle invertido o direcciones dinámicas para todas las aplicaciones.

„ Si utiliza diferentes nombres de host asociados a la misma dirección de bucle

invertido y combinación de puerto, JSAM no puede distinguir entre los dos
diferentes hosts en el back-end y, por lo tanto, no puede dirigir con precisión el
tráfico IP asociado a esos hosts.

Información general de JSAM „ 523

 Guía de administración de Secure Access de Juniper Networks

Resolución de nombres de host como Localhost

Para que JSAM intermedie tráfico correctamente, una aplicación cliente en el equipo
del usuario necesita resolver el servidor de aplicación como localhost de cliente.
Este proceso permite que JSAM capture y reenvíe de forma segura los datos
destinados al servidor de aplicaciones a través del IVE. JSAM puede realizar
asignaciones de host automáticas, en las cuales edita el archivo de hosts del equipo
cliente, para asignar servidores de aplicaciones a localhost. (Puede habilitar la
asignación de host automática a través de la página Users > User Roles >
Seleccionar rol > SAM > Options de la consola de administración.)

Con el fin de que JSAM edite el archivo hosts del usuario, éste debe tener la
autoridad apropiada en el equipo cliente:

„ Los usuarios de Windows que utilizan el sistema de archivos FAT pueden

pertenecer a cualquier grupo de usuarios. Sin embargo, para compatibilidad
con Exchange MAPI, los usuarios deben tener al menos privilegios de usuario
avanzado en sus equipos.

„ Los usuarios de Windows que utilizan el sistema de archivos NTFS deben

tener privilegios de administrador en sus equipos.

„ Los usuarios de Linux (RedHat) deben iniciar el explorador que iniciará JSAM
como root.

„ Los usuarios de Macintosh deben suministrar la contraseña de administrador

cuando lo solicite JSAM.

Si los usuarios no tienen los privilegios adecuados en sus equipos, JSAM no puede
editar automáticamente el archivo hosts, evitando la resolución de nombre en
localhost.

Las alternativas para los usuarios que no tienen los privilegios adecuados son:

„ Configure su servidor DNS externo para resolver los servidores de aplicaciones

como localhost. Si configura su servidor DNS externo para usar una dirección
localhost en lugar del nombre de host del servidor de aplicaciones, los usuarios
remotos necesitan configurar el orden en que sus equipos buscan servidores
DNS para comenzar con los DNS corporativos. Para obtener más información,
consulte “Configuración de servidores DNS externos y equipos de usuario” en
la página 525.

„ Reduzca los permisos en el directorio etc y el archivo etc\hosts para permitir

que JSAM realice las modificaciones necesarias.

„ Los usuarios configuran una aplicación cliente para usar la dirección localhost
asignada por el IVE donde generalmente especifican el nombre de host del
servidor de aplicaciones en la aplicación cliente. Para obtener más información,
consulte “Determinación de la dirección de bucle invertido asignada al IVE” en
la página 522.

524 „ Información general de JSAM

 Capítulo 20: Secure Application Manager

Configuración de servidores DNS externos y equipos de usuario

Las aplicaciones cliente deben resolver los nombres de host de servidor como
JSAM, que envía datos a través de proxy entre un cliente y un servidor. En los
equipos con Windows, los nombres de host de servidor se almacenan en el archivo
hosts. Para interceptar datos con JSAM, los nombres de servidor en el archivo hosts
necesitan resolverse como el equipo local (localhost) de manera que el IVE pueda
intermediar el tráfico. El proceso recomendado para asignar servidores de
aplicaciones al equipo local de un usuario es habilitar la opción de asignación
automática de host, que permite que el IVE modifique automáticamente el archivo
de hosts del equipo para apuntar servidores de aplicaciones al localhost para
reenvío de puerto seguro.

Sin embargo, para que el IVE realice una asignación de host automática, los
usuarios de equipos deben tener los privilegios apropiados en sus equipos (tal como
se explica en “Resolución de nombres de host como Localhost” en la página 524).
Si los usuarios de los equipos no tienen estos privilegios, debe asegurarse de que los
nombres del servidor de aplicaciones interno se resuelven externamente como
localhost de un equipo mediante la adición de entradas en su servidor DNS externo
que apunta a Internet tales como:

127.0.0.1 app1.company-a.com
127.0.0.1 app2.company-b.com
127.0.0.1 exchange1.company-a.com
127.0.0.1 exchange1.company-b.com

Si la aplicación cliente utiliza un nombre no completo para el servidor de

aplicaciones, los usuarios necesitan especificar los sufijos del DNS, de manera que
el equipo pueda adjuntar el sufijo y comunicarse con su servidor DNS externo para
resolución del nombre. Por ejemplo, un cliente MS Outlook generalmente tiene un
nombre no completo para un servidor MS Exchange. Para que el nombre completo
se resuelva como 127.0.0.1, los usuarios necesitan especificar los sufijos DNS
apropiados en sus equipos. Agregar nombres de dominio no afecta a otras
operaciones en el equipo, incluido el uso de la aplicación cliente dentro de la
empresa.

Para configurar el equipo de un usuario con sufijos DNS (Windows 2000):

1. En el menú Start de Windows, elija Settings > Network and Dial-up

Connections > Local Area Connection y luego Properties.

2. Seleccione Internet Protocol (TCP/IP) y haga clic en Properties.

3. Haga clic en la ficha Advanced y luego en DNS.

4. Haga clic en Append these DNS suffixes y luego en Add.

5. Agregue sus dominios internos de la empresa como sufijos DNS adicionales.

Para obtener información acerca de configurar su servidor DNS externo con

direcciones estáticas de bucle invertido, consulte “Uso de direcciones estáticas de
bucle invertido” en la página 521.

Información general de JSAM „ 525

 Guía de administración de Secure Access de Juniper Networks

Compatibilidad con Linux y Macintosh

Los usuarios de Linux no tienen acceso a los puertos bajo 1024 a menos que hayan
iniciado sesión en sus equipos como root. Los usuarios de Macintosh no tienen
acceso a los puertos bajo 1024 a menos que suministren la contraseña de
administrador cuando JSAM la solicite. Para admitir aplicaciones que se ejecutan
en puertos privilegiados (puertos bajo 1024), como una aplicación telnet:

„ Los usuarios pueden iniciar el explorador que iniciará JSAM como root.

„ Usted o el usuario pueden especificar un número de puerto de cliente igual

o mayor que el puerto 1024 cuando habilita las aplicaciones cliente.

Por ejemplo, si usted especifica 2041 para el puerto cliente y 23 para el

puerto del servidor para una aplicación telnet, el comando para ejecutar
la aplicación es:

telnet loopbackIP 2041

donde loopbackIP es la dirección IP del bucle invertido asignada al servidor de

aplicaciones por el IVE. JSAM escucha en el puerto 2041 el tráfico desde la
aplicación telnet y lo reenvía al IVE. El IVE reenvía el tráfico al puerto 23 en el
servidor de destino. Para obtener información acerca de la determinación de la
dirección de bucle invertido asignada al IVE, consulte “Determinación de la
dirección de bucle invertido asignada al IVE” en la página 522.

NOTA: Debido al diseño del código Sun JVM, los usuarios de Macintosh no pueden
volver a iniciar JSAM en la misma sesión de usuario de Safari. Con el fin de volver
a iniciar JSAM, el usuario debe salir de Safari y luego volver a iniciar JSAM.

Compatibilidad con aplicaciones estándar: MS Outlook

Los usuarios remotos pueden usar el cliente Microsoft Outlook de sus equipos para
tener acceso al correo electrónico, sus calendarios y otras características de Outlook
a través del IVE. Las versiones de MS Outlook actualmente admitidas son MS
Outlook 2000 y MS Outlook 2002. Esta capacidad no requiere cambios en el cliente
Outlook y no requiere una conexión de capa de red, como VPN.

NOTA: Consulte el documento sobre plataformas admitidas en Juniper Networks

Customer Support Center para obtener detalles sobre la compatibilidad y
dependencias del sistema operativo. Consulte el manual Client-side Changes Guide
para obtener detalles acerca de los cambios de registro realizados por JSAM.

Observe también que el IVE no admite Outlook a través de SVW, puesto que las
aplicaciones de Outlook requieren cambios en la clave de registro de HKLM. Para
obtener más información, consulte “Habilitación de Secure Virtual Workspace” en
la página 321.

526 „ Información general de JSAM

 Capítulo 20: Secure Application Manager

Con el fin de que esta característica funcione con los usuarios remotos, los ajustes
de red del equipo del usuario deben resolver el nombre de los servidores Exchange
incorporados en el cliente Outlook como el equipo local (127.0.0.1, la dirección IP
localhost predeterminada). Recomendamos que configure el IVE para resolver
automáticamente los nombres de host de servidor Exchange como localhost
actualizando temporalmente el archivo hosts en un equipo cliente a través de la
opción de asignación de host automática.

Comunicación cliente/servidor mediante JSAM

El siguiente diagrama describe las interacciones entre el cliente Outlook y un
servidor Exchange a través del IVE. La imagen supone que el IVE está configurado
para realizar asignación de host automática.

Figura 38: Java Secure Application Manager y compatibilidad mejorada con MS

Exchange

La Figura 38 muestra el IVE configurado para utilizar asignación de host automática

para el cliente MS Outlook.

1. El usuario inicia el cliente MS Outlook. Outlook trata de comunicarse con

Exchange Server exchange1.yourcompany.com. El IVE resuelve el nombre de
host de Exchange Server como 127.0.0.1 (localhost) a través de cambios
temporales en el archivo hosts.

2. Outlook se conecta a Secure Application Manager, que se ejecuta en el equipo

del usuario, y luego comienza a enviar peticiones de correo electrónico.

3. Secure Application Manager encapsula y reenvía todas las peticiones desde el

cliente Outlook hasta el IVE sobre SSL.

4. El IVE desencapsula los datos del cliente y revisa la petición MAPI para
encontrar el Exchange Server de destino. La petición luego se reenvía al
servidor de destino.

Información general de JSAM „ 527

 Guía de administración de Secure Access de Juniper Networks

5. Cada petición en el protocolo MAPI codifica al servidor de destino para la

petición. Cuando la petición MAPI llega desde Secure Application Manager,
el servidor del IVE revisa cada una de ellas y las envía al servidor de destino
correspondiente. Este proceso funciona de forma transparente aunque existan
múltiples Exchange Servers.

6. El Exchange Server responde al IVE con datos de correo electrónico.

7. El IVE encapsula y reenvía la respuesta desde el Exchange Server hasta Secure

Application Manager sobre SSL.

8. Secure Application Manager desencapsula la información enviada desde el

IVE y reenvía la respuesta MAPI normal desde el Exchange Server al cliente
Outlook.

Compatibilidad con aplicaciones estándar: Lotus Notes

Los usuarios remotos pueden usar el cliente de Lotus Notes en sus equipos para
tener acceso al correo electrónico, sus calendarios y otras características a través
del IVE. Esta capacidad no requiere una conexión de capa de red, como una VPN.

NOTA: Consulte el documento sobre plataformas admitidas en Juniper Networks

Customer Support Center para obtener detalles sobre la compatibilidad y
dependencias del sistema operativo.

Comunicación cliente/servidor mediante JSAM

Para que esta característica funcione con los usuarios remotos, es necesario que se
configure el cliente de Lotus Notes para que utilice "localhost" como su ajuste de
ubicación (es decir, su ajuste de Home Location, Remote Location o Travel
Location). Posteriormente, Secure Application Manager recogerá las conexiones
solicitadas por el cliente de Lotus Notes. El siguiente diagrama describe las
interacciones entre el cliente de Lotus Notes y un servidor de Lotus Notes a través
del IVE.

Figura 39: Java Secure Application Manager y compatibilidad mejorada con Lotus Notes

La Figura 39 muestra el valor de ubicación del cliente de Lotus Notes que se

configurará en localhost.

528 „ Información general de JSAM

 Capítulo 20: Secure Application Manager

1. El usuario inicia el cliente de Lotus Notes con el ajuste de ubicación. El cliente

usa el ajuste de proxy de Túnel HTTP para este ajuste de ubicación. Observe
que debe configurar el ajuste de proxy del Túnel HTTP para usar localhost
(o 127.0.0.1) como la dirección proxy y 1352 como el puerto proxy.

2. El cliente de Lotus Notes se conecta a Secure Application Manager y comienza

a enviar peticiones para correo electrónico.

3. Secure Application Manager encapsula y reenvía las peticiones desde el cliente

de Lotus Notes hasta el IVE sobre SSL.

4. El IVE desencapsula los datos del cliente y revisa la petición de Lotus Notes para
encontrar el servidor de Lotus Notes de destino. La petición luego se reenvía al
servidor de destino.

Cada petición que se incluye en el protocolo de Lotus Notes codifica el servidor

de destino de la petición en cuestión. Cuando la petición de Lotus Notes llega
desde el proxy de la aplicación, el servidor del IVE obtiene la información del
servidor de destino desde las peticiones y las envía al servidor de destino
correspondiente. Así, esta característica funciona de forma transparente
aunque existan múltiples servidores de Lotus Notes a los que tenga acceso un
único usuario. Observe que se deben crear ACL de JSAM en el IVE que permitan
el acceso a estos servidores de destino.

5. El servidor de Lotus Notes responde con datos de correo electrónico al IVE.

6. El IVE encapsula y reenvía la respuesta desde el servidor de Lotus Notes hasta

Secure Application Manager sobre SSL.

7. Secure Application Manager desencapsula la información enviada desde el IVE

y reenvía la respuesta normal desde el servidor de Lotus Notes al cliente de
Lotus Notes.

Configuración del cliente de Lotus Notes

Antes de que un usuario remoto pueda conectarse desde Lotus Notes a un servidor
de Lotus Notes a través del IVE, el usuario debe editar el cliente de Lotus Notes para
establecer un campo proxy de documento de ubicación en el puerto localhost del
equipo. El documento de ubicación editado debe ser el que se utiliza para el acceso
remoto, por ejemplo, el ajuste de Ubicación remota o Ubicación de viaje. Configurar
el campo proxy en el puerto localhost del equipo permite al IVE conectarse a varios
servidores de Lotus Notes, incluidos aquellos configurados como servidores pass-
through.

Debe utilizar la siguiente configuración en esos casos:

„ JSAM está configurado para usar Lotus Notes como una aplicación estándar.

„ El cliente de Lotus Notes puede conectarse a varios servidores de Lotus Notes.

Para configurar un cliente de Lotus Notes para su uso con el IVE:

1. En el cliente de Lotus Notes, seleccione File > Mobile > Locations.

2. Seleccione la ubicación utilizada para acceso remoto y luego haga clic en

Edit Location.

Información general de JSAM „ 529

 Guía de administración de Secure Access de Juniper Networks

3. El la ficha Basics, haga clic en el icono Proxy.

4. En el cuadro Proxy Server Configuration, introduzca lo siguiente en el campo

HTTP Tunnel: 127.0.0.1:1352

5. Haga clic en OK.

Compatibilidad con aplicaciones estándar: Citrix Web Interface for MetaFrame

(NFuse Classic)
Los usuarios remotos pueden utilizar el servidor de Citrix Web Interface for
MetaFrame para tener acceso a una variedad de aplicaciones a través del IVE. Este
proceso no requiere ninguna modificación de los permisos de usuario en el cliente.

Después de que un usuario explora un servidor Citrix Web Interface for MetaFrame
y selecciona una aplicación, el servidor envía un archivo ICA al cliente. Cuando el
IVE reescribe el archivo ICA, éste reemplaza los nombres de host y las direcciones
IP con direcciones IP de bucle invertido previamente proporcionadas. A
continuación, el cliente ICA envía peticiones de la aplicación a una de las
direcciones IP de bucle invertido. Secure Application Manager encapsula los datos
y los envía al IVE. El IVE desencapsula los datos y los envía al servidor MetaFrame
a través del puerto 1494 o 2598 (dependiendo del cliente).

NOTA:

„ El IVE admite varios mecanismos para la intermediación de tráfico entre un

servidor y cliente Citrix, incluyendo Terminal Services, JSAM, WSAM, Network
Connect y las características de applets de Java hospedados. Para determinar
qué mecanismo funciona mejor con su entorno, consulte “Comparación de
los mecanismos de acceso del IVE para la configuración de Citrix” en la
página 362.

„ JSAM no se inicia automáticamente cuando las Aplicaciones incorporadas

se configuran en “Auto” en la consola de Citrix Web Interface for MetaFrame.
En estos casos, recomendamos que configure JSAM para que se inicie
automáticamente después de que el usuario inicie sesión en el IVE. De lo
contrario, lo usuarios deben iniciar JSAM manualmente antes de usar Citrix
Web Interface for MetaFrame.

„ Si un usuario trata de utilizar la característica de descubrimiento del servidor y

luego trata de utilizar el descubrimiento de la aplicación, se produce un error
en el proceso de descubrimiento de aplicación. Para solucionar esta situación
específica, apague y reinicie el entorno del programa Citrix.

„ El IVE sirve como una alternativa para implementar Citrix Secure

Gateway (CSG).

„ Para usar el modo applet del cliente Java, asegúrese de habilitar la

compatibilidad con el applet de Java en la página Users > User Roles >
Seleccionar rol > Web > Options de la consola de administración.

„ Si establece el ajuste del Protocolo de red en el cliente del entorno del

programa Citrix en TCP/IP, el IVE no admitirá la aplicación a través de JSAM,
puesto que el ajuste TCP/IP produce tráfico UDP.

530 „ Información general de JSAM

 Capítulo 20: Secure Application Manager

Compatibilidad con aplicaciones personalizadas: aplicaciones publicadas de Citrix

configuradas desde el cliente nativo
Cuando habilita aplicaciones publicadas de Citrix en el cliente nativo de Citrix a
través del IVE, debe completar los pasos que se indican en las siguientes secciones.

1. “Especificación de las aplicaciones personalizadas en JSAM para reenvío de

puerto” en la página 531

2. “Configuración del Servidor Citrix Metaframe para aplicaciones publicadas” en

la página 532

3. “Configuración del cliente de Citrix para aplicaciones publicadas” en la

página 533

NOTA:

„ Estas instrucciones suponen que usted no está utilizando Citrix Web Interface
for Citrix Presentation Server (antes conocido como servidor NFuse). Para
obtener información acerca de servidores de presentación, consulte
“Compatibilidad con aplicaciones estándar: Citrix Web Interface for
MetaFrame (NFuse Classic)” en la página 530.

„ Estas instrucciones no abarcan cómo configurar la opción de aplicación Citrix

estándar. (Para obtener instrucciones para la aplicación Citrix estándar, use los
ajustes de la página Users > Resource Profiles > Web > Web
Applications/Pages de la consola de administración). Puede habilitar la
aplicación Citrix estándar y la aplicación Citrix personalizada, estos ajustes no
se afectarán entre sí.

„ El IVE admite varios mecanismos para la intermediación de tráfico entre un

servidor y cliente Citrix, incluyendo Terminal Services, JSAM, WSAM, Network
Connect y las características de applets de Java hospedados. Para determinar
qué mecanismo funciona mejor con su entorno, consulte “Comparación de
los mecanismos de acceso del IVE para la configuración de Citrix” en la
página 362.

Especificación de las aplicaciones personalizadas en JSAM para reenvío

de puerto
Cuando configure JSAM para trabajar con aplicaciones publicadas, debe abrir dos
puertos: el puerto 80 y el 1494. Cada puerto abierto crea una conexión a través de
JSAM hacia el servidor Citrix Metaframe.

Información general de JSAM „ 531

 Guía de administración de Secure Access de Juniper Networks

Para especificar aplicaciones publicadas para que JSAM realice el reenvío de puerto:

1. Agregue la aplicación personalizada a través de JSAM mediante las

instrucciones que aparecen en “Definición de perfiles de recursos: JSAM” en la
página 535. Cuando agregue la aplicación personalizada, recuerde la siguiente
configuración:

„ Server name: Para aplicaciones publicadas, debe introducir el nombre DNS

completo del servidor Metaframe, no su dirección IP.

„ Server port: Para aplicaciones publicadas, introduzca 80 y 1494. (Cree una

entrada para el puerto 80 y otra para el puerto 1494.) Si tiene varios
servidores Metaframe, debe configurarlos todos en los mismos puertos.

„ Client port: Para aplicaciones publicadas, introduzca 80 y 1494. (Cree una

entrada para el puerto 80 y otra para el puerto 1494.)

2. Si cuenta con varios dominios internos, como company-a.com and company-

b.com, agregue dominios DNS al IVE mediante los ajustes de la página
System > Network > Overview de la consola de administración, de tal forma
que nombres como app1.company-a.com y app2.company-b.com se resuelvan
correctamente.

3. Si el equipo de un usuario remoto está configurado para usar un proxy Web en

Internet Explorer, configure el equipo cliente para que evite el servidor proxy
cuando el usuario inicie aplicaciones que necesiten conectarse a Secure
Application Manager. Para obtener instrucciones, consulte “Configuración de un
equipo que se conecta al IVE a través de un servidor Web proxy” en la
página 519.

4. Habilite JSAM para asociar direcciones IP de bucle invertido con servidores de

aplicaciones en puertos específicos, ya sea habilitando JSAM para editar el
archivo hosts en los sistemas de sus usuarios (tal como se explica en
“Resolución de nombres de host como Localhost” en la página 524) o mediante
la creación de un DNS externo para enrutar el tráfico de la aplicación cliente al
applet de JSAM (como se explica en “Configuración de servidores DNS externos
y equipos de usuario” en la página 525).

Configuración del Servidor Citrix Metaframe para aplicaciones publicadas

Al habilitar aplicaciones publicadas de Citrix a través del IVE, debe habilitar
la resolución de la dirección DNS del servicio XML en el servidor metaframe.
Las siguientes instrucciones describen cómo hacerlo en Metaframe XP.

Para configurar el servidor Citrix MetaFrame para que funcione con el IVE:

1. Abra la consola de administración de Citrix.

2. Haga clic con el botón derecho en el nombre de su granja de servidores y luego

en Properties.

3. Seleccione la ficha MetaFrame Settings.

4. Seleccione la casilla de verificación Enable XML Service DNS address

resolution.

5. Haga clic en OK.

532 „ Información general de JSAM

 Capítulo 20: Secure Application Manager

Configuración del cliente de Citrix para aplicaciones publicadas

Al habilitar aplicaciones publicadas de Citrix a través del IVE, debe crear una
conexión ICA en cada cliente de Citrix mediante las instrucciones que aparecen
a continuación.

Para configurar el cliente de Citrix para que funcione con el IVE:

1. Abra el entorno del programa Citrix y elija la opción Add ICA Connection.

2. En el asistente Add New ICA Connection, seleccione el tipo de conexión que

su equipo usa para comunicarse.

3. En la pantalla siguiente:

a. Introduzca una descripción de la nueva Conexión ICA.

b. Seleccione TCP/IP + HTTP como el protocolo de red.

c. Seleccione Published Application.

d. Haga clic en Server Location y luego:

i. Anule la selección de la casilla de verificación Use Default.

ii. Haga clic en el cuadro de diálogo Add in the Locate Server or

Published Application.

iii. Confirme que HTTP/HTTPS está seleccionado en la lista Network

Protocol.

iv. Introduzca el DNS del servidor metaframe en el cuadro de diálogo Add

Server Location Address.

v. Introduzca 80 en el campo del puerto.

vi. Haga clic en OK en el cuadro de diálogo Add Server Location Address

y el cuadro de diálogo Locate Server or Published Application.

a. Seleccione una aplicación en la lista Published Application.

4. Introduzca la información solicitada en las otras pantallas del asistente.

Información general de JSAM „ 533

 Guía de administración de Secure Access de Juniper Networks

Compatibilidad con aplicaciones personalizadas: Citrix Secure Gateways

Al habilitar Citrix Secure Gateways (CSG) a través del IVE, debe completar los pasos
indicados en las siguientes secciones:

1. Desactive Citrix NFuse como aplicación estándar a través de la página Users >
Resource Profiles > Web > Web Applications/Pages de la consola de
administración.

NOTA:

„ No puede activar la aplicación estándar de Citrix NFuse y las aplicaciones

personalizadas de Citrix Secure Gateways (CSGs) a través de JSAM en el
mismo IVE.

„ El IVE admite varios mecanismos para la intermediación de tráfico entre un

servidor y cliente Citrix, incluyendo Terminal Services, JSAM, WSAM, Network
Connect y las características de applets de Java hospedados. Para determinar
qué mecanismo funciona mejor con su entorno, consulte “Comparación de
los mecanismos de acceso del IVE para la configuración de Citrix” en la
página 362.

2. Especifique las aplicaciones para que JSAM realice reenvío de puerto agregando
una aplicación personalizada a través de JSAM. Utilice las instrucciones de la
sección “Definición de perfiles de recursos: JSAM” en la página 535. Cuando
agregue la aplicación personalizada, recuerde la siguiente configuración:

„ Server name: Para CSG, debe introducir el nombre DNS completo del
servidor de puerta de enlace segura de Citrix, no su dirección IP.

„ Server port: Para CSG, introduzca 443. Si tiene varios servidores de puerta
de enlace segura de Citrix, debe configurarlos todos en el mismo puerto.

„ Client port: Para CSG, introduzca 443. (Cree una entrada para el puerto 80
y otra para el puerto 443).

3. Si cuenta con varios dominios internos, como company-a.com and company-

b.com, agregue dominios DNS al IVE mediante los ajustes de la página
System > Network > Overview de la consola de administración, de tal forma
que nombres como app1.company-a.com y app2.company-b.com se resuelvan
correctamente.

4. Si el equipo de un usuario remoto está configurado para usar un proxy Web en

Internet Explorer, configure el equipo cliente para que evite el servidor proxy
cuando el usuario inicie aplicaciones que necesiten conectarse a Secure
Application Manager. Para obtener instrucciones, consulte “Configuración de un
equipo que se conecta al IVE a través de un servidor Web proxy” en la
página 519.

534 „ Información general de JSAM

 Capítulo 20: Secure Application Manager

5. Habilite JSAM para asociar direcciones IP de bucle invertido con servidores de

aplicaciones en puertos específicos, ya sea habilitando JSAM para editar el
archivo hosts en los sistemas de sus usuarios (tal como se explica en
“Resolución de nombres de host como Localhost” en la página 524) o mediante
la creación de un DNS externo para enrutar el tráfico de la aplicación cliente al
applet de JSAM (como se explica en “Configuración de servidores DNS externos
y equipos de usuario” en la página 525).

6. Configure su Citrix Secure Gateway y confirme que funciona en su escritorio.

7. Agregue un marcador a la página de inicio del IVE para los usuarios finales que
lleve a la lista de servidores de puerta de enlace segura de Citrix y use la
característica de reescritura selectiva del IVE para desactivar la reescritura para
la dirección URL.

Si no desea crear un marcador a través del IVE, sólo indique a los usuarios que
obtengan acceso a la URL desde la barra de direcciones del explorador Web en
lugar de usar la barra de direcciones del IVE.

Definición de perfiles de recursos: JSAM

Los perfiles de recursos de JSAM configuran a JSAM para asegurar el tráfico hacia
una aplicación cliente/servidor. Cuando usted crea un perfil de recursos de
aplicación de JSAM, el cliente de JSAM encapsula el tráfico de red, generado por las
aplicaciones cliente especificadas, hacia los servidores de su red interna.

Para obtener más información sobre los perfiles de recursos, consulte “Perfiles de
recursos” en la página 91. Para obtener más información sobre JSAM, consulte
“Información general de JSAM” en la página 516.

NOTA: Cuando cree perfiles de recursos de JSAM, tenga en cuenta que los perfiles
de recursos no contienen marcadores. Por lo tanto, los usuarios finales no verán
un vínculo para la aplicación configurada en la interfaz de usuario final. Para tener
acceso a las aplicaciones y servidores que JSAM intermedia, los usuarios primero
deben iniciar JSAM y luego iniciar la aplicación especificada con los métodos
estándar (como el menú Start de Windows o un icono de escritorio). Para obtener
información acerca del inicio automático de JSAM cuando el usuario inicia sesión
en el IVE, consulte “Especificación de opciones JSAM a nivel de rol” en la
página 543.

Observe además que cuando usted habilita JSAM o WSAM a través de directivas
automáticas de reescritura para perfiles de recursos web, el IVE crea
automáticamente directivas automáticas de JSAM o WSAM para usted. Estas
directivas SAM sólo se pueden ver a través del perfil de recursos web apropiado,
no mediante las páginas de perfil de recursos SAM de la consola de
administración. Para obtener más información, consulte “Definición de una
directiva automática de reescritura” en la página 406.

Definición de perfiles de recursos: JSAM „ 535

 Guía de administración de Secure Access de Juniper Networks

Para crear un perfil de recursos de aplicación JSAM:

1. Diríjase a la página Users > Resource Profiles > SAM > Client Applications
en la consola de administración.

2. Haga clic en New Profile.

3. En la lista Type, elija JSAM.

4. De la lista Application, seleccione una de las opciones siguientes:

„ Custom: Seleccione esta opción para intermediar tráfico a una aplicación

personalizada. Después:

i. En el campo Server name, introduzca el nombre o la dirección IP del

servidor remoto. Si está usando asignación de host automática,
introduzca el servidor tal como lo conoce la aplicación. Si introduce
una dirección IP, observe que los usuarios finales deben conectarse a
JSAM con esa dirección IP con el fin de conectarse a un servidor
especificado. Para obtener información sobre las variables y atributos
del sistema que puede usar en este campo, consulte “Uso de variables
del sistema en territorios, roles y directivas de recursos” en la
página 1054.

ii. En el campo Server Port, introduzca el puerto en el que el servidor

remoto escucha las conexiones de cliente. Por ejemplo, para reenviar el
tráfico Telnet de un equipo remoto, especifique el puerto 23 tanto para
el puerto del cliente (en el que escucha JSAM) como para el puerto del
servidor (en el que escucha el servidor Telnet).

NOTA: Para desactivar el cambio de registro realizado por JSAM y restaurar la copia
original del archivo etc/hosts, los usuarios deben desinstalar el cliente JSAM
mediante los ajustes de la página Preferences > Applications de la consola de
usuario final. Para reactivar el cambio, es necesario reiniciar.

También puede utilizar el script de ajustes de restauración del sistema. Sin

embargo, ese script no puede restaurar el archivo de hosts correctamente si usted
inicia sesión como un usuario distinto del que originalmente inició JSAM.

536 „ Definición de perfiles de recursos: JSAM

 Capítulo 20: Secure Application Manager

iii. En el campo Client Loopback IP, proporcione una dirección estática de

bucle invertido. Si no proporciona una dirección IP de bucle invertido
estática, el IVE asigna de forma dinámica una dirección IP de bucle
invertido. Para obtener más información acerca de las direcciones de
bucle invertido estáticas, consulte “Asignación de direcciones IP de
bucle invertido a servidores” en la página 520.

NOTA:

„ Cuando configure un DNS externo, no use direcciones IP de bucle invertido

en el rango de 127.0.2.x porque el IVE reserva las direcciones IP de bucle
invertido de ese rango para usarlas con Citrix NFuse.

„ Si desea modificar una dirección estática de bucle invertido para un servidor

de aplicaciones JSAM configurado en varios puertos, debe eliminar todas las
aplicaciones relacionadas con este servidor de aplicaciones y reintroducir
estas aplicaciones con la nueva dirección estática de bucle invertido.

iv. En el campo Client Port, introduzca el puerto en el que JSAM debe

escuchar las conexiones de la aplicación del cliente. Generalmente,
el valor del puerto local es el mismo que el del puerto del servidor;
el valor del puerto local habitualmente sólo es diferente para usuarios
no raíz de Linux o Macintosh, que desean agregar aplicaciones para
reenvío de puerto que usan puertos bajo 1024.

Puede configurar más de una aplicación en un puerto, como

app1.mycompany.com, app2.mycompany.com, app3.mycompany.com.
Puede asignar una dirección de bucle invertido estática o el IVE puede
asignar una dirección de bucle invertido dinámica (127.0.1.10,
127.0.1.11, 127.0.1.12) para cada aplicación. JSAM luego escucha en
estas múltiples direcciones de bucle invertido en el puerto
especificado. Por ejemplo, cuando hay tráfico en 127.0.1.12 en el
puerto especificado, el IVE reenvía el tráfico al host de destino
app3.mycompany.com.

v. Haga clic en Add.

vi. Seleccione la casilla de verificación Allow JSAM to dynamically select

an available port if the specified client port is in use si JSAM está
escuchando varios host en el mismo puerto y desea que JSAM
seleccione un puerto disponible cuando el puerto de cliente que usted
especificó está ocupado. La aplicación cliente debe permitirle
especificar el número de puerto para la conexión con el fin de utilizar
esta opción.

vii. Seleccione la casilla de verificación Create an access control policy

allowing SAM access to these servers para permitir el acceso a la lista
de servidores especificada en la columna Server (habilitada de forma
predeterminada).

Definición de perfiles de recursos: JSAM „ 537

 Guía de administración de Secure Access de Juniper Networks

„ Lotus Notes: Seleccione esta opción para intermediar tráfico desde la

aplicación cliente de Lotus Notes, tal como se explica en “Compatibilidad
con aplicaciones estándar: Lotus Notes” en la página 528. A continuación,
en la sección Autopolicy: SAM Access Control, cree una directiva que
permita o deniegue el acceso de los usuarios al servidor de Lotus Notes:

i. En caso de no estar habilitado, seleccione la casilla de verificación

Autopolicy: SAM Access Control.

ii. En el campo Resource, especifique el servidor de aplicaciones al que

se aplica esta directiva. Puede especificar el servidor como un nombre
de host completo o par de máscara de red/IP. Por ejemplo, si el nombre
de host completo es notes1.yourcompany.com, agregue
notes1.yourcompany.com y notes1 al campo Resource.

iii. En la lista Action, seleccione Allow para permitir el acceso al servidor

especificado o Deny para bloquear el acceso al servidor especificado.

iv. Haga clic en Add.

NOTA:

„ Si selecciona la opción Lotus Notes o configura el cliente de Lotus Notes para

que se conecte a varios servidores de Lotus Notes, debe configurar el cliente
de Lotus Notes apropiadamente para que funcione con el IVE. Para obtener
instrucciones, consulte “Configuración del cliente de Lotus Notes” en la
página 529.

„ Sólo puede utilizar JSAM para configurar acceso a una aplicación Lotus Notes
por rol de usuario.

„ Microsoft Outlook: Seleccione esta opción para intermediar tráfico desde

la aplicación Microsoft Outlook, tal como se explica en “Compatibilidad
con aplicaciones estándar: MS Outlook” en la página 526. Después:

i. Introduzca el nombre de host para cada servidor MS Exchange en

el campo Servers. Por ejemplo, si el nombre de host completo es
exchange1.yourcompany.com, agregue exchange1.yourcompany.com
al campo Servers. Para obtener información sobre las variables y
atributos del sistema que puede usar en este campo, consulte “Uso de
variables del sistema en territorios, roles y directivas de recursos” en la
página 1054.

NOTA:

„ Debe introducir el nombre completo de los servidores en este campo, puesto

que el IVE crea asignaciones directas uno a uno entre los servidores que se
introducen aquí y las direcciones IP del archivo etc/hosts. Para obtener más
información acerca de los cambios de registro realizados por JSAM, consulte el
manual Client-side Changes Guide en Juniper Networks Customer Support
Center.

„ El IVE no admite Outlook a través de SVW, puesto que las aplicaciones de

Outlook requieren cambios en la clave de registro de HKLM. Para obtener más
información, consulte “Habilitación de Secure Virtual Workspace” en la
página 321.

538 „ Definición de perfiles de recursos: JSAM

 Capítulo 20: Secure Application Manager

ii. Seleccione la casilla de verificación Create an access control policy

allowing SAM access to this server para permitir el acceso al servidor
especificado en el paso anterior (habilitado de manera
predeterminada).

NOTA: Sólo puede utilizar JSAM para configurar acceso a una aplicación Microsoft
Outlook por rol de usuario.

„ NetBIOS file browsing: Seleccione esta opción para encapsular tráfico de

NetBIOS a través de JSAM. Después:

i. Introduzca el nombre de host completo para sus servidores de

aplicaciones en el campo Servers.

NOTA:

„ Debe introducir el nombre completo de los servidores en este campo, puesto

que el IVE crea asignaciones directas uno a uno entre los servidores que se
introducen aquí y las direcciones IP del archivo etc/hosts. Para obtener más
información acerca de los cambios de registro realizados por JSAM, consulte el
manual Client-side Changes Guide en Juniper Networks Customer Support
Center.

„ Si desea habilitar la asignación de unidades en un equipo cliente Windows,

use la opción de exploración de archivo NetBIOS estándar. Cuando lo hace,
JSAM modifica automáticamente el registro para inhabilitar el puerto 445 en
los equipos con Windows XP, lo que obliga a Windows XP a usar el puerto
137, 138 o 139 para asignación de unidades. Los usuarios de Windows XP
necesitan reiniciar una vez para permitir que el cambio de registro surta
efecto.

ii. Seleccione la casilla de verificación Create an access control policy

allowing SAM access to this server para permitir el acceso al servidor
especificado en el paso anterior (habilitado de manera
predeterminada).

NOTA:

„ Sólo puede usar JSAM para configurar la exploración del archivo NetBIOS una
vez por rol de usuario.

„ El IVE no admite exploración de archivo NetBIOS a través de SVW, puesto que

NetBIOS requiere cambios en la clave de registro de HKLM. Para obtener más
información, consulte “Habilitación de Secure Virtual Workspace” en la
página 321.

5. Introduzca un nombre único y una descripción opcional para el perfil de

recursos. El IVE muestra esta información en la sección Client Application
Sessions de la página de inicio para usuarios finales del IVE.

6. Haga clic en Save and Continue.

Definición de perfiles de recursos: JSAM „ 539

 Guía de administración de Secure Access de Juniper Networks

7. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.

Los roles seleccionados heredan la directiva automática creada por el perfil de

recursos. Si aún no está habilitado, el IVE habilita automáticamente la opción
SAM en la página Users > User Roles > Seleccionar rol > General >
Overview de la consola de administración para todos los otros roles que
seleccione.

8. Haga clic en Save Changes.

Definición de los ajustes de rol: JSAM

Esta sección contiene la siguiente información sobre la configuración de ajustes
a nivel de rol para JSAM:

„ “Especificación de aplicaciones para proteger con JSAM” en la página 540

„ “Especificación de opciones JSAM a nivel de rol” en la página 543

Especificación de aplicaciones para proteger con JSAM

NOTA: La información de esta sección se proporciona para fines de compatibilidad
con versiones anteriores. Recomendamos que garantice la seguridad del tráfico
con perfiles de recursos de JSAM, ya que estos proporcionan un método de
configuración más simple y unificado. Para obtener más información, consulte
“Definición de perfiles de recursos: JSAM” en la página 535.

Use la ficha Applications para especificar las aplicaciones para las cuales JSAM
otorga seguridad de tráfico. Observe que para que JSAM funcione, la aplicación
cliente necesita conectarse al equipo local en que JSAM se ejecuta como el servidor
de aplicaciones.

Para especificar aplicaciones a las cuales JSAM otorgue seguridad:

1. En la consola de administración, elija Users > User Roles > Seleccionar rol >
SAM > Applications.

2. Seleccione Add Application.

3. Introduzca el nombre de la aplicación y, opcionalmente, una descripción. Esta

información se muestra en la sección Client Application Sessions de la página
de inicio para usuarios finales del IVE.

540 „ Definición de los ajustes de rol: JSAM

 Capítulo 20: Secure Application Manager

4. Elija:

„ Standard application: Seleccione Citrix NFuse, Lotus Notes o Microsoft

Outlook/Exchange.

NOTA:

„ El IVE no admite que las aplicaciones JSAM estándar Outlook y NetBIOS

busquen archivos a través de SVW, ya que esas aplicaciones requieren
cambios en la clave de registro. Sin embargo, el IVE admite las aplicaciones
JSAM estándar Citrix y Lotus Notes a través de SVW. Para obtener más
información, consulte “Habilitación de Secure Virtual Workspace” en la
página 321.

„ Si selecciona la opción Lotus Notes o configura el cliente de Lotus Notes para

que se conecte a varios servidores de Lotus Notes, debe configurar el cliente
de Lotus Notes apropiadamente para que funcione con el IVE. Para obtener
instrucciones, consulte “Configuración del cliente de Lotus Notes” en la
página 529.

„ El IVE admite varios mecanismos para intermediar tráfico a las aplicaciones

de Lotus Notes, Microsoft Outlook y Citrix. Para obtener más información,
consulte:

„ “Plantillas de Lotus iNotes” en la página 371

„ “Plantillas de Microsoft OWA” en la página 375

„ “Comparación de los mecanismos de acceso del IVE para la configuración

de Citrix” en la página 362

„ Custom application—

i. En el campo Server name, introduzca el nombre DNS del servidor o la

dirección IP del servidor. Si introduce el nombre DNS, introduzca el
nombre del servidor remoto tal como lo conoce la aplicación si usted
está usando asignación de host automática. Para obtener información
sobre las variables y atributos del sistema que puede usar en este
campo, consulte “Uso de variables del sistema en territorios, roles y
directivas de recursos” en la página 1054.

ii. En el campo Server Name, escriba:

iii. En el campo Server Port, introduzca el puerto en el que el servidor

remoto escucha las conexiones de cliente.

Por ejemplo, para reenviar el tráfico Telnet de un equipo remoto,

especifique el puerto 23 tanto para el puerto del cliente (en el que
escucha JSAM) como para el puerto del servidor (en el que escucha el
servidor Telnet).

Definición de los ajustes de rol: JSAM „ 541

 Guía de administración de Secure Access de Juniper Networks

NOTA: Para desactivar el cambio de registro realizado por JSAM y restaurar la copia
original del archivo etc/hosts, los usuarios deben desinstalar el cliente JSAM
mediante los ajustes de la página Preferences > Applications de la consola de
usuario final. Para reactivar el cambio, es necesario reiniciar.

También puede utilizar el script de ajustes de restauración del sistema. Sin

embargo, ese script no puede restaurar el archivo de hosts correctamente si usted
inicia sesión como un usuario distinto del que originalmente inició JSAM.

iv. En el campo Client Loopback IP, proporcione una dirección de bucle

invertido estática. Si no proporciona una dirección IP de bucle
invertido estática, el IVE asigna de forma dinámica una dirección IP
de bucle invertido. Para obtener más información acerca de las
direcciones de bucle invertido estáticas, consulte “Asignación de
direcciones IP de bucle invertido a servidores” en la página 520.

NOTA:

„ Cuando configure un DNS externo, no use direcciones IP de bucle

invertido en el rango de 127.0.2.x porque el IVE reserva las direcciones IP
de bucle invertido de ese rango para usarlas con Citrix NFuse.

„ Si desea modificar una dirección estática de bucle invertido para un

servidor de aplicaciones JSAM configurado en varios puertos, debe
eliminar todas las aplicaciones relacionadas con este servidor de
aplicaciones y reintroducir estas aplicaciones con la nueva dirección
estática de bucle invertido.

v. En el campo Client Port, introduzca el puerto en el que JSAM debe

escuchar las conexiones de la aplicación del cliente.

Generalmente, el valor del puerto local es el mismo que el del puerto

del servidor; el valor del puerto local habitualmente sólo es diferente
para usuarios no raíz de Linux o Macintosh, que desean agregar
aplicaciones para reenvío de puerto que usan puertos bajo 1024.

Puede configurar más de una aplicación en un puerto, como

app1.mycompany.com, app2.mycompany.com, app3.mycompany.com.
Puede asignar una dirección de bucle invertido estática o el IVE puede
asignar una dirección de bucle invertido dinámica (127.0.1.10,
127.0.1.11, 127.0.1.12) para cada aplicación. JSAM luego escucha en
estas múltiples direcciones de bucle invertido en el puerto
especificado. Por ejemplo, cuando hay tráfico en 127.0.1.12 en el
puerto especificado, el IVE reenvía el tráfico al host de destino
app3.mycompany.com.

542 „ Definición de los ajustes de rol: JSAM

 Capítulo 20: Secure Application Manager

vi. Seleccione la casilla de verificación Allow Secure Application

Manager to dynamically select an available port... si JSAM está
escuchando varios host en el mismo puerto y usted quiere que JSAM
seleccione un puerto disponible cuando el puerto de cliente que usted
especificó está ocupado. La aplicación cliente debe permitirle
especificar el número de puerto para la conexión con el fin de utilizar
esta opción.

vii. Haga clic en Add.

5. Si el equipo de un usuario remoto está configurado para usar un proxy Web en

Internet Explorer, configure el equipo cliente para que evite el servidor proxy
cuando el usuario inicie aplicaciones que necesiten conectarse a Secure
Application Manager. Consulte “Configuración de un equipo que se conecta al
IVE a través de un servidor Web proxy” en la página 519.

6. Agregue dominios DNS al IVE si tiene varios dominios internos, como company-
a.com and company-b.com, de manera que los nombres como app1.company-
a.com y app2.company-b.com se resuelvan correctamente:

a. Diríjase a la página System > Network > Overview en la consola de

administración.

b. En DNS Name Resolution, agregue una lista de dominios separados por

coma en el campo DNS Domains.

c. Haga clic en Save Changes.

Especificación de opciones JSAM a nivel de rol

Para especificar opciones JSAM a nivel de rol:

1. En la consola de administración, elija Users > User Roles > Seleccionar rol >
SAM > Options.

2. En Secure Application Manager options, seleccione las opciones que desee

habilitar para los usuarios:

„ Auto-launch Secure Application Manager: Si esta opción está activada,

el IVE inicia automáticamente Secure Application Manager cuando un
usuario inicia sesión. Si no selecciona esta opción, los usuarios deben
iniciar manualmente Secure Application Manager desde la sección Client
Applications Sessions de la página de inicio para usuarios finales del IVE.

NOTA: Aunque configure Secure Application Manager para que se inicie

automáticamente cuando los usuarios inicien sesión en el IVE, los usuarios
pueden sobrescribir este ajuste a través de la página Preferences > Applications
de la consola de usuario final del IVE. Si el inicio automático está desactivado, los
usuarios necesitan iniciar manualmente Secure Application Manager haciendo clic
en el vínculo en la página de inicio del IVE.

„ Auto-uninstall Secure Application Manager: Si esta opción está activada,

el IVE automáticamente desinstala Secure Application Manager después de
que los usuarios cierran la sesión.

Definición de los ajustes de rol: JSAM „ 543

 Guía de administración de Secure Access de Juniper Networks

„ Auto-allow application servers: Si esta opción está activada, el IVE crea

automáticamente una directiva de recursos de SAM que permite acceso al
servidor especificado en la aplicación WSAM y las listas de servidores y la
lista de la aplicación JSAM.

NOTA: Es posible que no vea la opción Auto-allow si está utilizando una

instalación nueva o si el administrador oculta la opción. Para obtener más
información sobre esta opción, consulte “Ajuste de las opciones del sistema”
en la página 722.

3. En Java SAM Options, seleccione las opciones que desea habilitar para los
usuarios:

„ User can add applications: Si esta opción está activada, los usuarios
pueden agregar aplicaciones. Para que los usuarios agreguen aplicaciones,
necesitan saber el nombre DNS del servidor de aplicaciones y los puertos
de cliente/servidor.

Cuando activa esta opción, los usuarios pueden configurar el reenvío de

puerto a cualquier host de su empresa. Antes de proporcionar a los
usuarios la capacidad de agregar aplicaciones, verifique que esta
característica es coherente con sus prácticas de seguridad. Si un usuario
agrega una aplicación, la aplicación permanece disponible para el usuario
aunque después desactive la característica.

„ Automatic host-mapping: Si esta opción está activada, Secure Application

Manager edita el archivo de hosts del equipo con Windows y reemplaza las
entradas de los servidores de aplicación de Windows con localhost. Estas
entradas se vuelven a cambiar con los datos originales cuando un usuario
cierra Secure Application Manager.

Para que la versión Java de Secure Application Manager funcione, la

aplicación cliente necesita conectarse al equipo local en el cual se ejecuta
Secure Application Manager como el servidor de aplicaciones. El proceso
recomendado para asignar servidores de aplicaciones al equipo local de un
usuario es habilitar la asignación de host automática, que permite que el
IVE modifique automáticamente el archivo de hosts del equipo para
apuntar servidores de aplicaciones al localhost del equipo para reenvío de
puerto seguro. También puede configurar su servidor DNS, tal como se
explica en “Configuración de su servidor DNS externo y equipos de usuario
(si es necesario)” en la página 96.

„ Skip web-proxy registry check: Si esta opción está activada, JSAM no

verifica un registro de usuario para un proxy Web. Algunos usuarios no
tienen permisos para ver sus registros, por lo que si JSAM trata de revisar
sus registros, esos usuarios ven un error que les indica que no tienen
permisos. Esta opción asegura que los usuarios no vean este mensaje.

„ Auto-close JSAM window on sign-out: Si esta opción está activada, JSAM

se cierra automáticamente cuando un usuario cierra sesión en el IVE
haciendo clic en Sign Out en la ventana del explorador del IVE. JSAM sigue
ejecutándose si el usuario sólo cierra la ventana del explorador.

4. Haga clic en Save Changes.

544 „ Definición de los ajustes de rol: JSAM

 Capítulo 20: Secure Application Manager

Definición de directivas de recursos: JSAM

Esta sección contiene las siguientes instrucciones para configurar las directivas de
recursos de JSAM:

„ “Inicio automático de JSAM” en la página 545

„ “Especificación de los servidores de aplicaciones a los cuales los usuarios

pueden tener acceso” en la página 547

„ “Especificación de opciones JSAM a nivel de recurso” en la página 548

Inicio automático de JSAM

Use la ficha Launch JSAM para escribir una directiva de recursos Web que
especifique una URL para la cual el IVE inicie automáticamente JSAM en el cliente.
El IVE inicia JSAM en dos situaciones:

„ Cuando un usuario introduce la URL en el campo Address de la página de inicio

del IVE.

„ Cuando un usuario hace clic en un marcador Web (configurado por un

administrador) en la página de inicio de IVE que lleva a la URL.

Esta característica es útil si usted activa aplicaciones que requieren JSAM, pero
no quiere que los usuarios ejecuten JSAM innecesariamente. Sin embargo, esta
característica requiere que los usuarios tengan acceso a la URL a través de la página
de inicio de IVE. Si los usuarios introducen la URL en el campo Address del
explorador, el IVE no atenderá la solicitud.

NOTA: El IVE ofrece estrecha integración con Citrix. Si especifica a Citrix como una
aplicación JSAM estándar, el IVE inicia automáticamente JSAM cuando un usuario
selecciona un archivo ICA aunque la URL no esté configurada como una directiva
de recursos.

Para escribir una directiva de recursos de inicio de JSAM:

1. En la consola de administración, elija Users > Resource Policies > Web.

2. Si la vista de administrador no está configurada para mostrar directivas de

Inicio de JSAM, realice las siguientes modificaciones.

a. Haga clic en el botón Customize en la esquina superior derecha de

la página.

b. Seleccione la casilla de verificación Launch JSAM.

c. Haga clic en OK.

3. Seleccione la ficha Launch JSAM.

4. En la página JSAM Autolaunch Policies, haga clic en New Policy.

Definición de directivas de recursos: JSAM „ 545

 Guía de administración de Secure Access de Juniper Networks

5. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

6. En la sección Resources, especifique las URL a las cuales se aplica esta

directiva. Para obtener más información, consulte “Especificación de los
recursos para una directiva de recursos” en la página 103. Para habilitar la
coincidencia según IP o la coincidencia que distingue entre mayúsculas y
minúsculas para estos recursos, consulte “Definición de directivas de recursos:
opciones generales” en la página 462.

7. En la sección Roles, especifique:

„ Policy applies to ALL roles: Use esta opción para aplicar esta directiva
a todos los usuarios.

„ Policy applies to SELECTED roles: Elija esta opción para aplicar esta
directiva sólo a los usuarios que estén asignados a roles en la lista
Selected roles. Asegúrese de agregar funciones a esta lista desde la lista
Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Elija esta
opción para aplicar esta directiva a todos los usuarios excepto a aquellos a
quienes asigne a los roles en la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

8. En la sección Action, especifique:

„ Launch JSAM for this URL: El IVE descarga Java Secure Application
Manager al cliente y luego sirve la URL solicitada.

NOTA: JSAM se inicia automáticamente para la URL especificada sólo si un usuario

introduce la URL o selecciona un marcador a la URL en la página de inicio del IVE
(Browsing > Bookmarks). El marcador no inicia la aplicación que está
configurada a través de JSAM, pero inicia JSAM.

„ Don't Launch JSAM for this URL: El IVE no descarga Java Secure
Application Manager al cliente para la URL solicitada. Esta opción es útil si
desea desactivar temporalmente el inicio automático de JSAM para las URL
especificadas.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

9. Haga clic en Save Changes.

546 „ Definición de directivas de recursos: JSAM

 Capítulo 20: Secure Application Manager

Especificación de los servidores de aplicaciones a los cuales los usuarios pueden

tener acceso
NOTA: La información de esta sección se proporciona para fines de compatibilidad
con versiones anteriores. Recomendamos que garantice la seguridad del tráfico
con perfiles de recursos de JSAM, ya que estos proporcionan un método de
configuración más simple y unificado. Para obtener más información, consulte
“Definición de perfiles de recursos: JSAM” en la página 535.

Cuando habilita la característica de acceso de Secure Application Manager para

un rol, debe crear directivas de recursos que especifiquen los servidores de
aplicaciones a los que puede obtener acceso un usuario. Estas directivas se aplican
a la versión Java y a la versión Windows de Secure Application Manager (JSAM y
WSAM respectivamente). Cuando un usuario realiza una solicitud a un servidor de
aplicaciones, el IVE evalúa estas directivas de recursos de SAM. Si el IVE hace
coincidir una petición de un usuario con un recurso que aparece en una directiva de
SAM, el IVE realiza la acción especificada para el recurso.

Al escribir una directiva de recurso de SAM, deberá proporcionar información clave:

„ Recursos: Una directiva de recursos debe especificar uno o más recursos en los
que se aplica la directiva. Al escribir una directiva de SAM, debe especificar los
servidores de aplicaciones a los que un usuario se puede conectar.

„ Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evalúa estas directivas que corresponden a la solicitud. Las
directivas de recursos de SAM se aplican a las solicitudes de los usuarios
realizadas a través de la versión JSAM o WSAM.

„ Acciones: Una directiva de recursos de Secure Application Manager permite

o rechaza el acceso a un servidor de aplicaciones.

Puede crear directivas de recursos mediante la interfaz estándar (según se describe

en esta sección) o mediante los perfiles de recursos (método recomendado).

El motor de la plataforma del IVE que evalúa las directivas de recursos requiere que
los recursos que aparecen en la lista de Resources de una directiva sigan un
formato canónico, como se explica en “Especificación de los recursos para una
directiva de recursos” en la página 103.

Para escribir una directiva de recursos de Secure Application Manager:

1. En la consola de administración, elija Users > Resource Policies > SAM >
Access.

2. En la página Secure Application Manager Policies, haga clic en New Policy.

3. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

Definición de directivas de recursos: JSAM „ 547

 Guía de administración de Secure Access de Juniper Networks

4. En la sección Resources, especifique los servidores de aplicaciones a los que se

aplica esta directiva.

5. En la sección Roles, especifique:

„ Policy applies to ALL roles: Use esta opción para aplicar esta directiva
a todos los usuarios.

„ Policy applies to SELECTED roles: Elija esta opción para aplicar esta
directiva sólo a los usuarios que estén asignados a roles en la lista Selected
roles. Asegúrese de agregar funciones a esta lista desde la lista Available
roles.

„ Policy applies to all roles OTHER THAN those selected below: Elija esta
opción para aplicar esta directiva a todos los usuarios excepto a aquellos a
quienes asigne a los roles en la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

6. En la sección Action, especifique:

„ Allow socket access: Elija esta opción para otorgar acceso a los servidores
de aplicaciones especificados en la lista Resources.

„ Deny socket access: Elija esta opción para denegar acceso a los servidores
de aplicaciones especificados en la lista Resources.

„ Use Detailed Rules: Elija esta opción para especificar una o más reglas
detalladas para esta directiva. Para obtener más información, consulte
“Escritura de una regla detallada” en la página 109.

7. Haga clic en Save Changes.

8. En la página Secure Application Manager Policies, ordene las directivas en el

orden en el que desee que el IVE las evalúe. Tenga presente que una vez que el
IVE compara el recurso solicitado por el usuario con un recurso en una lista
Resource de la directiva (o una regla detallada), realiza la acción especificada
y detiene las directivas de procesamiento.

Especificación de opciones JSAM a nivel de recurso

Use la ficha Options para especificar la opción de recurso de SAM para comparar
direcciones IP con nombres de host especificados como recursos en sus directivas
de recursos de SAM. Cuando habilita esta opción, el IVE busca las direcciones IP
correspondientes a cada nombre de host especificado en una directiva de recursos
de SAM. Cuando un usuario intenta obtener acceso a un servidor especificando una
dirección IP en lugar de un nombre de host, el IVE compara la IP con su lista en
caché de direcciones IP para determinar si un nombre de host coincide con una IP.
Si coinciden, el IVE acepta la coincidencia como una coincidencia de directiva y
aplica la acción especificada para la directiva de recursos.

Cuando habilita esta opción, el IVE compila una lista de los nombres de host
especificados en el campo Resources de cada directiva de recursos de SAM. El IVE
aplica la opción a su lista integral de nombres de host.

NOTA: Esta opción no se aplica a los nombres de host que incluyen comodines
y parámetros.

548 „ Definición de directivas de recursos: JSAM

 Capítulo 20: Secure Application Manager

Para especificar la opción de recursos de SAM:

1. En la consola de administración, elija Users > Resource Policies > SAM >
Options.

2. Seleccione IP based matching for Hostname based policy resources. Cuando

habilita esta opción, el IVE busca las direcciones IP correspondientes a cada
nombre de host especificado en una directiva de recursos de Secure Application
Manager. Cuando un usuario intenta obtener acceso a un servidor
especificando una dirección IP en lugar de un nombre de host, el IVE compara
la IP con su lista en caché de direcciones IP para determinar si un nombre de
host coincide con una IP. Si coinciden, el IVE acepta la coincidencia como
una coincidencia de directiva y aplica la acción especificada para la directiva
de recursos.

3. Haga clic en Save Changes.

Definición de directivas de recursos: JSAM „ 549

 Guía de administración de Secure Access de Juniper Networks

550 „ Definición de directivas de recursos: JSAM

Capítulo 21
Telnet/SSH

La opción Telnet/SSH permite que los usuarios se conecten a host de servidores

internos de modo transparente usando los protocolos de Telnet o que se
comuniquen sobre una sesión encriptada de Secure Shell (SSH) mediante una
emulación de sesión de terminal basada en Web. Esta característica admite las
siguientes aplicaciones y protocolos:

„ Protocolos de red: Los protocolos de red admitidos incluyen Telnet y SSH.

„ Ajustes de terminal: Los ajustes de terminal admitidos incluyen VT100, VT320,

derivados y búfer de pantalla.

„ Seguridad: Los mecanismos de seguridad admitidos incluyen seguridad

Web/cliente mediante seguridad SSL y host (como SSH si lo desea).

Puede crear marcadores de sesión de terminal segura que aparezcan en la página

de bienvenida de los usuarios asignados a un rol específico. Un marcador de sesión
de terminal define la información de una sesión de terminal para sesiones de Telnet
o SSH que los usuarios pueden iniciar. Estas sesiones otorgan acceso a los usuarios
a una variedad de dispositivos de red, incluidos servidores UNIX, dispositivos de
redes y otras aplicaciones heredades que utilizan las sesiones de terminal. El IVE
admite las versiones de SSH V1 y V2 y usa las siguientes versiones de SSH:
OpenSSH_2.9.9p1, protocolos SSH 1.5/2.0 y OpenSSL 0x0090607f.

NOTA: Al comunicarse sobre una sesión encriptada de Secure Shell (SSH), tenga en
cuenta que la características Telnet/SSH no admite el uso de la combinación de
caracteres ^J. (Algunas aplicaciones usan esta combinación de caracteres para
justificar el texto). Si desea usar esta combinación de caracteres, recomendamos
que busque un applet de Java que la admita y cargue ese applet mediante el IVE
usando la característica de applets de Java hospedados.

Esta sección contiene la siguiente información sobre Telnet/SSH:

„ “Licencia: Disponibilidad de Telnet/SSH” en la página 552

„ “Resumen de tareas: Configuración de la característica Telnet/SSH” en la

página 552

„ “Definición de perfiles de recursos: Telnet/SSH” en la página 553

„ “Definición de los ajustes de rol: Telnet/SSH” en la página 556

„ “Definición de directivas de recursos: Telnet/SSH” en la página 559

„ 551
 Guía de administración de Secure Access de Juniper Networks

Licencia: Disponibilidad de Telnet/SSH

Si usará un dispositivo SA-700, debe instalar una licencia de actualización de Acceso
sin clientes de núcleo para obtener acceso a la característica Telnet/SSH.

Resumen de tareas: Configuración de la característica Telnet/SSH

Para configurar la característica Telnet/SSH:

1. Cree perfiles de recursos que permitan el acceso a los servidores de Telnet y

SSH, incluyan marcadores que se vinculen a esos servidores y asignen los
marcadores a funciones de usuarios usando los ajustes de la página Users >
Resource Profiles > Telnet/SSH de la consola de administración.

Recomendamos que use los perfiles de recursos para configurar Telnet/SSH

(según se describe con anterioridad). Sin embargo, si no desea usar los perfiles
de recursos, puede configurar Telnet/SSH usando los ajustes de la directiva de
rol y recursos en las siguientes páginas de la consola de administración:

a. Crear directivas de recursos que permitan el acceso a los servidores Telnet

y SSH usando los ajustes de la página Users > Resource Policies >
Telnet/SSH > Sessions de la consola de administración.

b. Determinar qué funciones de usuario pueden obtener acceso a los

servidores Telnet y SSH que desea dejar en nivel intermedio, y permitir el
acceso de Telnet/SSH a dichas funciones mediante la página Users > User
Roles > Seleccionar rol > General > Overview de la consola de
administración.

c. Crear marcadores para sus servidores de Telnet y SSH usando los ajustes de
la página Users > User Roles > Seleccionar rol > Telnet/SSH > Access
de la consola de administración.

2. Después de configurar Telnet/SSH mediante los perfiles de recursos o las

directivas de funciones y recursos, puede modificar las opciones generales de
funciones y recursos de las páginas siguientes de la consola de administración:

a. (Opcional) Permitir que los usuarios creen sus propias conexiones a las
sesiones de Telnet y SSH usando los ajustes de la página Users > User
Roles > Seleccionar rol > Telnet/SSH > Options de la consola de
administración.

b. (Opcional) Permitir que el IVE haga coincidir las direcciones IP con los
nombres de host y inhabilite la opción de marcadores con permiso
automático usando los ajustes de la página Users > Resource Policies >
Telnet/SSH > Options de la consola de administración.

552 „ Licencia: Disponibilidad de Telnet/SSH

 Capítulo 21: Telnet/SSH

Definición de perfiles de recursos: Telnet/SSH

El perfil de recursos de Telnet/SSH es un perfil de recursos que permite que los
usuarios se conecten a hosts de servidores internos de modo transparente usando
los protocolos de Telnet o que se comuniquen sobre una sesión encriptada de
Secure Shell (SSH) mediante una emulación de sesión de terminal basada en Web.

Para crear un perfil de recursos de Telnet/SSH:

1. Diríjase a la página Users > Resource Profiles > Telnet/SSH en la consola de

administración.

2. Haga clic en New Profile.

3. En la lista Type, especifique el tipo de sesión (Telnet o SSH) para este perfil
de recursos.

4. Introduzca un nombre único y una descripción opcional para el perfil de

recursos. (Este nombre será el nombre predeterminado del marcador.)

5. En el campo Host, introduzca el nombre o la dirección IP del servidor al que

debe conectarse este perfil de recursos. Para obtener información sobre las
variables y atributos del sistema que puede incluir en este campo, consulte
“Uso de variables del sistema en territorios, roles y directivas de recursos” en la
página 1054.

6. Seleccione la casilla de verificación Create an access control policy allowing

Telnet/SSH access to this server para permitir el acceso al servidor
especificado en el paso anterior (habilitado De forma predeterminada).

7. En el campo Port, introduzca el puerto en el que IVE debe conectarse al

servidor. (De forma predeterminada, el IVE llena este campo con el número de
puerto 23 si selecciona Telnet y con el número de puerto 22 si selecciona SSH.)

8. Si desea aprobar las credenciales de usuario en el servidor, introduzca un

nombre de usuario estático, la variable <username> u otra variable de sesión
apropiada para IVE en el campo Username. (Se requiere para sesiones de SSH.)

9. Haga clic en Save and Continue.

10. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.

Las funciones seleccionadas heredan la directiva automática y los marcadores

creados por el perfil de recursos. Si aún no está habilitado, el IVE habilita
automáticamente la opción Telnet/SSH en la página Users > User Roles >
Seleccionar rol > General > Overview de la consola de administración para
todas las otras funciones que seleccione.

Definición de perfiles de recursos: Telnet/SSH „ 553

 Guía de administración de Secure Access de Juniper Networks

11. Haga clic en Save Changes.

12. (Opcional) En la ficha Bookmarks, modifique el marcador predeterminado

creado por el IVE o cree marcadores nuevos usando las instrucciones de
“Definición de un marcador de perfil de recursos de Telnet/SSH” en la
página 554. (De forma predeterminada, el IVE crea un marcador en el servidor
definido en el campo Host y lo muestra a todos los usuarios asignados al rol
especificado en la ficha Roles.)

Definición de un marcador de perfil de recursos de Telnet/SSH

Al crear un perfil de recursos de Telnet/SSH, el IVE crea automáticamente un
marcador que se vincula con el host que especificó en el perfil de recursos. El IVE le
permite modificar este marcador y crear marcadores adicionales en el mismo host.

NOTA: Al configurar marcadores, tenga en cuenta que:

„ Para cambiar el host, puerto o nombre de usuario de un marcador de

Telnet/SSH creado mediante un perfil de recursos, debe editar los valores
usando la ficha Resource del perfil de recursos (no su ficha Bookmark).

„ Sólo puede asignar marcadores a roles que ya haya asociado con el perfil de
recursos, no todos los roles definidos en el IVE. Para cambiar la lista de roles
asociados al perfil de recurso, utilice los parámetros de la ficha Roles.

„ Los marcadores simplemente controlan los vínculos que muestra el IVE a los
usuarios, no los recursos a los que los usuarios pueden obtener acceso. Por
ejemplo, si habilita el acceso a un servidor de Telnet mediante un perfil de
recursos, pero no crea un marcador correspondiente en ese servidor, aun así
el usuario puede obtener acceso al servidor introduciéndolo en el campo
Address de la página principal de IVE.

„ Asegúrese de introducir un conjunto único de parámetros al definir un

marcador de Telnet/SSH. Si crea dos marcadores que contienen el mismo
conjunto de parámetros, el IVE elimina uno de los marcadores de la vista del
usuario final. Aún podrá ver ambos marcadores, pero en la consola del
administrador.

Para obtener más información sobre los marcadores del perfil de recursos, consulte
“Definición de marcadores” en la página 98.

Para asociar marcadores con los perfiles de recursos de Telnet/SSH:

1. Si desea crear un marcador de perfil de recursos mediante la página de perfiles

de recursos estándar:

a. Diríjase a la página Users > Resource Profiles > Telnet/SSH >

Seleccionar perfil de recurso > Bookmarks en la consola de administración.

b. Haga clic en el vínculo correspondiente de la columna Bookmark si desea

modificar un marcador existente. O bien haga clic en New Bookmark para
crear un marcador adicional.

554 „ Definición de perfiles de recursos: Telnet/SSH

 Capítulo 21: Telnet/SSH

Como alternativa, si desea crear un marcador de perfil de recursos mediante la

página de roles de usuario:

a. Diríjase a la página Users > User Roles > Seleccionar rol > Telnet/SSH >
Sessions en la consola de administración.

b. Haga clic en Add Session.

c. En la lista Type, elija Telnet/SSH Resource Profile. (El IVE no muestra esta
opción si no ha creado un perfil de recursos de Telnet/SSH.)

d. Seleccione un perfil de recursos existente. (El IVE llena automáticamente

los campos Host y Port usando los ajustes del perfil de recursos
seleccionado.)

e. Haga clic en OK. (Si aún no ha asociado el rol seleccionado con el perfil de
recursos, el IVE realiza la asociación de forma automática. El IVE también
habilita cualquier directiva de control de acceso para el rol que requiere el
perfil de recursos.)

f. Si este rol aún no ha sido asociado con el perfil de recursos seleccionado, el

IVE muestra un mensaje informativo. Si ve este mensaje, haga clic en Save
Changes para agregar este rol a la lista de roles del perfil de recursos y para
actualizar las directivas automáticas del perfil, según se requiera. A
continuación, repita el paso anterior para crear el marcador.

NOTA: Al crear un marcador de perfil de recursos mediante la página de funciones

de usuario (en lugar de la página de perfiles de recursos estándar), el IVE sólo
asocia el marcador generado con el rol seleccionado. El IVE no asigna el marcador
con todos los roles asociados con el perfil de recursos seleccionado.

2. De forma opcional, cambie el nombre y la descripción del marcador. (De forma

predeterminada, el IVE llena los nombres que usa el marcador con el nombre
del perfil de recursos.)

3. Si desea cambiar el tamaño de fuente en la ventana de visualización del

servidor, elija una de las siguientes opciones de la sección Font Size:

„ Fixed size of _ pixels: Introduzca un tamaño de 8 a 36 píxeles. (De forma

predeterminada, el IVE establece el tamaño de fuente en 12.)

„ Resize to fit window: Cambia dinámicamente el tamaño de fuente a

medida que cambia el tamaño de la ventana. Esta opción requiere Internet
Explorer. (Habilitado de forma predeterminada).

4. Si desea cambiar el tamaño de la ventana de visualización del servidor,

seleccione una opción de la lista desplegable Screen Size. (De forma
predeterminada, el IVE establece el tamaño de la ventana en 80 caracteres
por 24 filas.)

Definición de perfiles de recursos: Telnet/SSH „ 555

 Guía de administración de Secure Access de Juniper Networks

5. Si desea cambiar el número de filas que la ventana del servidor muestra

durante el desplazamiento, cambie el valor en el campo Screen Buffer
(De forma predeterminada, el IVE establece el búfer en 100 filas.)

6. Si configura el marcador mediante las páginas del perfil de recursos, en Roles,

especifique los roles con los que desea mostrar el marcador:

„ ALL selected roles: Seleccione esta opción para mostrar el marcador en

todos los roles asociados con el perfil de recursos.

„ Subset of selected roles: Seleccione esta opción para mostrar el marcador

en un subconjunto de los roles asociados con el perfil de recursos. Luego
seleccione los roles de la lista ALL Selected Roles y haga clic en Add para
trasladarlos a la lista Subset of selected roles.

7. Haga clic en Save Changes.

Definición de los ajustes de rol: Telnet/SSH

Puede usar dos métodos distintos para crear los marcadores de la sesión de
Telnet/SSH:

„ Crear marcadores mediante los perfiles de recursos existentes

(recomendado): Cuando selecciona este método, el IVE llena automáticamente
el marcador con los parámetros clave (como el host, puerto, nombre de usuario
y tipo de sesión) usando los ajustes del perfil de recursos. Además, mientras
crea el perfil de recursos asociado, el IVE lo guía a través del proceso de
creación de cualquier directiva necesaria para habilitar el acceso al marcador.
Para obtener instrucciones sobre la configuración, consulte “Definición de un
marcador de perfil de recursos de Telnet/SSH” en la página 554.

„ Crear marcadores estándar: Cuando selecciona esta opción, debe introducir

manualmente todos los parámetros de marcadores durante la configuración.
Además, debe habilitar el acceso a la característica Telnet/SSH y crear directivas
de recursos que permitan el acceso a los servidores definidos en el marcador
(como se explica en “Resumen de tareas: Configuración de la característica
Telnet/SSH” en la página 552). Para obtener instrucciones sobre la
configuración, consulte “Creación de marcadores de sesión avanzada” en la
página 557.

NOTA: Si habilita la opción Telnet/SSH, pero no otorga a los usuarios la capacidad

de crear sus propios marcadores, asegúrese de configurar los marcadores de
sesión para ellos. De lo contrario, los usuarios no podrán usar esta característica.

Esta sección contiene la siguiente información sobre la definición de marcadores

y los ajustes de nivel de rol para los recursos de Telnet/SSH:

„ “Creación de marcadores de sesión avanzada” en la página 557

„ “Configuración de las opciones generales de Telnet/SSH” en la página 558

556 „ Definición de los ajustes de rol: Telnet/SSH

 Capítulo 21: Telnet/SSH

Creación de marcadores de sesión avanzada

NOTA: La información de esta sección se proporciona para fines de compatibilidad
con versiones anteriores. Recomendamos que configure el acceso a los servidores
de Telnet y SSH mediante los perfiles de recursos, dado que proporcionan un
método de configuración más simple y unificado. Para obtener más información,
consulte “Definición de perfiles de recursos: Telnet/SSH” en la página 553.

Para crear un marcador para sesiones de terminal seguro:

1. Elija Users > User Roles > Seleccionar rol > Telnet/SSH > Sessions en la
consola de administración.

2. Haga clic en Add Session. Se carga la página New Telnet/SSH Session.

3. En la lista Type, elija Standard. (El IVE sólo muestra la lista Type si ha creado un
perfil de recursos de Telnet/SSH.)

4. Introduzca un nombre y una descripción del marcador para la nueva sesión de

Telnet/SSH (opcional). Si especifica un nombre y una descripción del marcador,
esta información aparece en la página Terminal Sessions.

5. Introduzca el nombre o la dirección IP del host remoto para esta sesión en el

campo Host. Para obtener información sobre las variables y atributos del
sistema que puede incluir en este campo, consulte “Uso de variables del
sistema en territorios, roles y directivas de recursos” en la página 1054.

6. Seleccione Session Type, Telnet o SSH Secure Shell y especifique el puerto si

no es el mismo de la asignación de puerto llenada previamente.

7. Proporcione un nombre de usuario o use la variable <username> u otra variable

de sesión apropiada para IVE.

8. Especifique Font Size seleccionando una de las siguientes opciones:

„ Fixed size of _ pixels: Introduzca un tamaño de 8 a 36 píxeles.

„ Resize to fit window: Cambia dinámicamente el tamaño de fuente

a medida que cambia el tamaño de la ventana. Esta opción requiere
Internet Explorer.

9. Seleccione el Screen Size usando la lista desplegable.

10. Especifique el tamaño del Screen Buffer.

11. Haga clic en Save Changes o en Save + New.

Definición de los ajustes de rol: Telnet/SSH „ 557

 Guía de administración de Secure Access de Juniper Networks

NOTA:

„ Además de crear marcadores para sesiones de terminal seguro, debe crear

una directiva de recursos que permitan las sesiones de Telnet/SSH para el rol
o habilitar Auto-allow role Telnet/SSH sessions en la ficha Telnet/SSH >
Options para permitir el acceso automático a los recursos definidos en el
marcador de la sesión.

„ Asegúrese de introducir un conjunto único de parámetros definiendo un

marcador de Telnet/SSH. Si crea dos marcadores que contienen el mismo
conjunto de parámetros, el IVE elimina uno de los marcadores de la vista
del usuario final. Aún podrá ver ambos marcadores, pero en la consola del
administrador.

Configuración de las opciones generales de Telnet/SSH

Puede permitir que los usuarios creen sus propios marcadores de Telnet/SSH,
naveguen hasta una sesión de terminal y configuren el IVE para crear directivas de
recursos de Telnet/SSH que permitan el acceso a los servidores especificados en los
marcadores de sesión.

Cuando permite que los usuarios naveguen hasta una sesión de terminal, tenga en
cuenta que pueden usar dos métodos diferentes:

„ Usar la página principal del IVE: Los usuarios pueden introducir el servidor
y el puerto al que quieren obtener acceso en el campo Address de la página
principal del IVE. Los formatos válidos para la URL son:

„ Telnet://host:port

„ SSH://host:port

Por ejemplo: Telnet://terminalserver.yourcompany.com:3389

„ Usar la barra de direcciones del explorador Web: Los usuarios pueden

introducir el servidor y el puerto al que quieren obtener acceso (y los
parámetros de sesión como el tamaño de fuente y de ventana) en las barras
de dirección de sus exploradores Web usando el protocolo Web estándar.
Por ejemplo:

https://iveserver/dana/term/newlaunchterm.cgi?protocol=telnet&host=termsrv.yo
urcompany.com&port=23&username=jdoe&fontsize=12&buffer=800&size=80x25

558 „ Definición de los ajustes de rol: Telnet/SSH

 Capítulo 21: Telnet/SSH

Para especificar las opciones generales de Telnet/SSH:

1. En la consola de administración, elija Users > User Roles > Seleccionar rol >
Telnet/SSH > Options.

2. Habilite User can add sessions para permitir que los usuarios definan sus
propios marcadores de sesión y que naveguen hasta una sesión de terminal
usando la sintaxis telnet://, ssh:// y /dana/term/newlaunchterm.cgi syntax.
Cuando habilite esta opción, aparecerá el botón Add Terminal Session en la
página Terminal Sessions la próxima vez que el usuario actualice la página de
bienvenida del IVE.

3. Habilite Auto-allow role Telnet/SSH sessions para permitir que el IVE otorgue
acceso automático a los recursos definidos en el marcador de la sesión (en
lugar de tener que crear directivas de recursos). Tenga en cuenta que sólo se
aplica a los marcadores de rol, no a los marcadores de usuario.

NOTA: Es posible que no vea la opción Auto-allow si está utilizando una

instalación nueva o si el administrador oculta la opción. Para obtener más
información sobre esta opción, consulte “Ajuste de las opciones del sistema” en la
página 722.

4. Haga clic en Save Changes.

Definición de directivas de recursos: Telnet/SSH

Cuando habilita la característica de acceso de Telnet/SSH para un rol, debe crear
directivas de recursos que especifiquen los servidores remotos a los que puede
obtener acceso un usuario. Si el IVE coincide con la solicitud de un usuario para
un recurso que aparece en una directiva de Telnet/SSH, el IVE realiza la acción
especificada para el recurso.

Puede crear directivas de recursos mediante la interfaz estándar (según se describe

en esta sección) o mediante los perfiles de recursos (método recomendado).

Cuando escriba una directiva de recursos de Telnet/SSH, debe proporcionar la

información clave:

„ Recursos: Una directiva de recursos debe especificar uno o más recursos

en los que se aplica la directiva. Al escribir una directiva de Telnet/SSH, debe
especificar los servidores remotos a los que un usuario se puede conectar.

„ Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evalúa estas directivas que corresponden a la solicitud.

„ Acciones: Una directiva de recursos de Telnet/SSH permite o rechaza el acceso

a un servidor.

Definición de directivas de recursos: Telnet/SSH „ 559

 Guía de administración de Secure Access de Juniper Networks

El motor del IVE que evalúa las directivas de recursos requiere que los recursos que
aparecen en una lista Resources de la directiva sigan un formato canónico, como se
explica en “Especificación de los recursos para una directiva de recursos” en la
página 103.

Esta sección contiene la siguiente información sobre la definición de las directivas

de recursos de Telnet/SSH:

„ “Escritura de las directivas de recursos de Telnet/SSH” en la página 560

„ “Coincidencia de direcciones IP con nombres de host” en la página 561

Escritura de las directivas de recursos de Telnet/SSH

NOTA: La información de esta sección se proporciona para fines de compatibilidad
con versiones anteriores. Recomendamos que configure el acceso a los servidores
de Telnet y SSH mediante los perfiles de recursos, dado que proporcionan un
método de configuración más simple y unificado. Para obtener más información,
consulte “Definición de perfiles de recursos: Telnet/SSH” en la página 553.

Para escribir una directiva de recursos de Telnet/SSH:

1. En la consola de administración, elija Users > Resource Policies >

Telnet/SSH > Access.

2. En la página Telnet/SSH Policies, haga clic en New Policy.

3. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva. (opcional)

4. En la sección Resources, especifique los servidores a los que se aplica esta

directiva usando las indicaciones descritas en “Especificación de los recursos
para una directiva de recursos” en la página 103.

5. En la sección Roles, especifique:

„ Policy applies to ALL roles: Use este campo para aplicar esta directiva
a todos los usuarios.

„ Policy applies to SELECTED roles: Use este campo para aplicar esta
directiva sólo a los usuarios que estén asignados a funciones en la lista
Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Use este
campo para aplicar esta directiva a todos los usuarios excepto aquellos a
quienes asigne a las funciones en la lista Selected roles. Asegúrese de
agregar funciones a esta lista desde la lista Available roles.

560 „ Definición de directivas de recursos: Telnet/SSH

 Capítulo 21: Telnet/SSH

6. En la sección Action, especifique:

„ Allow access: Use este campo para otorgar acceso a los servidores
especificados en la lista Resources.

„ Deny access: Use este campo para denegar el acceso a los servidores
especificados en la lista Resources.

„ Use Detailed Rules: Use este campo para especificar una o más reglas
detalladas para esta directiva. Consulte “Escritura de una regla detallada”
en la página 109 en la página 220 para obtener más información.

7. Haga clic en Save Changes.

8. En la página Telnet/SSH Policies, ordene las directivas en el orden en el que

desee que el IVE las evalúe. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la acción especificada y detiene las
directivas de procesamiento.

Coincidencia de direcciones IP con nombres de host

Puede configurar Telnet/SSH para que las direcciones IP coincidan con los nombres
de host especificados como recursos en sus directivas de recursos de Telnet/SSH.
Cuando habilita esta opción, el IVE busca las direcciones IP correspondientes a cada
nombre de host especificado en una directiva de recursos de Telnet/SSH. Cuando
un usuario intenta obtener acceso a un servidor especificando una dirección IP en
lugar de un nombre de host, el IVE compara la IP con su lista en caché de
direcciones IP para determinar si un nombre de host coincide con una IP. Si
coinciden, el IVE acepta la coincidencia como una coincidencia de directiva y aplica
la acción especificada para la directiva de recursos.

Cuando habilita esta opción, el IVE compila una lista de los nombres de host
especificados en el campo Resources de cada directiva de recursos de Telnet/SSH.
El IVE aplica la opción a su lista integral de nombres de host.

NOTA: Esta opción no se aplica a los nombres de host que incluyen comodines
y parámetros.

Para especificar la opción de recursos de Telnet/SSH:

1. En la consola de administración, elija Users > Resource Policies >

Telnet/SSH > Options.

2. Seleccione IP based matching for Hostname based policy resources. El IVE

busca la dirección IP correspondiente a cada nombre de host especificado en
una directiva de recursos de Telnet/SSH. Cuando un usuario intenta obtener
acceso a un servidor especificando una dirección IP en lugar de un nombre
de host, el IVE compara la IP con su lista en caché de direcciones IP para
determinar si un nombre de host coincide con una IP. Si coinciden, el IVE
acepta la coincidencia como una coincidencia de directiva y aplica la acción
especificada para la directiva de recursos.

3. Haga clic en Save Changes.

Definición de directivas de recursos: Telnet/SSH „ 561

 Guía de administración de Secure Access de Juniper Networks

562 „ Definición de directivas de recursos: Telnet/SSH

Capítulo 22
Terminal Services

Use la característica Terminal Services para habilitar sesiones de emulación

de terminal en servidores de terminal Windows, NFuse de Citrix o MetaFrame
de Citrix.

Este tema contiene la siguiente información sobre Terminal Services:

„ “Licencia: Disponibilidad de Terminal Services” en la página 563

„ “Resumen de tareas: Configuración de la característica Terminal Services” en la

página 564

„ “Vista general de Terminal Services” en la página 565

„ “Definición de perfiles de recursos: Vista general de Terminal Services” en la

página 570

„ “Definición de perfiles de recursos: Windows Terminal Services” en la

página 572

„ “Definición de perfiles de recursos: Terminal Services de Citrix

(ICA predeterminado)” en la página 583

„ “Definición de perfiles de recursos: Terminal Services de Citrix

(ICA personalizado)” en la página 591

„ “Definición de perfiles de recursos: Lista de aplicaciones Citrix” en la

página 594

„ “Definición de los ajustes de rol: Terminal Services” en la página 599

„ “Definición de directivas de recursos: Terminal Services” en la página 615

Licencia: Disponibilidad de Terminal Services

Las características de Terminal Services (Terminal Services de Windows y Citrix) no
están disponibles en el dispositivo SA 700.

Licencia: Disponibilidad de Terminal Services „ 563

 Guía de administración de Secure Access de Juniper Networks

Resumen de tareas: Configuración de la característica Terminal

Services
Para configurar la característica Terminal Services:

1. Cree perfiles de recursos que permitan el acceso a los servidores de terminal de

Windows o servidores Citrix, incluya marcadores de sesión que enlacen a esos
servidores y asigne marcadores de sesión a los roles de usuario usando los
ajustes en la página Users > Resource Profiles > Terminal Services de la
consola de administración.

Recomendamos que use los perfiles de recursos para configurar los servicios de
terminal (según se describe aquí). Sin embargo, si no desea usar los perfiles de
recursos, puede configurar la característica Terminal Services usando ajustes de
directivas de rol y recursos en las siguientes páginas de la consola de
administración:

a. Cree directivas de recursos que permitan el acceso a los servidores de

terminal de Windows y servidores Citrix usando los ajustes de la página
Users > Resource Policies > Terminal Services > Access de la consola de
administración. Para obtener instrucciones, consulte “Especificación de la
opción de recursos de Terminal Services” en la página 617.

b. Determine qué roles de usuario pueden tener acceso a los servidores

de terminal de Windows y servidores Citrix que desea usar como
intermediario y luego habilite el acceso a Terminal Services para esos roles
a través de la página Users > User Roles > Seleccionar rol > General >
Overview de la consola de administración.

c. Cree marcadores de sesión a sus servidores de terminal de Windows y

servidores Citrix usando la página Users > User Roles > Seleccionar rol >
Terminal Services > Sessions de la consola de administración. Para
obtener instrucciones, consulte “Definición de los ajustes de rol: Terminal
Services” en la página 599.

2. (Opcional) Modifique las opciones de roles y recursos generales después de

configurar los servicios de terminal mediante los perfiles, roles o directivas de
recursos. Use las siguientes páginas de la consola de administración:

a. (Opcional) Habilite a los usuarios para que definan sus propias sesiones de
los servicios de terminal, especifique los dispositivos locales a los que los
usuarios se pueden conectar y establezca opciones de visualización y
rendimiento usando los ajustes de la página Users > User Roles >
Seleccionar rol > Terminal Services > Options de la consola de
administración. Para obtener instrucciones, consulte “Especificación de las
opciones generales de Terminal Services” en la página 612. Si elige
habilitar a los usuarios para que definan sus propias sesiones de servicios
de terminal, también deberá crear las directivas de recursos o los perfiles
de recursos correspondientes que permitan el acceso a los recursos
especificados, como se explicó anteriormente en este tema.

564 „ Resumen de tareas: Configuración de la característica Terminal Services

 Capítulo 22: Terminal Services

b. (Opcional) Cree enlaces a una sesión de servicios de terminal en el IVE que

los usuarios pueden tener acceso desde un sitio Web externo. Para obtener
instrucciones, consulte “Creación de enlaces desde un sitio externo a un
marcador de sesión de Terminal Services” en la página 608.

c. (Opcional) Habilite la IVE para que coincida las direcciones IP y los

nombres de los host usando los ajustes de la página Users > Resource
Policies> Terminal Services > Options de la consola de administración.

3. (Sólo en Citrix) Especifique dónde el IVE debe obtener el cliente Citrix para
cargarlo a los sistemas de los usuarios a través de los ajustes de la página
Users > User Roles > Seleccionar rol > Terminal Services > Options de la
consola de administración. Para obtener instrucciones, consulte “Especificación
de las opciones generales de Terminal Services” en la página 612.

Adicionalmente, si especifica que el IVE debe obtener un cliente Citrix desde un

sitio Web externo, debe:

a. Crear una directiva de recursos de acceso Web que permita el acceso al

sitio Web donde reside el cliente de Citrix a través de los ajustes de la
página Users > Resource Policies > Web > Access > Web ACL de la
consola de administración. Para obtener instrucciones, consulte
“Definición de directivas de recursos: acceso web” en la página 424.

b. Crear una directiva de creación de caché de Web a través de los ajuste de

la página Users > Resource Policies > Web > Caching de la consola de
administración para que el navegador del usuario puede entregar el cliente
Citrix. (Tenga en cuenta que debe seleccionar la opción Unchanged (do
not add/modify caching headers).) Para obtener instrucciones, consulte
“Escritura de una directiva de recursos de almacenamiento en caché” en la
página 434.

Vista general de Terminal Services

Use la característica Terminal Services para habilitar una sesión de emulación de
terminales en servidores de terminal Windows, servidores Citrix NFuse o servidores
Citrix MetaFrame. También se puede usar esta característica para ofrecer los
servicios de terminal a través del IVE, lo que elimina la necesidad de usar otro
servidor Web para albergar a los clientes.

NOTA: El IVE admite varios mecanismos para la intermediación de tráfico entre un

servidor y cliente Citrix, incluyendo Terminal Services, JSAM, WSAM, Network
Connect y las características de applets de Java hospedados. Para determinar qué
mecanismo funciona mejor con su entorno, consulte “Comparación de los
mecanismos de acceso del IVE para la configuración de Citrix” en la página 362.

Este tema incluye la siguiente información sobre la característica Terminal Services:

„ “Experiencia del usuario de Terminal Services” en la página 566

„ “Ejecución de Terminal Services” en la página 567

„ “Configuración de Citrix para admitir el equilibrio de carga de ICA” en la

página 568

Vista general de Terminal Services „ 565

 Guía de administración de Secure Access de Juniper Networks

Experiencia del usuario de Terminal Services

Desde la perspectiva del usuario final, el acceso a los recursos de servicios de
terminal seguro a través del IVE es simple. Cuando habilite la característica
Terminal Services para un rol de usuario, el usuario final simplemente deberá
realizar las siguientes tareas:

1. Especificar el recurso al que el usuario desea obtener acceso: El usuario

puede especificar el recurso al que desea tener acceso haciendo clic en un
enlace o introduciendo el recurso en la barra de navegación del IVE. O bien,
si habilita el inicio automático para un marcador, el IVE automáticamente
iniciará el recurso para el usuario cuando inicie sesión en el IVE.

2. Introducir las credenciales para el recurso: Cuando el usuario tiene acceso al

recurso, el IVE le solicita que introduzca su nombre de usuario y su contraseña
(si lo requiere el recurso). O bien, si habilita SSO, el IVE automáticamente envía
esta información al recurso sin solicitárselo al usuario. Cuando el recurso
verifica las credenciales, el IVE inicia el recurso.

Los usuarios pueden obtener acceso a los recursos de los servicios de terminal
a través de uno de los siguientes métodos:

„ Marcadores de sesión: Un marcador de sesión define diversa información,

como el servidor al que se puede conectar el usuario, los parámetros de la
ventana de la sesión del terminal y el nombre de usuario y contraseña que el
IVE envía al servidor del terminal de Windows o al servidor MetaFrame. Puede
crear distintos marcadores de sesión para un rol, de modo que el usuario pueda
tener acceso a varios servidores usando marcadores de sesión diferentes para
cada uno. (Los usuarios pueden abrir de forma simultánea sesiones múltiples
en el mismo servidor del terminal o en servidores diferentes.)

„ Direcciones URL desde otros sitios Web: En la mayoría de los casos, los
usuarios tienen acceso a los marcadores de la sesión directamente desde la
consola del usuario final del IVE. Si no desea requerir a los usuarios que inicien
sesión en la consola de usuario final del IVE para tener acceso a los enlaces de
los servicios de terminal, puede crear direcciones URL en otros sitios Web que
apunten a los marcadores de sesión que ya ha creado en el IVE. O bien, puede
crear direcciones URL que incluyan todos los parámetros que desea pasar al
programa Terminal Services, como los parámetros del host, de los puertos y de
la ventana del terminal.

NOTA: Si crea vínculos en servidores externos para marcadores de los servicios de

terminal en el IVE y usa varias URL de inicio de sesión personalizadas, es posible
que se presenten algunas restricciones. Consulte la nota en “Directivas de inicio de
sesión” en la página 211.

„ Barra de navegación del IVE: Además de permitir a los usuarios enlazar con
vínculos de los servicios de terminal a través de marcadores y direcciones URL,
también puede habilitarlos para que tengan acceso a estos recursos a través de
la barra de navegación del IVE en los sistemas Windows. Los usuarios pueden
obtener acceso a los servidores Citrix MetaFrame o NFuse introduciendo
ica://hostname en la casilla de navegación. O bien, los usuarios pueden obtener
acceso a los servicios de terminal de Microsoft o a las sesiones de escritorio
introduciendo rdp://hostname en la casilla de navegación.

566 „ Vista general de Terminal Services

 Capítulo 22: Terminal Services

Ejecución de Terminal Services

Cuando un usuario intenta obtener acceso a un recurso de servicios de terminal,
el IVE completa los siguientes pasos para iniciar e intermediar la sesión de servicios
de terminal:

1. El IVE busca un cliente Java.

Para habilitar una sesión de servicios de terminal, el usuario necesita un cliente

RDP en su sistema (para tener acceso a un servidor de terminal de Windows)
o en un cliente ICA (para tener acceso a un servidor Citrix MetaFrame o las
granjas de terminales). Estos clientes vienen en las versiones de Windows y
Java y le permiten al usuario ejecutar una aplicación en el servidor mientras
sólo transmite información del teclado, mouse y pantalla sobre la red.

El IVE le permite cargar una versión de Java del cliente RDP o ICA a través del
perfil de recursos de los servicios de terminal (pero no el rol). Si ha cargado un
cliente al IVE y especificado que el IVE siempre lo utilice para ejecutar las
sesiones de terminal de sus usuarios, el IVE inicia el cliente Java especificado.

2. (sólo Citrix) De ser necesario, el IVE busca un cliente Windows.

Si no ha actualizado un cliente Java al IVE, el IVE busca una versión para

Windows del cliente ICA. Si el IVE no puede encontrar un cliente ICA para
Windows, instala la versión que usted especifique en la página Users > User
Roles > Rol >Terminal Services > Options de la consola de administración del
IVE.

3. El IVE busca el proxy de los servicios de terminal.

Para intermediar una sesión de Windows o Citrix, el usuario necesita un proxy

de Terminal Services de Windows de Juniper en sus sistemas o un proxy de
Citrix Terminal Services Juniper Networks. El IVE busca el proxy apropiado
en el equipo del usuario y, si no puede encontrarlo, instala uno nuevo.
Dependiendo de los derechos del usuario, el IVE usa un componente ActiveX
o un componente Java para instalar el proxy.

4. El proxy intenta invocar el cliente Windows.

Cuando el IVE confirma que hay un proxy instalado en el equipo del usuario,
el proxy intenta invocar el cliente RDP o ICA para Windows. Si lo logra,
el cliente inicia la sesión de servicios de terminal del usuario y el proxy
intermedia el tráfico de la sesión.

5. El proxy intenta invocar el cliente Java.

Si no hay un cliente Windows en el equipo del usuario (por ejemplo, debido

a que se eliminó o a que el usuario no tiene los privilegios adecuados para
instalarlo), pero usted ha cargado uno al IVE a través del perfil de recursos de
servicios de terminal, el IVE usa el applet de Java cargado para iniciar la sesión.

Vista general de Terminal Services „ 567

 Guía de administración de Secure Access de Juniper Networks

Como parte de la instalación, el IVE le preguntará al usuario si desea usar

siempre el cliente Java o sólo para esta sesión. El IVE luego almacena la
preferencia del usuario como una cookie persistente. Cuando el cliente Java
está instalado, el cliente inicia la sesión de servicios de terminal del usuario
y el proxy intermedia el tráfico de la sesión.

NOTA:

„ Para obtener más información acerca de los archivos específicos que instala
el IVE cuando habilita la característica Terminal Services, además de los
derechos necesarios para instalar y ejecutar los clientes asociados,
consulte el manual Client-side Changes Guide en Customer Support Center
de Juniper Networks.

„ Para obtener más información acerca de cuándo usar la característica

Terminal Services u otros mecanismos de acceso del IVE para obtener acceso
a los recursos de Citrix, consulte “Comparación de los mecanismos de acceso
del IVE para la configuración de Citrix” en la página 362.

Configuración de Citrix para admitir el equilibrio de carga de ICA

La característica Terminal Services del IVE admite la conexión a granjas de
servidores Citrix en las que se configuran previamente las aplicaciones publicadas
(como se describe posteriormente en este tema). El IVE no admite configuraciones
de equilibro de carga en las que los servidores NFuse recuperan dinámicamente
una lista de las aplicaciones publicadas de Citrix dentro de una granja de servidores.

Vista general de equilibrio de carga de Citrix

El IVE admite los siguientes escenarios de equilibrio de carga de Citrix:

1. El administrador de Citrix pone una aplicación publicada a disposición de

los servidores Citrix múltiples en una granja al generar un archivo ICA
personalizado. El archivo ICA generado contiene un parámetro llamado
HTTPBrowserAddress que señala la dirección IP y el número de puerto del
navegador principal (es decir, el servidor que realiza el equilibrio de carga).

2. Cuando el cliente ICA intenta iniciar una aplicación publicada en el equipo del
usuario, usa el parámetro HTTPBrowserAddress para conectarse con el
navegador principal.

3. El navegador principal ejecuta el comando ping hacia los servidores de la granja

para determinar sus cargas y devuelve al cliente ICA las direcciones IP de los
servidores menos ocupados.

4. El cliente ICA usa la dirección IP que regresa el navegador principal para

conectarse con el servidor de terminal adecuado.

568 „ Vista general de Terminal Services

 Capítulo 22: Terminal Services

Configuración del equilibrio de carga de Citrix

Para que el IVE funcione adecuadamente con una granja Citrix, debe configurar
ambos de la forma en que se describe en los siguientes pasos. Tenga en cuenta
que estas instrucciones se basan en el uso de un servidor Citrix MetaFrame
Presentation 3.0.

1. En el servidor Citrix, habilite un servidor (o servidores múltiples) en su granja

como el navegador principal:

a. Haga clic con el botón secundario en la granja MetaFrame y seleccione

Properties.

b. Seleccione Metaframe Settings.

c. Introduzca el puerto TCP/IP para el servicio Citrix XML.

2. En el servidor Citrix, publique las aplicaciones que están almacenadas en los

servidores MetaFrame XP de la granja:

a. Haga clic con el botón secundario en el enlace Applications y seleccione

Publish applications.

b. Especifique qué escritorio o aplicación va a publicar.

c. Siga las instrucciones del asistente.

d. Especifique la lista de servidores que almacenan la aplicación que está

publicando y haga clic en Finish.

La aplicación publicada especificada aparece en la granja de servidores.

3. En el servidor Citrix, cree un archivo ICA de Citrix correspondiente para la

aplicación publicada:

a. Seleccione la aplicación que publicó en el paso 2 y seleccione Create

ICA file.

b. Siga las instrucciones del asistente.

c. En la página del servidor TCP/IP + HTTP, introduzca el nombre del

servidor HTTPBrowser y el número de puerto. (El puerto debe coincidir
con el puerto del Servicio Citrix XML que estableció en el paso 1.)

d. Guarde el archivo ICA.

4. En el IVE, cargue el archivo ICA usando los ajustes para archivo de cualquiera
de las siguientes páginas de la consola de administración:

„ Users > User Roles > Seleccionar rol > Terminal Services > Sessions

„ Users > Resource Profiles > Seleccionar perfil

5. En el IVE, cree una directiva de recursos para el servidor HTTPBrowser y para

el puerto introducidos en el paso 3.

Vista general de Terminal Services „ 569

 Guía de administración de Secure Access de Juniper Networks

6. En el IVE, pruebe la configuración mediante el inicio del marcado como un

usuario final.

NOTA:

„ Uno de los servidores Citrix de la granja debe realizar el equilibrio de cargas,

no el IVE.

„ Si el cliente ICA ya está instalado en el escritorio del usuario, entonces no se

necesita contar con derechos de administrador. Para obtener más información
acerca de los derechos necesarios para usar la característica Terminal
Services, consulte el manual Client-side Changes Guide en Customer Support
Center de Juniper Networks.

„ Si la respuesta XML del navegador principal contiene el nombre del host,

no funcionará a través del IVE. Para asegurarse de que la respuesta sea en
formato de puntos y puertos (una dirección IP), desmarque la casilla de
verificación Enable XML service DNS address resolution durante la
configuración del servidor del navegador. Esta opción controla si el servidor
Citrix de destino está representado como un nombre de host o como una
dirección IP.

Para obtener más información acerca de cuándo usar la característica Terminal

Services u otros mecanismos de acceso del IVE para obtener acceso a los recursos
de Citrix, consulte “Comparación de los mecanismos de acceso del IVE para la
configuración de Citrix” en la página 362.

Definición de perfiles de recursos: Vista general de Terminal Services

Las instrucciones para configurar los perfiles de recursos de Terminal Services son
distintas dependiendo de si desea configurar el acceso a un servidor de terminal
Windows (que requiere un cliente RDP) o a un servidor de terminal Citrix (que
requiere un cliente ICA). Además, si elige configurar el acceso a un servidor Citrix
usando un archivo ICA personalizado, incluirá varios de los ajustes de configuración
en el mismo archivo ICA y, por lo tanto, no será necesario que los configure a través
del IVE. Sin embargo. si configura el acceso a un servidor Citrix usando el archivo
ICA predeterminado en el IVE, deberá configurar ajustes adicionales a través
del IVE.

Los siguientes temas incluyen información acerca de la configuración del acceso

a servidores de terminal Windows y Citrix usando perfiles de recursos de servicios
de terminal:

„ “Definición de perfiles de recursos: Windows Terminal Services” en la

página 572

„ “Definición de perfiles de recursos: Terminal Services de Citrix

(ICA predeterminado)” en la página 583

„ “Definición de perfiles de recursos: Terminal Services de Citrix

(ICA personalizado)” en la página 591

570 „ Definición de perfiles de recursos: Vista general de Terminal Services

 Capítulo 22: Terminal Services

Al crear alguno de estos tipos de perfiles de recursos, tenga en cuenta que también
puede crear marcadores de sesión de servicios de terminal. Un marcador de sesión
de servicios de terminal define la información del servidor de terminal a la que los
usuarios se pueden conectar y (opcionalmente) define las aplicaciones que ellos
pueden usar en el servidor de terminal. Cuando cree un perfil de recursos a un
servidor de terminal Windows o Citrix usando un archivo ICA predeterminado,
el IVE crea automáticamente un marcador de sesión que enlaza al host que usted
especifica en el perfil de recursos. El IVE le permite modificar este marcador de
sesión y crear marcadores de sesión adicionales en el mismo host. Los marcadores
de sesión que usted define aparecen en el panel Terminal Services de la consola del
usuario final para los usuarios que asignan al rol correspondiente.

Puede crear marcadores múltiples para el mismo recurso de servicios de terminal

para proporcionar un acceso fácil a diversas aplicaciones. Por ejemplo, el servidor
definido en su perfil de recursos puede proporcionar acceso a diversas aplicaciones
(como Siebel y Outlook). Para proporcionar un acceso más fácil a estas
aplicaciones, puede crear marcadores de perfiles de recursos para cada una.
O bien, puede usar marcadores múltiples para configurar el inicio de sesión único
en una aplicación pero no en otra.

NOTA: Al configurar marcadores de sesión, tenga en cuenta que:

„ Para cambiar el host o los puertos para un marcador de sesión de servicios de

terminal creado mediante un perfil de recursos, debe editar los valores usando
la ficha Resource del perfil de recursos (no su ficha Bookmark).

„ Sólo puede asignar marcadores de sesión a roles que ya haya asociado con el
perfil de recursos, no a todas los roles definidos en el IVE. Para cambiar la lista
de roles asociados al perfil de recursos, utilice los parámetros de la ficha Roles.

„ Los marcadores de sesión simplemente controlan los vínculos que muestra

el IVE a los usuarios, no los recursos a los que los usuarios pueden obtener
acceso. Por ejemplo, si habilita el acceso a un servidor de terminal mediante
un perfil de recursos, pero no crea un marcador de sesión correspondiente en
ese servidor, aun así el usuario puede obtener acceso al servidor
introduciéndolo en la casilla Address de la página principal del IVE.

„ Asegúrese de introducir un conjunto único de parámetros al definir un

marcador de servicios de terminal. Si crea dos marcadores que contienen el
mismo conjunto de parámetros, el IVE elimina uno de los marcadores de la
vista del usuario final. Aún puede ver ambos marcadores, pero en la consola
de administración.

Para obtener más información sobre los marcadores del perfil de recursos, consulte
“Definición de marcadores” en la página 98.

Definición de perfiles de recursos: Vista general de Terminal Services „ 571

 Guía de administración de Secure Access de Juniper Networks

Definición de perfiles de recursos: Windows Terminal Services

Este tema describe cómo configurar un perfil de recursos de servicios de terminal
que permiten acceso a un servidor de terminal Windows usando un cliente RDP.

Para crear un perfil de recursos de servicios de terminal de Windows:

1. Seleccione la página Users > Resource Profiles > Terminal Services en la

consola de administración.

2. Haga clic en New Profile. O bien, seleccione un perfil existente desde la lista.

3. Seleccione Windows Terminal Services desde la lista Type.

4. Introduzca un nombre único y una descripción opcional para el perfil

de recursos. (Este nombre será el nombre predeterminado del marcador
de sesión.)

5. En el campo Host especifique el servidor y el puerto al que este perfil de

recurso se debe conectar. Para introducir el servidor, puede introducir un
nombre de host o una dirección IP. Consulte “Uso de variables del sistema en
territorios, roles y directivas de recursos” en la página 1054. Para obtener
información acerca de cómo emparejar direcciones IP y nombres de host,
consulte “Especificación de la opción de recursos de Terminal Services” en la
página 617.

6. En la casilla Server Port introduzca el puerto de recepción del servidor de

terminal. (De forma predeterminada, el IVE agrega el puerto 3389 en esta
casilla.)

7. Seleccione la casilla de verificación Create an access control policy allowing

Terminal Service access to this server para permitir el acceso al servidor
especificado en la casilla Server Port (habilitada De forma predeterminada).

8. Si desea permitir la intermediación usando un cliente Java, seleccione Enable

Java support y luego especifique qué cliente Java debe usar el IVE. Para obtener
información detallada, consulte “Definición de directivas automáticas del
applet de Java hospedado” en la página 573.

9. Haga clic en Save and Continue.

10. En la ficha Roles, seleccione roles a los que se aplica el perfil de recursos y haga
clic en Add.

Los roles seleccionados heredan la directiva automática y los marcadores de

sesión creados por el perfil de recursos. En caso de no estar habilitada, el IVE
también activa automáticamente la opción Terminal Services en la página
Users > User Roles > Seleccionar rol > General > Overview de la consola
de administración para todos los roles que seleccione.

572 „ Definición de perfiles de recursos: Windows Terminal Services

 Capítulo 22: Terminal Services

11. Haga clic en Save Changes.

12. (Opcional) En la ficha Bookmarks, modifique el marcador de sesión

predeterminado creado por el IVE o cree marcadores nuevos siguiendo las
instrucciones de “Definición de un marcador para un perfil de servicios de
terminal de Windows” en la página 575. De forma predeterminada, el IVE crea
un marcador en el servidor definido en la casilla Host y lo muestra a todos los
usuarios asignados al rol especificado en la ficha Roles.

Definición de directivas automáticas del applet de Java hospedado

Las directivas automáticas del applet de Java hospedado le permiten almacenar
clientes Java de servicios de terminal directamente en el IVE sin tener que usar un
servidor Web separado para hospedarlos. Puede asociar estos applets de Java con el
perfil de recursos y especificar que el IVE siempre los utilice para intermediar el
tráfico, o que el IVE recurra a los applets cuando no haya otro cliente de servicios
de terminal disponible en el sistema del usuario. Para obtener más información
acerca de la forma en que los applets de Java hospedados funcionan y de las
restricciones que se aplican al configurarlos, consulte “Plantillas de applets de Java
hospedados” en la página 345.

NOTA: Aunque puede usar un applet de Java para intermediar el tráfico a un

recurso con SSO habilitado, no lo recomendamos ya que es posible que el applet
requiera que se indique la contraseña del usuario como texto plano.

Para crear una directiva automática de applet de Java hospedado:

1. Cree un perfil de recursos de servicios de terminal como se explica en las

siguientes secciones:

„ “Definición de perfiles de recursos: Windows Terminal Services” en la

página 572

„ “Definición de perfiles de recursos: Terminal Services de Citrix

(ICA predeterminado)” en la página 583

„ “Definición de perfiles de recursos: Terminal Services de Citrix

(ICA personalizado)” en la página 591

2. Seleccione Enable Java support dentro del perfil de recursos.

Definición de perfiles de recursos: Windows Terminal Services „ 573

 Guía de administración de Secure Access de Juniper Networks

3. Seleccione el applet de Java que desea asociar con el perfil de recursos de la

lista Applet to use. O bien, si el applet que desea usar no se encuentra
disponible actualmente en la lista, haga clic en Edit Applet. Seguidamente:

a. Haga clic en New Applet para agregar un applet a esta lista. O bien,
seleccione un applet existente y haga clic en Replace (para reemplazar un
applet existente con uno nuevo) o Delete (para eliminar un applet del IVE).

NOTA:

„ Si reemplaza un archivo existente, asegúrese de que el nuevo archivo de

almacenamiento del applet contiene todos los archivos necesarios para que el
applet se inicie y ejecute correctamente. Si el HTML asociado con el applet se
refiere a archivos que no existen en el archivo de almacenamiento nuevo,
entonces el applet no funcionará correctamente.

„ El IVE sólo permite que elimine applets que no se encuentran en uso por un
perfil de recursos Web o de servicios de terminal.

„ Si selecciona la opción Enable Java support y tiene un archivo ICA

personalizado que cargó al IVE, su archivo HTML se llena automáticamente
con referencias a su archivo ICA. No se necesitan agregar códigos HTML
adicionales.

b. Introduzca un nombre para identificar el applet en la casilla Name. (Esto se

aplica sólo para applets nuevos o reemplazados.)

c. Busque el applet que desea cargar en el IVE. Puede cargar applets (archivos
.jar o .cab) o archivos de almacenamiento (archivos .zip, .jar y .tar) que
contengan applets y todos los recursos que los applets necesitan. (Esto se
aplica sólo para applets nuevos o reemplazados.)

d. Si el archivo que selecciona es un archivo de almacenamiento que contiene

el applet, seleccione la casilla de verificación Uncompress jar/cab file.
(Esto se aplica sólo para applets nuevos o reemplazados.)

e. Haga clic en OK y en Close Window.

NOTA: Cuando selecciona un applet en el cuadro de diálogo Java Applets, carga

software de terceros en el producto Juniper Network. Al hacer clic en OK, acepta
los siguientes términos en su nombre (como comprador del equipo) o en nombre
de la organización que compró el producto Juniper, según corresponda:

Al cargar software de terceros en el producto Juniper Networks, usted es

responsable de obtener todos los derechos necesarios para el uso, copia o
distribución de dicho software en o con el producto Juniper Networks.
Juniper Networks no es responsable de ninguna obligación que surja del uso
de dicho software de terceros y no brindará asistencia por éste. El uso de software
de terceros puede interferir con el funcionamiento adecuado del producto o
software Juniper Networks, lo que puede anular la garantía del producto o
software Juniper Networks.

574 „ Definición de perfiles de recursos: Windows Terminal Services

 Capítulo 22: Terminal Services

4. Cree una definición de página HTML en la casilla HTML que incluya referencias
para sus applets de Java. El tamaño máximo del archivo HTML que se puede
especificar es 25k. A continuación, llene todos los atributos y parámetros
requeridos usando las pautas de las siguientes secciones:

„ “Atributos necesarios para los applets de Java cargados” en la página 354

„ “Parámetros necesarios para los applets de Java cargados” en la página 356

Si usa un HTML generado por el IVE, asegúrese de buscar en el código HTML

para “__PLEASE_SPECIFY__” y actualice el código según corresponda.

También puede agregar cualquier código HTML o JavaScript adicional que elija
a esta definición de página Web. El IVE vuelve a introducir todo el código que
introduzca en esta casilla.

NOTA: Asegúrese de introducir un HTML único en esta casilla. Si crea dos

marcadores que contienen el mismo código HTML, el IVE elimina uno de los
marcadores de la vista del usuario final. Aún puede ver ambos marcadores,
pero en la consola de administración.

5. Seleccione Use this Java applet as a fallback mechanism para usar este applet
sólo cuando el cliente Windows no pueda iniciar. O bien, seleccione Always use
this Java applet para usar este applet sin importar si el cliente Windows inicia
o no.

6. Haga clic en Save Changes.

Definición de un marcador para un perfil de servicios de terminal de Windows

Cuando cree un perfil de recurso de servicios de terminal, el IVE crea
automáticamente un marcador que se enlaza al servidor de terminal especificado
en el perfil de recurso. El IVE le permite modificar este marcador y crear
marcadores adicionales en el mismo servidor de terminal. (Para obtener más
información y advertencias acerca de la configuración de los marcadores de
servicios de terminal, consulte “Definición de perfiles de recursos: Vista general de
Terminal Services” en la página 570.)

Para configurar marcadores de perfil de recursos para los servicios de terminal

de Windows:

1. Seleccione la página Users > Resource Profiles > Terminal Services >
Seleccionar perfil de recurso > Bookmarks en la consola de administración.

2. Haga clic en el vínculo correspondiente de la columna Bookmark si desea

modificar un marcador de sesión existente. O bien haga clic en New Bookmark
para crear un marcador de sesión adicional.

NOTA: Aunque por lo general es más fácil crear un marcador de sesión de perfil
de recursos mediante la página de configuración del perfil de recursos, también
puede elegir crear una con la página de roles de usuario. Para obtener
instrucciones, consulte “Creación de un marcador de Terminal Services de
Windows mediante la página User Roles” en la página 577.

Definición de perfiles de recursos: Windows Terminal Services „ 575

 Guía de administración de Secure Access de Juniper Networks

3. (Opcional) Cambie el nombre y la descripción del marcador de sesión.

(De forma predeterminada, el IVE llena y nombra el marcador de sesión
con el nombre del perfil de recursos).

4. Especifique la forma en la que la ventana de emulación del terminal debe

mostrarse al usuario durante una sesión de terminal mediante las opciones
de configuración del área Settings de la página de configuración de los
marcadores. Consulte “Definición de las opciones de visualización para la
sesión de Terminal Services de Windows” en la página 578.

5. Transmita las credenciales del usuario del IVE al servidor del terminal para que
los usuarios puedan iniciar sesión en el servidor del terminal sin tener que
introducir las credenciales de forma manual. Puede hacer esto mediante las
opciones de configuración en el área Session de la página de configuración de
los marcadores. Consulte “Definición de las opciones de SSO para la sesión de
servicios de terminal de Windows” en la página 578.

6. Otorgue a los usuarios acceso a aplicaciones específicas en el servidor del

terminal usando las opciones de configuración en el área Start Application de la
página de configuración de los marcadores. Además, puede usar los ajustes en
esta área para definir las opciones de inicio automático y de fiablilidad de la
sesión. Consulte “Definición de los ajustes de la aplicación para la sesión de
servicios de terminal de Windows” en la página 579.

7. Otorgue a los usuarios acceso a los recursos locales como impresoras

y unidades a través de la sesión de terminal mediante las opciones de
configuración del área Connect Devices de la página de configuración de los
marcadores. Consulte “Definición de las conexiones de dispositivo para la
sesión de servicios de terminal de Windows” en la página 580.

8. Especifique la forma en la que la ventana de emulación del terminal debe

mostrarse al usuario durante una sesión de terminal mediante las opciones
de configuración del área Desktop Settings. Consulte “Definición de los ajustes
de escritorio para la sesión de servicios de terminal de Windows” en la
página 582.

9. Especifique los roles para los que desea mostrar los marcadores de sesión si
configura el marcador de sesión mediante las páginas de perfiles de recursos,
en Roles:

„ ALL selected roles: Muestra el marcador de sesión a todos los roles

asociados con el perfil de recursos.

„ Subset of selected roles: Muestra el marcador de sesión a un subgrupo

de roles asociados con el perfil de recursos. Seleccione los roles de la lista
ALL Selected Roles y haga clic en Add para moverlos a la lista Subset of
selected roles.

10. Haga clic en Save Changes.

576 „ Definición de perfiles de recursos: Windows Terminal Services

 Capítulo 22: Terminal Services

Creación de un marcador de Terminal Services de Windows mediante la

página User Roles
Por lo general, es más fácil crear un marcador de servicios de terminal mediante las
páginas de configuración de perfiles de recursos, como se explicó anteriormente.
Sin embargo, puede elegir crear un marcador de sesión del perfil de recursos a
través de la página de roles de usuario con las siguientes instrucciones:

1. Seleccione la página Users > User Roles > Seleccionar rol > Terminal
Services > Sessions en la consola de administración.

2. Haga clic en Add Session.

3. Seleccione Terminal Services Resource Profile en la lista Type. (El IVE no

muestra esta opción si no ha creado un perfil de recursos de servicios de
terminal.)

4. Seleccione un perfil de recursos existente que se conecte a un servidor de

terminal Windows en el IVE. (El IVE llena automáticamente las casillas Host
y Server Port usando los ajustes del perfil de recursos seleccionado.)

5. Haga clic en OK. (Si aún no ha asociado el rol seleccionado con el perfil de
recursos, el IVE realiza la asociación de forma automática. El IVE también
habilita cualquier directiva de control de acceso para el rol que requiere el
perfil de recursos.)

6. Si este rol aún no ha sido asociado con el perfil de recursos seleccionado,

el IVE muestra un mensaje informativo. Si ve este mensaje, haga clic en Save
Changes para agregar este rol a la lista de roles del perfil de recursos y para
actualizar las directivas automáticas del perfil, según se requiera. A
continuación, repita el paso anterior para crear el marcador de sesión.

NOTA: Al crear un marcador de sesión de perfil de recursos mediante la página de

roles de usuario (en lugar de la página de perfiles de recursos estándar), el IVE sólo
asocia el marcador de sesión generado con el rol seleccionado. El IVE no asigna el
marcador de sesión con todos los roles asociados con el perfil de recursos
seleccionado.

7. (Opcional) Cambie el nombre y la descripción del marcador de sesión.

(De forma predeterminada, el IVE llena los nombres que usa el marcador
de sesión con el nombre del perfil de recursos).

8. Use las instrucciones de los temas siguientes para configurar los ajustes
del marcador.

Definición de perfiles de recursos: Windows Terminal Services „ 577

 Guía de administración de Secure Access de Juniper Networks

Definición de las opciones de visualización para la sesión de Terminal

Services de Windows
Cuando configure un marcador de servicios de terminal, puede especificar la forma
en la que debe aparecer la ventana de emulación a los usuarios durante sus
sesiones de terminal.

Para definir las opciones de visualización y de inicio automático:

1. Cree un marcador de servicios de terminal o edite un marcador existente

siguiendo las instrucciones en “Definición de un marcador para un perfil de
servicios de terminal de Windows” en la página 575.

2. Desplácese al área Settings de la página de configuración de los marcadores.

3. Seleccione una opción desde la lista desplegable Screen Size si desea cambiar
el tamaño de la ventana de los servicios de terminal en la estación de trabajo
del usuario. (De forma predeterminada, el IVE establece el tamaño de la
ventana en pantalla completa.)

NOTA: Si selecciona la opción Full Screen y se conecta a un servidor de terminal

de Windows, el IVE deberá modificar el archivo de los hosts del usuario para
mostrar el nombre de host correcto en la ventana de servicios de terminal. Si el
usuario no tiene los derechos correspondientes para modificar el archivo hosts,
el IVE mostrará la dirección de bucle invertido en su lugar.

Tenga en cuenta también que para restaurar el archivo hosts a su estado original
después de ejecutar la ventana de servicios de terminal, el usuario debe cerrar
adecuadamente su aplicación. De lo contrario, es posible que otras aplicaciones
que usan el archivo hosts (como JSAM y Host Checker) no funcionen
adecuadamente. El usuario también puede restaurar su archivo hosts a su estado
original al reiniciando el sistema o cambiando el nombre al archivo hosts de
respaldo (hosts_ive.bak).

4. Seleccione color de 8-bit, 15-bit, 16-bit, 24-bit o de 32-bit desde la lista Color
Depth si desea cambiar la profundidad del color de los datos de la sesión de
terminal. (De forma predeterminada, el IVE configura la profundidad del color
en 8 bits.)

5. Haga clic en Save Changes.

Definición de las opciones de SSO para la sesión de servicios de terminal

de Windows
Cuando configure un marcador de servicios de terminal, puede configurar el IVE
para que transmita las credenciales del usuario desde el IVE al servidor de terminal
para que el usuario no tenga que introducir manualmente su nombre de usuario
y contraseña. El IVE transmite las credenciales especificadas cuando un usuario
hace clic en el marcador de sesión. Si las credenciales no funcionan, el servidor
le solicitará al usuario que introduzca su nombre de usuario y contraseña de
forma manual.

578 „ Definición de perfiles de recursos: Windows Terminal Services

 Capítulo 22: Terminal Services

Para obtener más información acerca de cómo transmitir credenciales a un

servidor de terminal y a otras aplicaciones habilitadas con SSO, consulte
“Información general de credenciales de inicios de sesión múltiples” en la
página 226.

Para definir las opciones de inicio de sesión único (SSO):

1. Cree un marcador de servicios de terminal o edite un marcador existente

siguiendo las instrucciones en “Definición de un marcador para un perfil de
servicios de terminal de Windows” en la página 575.

2. Desplácese al área Authentication de la página de configuración de los

marcadores.

3. Especifique el nombre de usuario que debe pasar el IVE al servidor de terminal.

Puede introducir un nombre de usuario estático o una variable. Introduzca la
variable <username> para transmitir el nombre de usuario almacenado en el
servidor de autenticación primario del IVE. O bien, use la siguiente sintaxis
para enviar el nombre de usuario del servidor de autenticación secundario:
<username@SecondaryServerName> o <username[2]>.

4. Seleccione Password si desea especificar una contraseña estática o seleccione

Variable Password si desea usar la contraseña almacenada en el servidor de
autenticación primario o secundario del IVE. Para usar la contraseña del
servidor de autenticación primario, introduzca la variable <password>. O bien,
use la siguiente sintaxis para enviar la contraseña del servidor de autenticación
secundario: <Password@SecondaryServerName> o <Password[2]>.

5. Haga clic en Save Changes.

Definición de los ajustes de la aplicación para la sesión de servicios de

terminal de Windows
Cuando configure un marcador de servicios de terminal, puede especificar que los
usuarios sólo tengan acceso a aplicaciones específicas en el servidor de terminal.

Para definir las aplicaciones a las que el usuario puede tener acceso:

1. Cree un marcador de servicios de terminal o edite un marcador existente

siguiendo las instrucciones en “Definición de un marcador para un perfil de
servicios de terminal de Windows” en la página 575.

2. Desplácese al área Start Application de la página de configuración de los

marcadores.

3. Seleccione la casilla de verificación Launch seamless window para hacer que

el servidor de aplicaciones de Windows administre la visualización de la
aplicación. Esto permite que la ventana de una aplicación se comporte de la
misma manera que una aplicación que se ejecuta en el servidor de aplicaciones
de Windows, sin importar cuál es el entorno de escritorio del usuario.

NOTA: Si no está configurado el SSO, la opción de ventana integrada sólo se

admite en Remote Desktop Protocol (RDP) versión 6.0 o posterior.

Introduzca el nombre alias del servidor (sólo para servidores que ejecutan
Windows 2008 y posteriores) en la casilla Alias name.

Definición de perfiles de recursos: Windows Terminal Services „ 579

 Guía de administración de Secure Access de Juniper Networks

4. En la casilla Path to application, especifique dónde residen los archivos

ejecutables de la aplicación en el servidor de terminal (visible sólo cuando
desmarca Launch seamless window). Por ejemplo, puede introducir el
siguiente directorio para la aplicación Microsoft Word:

C:\Program Files\Microsoft Office\Office10\WinWord.exe

5. Especifique dónde debe colocar el servidor de terminal los archivos de trabajo

para la aplicación en la casilla Working directory. Por ejemplo, puede
especificar que Microsoft Word guarde los archivos en el siguiente directorio de
forma predeterminada:

C:\Documents and Settings\username\My Documents

NOTA: Puede usar las variables de sesión del IVE como <username> y <password>
en las casillas Path to application y Working directory. Por ejemplo, cuando
especifica una ruta de la aplicación, puede incluir la variable <username> para
personalizar la ubicación. Por ejemplo: C:\Documents and
Settings\<username>\My Documents. Para obtener una lista completa de variables
de sesión válidas para el IVE, consulte “Variables del sistema y ejemplos” en la
página 1046.

6. Seleccione la casilla de verificación Auto-launch si desea iniciar

automáticamente este marcador de sesión de Terminal Services cuando los
usuarios inicien sesión en el IVE. Cuando selecciona esta opción, el IVE inicia la
aplicación de servicios de terminal en una ventana separada cuando el usuario
inicia sesión en el IVE.

7. Haga clic en Save Changes.

Definición de las conexiones de dispositivo para la sesión de servicios de

terminal de Windows
Cuando configure un marcador de servicios de terminal, puede especificar los
recursos locales a los que los usuarios pueden tener acceso a través de la sesión
de terminal.

NOTA:

„ El IVE no proporciona acceso a los usuarios a los recursos locales cuando se

usan applets de Java para intermediar el tráfico. Por lo tanto, tenga en cuenta
que si selecciona la opción Enable Java Applets cuando crea un perfil de
recursos de Terminal Services de Windows, es posible que las opciones de
conexión de dispositivos descritas a continuación no funcionen.

„ Cuando habilita recursos locales a través del servidor de terminal, cada

usuario sólo puede tener acceso a sus propios recursos locales. Por ejemplo,
el usuario 1 no puede ver los directorios locales del usuario 2.

580 „ Definición de perfiles de recursos: Windows Terminal Services

 Capítulo 22: Terminal Services

Para definir los recursos locales a los que los usuarios pueden tener acceso:

1. Cree un marcador de servicios de terminal o edite un marcador existente

siguiendo las instrucciones en “Definición de un marcador para un perfil de
servicios de terminal de Windows” en la página 575.

2. Desplácese al área Connect Devices de la página de configuración de los

marcadores.

3. Seleccione Connect local drives para conectar la unidad local del usuario con
el servidor de terminal, permitiéndole al usuario copiar la información desde el
servidor de terminal a sus directorios locales del cliente.

4. Seleccione Connect local printers para conectar las impresoras locales del
usuario con el servidor de terminal, permitiéndole al usuario imprimir
información desde el servidor de terminal en su impresora local.

5. Seleccione Connect COM Ports para conectar los puertos COM del usuario
al servidor de terminal, permitiendo la comunicación entre el servidor de
terminal y los dispositivos en sus puertos serie.

6. Seleccione Allow Clipboard Sharing para permitir que los contenidos del
portapapeles se compartan entre el equipo host del usuario y el servidor de
terminal. Debido a limitaciones en las versiones del cliente RDP anteriores
a la 6.0, al desmarcar la opción Allow Clipboard Sharing se inhabilitarán
automáticamente las opciones Connect local drives, Connect local printers
y Connect COM Ports.

7. Seleccione Connect smart cards para permitir que los usuarios usen tarjetas
inteligentes para autenticar sus sesiones de escritorio remoto.

NOTA: Las tarjetas inteligentes son compatibles con Remote Desktop Protocol de
Microsoft versión 5.1 y posteriores.

8. Seleccione Sound Options para habilitar el sonido durante la sesión remota.

Seleccione Bring to this computer para redirigir el audio al equipo local.
Seleccione Leave at remote computer para reproducir el audio sólo en
el servidor.

NOTA: Las opciones de sonido son compatibles con Remote Desktop Protocol de
Microsoft versión 5.1 y posteriores.

9. Haga clic en Save Changes.

Definición de perfiles de recursos: Windows Terminal Services „ 581

 Guía de administración de Secure Access de Juniper Networks

Definición de los ajustes de escritorio para la sesión de servicios de

terminal de Windows
Cuando configure un marcador de servicios de terminal, puede especificar la forma
en la que debe aparecer la ventana de emulación al usuario durante su sesión de
terminal.

NOTA: Las opciones de este tema se aplican sólo a los marcadores de Terminal
Services de Windows.

Para definir los ajustes de visualización para las sesiones de los usuarios:

1. Cree un marcador de servicios de terminal o edite un marcador existente

siguiendo las instrucciones en “Definición de un marcador para un perfil de
servicios de terminal de Windows” en la página 575.

2. Desplácese al área Display Settings de la página de configuración de los

marcadores.

3. Seleccione Desktop background para mostrar un fondo con papel tapiz a los
usuarios. Si no selecciona esta opción, el fondo estará vacío.

4. Seleccione Show contents of window while dragging para mostrar los

contenidos de la ventana Explorer de Windows mientras el usuario mueve las
ventanas en los escritorios.

5. Seleccione Menu and window animation para animar el movimiento de

ventanas, menús y listas.

6. Seleccione Themes para permitir que los usuarios agreguen temas de Windows
en sus ventanas del servidor de terminal.

7. Seleccione Bitmap Caching para mejorar el rendimiento al minimizar la

cantidad de información de pantalla que se transmite por una conexión.

8. Seleccione Font Smoothing (RDP 6.0 onwards) para suavizar el texto y hacerlo
más fácil de leer. Esta opción sólo funciona en equipos con Windows Vista que
ejecuten clientes RDP de versión 6.0 o posterior.

9. Seleccione Desktop Composition (RDP 6.0 onwards) para permitir la

composición del escritorio. Con la composición del escritorio, las ventanas
individuales no aparecen directamente en la pantalla. En cambio, las imágenes
se redirigen a la memoria de vídeo, la que luego las envía en una imagen de
escritorio y las presenta en la pantalla.

10. Haga clic en Save Changes.

582 „ Definición de perfiles de recursos: Windows Terminal Services

 Capítulo 22: Terminal Services

Definición de perfiles de recursos: Terminal Services de Citrix

(ICA predeterminado)
Esta sección describe cómo configurar el acceso al servidor MetaFrame de Citrix
usando un archivo de configuración ICA predeterminado.

Para crear un perfil de recursos de Terminal Services de Citrix que use los ajustes
ICA predeterminados:

1. Seleccione la página Users > Resource Profiles > Terminal Services en la

consola de administración.

2. Haga clic en New Profile. O bien, seleccione un perfil existente desde la lista.

3. Seleccione Citrix using default ICA en la lista Type.

4. (Sólo para perfiles de recursos existentes) Si desea personalizar el archivo ICA

predeterminado que viene con el IVE, haga clic en el enlace Open, personalice
el archivo y cárguelo al IVE siguiendo las instrucciones en “Definición de
perfiles de recursos: Terminal Services de Citrix (ICA personalizado)” en la
página 591.

5. Introduzca un nombre único y una descripción opcional para el perfil

de recursos. (Este nombre será el nombre predeterminado del marcador
de sesión.)

6. En la casilla Host especifique el servidor y el puerto al que este perfil de recurso

se debe conectar. Cuando introduzca al servidor, puede introducir un nombre
de host o una dirección IP. Consulte “Uso de variables del sistema en territorios,
roles y directivas de recursos” en la página 1054. Para obtener información
acerca de cómo emparejar direcciones IP y nombres de host, consulte
“Especificación de la opción de recursos de Terminal Services” en la
página 617.

7. En el campo Port Server introduzca el puerto de recepción del servidor de

terminal. (De forma predeterminada, el IVE agrega el puerto 1494 en este
campo para Citrix.)

8. Seleccione la casilla de verificación Create an access control policy allowing

Terminal Service access to this server para permitir el acceso al servidor
especificado en la casilla Server Port (habilitada De forma predeterminada).

9. Permita la intermediación usando un cliente Java seleccionando Enable Java

support y luego especifique qué cliente Java debe usar el IVE. Consulte
“Definición de directivas automáticas del applet de Java hospedado” en la
página 573.

10. Haga clic en Save and Continue.

Definición de perfiles de recursos: Terminal Services de Citrix (ICA predeterminado) „ 583

 Guía de administración de Secure Access de Juniper Networks

11. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.

Los roles seleccionados heredan la directiva automática y los marcadores de

sesión creados por el perfil de recursos. En caso de no estar habilitada, el IVE
también activa automáticamente la opción Terminal Services en la página
Users > User Roles > Seleccionar rol > General > Overview de la consola de
administración para todos los roles que seleccione.

12. Haga clic en Save Changes.

13. (Opcional) En la ficha Bookmarks, modifique el marcador de sesión

predeterminado creado por el IVE o cree marcadores nuevos siguiendo las
instrucciones de “Definición de un marcador para un perfil de servicios de
terminal de Windows” en la página 575. (De forma predeterminada, el IVE crea
un marcador en el servidor definido en la casilla Host y lo muestra a todos los
usuarios asignados al rol especificado en la ficha Roles.)

Definición de un marcador para un perfil Citrix usando los ajustes de ICA

predeterminados
Cuando cree un perfil de recursos de Terminal Services, el IVE crea
automáticamente un marcador que se enlaza al servidor de terminal especificado
en el perfil de recurso. El IVE le permite modificar este marcador y crear
marcadores adicionales en el mismo servidor de terminal. (Para obtener
advertencias acerca de la configuración de los marcadores de servicios de terminal,
consulte “Definición de perfiles de recursos: Vista general de Terminal Services” en
la página 570.)

Para configurar marcadores de perfiles de recursos para Terminal Services de Citrix

usando los ajustes de ICA predeterminados:

1. Seleccione Users > Resource Profiles > Terminal Services > Seleccionar
perfil de recurso > Bookmarks en la consola de administración.

2. Haga clic en el vínculo correspondiente de la columna Bookmark si desea

modificar un marcador de sesión existente. O bien haga clic en New Bookmark
para crear un marcador de sesión adicional.

NOTA: Aunque por lo general es más fácil crear un marcador de sesión de perfil
de recursos mediante la página de configuración del perfil de recursos, también
puede optar por crear una con la página de roles de usuario. Para obtener
instrucciones, consulte “Creación de un marcador de servicios de terminal de
Citrix mediante la página User Roles” en la página 585.

3. (Opcional) Cambie el nombre y la descripción del marcador de sesión.

(De forma predeterminada, el IVE llena y nombra el marcador de sesión
con el nombre del perfil de recursos).

4. Especifique la forma en la que la ventana de emulación del terminal debe

mostrarse al usuario durante una sesión de terminal mediante las opciones
de configuración del área Settings de la página de configuración de los
marcadores. Consulte “Definición de las opciones de visualización para la
sesión de servicios de terminal de Citrix” en la página 586.

584 „ Definición de perfiles de recursos: Terminal Services de Citrix (ICA predeterminado)

 Capítulo 22: Terminal Services

5. Transmita las credenciales del usuario del IVE al servidor del terminal para que
los usuarios puedan iniciar sesión en el servidor del terminal sin tener que
introducir las credenciales de forma manual. Puede hacer esto usando las
opciones de configuración en el área Session de la página de configuración de
los marcadores. Consulte “Definición de las opciones de SSO para la sesión de
servicios de terminal de Citrix” en la página 587.

6. Otorgue a los usuarios acceso a aplicaciones específicas en el servidor del

terminal usando las opciones de configuración en el área Start Application de la
página de configuración de los marcadores. Además, puede usar los ajustes en
esta sección para definir las opciones de inicio automático y de fiablilidad de la
sesión. Consulte “Definición de ajustes de aplicación, inicio automático y
fiablilidad de la sesión para la sesión de servicios de terminal de Citrix” en la
página 588.

7. Otorgue a los usuarios acceso a los recursos locales como impresoras y

unidades a través de la sesión del terminal usando las opciones de
configuración de la sección Connect Devices de la página de configuración de
los marcadores. Consulte “Definición de las conexiones de dispositivo para la
sesión de servicios de terminal de Citrix” en la página 590.

8. Especifique los roles para los que desea mostrar el marcador de sesión si
configurará el marcador de sesión mediante las páginas de perfiles de recursos,
en Roles:

„ ALL selected roles: Muestra el marcador de sesión a todos los roles

asociados con el perfil de recursos.

„ Subset of selected roles: Muestra el marcador de sesión a un subgrupo

de roles asociados con el perfil de recursos. Seleccione los roles de la lista
ALL selected roles y haga clic en Add para moverlos a la lista Subset of
selected roles.

9. Haga clic en Save Changes.

Creación de un marcador de servicios de terminal de Citrix mediante la

página User Roles
Por lo general, es más fácil crear un marcador de servicios de terminal mediante
las páginas de configuración de perfiles de recursos, como se explicó en el tema
anterior. No obstante, puede optar por crear un marcador de sesión del perfil de
recursos a través de la página de roles de usuario con las siguientes instrucciones:

1. Seleccione la página Users > User Roles > Seleccionar rol > Terminal
Services > Sessions en la consola de administración.

2. Haga clic en Add Session.

3. Elija Terminal Services Resource Profile en la lista Type. (El IVE no muestra
esta opción si no ha creado un perfil de recursos de servicios de terminal.)

4. Seleccione un perfil de recursos existente que conecte a un servidor Citrix

usando el archivo ICA predeterminado en el IVE. (El IVE llena automáticamente
los campos Host y Server Port usando los ajustes del perfil de recursos
seleccionado.)

Definición de perfiles de recursos: Terminal Services de Citrix (ICA predeterminado) „ 585

 Guía de administración de Secure Access de Juniper Networks

5. Haga clic en OK. (Si aún no ha asociado el rol seleccionado con el perfil de
recursos, el IVE realiza la asociación de forma automática. El IVE también
habilita cualquier directiva de control de acceso para el rol que requiere el perfil
de recursos.)

6. Si este rol aún no ha sido asociado con el perfil de recursos seleccionado, el IVE
muestra un mensaje informativo. Si ve este mensaje, haga clic en Save
Changes para agregar este rol a la lista de roles del perfil de recursos y para
actualizar las directivas automáticas del perfil, según se requiera. A
continuación, repita el paso anterior para crear el marcador de sesión.

NOTA: Al crear un marcador de sesión de perfil de recursos mediante la página de

roles de usuario (en lugar de la página de perfiles de recursos estándar), el IVE sólo
asocia el marcador de sesión generado con el rol seleccionado. El IVE no asigna el
marcador de sesión con todos los roles asociados con el perfil de recursos
seleccionado.

7. (Opcional) Cambie el nombre y la descripción del marcador de sesión.

(De forma predeterminada, el IVE llena y nombra el marcador de sesión
con el nombre del perfil de recursos.)

8. Use las instrucciones de los temas siguientes para configurar los ajustes
del marcador.

Definición de las opciones de visualización para la sesión de servicios de

terminal de Citrix
Cuando configure un marcador de servicios de terminal, puede especificar la forma
en la que debe aparecer la ventana de emulación a los usuarios durante sus
sesiones de terminal.

Para definir las opciones de pantalla, inicio automático y fiablilidad de la sesión:

1. Cree un marcador de servicios de terminal o edite un marcador existente

siguiendo las instrucciones en “Definición de un marcador para un perfil Citrix
usando los ajustes de ICA predeterminados” en la página 584.

2. Desplácese al área Settings de la página de configuración de los marcadores.

3. Seleccione una opción desde la lista desplegable Screen Size si desea cambiar
el tamaño de la ventana de los servicios de terminal en la estación de trabajo
del usuario. (De forma predeterminada, el IVE establece el tamaño de la
ventana en pantalla completa.)

586 „ Definición de perfiles de recursos: Terminal Services de Citrix (ICA predeterminado)

 Capítulo 22: Terminal Services

4. Seleccione color de 8-bit, 15-bit, 16-bit, 24-bit o de 32-bit desde la lista Color
Depth si desea cambiar la profundidad del color de los datos de la sesión de
terminal. (De forma predeterminada, el IVE configura la profundidad del color
en 8 bits.)

NOTA: Cuando configure un marcador de sesión de Citrix, tenga en cuenta que

el ajuste que escoja aquí y el ajuste del escritorio local del usuario afectarán a la
profundidad del color de la pantalla del cliente. Si estos ajustes no coinciden,
el usuario verá la profundidad de color más baja de las dos posibles durante la
sesión. Por ejemplo, si selecciona color de 16-bit durante la configuración del IVE,
pero el escritorio local del usuario está configurado en 8 bits, el usuario verá con
profundidad de color de 8 bits durante su sesión.

5. Haga clic en Save Changes.

Definición de las opciones de SSO para la sesión de servicios de terminal

de Citrix
Cuando configure un marcador de servicios de terminal, puede configurar el IVE
para que transmita las credenciales del usuario desde el IVE al servidor de terminal
para que el usuario no tenga que introducir manualmente su nombre de usuario y
contraseña. El IVE transmite las credenciales especificadas cuando un usuario hace
clic en el marcador de sesión. Si las credenciales no funcionan, el servidor le
solicitará al usuario que introduzca su nombre de usuario y contraseña de
forma manual.

Para obtener más información acerca de cómo transmitir credenciales a

un servidor de terminal y a otras aplicaciones habilitadas con SSO, consulte
“Información general de credenciales de inicios de sesión múltiples” en la
página 226.

Para definir las opciones de inicio de sesión único (SSO):

1. Cree un marcador de servicios de terminal o edite un marcador existente

siguiendo las instrucciones en “Definición de un marcador para un perfil Citrix
usando los ajustes de ICA predeterminados” en la página 584 o “Definición de
un marcador para un perfil Citrix usando un archivo ICA personalizado” en la
página 593.

2. Desplácese al área Authentication de la página de configuración de los

marcadores.

3. Especifique el nombre de usuario que debe pasar el IVE al servidor de terminal

en el campo Username. Puede introducir un nombre de usuario estático o una
variable. Introduzca la variable <username> para transmitir el nombre de
usuario almacenado en el servidor de autenticación primario del IVE. O bien,
use la siguiente sintaxis para enviar el nombre de usuario del servidor de
autenticación secundario: <username@SecondaryServerName> o
<username[2]>.

Definición de perfiles de recursos: Terminal Services de Citrix (ICA predeterminado) „ 587

 Guía de administración de Secure Access de Juniper Networks

4. Seleccione Password si desea especificar una contraseña estática o seleccione

Variable Password si desea usar la contraseña almacenada en el servidor de
autenticación primario o secundario del IVE. Para usar la contraseña del
servidor de autenticación primario, introduzca la variable <password>. O bien,
use la siguiente sintaxis para enviar la contraseña del servidor de autenticación
secundario: <Password@SecondaryServerName> o <Password[2]>.

5. (Sólo para el archivo ICA predeterminado y las aplicaciones de la lista.)

Seleccione Use domain credentials para transmitir las credenciales del
dominio en el caché del usuario al servidor MetaFrame de Citrix (también
llamada autenticación pass-through). Cuando seleccione esta opción, el IVE
usa el cliente Program Neighborhood de Citrix para intermediar la sesión de
terminal de Citrix.

NOTA: Si desea descargar el cliente Program Neighborhood, seleccione Users >

User Roles > Seleccionar rol > Terminal Services > Options en la consola de
administración e introduzca la dirección URL en la casilla Download from URL.
Visite el sitio Web de Citrix para conocer la ubicación del último archivo del cliente
Program Neighborhood cab.

Cuando seleccione la opción Use domain credentials, también debe habilitar

la SSO a través del archivo de ajustes del usuario (appsrv.ini). Si el usuario
ya ha iniciado sesión correctamente en el servidor MetaFrame usando las
credenciales de dominio en el caché, este ajuste ya debería estar habilitado.
De lo contrario, usted o el usuario deben:

a. Configurar EnableSSOnThruICAFile=On en appsrv.ini. Puede ubicar appsrv.ini

en el directorio %HOMEPATH%\Application Data\ICAClient.

b. Configure UseLocalUserAndPassword=On en el archivo ICA.

Si no ha habilitado la SSO a través del archivo INI, se le solicitará al usuario que

introduzca sus credenciales de forma manual cuando intente obtener acceso al
servidor de MetaFrame a través del IVE.

6. Haga clic en Save Changes.

Definición de ajustes de aplicación, inicio automático y fiablilidad de la

sesión para la sesión de servicios de terminal de Citrix
Cuando configure un marcador de servicios de terminal, puede especificar que los
usuarios sólo tengan acceso a aplicaciones específicas en el servidor de terminal.

Para definir las aplicaciones a las que el usuario puede tener acceso:

1. Cree un marcador de servicios de terminal o edite un marcador existente

siguiendo las instrucciones en “Definición de un marcador para un perfil Citrix
usando los ajustes de ICA predeterminados” en la página 584.

2. Desplácese al área Start Application de la página de configuración de los

marcadores.

588 „ Definición de perfiles de recursos: Terminal Services de Citrix (ICA predeterminado)

 Capítulo 22: Terminal Services

3. Seleccione la casilla de verificación Launch seamless window para hacer que

el servidor de aplicaciones de Windows administre la visualización de la
aplicación. Esto permite que la ventana de una aplicación se comporte de la
misma manera que una aplicación que se ejecuta en el servidor de aplicaciones
de Windows, sin importar cuál es el entorno de escritorio del usuario.

NOTA: Si no está configurado el SSO, la opción de ventana integrada sólo se

admite en Remote Desktop Protocol (RDP) versión 6.0 o posterior.

Introduzca el nombre alias del servidor en el campo Alias Name (sólo para
servidores que ejecutan Windows 2008 y posteriores).

4. En la casilla Path to application, especifique dónde residen los archivos

ejecutables de la aplicación en el servidor de terminal (visible sólo cuando
desmarca Launch seamless window). Por ejemplo, puede introducir el
siguiente directorio para la aplicación Microsoft Word:

C:\Program Files\Microsoft Office\Office10\WinWord.exe

5. Especifique dónde debe colocar el servidor de terminal los archivos de trabajo

para la aplicación en el campo Working directory. Por ejemplo, puede
especificar que Microsoft Word guarde los archivos en el siguiente directorio
de forma predeterminada:

C:\Documents and Settings\<username>\My Documents

NOTA: Puede usar las variables de sesión del IVE como <username> y <password>
en las casillas Path to application y Working directory. Por ejemplo, cuando
especifica una ruta de la aplicación, puede incluir la variable <username>
para personalizar la ubicación. Por ejemplo: C:\Documents and
Settings\<username>\My Documents. Para obtener una lista completa de variables
de sesión válidas para el IVE, consulte “Variables del sistema y ejemplos” en la
página 1046.

6. Seleccione la casilla de verificación Auto-launch si desea iniciar

automáticamente este marcador de sesión de servicios de terminal cuando los
usuarios inicien sesión en el IVE. Cuando selecciona esta opción, el IVE inicia la
aplicación de servicios de terminal en una ventana separada cuando el usuario
inicia sesión en el IVE.

7. Seleccione Session Reliability and Auto-client reconnect para mantener las

sesiones ICA activas y en la pantalla del usuario cuando la conectividad de red
se interrumpa. Los usuarios continúan viendo la aplicación que están usando
hasta que la conectividad de red se reanuda o el tiempo de la fiablilidad de la
sesión se acaba (el valor del tiempo de espera la define el producto Citrix).
Introduzca el puerto que se usará en la casilla Port to be enabled.

8. Haga clic en Save Changes.

Definición de perfiles de recursos: Terminal Services de Citrix (ICA predeterminado) „ 589

 Guía de administración de Secure Access de Juniper Networks

Definición de las conexiones de dispositivo para la sesión de servicios

de terminal de Citrix
Cuando configure un marcador de servicios de terminal, puede especificar los
recursos locales a los que los usuarios pueden tener acceso a través de la sesión
de terminal.

NOTA: Para que los ajustes Connect Devices tengan efecto, también deben
habilitarse en el servidor MetaFrame. Por ejemplo, si habilita Connect Drives
en el IVE, pero lo inhabilita en el servidor MetaFrame, entonces éste bloqueará
el acceso a las unidades locales. Tenga en cuenta que si desmarca la casilla de
verificación Configure access to local resources, los ajustes del servidor
MetaFrame tendrán efecto.

Para definir los recursos locales a los que los usuarios pueden tener acceso:

1. Cree un marcador de servicios de terminal o edite un marcador existente

siguiendo las instrucciones en “Definición de un marcador para un perfil Citrix
usando los ajustes de ICA predeterminados” en la página 584 o “Definición de
un marcador para un perfil de servicios de terminal de Windows” en la
página 575.

2. Desplácese al área Connect Devices de la página de configuración de los

marcadores.

3. Seleccione Connect local drives si desea conectar la unidad local del usuario
con el servidor de terminal, permitiéndole al usuario copiar la información
desde el servidor de terminal a sus directorios locales del cliente.

4. Seleccione Connect local printers si desea conectar las impresoras locales

del usuario con el servidor de terminal, permitiéndole al usuario imprimir
información desde el servidor de terminal en su impresora local.

5. Seleccione Connect COM Ports si desea conectar los puertos COM del usuario
al servidor de terminal, permitiendo la comunicación entre el servidor de
terminal y los dispositivos en sus puertos serie.

NOTA: Cuando habilita recursos locales a través del servidor de terminal,

cada usuario sólo puede tener acceso a sus propios recursos locales. Por ejemplo,
el usuario 1 no puede ver los directorios locales del usuario 2.

6. Haga clic en Save Changes.

590 „ Definición de perfiles de recursos: Terminal Services de Citrix (ICA predeterminado)

 Capítulo 22: Terminal Services

Definición de perfiles de recursos: Terminal Services de Citrix

(ICA personalizado)
Use este tipo de perfil de recursos para habilitar una sesión de terminal en un
servidor MetaFrame de Citrix usando los ajustes que especifique en un archivo ICA
personalizado. Use archivos ICA personalizados para habilitar las sesiones de
terminal en los servidores MetaFrame de Citrix o en los servidores NFuse que rigen
granjas de servidores Citrix (en otras palabras, para equilibrio de cargas). También
puede usar archivos ICA personalizados para enlazar a servidores únicos, de ser
necesario. Cuando selecciona esta opción, el IVE usa los parámetros de sesión
definidos en el archivo ICA personalizado especificado.

NOTA: Para habilitar la conexión entre el IVE y la granja de servidores Citrix, debe
usar el protocolo TCP/IP+HTTP para navegar y especificar el puerto y la dirección
IP del servidor MetaFrame de Citrix o NFuse. El IVE no admite el reenvío de
puertos UDP.

Para crear un perfil de recursos de Citrix que use un archivo ICA personalizado:

1. Seleccione la página Users > Resource Profiles > Terminal Services en la

consola de administración.

2. Haga clic en New Profile. O bien, seleccione un perfil existente desde la lista.

3. Seleccione Citrix using custom ICA file en la lista Type.

4. Especifique en la casilla ICA File el archivo ICA que contiene los parámetros de
la sesión que desea usar. Tenga en cuenta que puede descargar y personalizar
los siguientes archivos ICA desde el IVE:

„ El archivo ICA que viene con el IVE: Para personalizar este archivo,
haga clic en el enlace Open, guarde el archivo en su equipo local,
personalice el archivo según lo necesite y vuelva a cargarlo al IVE usando
la opción Browse. Si personaliza este archivo, debe volver incluir los
siguientes parámetros en él default.ica: <CITRIX_CLIENT_NAME>, <APPDATA>
y <TARGET_SERVER>.

Definición de perfiles de recursos: Terminal Services de Citrix (ICA personalizado) „ 591

 Guía de administración de Secure Access de Juniper Networks

„ El archivo ICA que ya asoció con el perfil de recursos: Para personalizar

este archivo, haga clic en el enlace Current ICA File, guarde el archivo en
su equipo local y personalice el archivo según lo necesite. Cuando realice
los cambios, debe cargar la versión revisada al IVE usando la opción
Browse.

NOTA:

„ Antes de cargar el archivo ICA, debe probarlo para confirmar que inicia la
sesión Citrix correctamente. Para realizar la prueba, cree un archivo ICA
y acceda directamente a él. Si el archivo muestra la sesión de Citrix
correctamente, entonces debe funcionar a través del IVE.

„ Si ha configurado TWIMode=on y ajustado la aplicación inicial en Desktop

(modo integrado), debe inhabilitar la SSO en la configuración de los
marcadores de los servicios de terminal en el IVE para poder probar el archivo
ICA como se describe.

„ Cuando utilice tecnología de reescritura Java para pasar los applets de JICA de
Citrix a través del IVE, debe configurar el parámetro proxyType en el archivo
ICA como None (incluso si un proxy del lado cliente está configurado en el
navegador).

5. Introduzca un nombre único y una descripción opcional para el perfil de

recursos. (Este nombre será el nombre predeterminado del marcador de
sesión.)

6. Habilite el acceso a los servidores especificados en el archivo ICA

personalizado:

a. Seleccione la casilla de verificación Autopolicy: Terminal Services

Access Control.

b. En el campo Resource especifique los servidores MetaFrame a los que

desea habilitar el acceso.

c. Elija Allow para permitir el acceso a los recursos especificados o Deny para
bloquear el recurso especificado de la lista Action.

d. Haga clic en Add.

7. Habilite la intermediación usando un cliente Java al seleccionar Enable Java

support y siga las instrucciones en “Definición de directivas automáticas del
applet de Java hospedado” en la página 573.

Si selecciona la opción Enable Java support y tiene un archivo ICA

personalizado que cargó al IVE, su archivo HTML se llena automáticamente con
referencias a su archivo ICA. No se necesitan agregar códigos HTML
adicionales.

8. Haga clic en Save and Continue.

592 „ Definición de perfiles de recursos: Terminal Services de Citrix (ICA personalizado)

 Capítulo 22: Terminal Services

9. En la casilla Roles, seleccione los roles a las que se aplica el perfil de recursos
y haga clic en Add.

Los roles seleccionados heredan la directiva automática y los marcadores de

sesión creados por el perfil de recursos. En caso de no estar habilitada, el IVE
también habilita automáticamente la opción Terminal Services en la página
Users > User Roles > Seleccionar rol > General > Overview de la consola de
administración para todos los roles que seleccione.

10. Haga clic en Save Changes.

11. (Opcional) En la ficha Bookmarks, modifique el marcador de sesión

predeterminado creado por el IVE o cree marcadores nuevos siguiendo las
instrucciones de “Definición de un marcador para un perfil Citrix usando un
archivo ICA personalizado” en la página 593. (De forma predeterminada, el IVE
crea un marcador en el servidor definido en el archivo ICA personalizado y lo
muestra a todos los usuarios asignados al rol especificado en la ficha Roles.)

Definición de un marcador para un perfil Citrix usando un archivo ICA personalizado

Cuando cree un perfil de recurso de servicios de terminal, el IVE crea
automáticamente un marcador que se enlaza al servidor de terminal especificado
en el perfil de recurso. El IVE le permite modificar este marcador y crear
marcadores adicionales en el mismo servidor de terminal. (Para obtener
advertencias acerca de la configuración de los marcadores de servicios de terminal,
consulte “Definición de perfiles de recursos: Vista general de Terminal Services” en
la página 570.)

Para configurar marcadores de perfiles de recursos para Terminal Services de Citrix

usando los ajustes de ICA personalizados:

1. Seleccione Users > Resource Profiles > Terminal Services > Seleccionar
perfil de recurso > Bookmarks en la consola de administración.

Haga clic en el vínculo correspondiente de la columna Bookmark si desea

modificar un marcador de sesión existente. O bien haga clic en New Bookmark
para crear un marcador de sesión adicional.

NOTA: Aunque por lo general es más fácil crear un marcador de sesión de perfil
de recursos mediante la página de configuración del perfil de recursos, también
puede elegir crear una con la página de roles de usuario. Para obtener
instrucciones, consulte “Creación de un marcador de servicios de terminal de
Citrix mediante la página User Roles” en la página 585.

2. (Opcional) Cambie el nombre y la descripción del marcador de sesión.

(De forma predeterminada, el IVE llena y nombra el marcador de sesión
con el nombre del perfil de recursos).

Definición de perfiles de recursos: Terminal Services de Citrix (ICA personalizado) „ 593

 Guía de administración de Secure Access de Juniper Networks

3. Transmita las credenciales del usuario del IVE al servidor del terminal para que
los usuarios puedan iniciar sesión en el servidor del terminal sin tener que
introducir las credenciales de forma manual. Puede hacer esto mediante las
opciones de configuración en el área Session de la página de configuración de
los marcadores. Consulte “Definición de las opciones de SSO para la sesión de
servicios de terminal de Citrix” en la página 587.

4. Inicie automáticamente este marcador de sesión de servicios de terminal

cuando un usuario inicie sesión en el IVE al seleccionar la casilla de verificación
Auto-launch. Cuando selecciona esta opción, el IVE inicia la aplicación de
servicios de terminal en una ventana separada cuando el usuario inicia sesión
en el IVE.

5. En Roles, especifique los roles a los que desea mostrar los marcadores
de sesión:

„ ALL selected roles: Muestra el marcador de sesión a todos los roles

asociados con el perfil de recursos.

„ Subset of selected roles: Muestra el marcador de sesión a un subgrupo

de roles asociados con el perfil de recursos. Seleccione los roles de la lista
ALL selected roles y haga clic en Add para moverlos a la lista Subset of
selected roles.

6. Haga clic en Save Changes.

Definición de perfiles de recursos: Lista de aplicaciones Citrix

Citrix creó aplicaciones publicadas para satisfacer las necesidades de seguridad.
Es peligroso permitir que cualquier archivo se ejecute en el servidor. Con las
aplicaciones publicadas, sólo se publican las aplicaciones que pueden ejecutarse.

Con el IVE, estas aplicaciones publicadas se muestran en la página de índice del IVE
como marcadores de servicios de terminal.

Para crear un perfil Citrix que muestre las aplicaciones publicadas:

1. Seleccione Users > Resource Profiles > Terminal Services en la consola

de administración.

2. Haga clic en New Profile.

3. Seleccione Citrix Listed Applications en la lista Type.

4. Introduzca un nombre único y una descripción opcional para el perfil de

recursos. Este nombre será el nombre predeterminado del marcador de sesión.

594 „ Definición de perfiles de recursos: Lista de aplicaciones Citrix

 Capítulo 22: Terminal Services

5. Introduzca la dirección IP y el puerto del servidor MetaFrame de Citrix donde

se está ejecutando el servicio XML.

No es necesario introducir el número de puerto si está usando el valor

predeterminado. El puerto predeterminado es el 80 (si está seleccionado SSL,
el puerto predeterminado es el 443).

Puede introducir más de un servidor. Si la conexión presenta un error en un

servidor, se usará el próximo servidor de la lista.

6. Haga clic en la casilla de verificación Use SSL for connecting to Citrix XML
Service para enviar la contraseña a través de SSL en vez de un texto puro.

NOTA: Aunque el texto puro es compatible, recomendamos que siempre use SSL
para evitar problemas de seguridad.

7. Introduzca el nombre de usuario, la contraseña y el nombre del dominio

para conectarse al servidor MetaFrame de Citrix donde se está ejecutando
el servicio XML.

Puede introducir credenciales de variables como <USERNAME> y <PASSWORD>.

Si usa credenciales de variables, La opción Subset of selected Applications se
inhabilita en la ventana Bookmarks.

Cuando el usuario obtiene la lista de aplicaciones, sus credenciales se envían

al servicio XML de Citrix, sustituyendo las variables de contexto de la sesión
<USERNAME> <PASSWORD>. Sólo se regresan las aplicaciones específicas
del usuario (como lo determina el administrador Citrix).

8. Habilite el acceso a los servidores especificados en el archivo ICA

personalizado:

a. Seleccione la casilla de verificación Autopolicy: Terminal Services

Access Control.

b. En el campo Resource especifique los servidores MetaFrame a los que

desea habilitar el acceso.

c. Elija Allow para permitir el acceso a los recursos especificados o Deny para
bloquear el recurso especificado de la lista Action.

d. Haga clic en Add.

9. Permita la intermediación usando un cliente Java seleccionando Enable Java

support y luego especifique qué cliente Java debe usar el IVE. Consulte
“Definición de directivas automáticas del applet de Java hospedado” en la
página 573.

10. Haga clic en Save and Continue.

Definición de perfiles de recursos: Lista de aplicaciones Citrix „ 595

 Guía de administración de Secure Access de Juniper Networks

11. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.

Los roles seleccionados heredan la directiva automática y los marcadores de

sesión creados por el perfil de recursos. En caso de no estar habilitada, el IVE
también habilita automáticamente la opción Terminal Services en la página
Users > User Roles > Seleccionar rol > General > Overview de la consola
de administración para todas los roles que seleccione.

12. Haga clic en Save Changes.

13. (Opcional) En la casilla Bookmarks, modifique el marcador de sesión

predeterminado creado por el IVE o cree marcadores nuevos siguiendo las
instrucciones de “Definición de un marcador para las aplicaciones de la lista del
perfil de Citrix” en la página 596.

Definición de un marcador para las aplicaciones de la lista del perfil de Citrix

Cuando cree un perfil de recurso de servicios de terminal, el IVE crea
automáticamente un marcador que se enlaza al servidor de terminal especificado
en el perfil de recurso. El IVE le permite modificar este marcador y crear
marcadores adicionales en el mismo servidor de terminal. (Para obtener
advertencias acerca de la configuración de los marcadores de servicios de terminal,
consulte “Definición de perfiles de recursos: Vista general de Terminal Services” en
la página 570.)

Para configurar marcadores de perfil de recursos para las aplicaciones de la lista de

servicios de terminal de Citrix:

1. Seleccione Users > Resource Profiles > Terminal Services >

Perfil de recurso > Bookmarks en la consola de administración.

Haga clic en el vínculo correspondiente de la columna Bookmark si desea

modificar un marcador de sesión existente. O bien haga clic en New Bookmark
para crear un marcador de sesión adicional.

NOTA: Aunque por lo general es más fácil crear un marcador de sesión de perfil
de recursos mediante la página de configuración del perfil de recursos, también
puede optar por crear una con la página de roles de usuario. Para obtener
instrucciones, consulte “Creación de un marcador de servicios de terminal de
Citrix mediante la página User Roles” en la página 585.

2. (Opcional) Cambie el nombre y la descripción del marcador de sesión.

(De forma predeterminada, el IVE llena y nombra el marcador de sesión
con el nombre del perfil de recursos).

596 „ Definición de perfiles de recursos: Lista de aplicaciones Citrix

 Capítulo 22: Terminal Services

3. En Applications, seleccione las aplicaciones que desea establecer como

disponibles para el usuario final.

„ ALL Applications: Permite que todos los archivos ejecutables en el servidor

estén disponibles para el usuario final.

„ Subset of selected applications: Seleccione los archivos ejecutables en la

lista Available y haga clic en Add para permitir que sólo esas aplicaciones
se ejecuten. La lista Available se rellena automáticamente desde el servidor
Metaframe.

Esta opción se inhabilita cuando introduce credenciales de variables,

como <USERNAME> y <PASSWORD> cuando define el perfil de recursos.

4. En Settings, especifique la forma en la que la ventana de emulación debe

aparecer a los usuarios durante las sesiones de terminal.

NOTA: No puede cambiar la dirección IP o el puerto de ejecución del servicio XML

para conectarse al servicio XML o al cliente Java para usarlo como intermediación.

a. Seleccione una opción desde la lista desplegable Screen Size si desea

cambiar el tamaño de la ventana de los servicios de terminal en la estación
de trabajo del usuario.

b. (Opcional) Seleccione color de 8-bit, 15-bit, 16-bit, 24-bit o de 32-bit

desde la lista Color Depth si desea cambiar la profundidad del color de los
datos de la sesión de terminal. Consulte “Definición de las opciones de
tamaño y profundidad de color de la pantalla para la sesión de servicios de
terminal” en la página 602.

NOTA: Aunque por lo general es más fácil crear un marcador de sesión de perfil de
recursos mediante la página de configuración del perfil de recursos, puede crear
una mediante la página de roles de usuario. Consulte “Creación de un marcador
de servicios de terminal de Citrix mediante la página User Roles” en la
página 585.

5. En Session, puede configurar el IVE para que transmita las credenciales del
usuario desde el IVE al servidor de terminal para que el usuario no tenga que
introducir manualmente su nombre de usuario y contraseña. Consulte
“Definición de las opciones de SSO para la sesión de servicios de terminal de
Citrix” en la página 587.

a. Especifique el nombre de usuario que debe pasar el IVE al servidor de

terminal en la casilla Username. Puede introducir un nombre de usuario
estático o una variable.

b. Seleccione Password si desea especificar una contraseña estática o

seleccione Variable Password si desea usar la contraseña almacenada
en el servidor de autenticación primario o secundario del IVE.

Definición de perfiles de recursos: Lista de aplicaciones Citrix „ 597

 Guía de administración de Secure Access de Juniper Networks

c. Seleccione Use domain credentials para transmitir las credenciales del

dominio en el caché del usuario al servidor MetaFrame de Citrix (también
llamada autenticación de paso a través). Cuando seleccione esta opción,
el IVE usa el cliente Program Neighborhood de Citrix para intermediar la
sesión de terminal de Citrix.

NOTA: Si desea descargar el cliente Program Neighborhood de Citrix, seleccione

Users > User Roles > Seleccionar rol > Terminal Services > Options en la
consola de administración e introduzca la siguiente dirección URL en la casilla
Download from URL: http://download2.citrix.com/FILES/en/products/client/
ica/client9230/wficat.cab

Cuando seleccione la opción Use domain credentials, también debe

habilitar la SSO a través del archivo de ajustes del usuario (appsrv.ini).
Consulte “Definición de las opciones de SSO para la sesión de servicios de
terminal de Citrix” en la página 587

6. En Connect Devices, especifique qué dispositivos de usuario se conectarán al

servidor de terminal.

„ Connect local drives: Conecte la unidad local del usuario con el servidor
de terminal, permitiéndole al usuario copiar la información desde el
servidor de terminal a sus directorios locales del cliente.

„ Seleccione Connect local printers: Conecte las impresoras locales del

usuario con el servidor de terminal, permitiéndole al usuario imprimir
información desde el servidor de terminal en su impresora local.

„ Seleccione Connect COM Ports: Conecte los puertos COM del usuario al
servidor de terminal, permitiendo la comunicación entre el servidor de
terminal y los dispositivos en sus puertos serie.

7. En Roles, especifique los roles a los que desea mostrar los marcadores
de sesión:

„ ALL selected roles: Muestra el marcador de sesión a todos los roles

asociados con el perfil de recursos.

„ Subset of selected roles: Muestra el marcador de sesión a un subgrupo de roles

asociados con el perfil de recursos. Seleccione los roles de la lista ALL Selected
Rolesy haga clic en Add para moverlos a la lista Subset of selected roles.

8. Haga clic en Save Changes.

598 „ Definición de perfiles de recursos: Lista de aplicaciones Citrix

 Capítulo 22: Terminal Services

Definición de los ajustes de rol: Terminal Services

Cuando habilita la opción Terminal Services a través de la consola de
administración, puede crear marcadores de sesión del IVE en su servidor de
terminal. Un marcador de sesión de servicios de terminal define la información del
servidor de terminal a la que los usuarios se pueden conectar y (opcionalmente)
define las aplicaciones que ellos pueden usar en el servidor de terminal. Los
marcadores de sesión que usted define aparecen en el panel Terminal Services de la
consola del usuario final para los usuarios que asignan al rol correspondiente.

Puede usar dos métodos distintos para crear los marcadores de sesión de servicios
de terminal:

„ Crear marcadores de sesión a través de perfiles de recurso existentes

(recomendado): Cuando selecciona este método, el IVE completa
automáticamente el marcador de sesión con parámetros clave (como el tipo de
sesión) utilizando parámetros del perfil de recursos. Además, mientras crea el
perfil de recursos asociado, el IVE lo guía a través del proceso de creación de
cualquier directiva necesaria para habilitar el acceso al marcador de sesión.
Para obtener instrucciones de configuración, consulte “Definición de un
marcador para un perfil de servicios de terminal de Windows” en la página 575
y “Definición de un marcador para un perfil Citrix usando un archivo ICA
personalizado” en la página 593.

„ Crear marcadores de sesión estándar: Cuando selecciona esta opción,

debe introducir manualmente todos los parámetros de marcadores de sesión
durante la configuración. Además, debe habilitar el acceso a la característica
Terminal Services y crear directivas de recursos que permitan el acceso a los
servidores definidos en el marcador de sesión (como se explica en “Resumen
de tareas: Configuración de la característica Terminal Services” en la
página 564). Para obtener instrucciones sobre la configuración, consulte
“Creación de marcadores de sesión de servicios de terminal avanzados” en la
página 600.

NOTA: Si habilita la opción Terminal Services, pero no otorga a los usuarios la

capacidad de crear sus propios marcadores de sesión, asegúrese de configurar los
marcadores de sesión para ellos. De lo contrario, los usuarios no podrán usar esta
característica.

También puede habilitar a los usuarios para que creen sus propios marcadores de
sesión en la página de inicio de IVE y navegar a los servidores de terminal usando la
barra de navegación del IVE. O bien, puede crear enlaces desde sitios externos a los
marcadores de servicios de terminal.

Definición de los ajustes de rol: Terminal Services „ 599

 Guía de administración de Secure Access de Juniper Networks

Este tema contiene la siguiente información acerca de la configuración de los

marcadores de sesión y otros ajustes de nivel de rol para la característica de
servicios de terminal:

„ “Creación de marcadores de sesión de servicios de terminal avanzados” en la

página 600

„ “Creación de enlaces desde un sitio externo a un marcador de sesión de

Terminal Services” en la página 608

„ “Especificación de las opciones generales de Terminal Services” en la

página 612

Creación de marcadores de sesión de servicios de terminal avanzados

NOTA:

„ La información de este tema se proporciona para fines de compatibilidad con

versiones anteriores. Recomendamos que configure el acceso a los servidores
de terminal de Windows y servidores Citrix mediante perfiles de recurso ya
que proporcionan un método de configuración más simple y unificado. El
perfil de recursos también contiene características (como la capacidad de usar
clientes RDP de Java para admitir usuarios Macintosh y Linux) que no están
disponibles mediante los roles. Consulte “Definición de perfiles de recursos:
Vista general de Terminal Services” en la página 570.

„ Asegúrese de introducir un conjunto único de parámetros al definir un

marcador de servicios de terminal. Si crea dos marcadores que contienen el
mismo conjunto de parámetros, el IVE elimina uno de los marcadores de la
vista del usuario final. Aún puede ver ambos marcadores en la consola de
administración.

Para crear un marcador de sesión para sesiones de terminal:

1. Seleccione Users > User Roles > Rol > Terminal Services > Sessions en la
consola de administración.

2. Haga clic en Add Session.

3. Deje marcada la opción Standard en la lista desplegable Type.

4. Especifique el tipo de sesión de usuario que desea crear desde la lista

Session Type:

„ Windows Terminal Services: Habilita una sesión de terminal para

el servidor de terminal de Windows.

600 „ Definición de los ajustes de rol: Terminal Services

 Capítulo 22: Terminal Services

„ Citrix using default ICA: Habilita una sesión de terminal para un

Metaframe de Citrix. Cuando selecciona esta opción, el IVE usa los
parámetros de sesión de Citrix almacenados en el IVE.

(Sólo sesiones existentes). También puede usar el enlace Open para abrir el
archivo ICA predeterminado del IVE, que luego puede guardar en el equipo
local y personalizar según necesite. Si personaliza este archivo, debe volver
incluir los siguientes parámetros en él default.ica: <CITRIX_CLIENT_NAME>,
<APPDATA> y <TARGET_SERVER>.

„ Citrix using custom ICA file: Habilita una sesión de servicios de terminal
en un servidor MetaFrame de Citrix o un servidor NFuse que rige una
granja de servidores Citrix. Cuando selecciona esta opción, el IVE usa los
parámetros de sesión definidos en el archivo ICA personalizado
especificado y elimina los elementos de configuración de Session
Reliability, Start Application y Connect Devices de la página actual.

NOTA: Debido a que el IVE no admite el reenvío de puertos UDP, debe usar
el protocolo TCP/IP+HTTP para navegar y especificar el puerto del servidor
MetaFrame de Citrix o NFuse y la dirección IP para habilitar la conexión entre
el IVE y la granja de servidores Citrix.

5. Introduzca un nombre y (opcionalmente) una descripción para el marcador

de sesión.

6. En el campo Host, especifique el nombre del host o la dirección IP del servidor

de terminal de Windows o del servidor MetaFrame. Para obtener información
sobre las variables y atributos del sistema que puede incluir en este campo,
consulte “Uso de variables del sistema en territorios, roles y directivas de
recursos” en la página 1054. Para obtener información acerca de cómo
emparejar direcciones IP y nombres de host, consulte “Especificación de la
opción de recursos de Terminal Services” en la página 617.

7. En los campos Client Port y Server Port, introduzca los puertos en los que se
comunica el cliente del usuario y en el que recibe la comunicación el servidor
de terminal.

NOTA: Si especifica un puerto del cliente y el cliente de servicios de terminal

de Juniper no puede asociarse a este puerto, el cliente de servicios de terminal
presentará un error. Sin embargo, si deja el campo Client Port en blanco,
el cliente de servicios de terminal de Juniper seleccionará de forma dinámica
un puerto disponible.

8. (Sólo para Terminal Services de Windows y Citrix que usen ICA

predeterminado) Si desea especificar las opciones de tamaño y profundidad de
color de la pantalla para la ventana de emulación del terminal, use las opciones
de configuración en la sección Settings. Para obtener más información,
consulte “Definición de las opciones de tamaño y profundidad de color de la
pantalla para la sesión de servicios de terminal” en la página 602.

Definición de los ajustes de rol: Terminal Services „ 601

 Guía de administración de Secure Access de Juniper Networks

9. Si desea transmitir las credenciales del usuario desde el IVE al servidor de

terminal para permitir a los usuarios que inicien sesión en el servidor de
terminal sin tener que introducir de forma manual sus credenciales, use las
opciones de configuración de la sección Session. Para obtener más
información, consulte “Definición de las opciones de SSO para la sesión de
servicios de terminal” en la página 603.

10. Si sólo quiere permitir que los usuarios tengan acceso a aplicaciones específicas
en el servidor del terminal, utilice las opciones de configuración incluidas en la
sección Start Application de la página de configuración de los marcadores.
Además, puede usar los ajustes de esta sección para definir las opciones de
inicio automático y de fiablilidad de la sesión. Para obtener más información,
consulte “Definición de los ajustes de la aplicación para la sesión de Terminal
Services” en la página 605.

11. (Sólo para Terminal Services de Windows y Citrix que usen ICA
predeterminado) Si desea permitir a los usuarios que tengan acceso a los
recursos locales como impresoras y unidades a través de la sesión del terminal,
use las opciones de configuración de la sección Connect Devices de la página
de configuración de los marcadores. Para obtener más información, consulte
“Definición de las conexiones de dispositivo para la sesión de servicios
de terminal” en la página 606.

12. (Sólo para Terminal Services de Windows) Si desea especificar la forma en la

que la ventana de emulación del terminal debe mostrarse al usuario durante
una sesión de terminal, use las opciones de configuración de la sección
Desktop Settings. Para obtener más información, consulte “Definición de los
ajustes de escritorio para la sesión de servicios de terminal” en la página 607.

13. Haga clic en Save Changes o en Save + New.

Definición de las opciones de tamaño y profundidad de color de la

pantalla para la sesión de servicios de terminal
Cuando configure un marcador de servicios de terminal, puede especificar la forma
en la que debe aparecer la ventana de emulación a los usuarios durante sus
sesiones de terminal.

NOTA: Las opciones de esta sección sólo se aplican a marcadores de Terminal

Services de Windows, Citrix que use marcadores ICA predeterminados y
marcadores de aplicaciones de la lista de Citrix.

Para definir las opciones de pantalla, inicio automático y fiablilidad de la sesión:

1. Cree un marcador de sesión de servicios de terminal o edite un marcador de

sesión existente siguiendo las instrucciones en “Creación de marcadores de
sesión de servicios de terminal avanzados” en la página 600.

2. Desplácese a la sección Settings de la página de configuración de los

marcadores.

602 „ Definición de los ajustes de rol: Terminal Services

 Capítulo 22: Terminal Services

3. Seleccione una opción desde la lista desplegable Screen Size si desea cambiar
el tamaño de la ventana de los servicios de terminal en la estación de trabajo
del usuario. (De forma predeterminada, el IVE establece el tamaño de la
ventana en pantalla completa.)

NOTA: Si selecciona la opción Full Screen y se conecta a un servidor de terminal

de Windows, el IVE debe modificar el archivo Full Screen del usuario para
mostrar el nombre de host correcto en la ventana de servicios de terminal. Si el
usuario no tiene los derechos correspondientes para modificar el archivo hosts,
el IVE mostrará la dirección de bucle invertido en su lugar.

Tenga en cuenta también que para restaurar el archivo hosts a su estado original
después de ejecutar la ventana de servicios de terminal, el usuario debe cerrar
adecuadamente su aplicación. De lo contrario, es posible que otras aplicaciones
que usan el archivo hosts (como JSAM y Host Checker) no funcionen
adecuadamente. El usuario también puede restaurar su archivo hosts a su estado
original reiniciando el sistema o cambiando el nombre del archivo de hosts de
respaldo (hosts_ive.bak).

4. Seleccione color de 8 bits, 15 bits, 16 bits, 24 bits, o 32 bits desde la lista Color
Depth si desea cambiar la profundidad del color de los datos de sesión de
terminal. (De forma predeterminada, el IVE configura la profundidad del color
en 8 bits.)

NOTA: Cuando configure un marcador de sesión de Citrix, tenga en cuenta que

el ajuste que escoja aquí y el ajuste del escritorio local del usuario afectarán a la
profundidad del color de la pantalla del cliente. Si estos ajustes no coinciden,
el usuario verá la profundidad de color más baja de las dos posibles durante la
sesión. Por ejemplo, si elige color de 16 bits durante la configuración del IVE,
pero el escritorio local del usuario está configurado en 8 bits, el usuario verá con
profundidad de color de 8 bits durante su sesión.

5. Haga clic en Save Changes o en Save + New.

Definición de las opciones de SSO para la sesión de servicios de terminal

Cuando configure un marcador de servicios de terminal, puede configurar el IVE
para que transmita las credenciales del usuario desde el IVE al servidor de terminal
para que el usuario no tenga que introducir manualmente su nombre de usuario
y contraseña. El IVE transmite las credenciales especificadas cuando un usuario
hace clic en el marcador de sesión. Si las credenciales no funcionan, el servidor
le solicitará al usuario que introduzca su nombre de usuario y contraseña de
forma manual.

Para obtener más información acerca de cómo transmitir credenciales a

un servidor de terminal y a otras aplicaciones habilitadas con SSO, consulte
“Información general de credenciales de inicios de sesión múltiples” en la
página 226.

Definición de los ajustes de rol: Terminal Services „ 603

 Guía de administración de Secure Access de Juniper Networks

Para definir las opciones de inicio de sesión único (SSO):

1. Cree un marcador de sesión de servicios de terminal o edite un marcador

de sesión existente siguiendo las instrucciones de la sección “Creación de
marcadores de sesión de servicios de terminal avanzados” en la página 600.

2. Desplácese a la sección Authentication de la página de configuración de los

marcadores.

3. En el campo Username, especifique el nombre de usuario que debe pasar el

IVE al servidor de terminal. Puede introducir un nombre de usuario estático o
una variable. Introduzca la variable <username> para transmitir el nombre de
usuario almacenado en el servidor de autenticación primario del IVE. O bien,
use la siguiente sintaxis para enviar el nombre de usuario del servidor de
autenticación secundario: <username@SecondaryServerName> o
<username[2]>.

4. Seleccione Password si desea especificar una contraseña estática o seleccione

Variable Password si desea usar la contraseña almacenada en el servidor de
autenticación primario o secundario del IVE. Para usar la contraseña del
servidor de autenticación primario, introduzca la variable <password>. O bien,
use la siguiente sintaxis para enviar la contraseña del servidor de autenticación
secundario: <Password@SecondaryServerName> o <Password[2]>.

5. (Citrix que usa el ICA predeterminado o las aplicaciones de la lista) Seleccione

Use domain credentials para transmitir las credenciales del dominio en el
caché del usuario al servidor MetaFrame de Citrix (también llamada
autenticación de paso a través). Cuando seleccione esta opción, el IVE usa el
cliente Program Neighborhood de Citrix para intermediar la sesión de terminal
de Citrix.

NOTA: Si desea descargar el cliente Program Neighborhood, vaya a la página

Users > User Roles > Seleccionar rol > Terminal Services > Options de la
consola de administración e introduzca la siguiente dirección URL en el campo
Download from URL: http://download2.citrix.com/FILES/en/products/client/
ica/client9230/wficat.cab

Cuando seleccione la opción Use domain credentials, también debe habilitar

la SSO a través del archivo de ajustes del usuario (appsrv.ini). Si el usuario ya ha
iniciado sesión correctamente en el servidor MetaFrame usando las
credenciales de dominio en el caché, este ajuste ya debería estar habilitado.
De lo contrario, usted o el usuario deben:

a. Configurar EnableSSOnThruICAFile=On en appsrv.ini. Puede ubicar appsrv.ini

en el directorio %HOMEPATH%\Application Data\ICAClient.

b. Configure UseLocalUserAndPassword=On en el archivo ICA.

Si no ha habilitado la SSO a través del archivo INI, se le solicitará al usuario que

introduzca sus credenciales de forma manual cuando intente obtener acceso al
servidor de MetaFrame a través del IVE.

6. Haga clic en Save Changes o en Save + New.

604 „ Definición de los ajustes de rol: Terminal Services

 Capítulo 22: Terminal Services

Definición de los ajustes de la aplicación para la sesión de Terminal

Services
Cuando configure un marcador de servicios de terminal, puede especificar que los
usuarios sólo tengan acceso a aplicaciones específicas en el servidor de terminal.
De forma adicional, puede definir para la sesión las opciones de inicio automático
y de fiablilidad de la sesión.

Para definir las aplicaciones a las que el usuario puede tener acceso:

1. Cree un marcador de sesión de servicios de terminal o edite un marcador de

sesión existente siguiendo las instrucciones en “Creación de marcadores de
sesión de servicios de terminal avanzados” en la página 600.

2. Desplácese a la sección Start Application de la página de configuración de los

marcadores.

NOTA: Si especifica Citrix using custom ICA file en la sección de configuración

Session Type, el elemento de configuración Start Application no estará
disponible.

3. (Sólo para Terminal Services de Windows y Citrix que use el ICA

predeterminado) En el campo Path to application, especifique en qué parte del
servidor de terminal reside el archivo ejecutable de la aplicación. Por ejemplo,
puede introducir el siguiente directorio para la aplicación Microsoft Word:

C:\Program Files\Microsoft Office\Office10\WinWord.exe

4. (Sólo Terminal Services de Windows y Citrix que use el ICA predeterminado)

En el campo Working directory, especifique dónde debe colocar el servidor
de terminal los archivos de trabajo para la aplicación. Por ejemplo, puede
especificar que Microsoft Word guarde los archivos en el siguiente directorio
de forma predeterminada:

C:\Documents and Settings\<username>\My Documents

NOTA: Puede usar variables de sesión del IVE como <username> y <password>
en los campos Path to application y Working directory. Por ejemplo, cuando
especifica una ruta de la aplicación, puede incluir la variable <username> para
personalizar la ubicación. Por ejemplo: C:\Documents and Settings\<username>\
My Documents. Para obtener una lista completa de variables de sesión válidas para
el IVE, consulte “Variables del sistema y ejemplos” en la página 1046.

5. (Sólo en Citrix que use el ICA predeterminado) Seleccione Session Reliability

and Auto-client reconnect para mantener las sesiones ICA activas y en la
pantalla del usuario cuando la conectividad de red se interrumpa. Los usuarios
continúan viendo la aplicación que están usando hasta que la conectividad de
red se reanuda o el tiempo de la fiablilidad de la sesión se acaba (el valor del
tiempo de espera la define el producto Citrix). Introduzca el puerto que se usará
en Port to be enabled.

Definición de los ajustes de rol: Terminal Services „ 605

 Guía de administración de Secure Access de Juniper Networks

6. Seleccione la casilla de verificación Auto-launch si desea iniciar

automáticamente este marcador de sesión de Terminal Services cuando los
usuarios inicien sesión en el IVE. Cuando selecciona esta opción, el IVE inicia la
aplicación de servicios de terminal en una ventana separada cuando el usuario
inicia sesión en el IVE.

7. Haga clic en Save Changes o en Save + New.

Definición de las conexiones de dispositivo para la sesión de servicios

de terminal
Cuando configure un marcador de servicios de terminal, puede especificar los
recursos locales a los que los usuarios pueden tener acceso a través de la sesión
de terminal.

NOTA:

„ Las opciones de esta sección sólo se aplican a marcadores de Terminal

Services de Windows y Citrix que usen marcadores ICA predeterminados.

„ Las opciones Connect Devices que especifica a nivel de rol controlan si el

usuario final puede habilitar o inhabilitar el acceso a los recursos locales
cuando configuran sus propios marcadores. Estas opciones a nivel de rol no
controlan si los usuarios pueden tener acceso a los recursos locales a través de
un marcador creado por un administrador del IVE.

Para definir los recursos locales a los que los usuarios pueden tener acceso:

1. Cree un marcador de sesión de servicios de terminal o edite un marcador de

sesión existente siguiendo las instrucciones en “Creación de marcadores de
sesión de servicios de terminal avanzados” en la página 600.

2. Desplácese a la sección Connect Devices de la página de configuración de los

marcadores.

NOTA: Si especifica Citrix using custom ICA file en la sección de configuración

Session Type, el elemento de configuración Connect Devices no estará
disponible.

3. Seleccione Connect local drives para conectar la unidad local del usuario con
el servidor de terminal, permitiendo al usuario copiar la información desde el
servidor de terminal a sus directorios locales del cliente.

4. Seleccione Connect local printers para conectar las impresoras locales

del usuario con el servidor de terminal, permitiéndole al usuario imprimir
información desde el servidor de terminal en su impresora local.

5. Seleccione Connect COM Ports para conectar los puertos COM del usuario
al servidor de terminal, permitiendo la comunicación entre el servidor de
terminal y los dispositivos en sus puertos serie.

606 „ Definición de los ajustes de rol: Terminal Services

 Capítulo 22: Terminal Services

6. (Sólo Terminal Services de Windows) Seleccione Allow Clipboard Sharing

si desea permitir que los contenidos del portapapeles se compartan entre el
equipo host del usuario y el servidor de terminal. Debido a las limitaciones de
las versiones anteriores a la 6.0 del cliente RDP, al inhabilitar la opción Allow
Clipboard Sharing se inhabilitarán automáticamente las opciones Connect
local drives, Connect local printers y Connect COM Ports.

NOTA: Cuando habilita recursos locales a través del servidor de terminal,

cada usuario sólo puede tener acceso a sus propios recursos locales. Por ejemplo,
el usuario 1 no puede ver los directorios locales del usuario 2.

7. (Sólo para Terminal Services de Windows) Seleccione Connect smart cards

para permitir que los usuarios usen tarjetas inteligentes para autenticar sus
sesiones de escritorio remoto.

8. (Sólo para Terminal Services de Windows) Seleccione Sound Options para

habilitar el sonido durante la sesión remota. Elija Bring to this computer para
redirigir el audio al equipo local. Elija Leave at remote computer para
reproducir el audio sólo en el servidor.

NOTA: Las opciones para tarjetas inteligentes y sonido son compatibles con
Remote Desktop Protocol de Microsoft versión 5.1 y posteriores.

9. Haga clic en Save Changes o en Save + New.

Definición de los ajustes de escritorio para la sesión de servicios

de terminal
Cuando configure un marcador de servicios de terminal, puede especificar la forma
en la que debe aparecer la ventana de emulación al usuario durante su sesión de
terminal.

NOTA: Las opciones de esta sección se aplican sólo a los marcadores de Terminal
Services de Windows.

Para definir los ajustes de visualización para las sesiones de los usuarios:

1. Cree un marcador de sesión de servicios de terminal o edite un marcador de

sesión existente siguiendo las instrucciones en “Creación de marcadores de
sesión de servicios de terminal avanzados” en la página 600.

2. Desplácese a la sección Display Settings de la página de configuración de los

marcadores.

3. Seleccione Desktop background si desea mostrar un fondo con papel tapiz

a los usuarios. Si no selecciona esta opción, el fondo estará vacío.

4. Seleccione Show contents of window while dragging si desea mostrar los

contenidos de la ventana Explorer de Windows mientras el usuario mueve las
ventanas en los escritorios.

Definición de los ajustes de rol: Terminal Services „ 607

 Guía de administración de Secure Access de Juniper Networks

5. Seleccione Menu and window animation si desea animar el movimiento de

ventanas, menús y listas.

6. Seleccione Themes si desea permitir que los usuarios agreguen temas de

Windows en sus ventanas del servidor de terminal.

7. Seleccione Bitmap Caching si desea mejorar el rendimiento al minimizar la

cantidad de información de pantalla que se transmite por una conexión.

8. Seleccione Font Smoothing (RDP 6.0 onwards) para suavizar el texto y hacerlo
más fácil de leer. Esta opción sólo funciona en equipos con Windows Vista que
ejecuten clientes RDP de versión 6.0 o posterior.

9. Seleccione Desktop Composition (RDP 6.0 onwards) para permitir la

composición del escritorio. Con la composición del escritorio, las ventanas
individuales no aparecen directamente en la pantalla. En cambio, las imágenes
se redirigen a la memoria de vídeo, la que luego las envía en una imagen de
escritorio y las presenta en la pantalla.

10. Haga clic en Save Changes o en Save + New.

Creación de enlaces desde un sitio externo a un marcador de sesión de

Terminal Services
Cuando cree un enlace a un marcador de sesión de terminal desde otro sitio,
puede formar cualquiera de los siguientes tipos de direcciones URL:

„ Dirección URL que incluye todos los parámetros necesarios: Cree una
dirección URL que incluya todos los parámetros que desea transmitir al
programa de servicios de terminal, como los parámetros del host, del puerto
y de la ventana de terminal. Al crear la dirección URL, use la siguiente sintaxis:

https://<IVE>/dana/term/winlaunchterm.cgi?<param1>=<value1>&<param2>=<
value2>

Cuando cree la dirección URL, puede usar los nombres de parámetro que
distinguen mayúsculas de minúsculas descritos en la Tabla 37. Si desea incluir
más de un parámetro en el marcador de sesión, únalos en una cadena usando
el símbolo “&”. Por ejemplo:

https://YourIVE.com/dana/term/winlaunchterm.cgi?host=yourtermserver.yourdo
main.com&type=Windows&clientPort=1094&serverPort=3389&user=john&passw
ord=abc123&screenSize=fullScreen

„ Dirección URL a marcador de servicios de terminal: Cree una dirección URL

que simplemente apunte a un marcador de sesión que ya haya creado en el IVE
siguiendo las instrucciones en “Creación de marcadores de sesión de servicios
de terminal avanzados” en la página 600 (instrucciones de perfil de recursos) o
“Definición de los ajustes de rol: Terminal Services” en la página 599. Al crear
la dirección URL, use la siguiente sintaxis:

https://<IVE>/dana/term/winlaunchterm.cgi?bmname=<bookmarkName>

Dentro de la dirección URL, sólo defina el parámetro bmName.

608 „ Definición de los ajustes de rol: Terminal Services

 Capítulo 22: Terminal Services

NOTA: Cuando use el IVE para almacenar los marcadores de sesión de Terminal
Services, debe:

„ Habilitar la opción User can add sessions en la página Users > User Roles >
Seleccionar rol > Terminal Services > Options. Si no selecciona esta opción,
los usuarios no podrán enlazar a los marcadores de sesión de Terminal
Services desde sitios externos.

„ Cree una directiva que evite que el IVE reescriba el enlace y la página que
contiene el enlace usando los ajustes de la página Users > Resource
Policies > Web > Rewriting > Selective Rewriting de la consola de
administración. Para obtener instrucciones, consulte “Creación de una
directiva de recursos de reescritura selectiva” en la página 443.

Además, recomendamos que use el protocolo https en vez de http. De lo contrario,

cuando los usuarios inicien el marcador de sesión, verán una advertencia de sitio
inseguro.

NOTA: Si crea vínculos en servidores externos para marcadores de Terminal

Services en el IVE y usa varias URL de inicio de sesión personalizadas, es posible
que se presenten algunas restricciones. Para obtener más información, consulte la
nota en “Directivas de inicio de sesión” en la página 211.

Tabla 37: Nombres de parámetros de marcadores de sesión de servicios de terminal que no distinguen mayúsculas
de minúsculas
Nombre de
parámetro Descripción y valores posibles Ejemplo
host Requerido. Nombre de host o https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
dirección IP del servidor de mServer
terminal de Windows o de
Metaframe
type Tipo de servidor de terminal. https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
Algunos valores posibles son mServer&type=Windows
Windows o Citrix.
clientPort Puerto con el que se comunica el https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
cliente del usuario. mServer&clientPort=1094

serverPort Puerto en el que recibe la https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer

comunicación el servidor de mServer&serverPort=3389
terminal. Los valores
predeterminados son 3389 para
Windows y 1494 para Citrix.
user Nombre de usuario para transmitir https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
al servidor de terminal. Puede mServer&user=jDoe
introducir un nombre de usuario
estático, como JPérez, o un
nombre de usuario variable, como
<user> o <username>.

Definición de los ajustes de rol: Terminal Services „ 609

 Guía de administración de Secure Access de Juniper Networks

Tabla 37: Nombres de parámetros de marcadores de sesión de servicios de terminal que no distinguen mayúsculas
de minúsculas (continuación)

Nombre de
parámetro Descripción y valores posibles Ejemplo
password Contraseña para transmitir al https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
servidor de terminal. mServer&user=jDoe&password=<password>

bmname Especifica el nombre del marcador https://<IVE>/dana/term/winlaunchterm.cgi?bmname=<bookmar

de sesión. kName>

screenSize El tamaño de la ventana de https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer

servicios de terminal. Valores mServer&screenSize=fullScreen
posibles:
„ fullScreen
„ 800x600
„ 1024x768
„ 1280x1024
Nota: Para obtener más
información acerca de la opción
fullScreen, consulte la nota en
“Definición de los ajustes de rol:
Terminal Services” en la
página 599.
colorDepth La profundidad de color de la https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
ventana de servicios de terminal, mServer&colorDepth=32
expresado en bits. Valores posibles:
„ 8
„ 15
„ 16
„ 24
„ 32

startApp Especifica la ruta de un archivo https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer

ejecutable de una aplicación para mServer&startApp=C:\Program Files\Microsoft
iniciar. Office\Office10\WinWord.exe

startDir Especifica el lugar donde el https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer

servidor de terminal debe colocar mServer&startapp=C:\temp
los archivos de trabajo para la
aplicación.
connectDrives Especifica si el usuario puede https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
conectar su unidad local al servidor mServer&connectDrives=Yes
de terminal. Valores posibles:
„ Yes
„ No

connectPrinters Especifica si el usuario puede https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer

conectar su impresora local al mServer&connectPrinters=Yes
servidor de terminal. Valores
posibles:
„ Yes
„ No

610 „ Definición de los ajustes de rol: Terminal Services

 Capítulo 22: Terminal Services

Tabla 37: Nombres de parámetros de marcadores de sesión de servicios de terminal que no distinguen mayúsculas
de minúsculas (continuación)

Nombre de
parámetro Descripción y valores posibles Ejemplo
connectComPorts Especifica si el usuario puede https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
conectar puertos COM al servidor mServer&connectComPorts=Yes
de terminal. Valores posibles:
„ Yes
„ No

allowclipboard Especifica si el usuario puede https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer

compartir los contenidos del mServer&allowclipboard=Yes
portapapeles entre el equipo host
del usuario y el servidor de
terminal. Valores posibles:
„ Yes
„ No

desktopbackground Especifica si se mostrará el ajuste https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer

de papel tapiz actual. Valores mServer&desktopbackground=Yes
posibles:
„ Yes
„ No

showDragContents Especifica si se mostrarán los https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer

contenidos de la ventana Explorer mServer&showDragContents=Yes
de Windows mientras se mueve la
ventana alrededor del escritorio.
Valores posibles:
„ Yes
„ No

showMenuAnimation Especifica si se animará el https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer

movimiento de las ventanas, mServer&showMenuAnimation=Yes
menús y listas. Valores posibles:
„ Yes
„ No

themes Especifica si se permite que los https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer

usuarios agreguen temas de mServer&themes=Yes
Windows en sus ventanas del
servidor de terminal. Valores
posibles:
„ Yes
„ No

bitmapcaching Especifica si se mejorará el https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer

rendimiento al minimizar la mServer&bitmapcaching=Yes
cantidad de información de
pantalla que se debe transmitir en
una conexión. Valores posibles:
„ Yes
„ No

Definición de los ajustes de rol: Terminal Services „ 611

 Guía de administración de Secure Access de Juniper Networks

Tabla 37: Nombres de parámetros de marcadores de sesión de servicios de terminal que no distinguen mayúsculas
de minúsculas (continuación)

Nombre de
parámetro Descripción y valores posibles Ejemplo
fontsmoothing Especifica si se suavizará el texto https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
para facilitar la lectura. Esta opción mServer&fontsmoothing=Yes
sólo funciona en equipos con
Windows Vista que ejecuten
clientes RDP de versión 6.0 o
posterior. Valores posibles:
„ Yes
„ No

desktopcomposition Especifica si se permitirá la https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer

composición del escritorio. mServer&desktopcomposition=Yes
Valores posibles:
„ Yes
„ No

Especificación de las opciones generales de Terminal Services

Los usuarios pueden crear sus propios marcadores de sesión de servicios de
terminal y pueden configurar el IVE para crear directivas de recursos de Terminal
Services que permitan acceso a los servidores especificados en los marcadores de
sesión de los servicios de terminal.

Para especificar las opciones generales de Terminal Services:

1. En la consola de administración, seleccione Users > User Roles > Rol >
Terminal Services > Options.

2. Si va a habilitar sesiones Citrix, en Citrix client delivery method especifique el

lugar donde el IVE debe obtener el cliente ICA para descargarlo a los sistemas
de los usuarios:

„ Downloaded from the Citrix web site: El IVE instala la última versión del
cliente ICA desde el sitio Web de Citrix:
http://download2.citrix.com/files/en/products/client/ica/current/wficac.cab

„ Downloaded from the IVE: Use el botón Browse para navegar al cliente
ICA en su red local. Cuando carga el cliente, el IVE lo usa como el
predeterminado y lo descarga a los sistemas de los usuarios cuando sea
necesario. También debe especificar el número de versión exacto del
cliente ICA.

„ Downloaded from a URL: El IVE instala el cliente ICA que usted elige
desde el sitio Web especificado. También debe especificar el número de
versión exacto del cliente ICA.

612 „ Definición de los ajustes de rol: Terminal Services

 Capítulo 22: Terminal Services

NOTA:

„ Recomendamos que pruebe el cliente Citrix que se espera que descargue el

IVE con el archivo ICA personalizado que ha cargado en el IVE. Realice esta
prueba sin el IVE para determinar si el cliente Citrix admite las características
del archivo ICA personalizado. Si las características no funcionan sin el IVE,
tampoco funcionarán a través del IVE.

„ Si elige descargar un cliente ICA desde el sitio Web o dirección URL de Citrix,
el IVE asegura la transacción descargada al procesar la dirección URL a través
del Motor de intermediación de contenido del IVE. Por lo tanto, debe
seleccionar un sitio al que pueda tener acceso el IVE y que esté habilitado para
los usuarios dentro de este rol.

„ Para determinar si el cliente Web ICA ya está instalado en un equipo, busque

la siguiente entrada en el registro de Windows:
HKEY_CLASSES_ROOT\CLSID\{238F6F83-B8B4-11CF-8771-00A024541EE3}

„ Puede determinar el número de versión de un cliente ICA extrayendo el

archivo cab (por ejemplo, wficat.cab), buscando el archivo inf (por ejemplo,
wficat.inf) y luego localizando la información acerca de cada ocx en el archivo
inf. Por ejemplo, wficat.inf (en wficat.cab) podría tener la siguiente
información:

[wfica.ocx]
file-win32-x86=thiscab
clsid={238F6F83-B8B4-11CF-8771-00A024541EE3}
FileVersion=8,00,24737,0
[wfica32.exe]
file-win32-x86=thiscab
FileVersion=8,00,24737,0

En este caso, “8,00,23737,0” es la versión del archivo. (Observe que la

versión tiene comas en vez de puntos.)

3. Habilite la opción User can add sessions para permitir que los usuarios definan
sus propios marcadores de sesión de terminal y que tengan acceso a los
servidores de terminal a través de la barra de navegación del IVE en la página
de inicio del IVE. Cuando habilite esta opción, aparecerá el botón Add Terminal
Services Session en la página Terminal Services la próxima vez que el usuario
actualice la consola del usuario del IVE.

Definición de los ajustes de rol: Terminal Services „ 613

 Guía de administración de Secure Access de Juniper Networks

4. Habilite la opción Auto-allow role Terminal Services sessions para permitir

que el IVE otorgue acceso automático a los recursos definidos en el marcador
de la sesión de terminal (en lugar de tener que crear directivas de recursos).
Tenga en cuenta que sólo se aplica a los marcadores de rol, no a los marcadores
de usuario.

NOTA: Es posible que no vea la opción Auto-allow si está utilizando una

instalación nueva o si el administrador oculta la opción. Para obtener más
información sobre esta opción, consulte “Ajuste de las opciones del sistema” en la
página 722.

5. Si desea permitir a los usuarios que habiliten el acceso a los dispositivos locales
mediante los marcadores que ellos crean, seleccione las siguientes opciones de
la sección Allow users to enable local resources defined below:

„ Users can connect drives: Permite que los usuarios creen marcadores que
conectan sus unidades locales con el servidor de terminal, permitiéndole al
usuario copiar la información desde el servidor de terminal a sus
directorios locales de cliente.

„ User can connect printers: Permite que los usuarios creen marcadores
que conectan sus impresoras locales con el servidor de terminal,
permitiéndole al usuario imprimir la información desde el servidor
de terminal en su impresora local.

„ User can connect COM Ports: Permite que los usuarios creen marcadores
que conecten sus puertos COM con el servidor de terminal, permitiendo la
comunicación entre el servidor de terminal y los dispositivos en sus
puertos serie.

„ Allow Clipboard Sharing: Permite que el usuario cree marcadores que

compartan los contenidos del portapapeles entre el equipo host del usuario
y el servidor de terminal. Debido a las limitaciones de las versiones
anteriores a la 6.0 del cliente RDP, al inhabilitar la opción Allow Clipboard
Sharing se inhabilitarán automáticamente las opciones Connect local
drives, Connect local printers y Connect COM Ports.

NOTA:

„ Cuando habilita recursos locales a través del servidor de terminal, cada

usuario sólo puede tener acceso a sus propios recursos locales. Por ejemplo,
el usuario 1 no puede ver los directorios locales del usuario 2.

„ Las opciones Connect Devices que especifique a nivel de rol pueden

sobrescribir cualquier opción de Connect Devices que ajuste a nivel de
marcador. Para obtener más información acerca de la configuración de los
ajustes a nivel de rol, consulte “Definición de los ajustes de rol: Terminal
Services” en la página 599.

614 „ Definición de los ajustes de rol: Terminal Services

 Capítulo 22: Terminal Services

„ User can connect smart cards: Permita a los usuarios utilizar lectores de
tarjetas inteligentes conectadas a su sistema para autenticar su sesión de
escritorio remoto.

„ User can connect sound devices: Permita a los usuarios redirigir el audio
desde la sesión de escritorio remoto a su sistema local.

NOTA: Las tarjetas inteligentes que redirigen audio son compatibles con Remote
Desktop Protocol de Microsoft versión 5.1 y posteriores.

6. En la sección Allow users to modify Display settings below:

a. Seleccione Desktop background para ver su ajuste actual de papel tapiz.

Si no selecciona esta opción, el fondo estará vacío.

b. Seleccione Show contents of window while dragging para mostrar los

contenidos de la ventana Explorer de Windows mientras se mueve la
ventana por el escritorio.

c. Seleccione Menu and window animation para animar el movimiento de

ventanas, menús y listas.

d. Seleccione Themes para permitir que se agreguen temas de Windows en

las ventanas del servidor de terminal.

e. Seleccione Bitmap Caching para mejorar el rendimiento al minimizar

la cantidad de información de pantalla que se debe transmitir en una
conexión.

f. Seleccione Font Smoothing (RDP 6.0 onwards) para suavizar el texto

y hacerlo más fácil de leer. Esta opción sólo funciona en equipos con
Windows Vista que ejecuten clientes RDP de versión 6.0 o posterior.

7. Haga clic en Save Changes.

Definición de directivas de recursos: Terminal Services

Esta sección contiene la siguiente información acerca de la configuración de
directivas de recursos para la característica Terminal Services:

„ “Configuración de directivas de recursos de servicios de terminal” en la

página 616

„ “Especificación de la opción de recursos de Terminal Services” en la página 617

Definición de directivas de recursos: Terminal Services „ 615

 Guía de administración de Secure Access de Juniper Networks

Configuración de directivas de recursos de servicios de terminal

NOTA: La información de esta sección se proporciona para fines de compatibilidad
con versiones anteriores. Recomendamos que configure el acceso a los servidores
de terminal de Windows y servidores Citrix mediante perfiles de recurso, ya que
proporcionan un método de configuración más simple y unificado. Para obtener
más información, consulte “Definición de perfiles de recursos: Vista general de
Terminal Services” en la página 570.

Cuando habilita la característica Terminal Services para un rol, debe crear directivas
de recursos que especifiquen los servidores remotos a los que puede obtener
acceso un usuario. Puede crear directivas de recursos mediante la interfaz estándar
(según se describe en esta sección) o mediante los perfiles de recursos (método
recomendado).

Cuando escriba una directiva de recurso de Terminal Services, deberá proporcionar

información clave:

„ Recursos: Una directiva de recursos debe especificar uno o más recursos en los
que se aplica la directiva. Cuando escriba una directiva de Terminal Services,
deberá especificar el servidor de terminal al que los usuarios se pueden
conectar.

„ Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evalúa estas directivas que corresponden a la solicitud.

„ Acciones: Una directiva de recursos de Terminal Services permite o deniega el

acceso a un servidor de terminal.

El motor de la plataforma del IVE que evalúa las directivas de recursos requiere que
los recursos que aparecen en la lista de Resources de una directiva sigan un
formato canónico, como se explica en “Especificación de los recursos para una
directiva de recursos” en la página 103.

Para escribir una directiva de recursos de Terminal Services:

1. En la consola de administración, elija Users > Resource Policies > Terminal

Services > Access.

2. En la página Terminal Services Policies, haga clic en New Policy.

3. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva. (opcional)

4. En la sección Resources, especifique los servidores a los que se aplica esta

directiva usando las indicaciones descritas en “Especificación de recursos de
servidor” en la página 104.

616 „ Definición de directivas de recursos: Terminal Services

 Capítulo 22: Terminal Services

5. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

6. En la sección Action, especifique:

„ Allow access: Para otorgar acceso a los servidores especificados en la lista

Resources.

„ Deny access: Para denegar el acceso a los servidores especificados en la

lista Resources.

„ Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.

7. Haga clic en Save Changes.

8. En la página Terminal Services Policies, ordene las directivas en el orden en

el que desee que el IVE las evalúe. Tenga presente que una vez que el IVE
compara el recurso solicitado por el usuario con un recurso en una lista de
Resource de la directiva (o una regla detallada), realiza la acción especificada
y detiene las directivas de procesamiento.

Especificación de la opción de recursos de Terminal Services

Use la ficha Options para emparejar las direcciones IP con los nombres de host
especificados como recursos en las directivas de recursos de servicios de terminal.
Cuando habilita esta opción, el IVE busca las direcciones IP correspondientes a cada
nombre de host especificado en una directiva de recursos de Terminal Services.
Cuando un usuario intenta obtener acceso a un servidor especificando una
dirección IP en lugar de un nombre de host, el IVE compara la IP con su lista en
caché de direcciones IP para determinar si un nombre de host coincide con una IP.
Si coinciden, el IVE acepta la coincidencia como una coincidencia de directiva y
aplica la acción especificada para la directiva de recursos.

Cuando habilita esta opción, el IVE compila una lista de los nombres de host
especificados en el campo Resources de cada directiva de recursos de Terminal
Services. El IVE aplica la opción a su lista integral de nombres de host.

NOTA: Esta opción no se aplica a los nombres de host que incluyen comodines
y parámetros.

Definición de directivas de recursos: Terminal Services „ 617

 Guía de administración de Secure Access de Juniper Networks

Para especificar las opciones de recursos de Terminal Services:

1. En la consola de administración, elija Users > Resource Policies > Terminal

Services > Options.

2. Seleccione IP based matching for Hostname based policy resources.

3. Haga clic en Save Changes.

618 „ Definición de directivas de recursos: Terminal Services

Capítulo 23
Secure Meeting

Secure Meeting permite a los usuarios del IVE programar y realizar de forma segura
reuniones en línea entre ellos y otros que no usen el IVE. Durante las reuniones, los
usuarios pueden compartir sus escritorios y aplicaciones con otros a través de una
conexión segura, permitiendo a todos los participantes de la reunión compartir
instantáneamente datos electrónicos en pantalla. Los asistentes a las reuniones
también pueden colaborar de forma segura controlando desde una ubicación
remota el escritorio de otro usuario y a través de un chat de texto mediante una
ventana de aplicación aparte que no interfiere con la presentación.

Esta sección incluye la siguiente información sobre Secure Meeting:

„ “Licencia: Disponibilidad de Secure Meeting” en la página 619

„ “Resumen de tareas: Configuración de Secure Meeting” en la página 620

„ “Información general de Secure Meeting” en la página 622

„ “Definición de los ajustes de rol: Secure Meeting” en la página 633

„ “Configuración de los ajustes de reunión a nivel de sistema” en la página 640

„ “Resolución de problemas de Secure Meeting” en la página 643

„ “Supervisión de Secure Meeting” en la página 645

Licencia: Disponibilidad de Secure Meeting

La característica Secure Meeting no está disponible en el dispositivo SA 700.
En dispositivos SA 4000 y posteriores, Secure Meeting está disponible como
una actualización individual.

La cantidad de reuniones y usuarios se duplica en una configuración de clúster

en comparación con una sola unidad. Por ejemplo, si tiene una reunión x con y
usuarios en una sola unidad, entonces, en una unidad de clúster de más de dos,
tendrá una reunión 2x con 2y usuarios.

Licencia: Disponibilidad de Secure Meeting „ 619

 Guía de administración de Secure Access de Juniper Networks

Resumen de tareas: Configuración de Secure Meeting

Esta sección proporciona información general de alto nivel sobre los requisitos de
configuración de Secure Meeting.

NOTA: Las instrucciones que aparecen aquí complementan las de configuración

estándar del IVE descritas a lo largo de toda esta guía.

Para configurar Secure Meeting:

1. Especifique una identidad de red para el IVE a través de la página System >
Network > Overview de la consola de administración. Secure Meeting utiliza
este nombre de host al construir la URL de la reunión para propósitos de
notificaciones por correo electrónico. Para obtener instrucciones, consulte
“Configuración de los ajustes de la red” en la página 702.

2. Configure los ajustes de nivel de rol en las siguientes páginas de la consola de

administración:

„ Use los ajustes de la página Users > User Roles > Seleccionar rol >
General para habilitar Secure Meeting a nivel de rol. Para obtener
instrucciones, consulte “Definición de los ajustes de rol: Secure Meeting”
en la página 633.

„ Use los ajustes de la página Users > User Roles > Seleccionar rol >
Meetings > Options para configurar las restricciones de reuniones a nivel
de rol. Para obtener instrucciones, consulte “Definición de los ajustes de
rol: Secure Meeting” en la página 633.

3. Especifique los servidores de autenticación a los que pueden tener acceso los
creadores de la reunión y en los que pueden buscar mediante los ajustes de las
siguientes páginas de la consola de administración:

„ Use los ajustes de la página Users > User Roles > Seleccionar rol >
Meetings > Auth Servers para especificar los servidores de autenticación
a los que pueden tener acceso los creadores de la reunión y en los que
pueden buscar. Para obtener instrucciones, consulte “Especificación de los
servidores a los que pueden acceder los creadores de reuniones” en la
página 638.

„ Si desea permitir a los creadores de la reunión que inviten usuarios de un

servidor LDAP, use los ajustes de la página Authentication > Auth.
Servers > Seleccionar servidor LDAP > Meetings para habilitar el servidor.
Para obtener instrucciones, consulte “Configuración de los atributos de
búsqueda de LDAP para creadores de reuniones” en la página 132.

620 „ Resumen de tareas: Configuración de Secure Meeting

 Capítulo 23: Secure Meeting

4. Si desea cambiar la página o URL de inicio de sesión predeterminada que usan

los asistentes a la reunión para iniciar sesión en ella, use los ajustes de las
siguientes páginas de la consola de administración para configurar las
directivas de inicio de sesión de la reunión:

„ Use los ajustes de la página Authentication > Signing In > Sign-in Pages
para personalizar las páginas que ven los asistentes a la reunión al iniciar
sesión en una reunión.

„ Use los ajustes de la página Authentication > Signing In > Sign-in

Policies > [Directiva de reunión] para definir la URL que los invitados a la
reunión deben usar para tener acceso a ella. También puede usar esta
página para asociar una página de reunión con la URL.

„ Use los ajustes de la página Authentication > Signing In > Sign-in

Policies > [Directiva de usuario] para asociar la directiva de inicio de sesión
de su reunión con una de usuario. El IVE aplica la URL de reunión
especificada a cualquier reunión creada por un usuario que inicia sesión en
la dirección URL asociada.

5. Configure los ajustes de la reunión a nivel de sistema, entre ellos los tiempos de
espera de sesión, la información de servidor SMTP, los ajustes de huso horario y
los de profundidad de color mediante las opciones de la página System >
Configuration > Secure Meeting de la consola de administración. Para
obtener instrucciones, consulte “Configuración de los ajustes de reunión a nivel
de sistema” en la página 640.

6. Si desea habilitar el registro del lado cliente, use los ajustes de las siguientes
páginas de la consola de administración:

„ Use los ajustes de la página System > Log/Monitoring > Client Logs >
Settings de la consola de administración para habilitar el registro del lado
cliente. Debe habilitar esta opción para generar registros para los usuarios
finales del IVE y para los asistentes a la reunión. Para obtener
instrucciones, consulte “Habilitación de registros del lado cliente” en la
página 841.

„ Use los ajustes de la página Users > User Roles > Seleccionar rol >
General > Session Options de la consola de administración para que los
asistentes a la reunión puedan cargar sus archivos de registro directamente
en el IVE, en lugar de tener que empaquetarlos y enviárselos por correo
electrónico. Para obtener instrucciones, consulte “Configuración de los
ajustes de reunión a nivel de sistema” en la página 640.

„ Use los ajustes de la página System > Log/Monitoring > Uploaded Logs
de la consola de administración para ver los registros que los usuarios
envían al IVE. Para obtener instrucciones, consulte “Visualización de
registros cargados del lado cliente” en la página 844.

NOTA: Secure Meeting instala los archivos del cliente en diferentes directorios del
sistema operativo y privilegios. Para obtener más información, consulte el manual
Client-side Changes Guide en el Juniper Networks Customer Support Center.

Resumen de tareas: Configuración de Secure Meeting „ 621

 Guía de administración de Secure Access de Juniper Networks

Información general de Secure Meeting

Esta sección incluye la siguiente información sobre la experiencia del usuario final
de Secure Meeting:

„ “Programación de reuniones” en la página 622

„ “Envío de correos electrónicos de notificación” en la página 625

„ “Entrar en una reunión” en la página 626

„ “Asistencia a las reuniones” en la página 628

„ “Dirección de reuniones” en la página 629

„ “Presentación de reuniones” en la página 630

„ “Creación de reuniones instantáneas y de reuniones de apoyo” en la

página 630

Programación de reuniones
Todas las reuniones en línea de Secure Meeting debe programarlas un usuario del
IVE. El creador de la reunión especifica los detalles de la reunión, como nombre de
la reunión, descripción, hora de inicio, fecha de inicio, frecuencia, duración,
contraseña y una lista de invitados.

Los creadores de reuniones pueden usar las siguientes aplicaciones para

programarlas:

„ Consola de usuario final del IVE: Cuando el creador de la reunión usa la

consola de usuario final del IVE para programar una reunión, Secure Meeting la
muestra en la página Meetings de los invitados del IVE habilitados para la
reunión. Si opta por habilitar un servidor de correo electrónico de protocolo de
transferencia sencilla de correo (SMTP), Secure Meeting también envía un
correo electrónico de notificación a todos los invitados con dirección conocida
(como se describe en “Envío de correos electrónicos de notificación” en la
página 625). Para obtener más información, consulte “Programación de
reuniones a través de la consola de usuario final del IVE” en la página 623.

„ Microsoft Outlook: Cuando el creador de una reunión usa Microsoft Outlook

para programarla, Outlook la muestra en la página Calendar de otros invitados
con Outlook habilitado y envía a todos ellos un correo electrónico de
notificación a través del servidor de correo electrónico de Outlook (como se
describe en “Envío de correos electrónicos de notificación” en la página 625).
Secure Meeting también muestra la reunión en la página Meetings de la
consola de usuario final del IVE para el creador de la reunión (pero no envía
correos electrónicos de notificación a través del servidor SMTP). Para obtener
más información, consulte “Programación de reuniones a través de Microsoft
Outlook” en la página 623.

622 „ Información general de Secure Meeting

 Capítulo 23: Secure Meeting

Los creadores de reuniones pueden omitir estos mecanismos de programación si

optan por crear reuniones instantáneas o de apoyo en lugar de reuniones estándar.
Para obtener más información, consulte “Creación de reuniones instantáneas y de
reuniones de apoyo” en la página 630.

Las reuniones MySecureMeeting le permiten crear reuniones con URL estáticas para
un tipo específico (por ejemplo, reuniones de estado semanales). No es necesario
programar este tipo de reuniones. El director comienza la reunión, y los invitados
introducen la URL para asistir a ella. Para obtener más información, consulte
“Creación de reuniones MySecureMeeting” en la página 632.

Programación de reuniones a través de la consola de usuario final del IVE

Si habilita capacidades de creación de reuniones a nivel de rol, los usuarios del IVE
pueden crear reuniones a través de la página Meetings de la consola de usuario
final del IVE. Al hacerlo, deben especificar todos los detalles estándar de la reunión,
como nombre de la reunión, descripción, hora de inicio, fecha de inicio, frecuencia,
duración, contraseña y una lista de invitados. Además, deben clasificar a todos los
invitados en una de dos categorías:

„ Invitados del IVE: Un invitado del IVE (también denominado invitado

perteneciente a la red) corresponde a un usuario del IVE que inicia sesión en
el mismo dispositivo o clúster IVE que el creador de la reunión. Al invitar a un
usuario del IVE a una reunión, su creador debe especificar el nombre de
usuario y el servidor de autenticación del usuario del IVE. Para obtener más
información, consulte “Especificación de los servidores a los que pueden
acceder los creadores de reuniones” en la página 638.

„ Invitados ajenos al IVE: Un invitado ajeno al IVE (también denominado

invitado no perteneciente a la red) corresponde a un usuario ajeno al IVE o a
un usuario del IVE que inicia sesión en un dispositivo o clúster IVE diferente al
del creador de la reunión. Al invitar a un usuario ajeno al IVE a una reunión,
su creador debe especificar la dirección de correo electrónico del usuario.

NOTA: Si un invitado del IVE usa la URL de la reunión y no la página Meetings de

la consola de usuario final del IVE para participar en una reunión, Secure Meeting
clasifica al usuario como invitado ajeno al IVE. Para obtener más información,
consulte “Entrar en una reunión” en la página 626.

Programación de reuniones a través de Microsoft Outlook

Si habilita capacidades de creación de reuniones a nivel de rol, los usuarios del
IVE pueden crear reuniones a través del calendario de Microsoft Outlook usando
el complemento de Secure Meeting para Outlook.

Al instalar el complemento de Secure Meeting en Microsoft Outlook 2000,

aparece el siguiente mensaje: “The form you are installing may contain macros”
(El formulario que está instalando puede contener macros). Como el formulario
de Secure Meeting no contiene macros, no importa si hace clic en Disable Macros
o en Enable Macros.

Información general de Secure Meeting „ 623

 Guía de administración de Secure Access de Juniper Networks

NOTA: Debe usar el mismo perfil de Outlook para eliminar el complemento de

Secure Meeting para Outlook que usó para su instalación. No se admite el cambio
de perfil entre la instalación y la eliminación del complemento.

Para utilizar ese complemento, el usuario debe:

1. Instalar el complemento desde la página Meetings de la consola de usuario

final del IVE.

2. Abrir el formulario de programación de Secure Meeting en Outlook escogiendo

New > Secure Meeting.

3. Usar la ficha Secure Meeting para introducir los detalles acerca del IVE en que
se debe programar la reunión, además de las credenciales de inicio de sesión,
territorio y la contraseña de una reunión del usuario.

NOTA: Debido a las limitaciones con Microsoft Outlook, no todos los detalles de la
reunión se llenan entre Microsoft Outlook y el IVE. Por ejemplo, si el usuario
programa una reunión a través del IVE, Microsoft Outlook no muestra la reunión
en su calendario. Para obtener una lista completa de las reuniones, consulte el
documento Secure Meeting for Outlook, disponible en el sistema de ayuda del
usuario final del IVE, así como también el instalador del complemento de Secure
Meeting para Outlook.

4. Use las fichas Scheduling y Appointment para programar la reunión y agregar

invitados mediante la funcionalidad estándar de Outlook. Tenga en cuenta que
Secure Meeting admite la creación de reuniones estándar o periódicas a través
de Outlook.

NOTA: La ficha Appointment tiene una casilla de verificación con la etiqueta This
is an online meeting using…, que no se relaciona con el servidor de la reunión ni
el complemento de Secure Meeting para Outlook, y no la puede utilizar el
complemento de terceros.

5. Guarde la entrada del calendario para enviar la información al servidor de

Secure Meeting. Tenga en cuenta que, al guardar una reunión, es posible que el
usuario reciba una advertencia de certificado debido a que el complemento se
comunica con un servidor seguro.

624 „ Información general de Secure Meeting

 Capítulo 23: Secure Meeting

6. Outlook envía correos electrónicos de invitación a los invitados que usan texto
y el enlace de URL de la reunión construido por el complemento de Secure
Meeting para Outlook. Además, Outlook agrega la reunión a los calendarios de
Outlook de los invitados a la reunión. Este elemento del calendario incluye toda
la información estándar registrada por Outlook, además de la ficha adicional
Secure Meeting, que contiene la información especificada por el creador de la
reunión en la ficha Secure Meeting. Tenga en cuenta que el IVE no envía un
correo electrónico adicional mediante el servidor SMTP. Para obtener más
información, consulte “Envío de correos electrónicos de notificación” en la
página 625.

NOTA: El complemento de Secure Meeting para Outlook sólo es compatible con

equipos con Windows Outlook 2000, 2002 ó 2003. No admite Outlook 2007 ni
posteriores.

7. Para eliminar una reunión, haga clic en Delete Meeting from Server en la ficha
Secure Meeting. La reunión no se elimina haciendo clic en Delete del
formulario de Outlook.

NOTA: La autenticación del complemento de Secure Meeting para Outlook no

funciona si el territorio habilita las directivas de Host Checker o requiere que los
usuarios seleccionen un rol.

Envío de correos electrónicos de notificación

Puede configurar Secure Meeting u Outlook para enviar correos electrónicos de
notificación a los invitados si el creador de la reunión guarda una reunión nueva o
modificada. El correo electrónico contiene detalles de la reunión, un enlace que el
invitado puede usar para unirse a la reunión y otro para verificar si su sistema es
compatible con Secure Meeting. (Para obtener más información, consulte
“Supervisión de Secure Meeting” en la página 645.)

NOTA: Puede enviar correos electrónicos de notificación para las reuniones

de MySecureMeeting. Para obtener más información, consulte “Creación de
reuniones MySecureMeeting” en la página 632.

Si los usuarios programan reuniones a través de la consola de usuario final del IVE,
debe habilitar un servidor SMTP en la página Users > Resource Policies >
Meetings de la consola de administración para poder enviar correos electrónicos de
notificación a los invitados. Al hacerlo, Secure Meeting obtiene direcciones de
correo electrónico de las siguientes fuentes:

„ Página Preferences: Un usuario del IVE puede introducir la dirección de su

correo electrónico en la ficha General de la página Preferences. Al hacerlo,
Secure Meeting usa automáticamente dicha dirección cuando un creador de
reunión selecciona el nombre del usuario en la ficha Local del cuadro de
diálogo Add Invitees. Para obtener más información, consulte “Especificación
de los servidores a los que pueden acceder los creadores de reuniones” en la
página 638.

Información general de Secure Meeting „ 625

 Guía de administración de Secure Access de Juniper Networks

„ Servidor LDAP: El creador de la reunión puede agregar usuarios desde un

servidor LDAP. Si dicho servidor guarda direcciones de correo electrónico para
sus usuarios, Secure Meeting usa automáticamente dicha dirección cuando el
creador de una reunión selecciona el nombre del usuario en la ficha LDAP del
cuadro de diálogo Add Invitees. Para obtener más información, consulte
“Definición de los ajustes de rol: Secure Meeting” en la página 633.

„ Página Create Meeting: El creador de la reunión puede introducir de forma

manual (o anular) las direcciones de correo electrónico de los invitados a la
reunión a la vez que programa o actualiza una reunión.

De lo contrario, si los usuarios programan una reunión a través de Microsoft

Outlook, el complemento de Secure Meeting para Outlook usa las direcciones de
correo electrónico que se guardan en el servidor de correo electrónico de Outlook.

Si la persona que crea una reunión en Secure Meeting usa invitaciones por correo
electrónico y tiene acceso al IVE mediante una URL que no sea el nombre de
dominio completamente calificado (por ejemplo, https://ive, no
https://ive.empresa.com), la invitación por correo electrónico puede mostrar
https://ive en la información de la invitación y no el verdadero nombre de host.
Como resultado de ello, es posible que los destinatarios de correos electrónicos no
puedan tener acceso al enlace del correo electrónico. Le recomendamos configurar
la identidad de la red del IVE. Si se configuran, las invitaciones de Secure Meeting
usan dicho nombre de host.

Entrar en una reunión

Los invitados pueden entrar a la reunión hasta 15 minutos antes de su inicio. Secure
Meeting realiza sus reuniones en línea en el IVE, lo que permite asistir a las
reuniones tanto a los usuarios del IVE como a los que no lo son. (Sin embargo,
los asistentes a la reunión que no son usuarios del IVE no pueden tener acceso
a ninguna de las características del IVE, excepto a la reunión a la que fueron
invitados.)

Para entrar en una reunión, los invitados de Secure Meeting deben dirigirse hasta
el sitio de la reunión del servidor de Secure Meeting (IVE) mediante uno de los
siguientes métodos:

„ Use el enlace que aparece en la página Meetings (sólo invitados del IVE).

„ Use el enlace que aparece en el correo electrónico de notificación.

„ Introduzca la URL de la reunión en un explorador Web.

NOTA: MySecureMeetings sólo admite introducir la URL de la reunión en un

explorador Web. Para obtener más información sobre cómo entrar a una reunión
de MySecureMeeting, consulte “Entrar en reuniones MySecureMeeting” en la
página 633.

Para obtener la URL de una reunión, su creador puede buscar en la página Join
Meeting. También, si elige el uso de la URL predeterminada de la reunión, cualquier
invitado a la reunión puede determinar la URL correcta introduciendo los valores
correspondientes en la siguiente URL:

https://<YourIVE>/meeting/<MeetingID>

626 „ Información general de Secure Meeting

 Capítulo 23: Secure Meeting

Donde:

„ <YourIVE> corresponde al nombre y dominio del IVE que hospeda la reunión,

como IVEserver.yourcompany.com. Secure Meeting saca este nombre del campo
Hostname de la ficha System > Network > Overview, si se define. De lo
contrario, Secure Meeting saca el nombre del IVE del explorador del creador de
la reunión.

„ meeting corresponde a una cadena literal. (Esta cadena siempre es la misma.)

Tenga en cuenta que meeting debe comenzar con “m” minúscula. En el caso de
MySecureMeetings, el valor predeterminado es meeting, pero lo puede definir el
administrador del sistema.

„ <MeetingID> corresponde al número único de identificación de 8 dígitos que

genera Secure Meeting para la reunión. Si el usuario no incluye la ID de reunión
en la URL, Secure Meeting se la solicita al iniciar sesión en la reunión. Por
ejemplo:

https://connect.acmegizmo.com/meeting/86329712

En el caso de MySecureMeetings, <MeetingID> corresponde al token del

nombre de esta reunión. Es estático para una reunión en particular y se puede
volver a usar indefinidamente hasta que se elimine. Por ejemplo:

https://connect.acmegizmo.com/meetings/chris/weeklyStatus

NOTA: Puede optar por personalizar la URL de la reunión con la característica de

las páginas de inicio de sesión personalizado, según se explica en “Configuración
de directivas de inicio de sesión” en la página 214. Si lo hace, los usuarios no
pueden tener acceso a una reunión mediante la URL descrita en esta sección.

Una vez que se dirigieron al sitio de la reunión, los usuarios autenticados del IVE
pueden entrar directamente a la reunión; no es necesario que introduzcan un
nombre de usuario ni una contraseña para tener acceso al sitio de la reunión en
el IVE debido a que ya se les autenticó a través del IVE.

Sin embargo, los usuarios que no son del IVE deben introducir un nombre y una
contraseña en la página de inicio de sesión dado que aún no se les autentica.
Secure Meeting autentica a los asistentes que no son usuarios del IVE según las ID
y contraseñas de la reunión que introducen en la página de inicio de sesión. (Tenga
en cuenta que el IVE no usa los nombres de los invitados para su autenticación; sólo
usa los nombres para mostrarlos durante la reunión.)

Información general de Secure Meeting „ 627

 Guía de administración de Secure Access de Juniper Networks

Cuando un invitado decide entrar en una reunión, Secure Meeting descarga o inicia
un cliente de Windows o un applet de Java en el sistema del invitado. Este
componente del lado cliente contiene un visor de reuniones, herramientas de
presentación y una aplicación de mensajes de texto. Una vez que Secure Meeting
inicia el cliente de Windows o el applet de Java en el escritorio del usuario, éste se
convierte en un asistente a la reunión y puede comenzar a participar de ella.

NOTA: Al configurar Secure Meeting, tenga en cuenta que:

„ Secure Meeting no funciona con archivos PAC en sistemas Macintosh o Linux.

„ Secure Meeting permite a los usuarios de Windows entrar en las reuniones

a través de un proxy NTLM con o sin autenticación, siempre que sus
exploradores admitan correctamente proxys. Secure Meeting no admite
proxys NTLM en clientes Macintosh o Linux.

„ Si un usuario inicia sesión en un dispositivo en clúster mediante la dirección

IP de éste, el usuario crea una reunión; luego, usted borra el clúster a través de
la Web o de la consola serie, la reunión se detiene debido a que eliminó la
dirección IP en la que el creador inició sesión antes de crear la reunión y
entrar en ella. Esta situación no ocurre si el usuario inicia sesión mediante la
dirección IP del dispositivo y no la del clúster. Asimismo, no debe cambiar el
nombre del nodo de clúster si se está ejecutando una reunión en el nodo.

Asistencia a las reuniones

De forma predeterminada, tan pronto como un asistente entra en una reunión,
puede ver los nombres de otros usuarios que también asisten a ella y puede
enviarles mensajes de texto mediante la ventana Secure Meeting Chat. No
obstante, puede optar por desactivar estas capacidades para que las reuniones sean
más seguras y productivas.

Por ejemplo, si el CFO de su empresa optar por realizar una reunión con la
comunidad de analistas de la empresa, puede optar por ocultar los nombres de los
asistentes a fin de mantener la confidencialidad de sus identidades. Además, puede
optar por desactivar el chat de texto para que los asistentes a la reunión no
interrumpan la presentación del CFO.

Puede inhabilitar el chat de texto y habilitar los nombres ocultos de los roles de
cada uno de los usuarios. También, puede especificar que los creadores de la
reunión dentro del rol puedan decidir si Secure Meeting oculta los nombres de los
asistentes o no. Si lo hace, los creadores de la reunión pueden elegir esta opción en
las siguientes situaciones:

„ Al programar o modificar una reunión en la página Meetings de la interfaz

estándar del IVE. (El creador de la reunión no puede optar por ocultar los
nombres de los asistentes de la interfaz de programación de Microsoft
Outlook.)

628 „ Información general de Secure Meeting

 Capítulo 23: Secure Meeting

„ Al entrar en una reunión estándar o una instantánea. (Sin embargo, tenga en

cuenta que el creador de la reunión sólo puede optar por ocultar los nombres
de los asistentes si él es la primera persona en entrar en la reunión. Si otro
asistente entra en la reunión antes que el creador, Secure Meeting muestra
automáticamente los nombres de los asistentes a la reunión y no permite al
creador de la reunión cambiar el ajuste de pantalla.)

Si usted o el creador de la reunión opta por ocultar los nombres de los asistentes,
los usuarios de Secure Meeting sólo podrán ver sus propios nombres y los del
director y presentador de la reunión. Para obtener más información, consulte
“Dirección de reuniones” en la página 629 y “Presentación de reuniones” en la
página 630.

La funcionalidad del chat de Secure Meeting sólo admite usuarios que usen
codificación en el mismo idioma (según los ajustes del explorador Web) en una sola
reunión. El uso de una codificación diferente ocasionará la generación de texto
incomprensible. Las invitaciones a la reunión se envían según el ajuste de idioma
del explorador Web del creador al crear o guardar las reuniones.

Dirección de reuniones
El director de la reunión corresponde a un usuario del IVE que se encarga de iniciar
la reunión. Secure Meeting le otorga al director las siguientes responsabilidades y
capacidades que le ayudarán a realizar eficazmente su reunión:

„ Inicio de la presentación de la reunión: Antes de que entre el director, los

demás asistentes sólo pueden chatear. No pueden ver ni hacer presentaciones
debido a que el director también es el presentador predeterminado de la
reunión. El presentador dela reunión inicia la presentación compartiendo su
escritorio y aplicaciones con los demás asistentes, según se explica en
“Presentación de reuniones” en la página 630.

„ Transferencia de derechos de director y presentador: El director de la reunión

puede optar por transferir algunas de sus responsabilidades, o todas ellas, a
otros asistentes a la reunión. Por ejemplo, después de entrar en la reunión,
el director puede especificar que otros asistentes inicien la presentación de la
reunión transfiriendo derechos de presentador a dicho asistente. El director
puede transferir sus derechos como tal a otro usuario del IVE y sus derechos de
presentador a cualquier otro asistente, sea usuario del IVE o no.

„ Supervisión de la reunión: El director de la reunión es responsable de, si es

necesario, expulsar a asistentes a la reunión. El director de la reunión también
puede ver los nombres de todos los asistentes, pudiendo así determinar quién
asiste (incluso si el creador de la reunión opta por ocultar los nombres, según se
describe en “Asistencia a las reuniones” en la página 628).

„ Término de la reunión: El director de la reunión es responsable de prolongar la

reunión si ésta dura más de lo programado y de concluirla una vez finalizada.

Información general de Secure Meeting „ 629

 Guía de administración de Secure Access de Juniper Networks

Presentación de reuniones
Una vez que el presentador comienza a compartir, se abre automáticamente un
visor de reuniones en todos los escritorios de los asistentes a la reunión y muestra
las aplicaciones compartidas del presentador1. Secure Meeting otorga al
presentador las siguientes capacidades que le ayudarán a realizar una presentación
eficaz a los demás usuarios:

„ Compartir múltiples aplicaciones: El presentador puede compartir una sola

aplicación, múltiples aplicaciones o todo su escritorio con los demás asistentes
a la reunión. (Tenga en cuenta que los usuarios de Macintosh no pueden
compartir aplicaciones individuales. Sólo pueden compartir sus escritorios.)

„ Anotación de presentaciones: El presentador puede usar las anotaciones de la

barra de herramientas de Secure Meeting para ilustrar los conceptos clave o
para identificar características importantes de una aplicación compartida.
Además, puede habilitar los derechos de anotación de otros asistentes a la
reunión.

„ Transferencia de derechos de controlador: El presentador de la reunión puede

designar un controlador. El controlador de una reunión usa su propio ratón y
teclado como control remoto para el escritorio o las aplicaciones compartidas
del presentador. El presentador puede transferir los derechos de control remoto
a otro asistente. Si el presentador desea recuperar el control de sus aplicaciones
con control remoto, simplemente debe hacer clic; Secure Meeting le devolverá
el control al presentador.

Al igual que el director de la reunión, su presentador también puede ver los

nombres de todos los asistentes (incluso si el creador o administrador de la reunión
opta por ocultar los nombres, como se describe en “Asistencia a las reuniones” en la
página 628). Secure Meeting le permite ver los nombres de todos los asistentes
para que así sepa a quién le está transfiriendo derechos de controlador.

NOTA: Los presentadores de reunión no pueden habilitar anotaciones y el control

remoto al mismo tiempo.

Los visores de clientes Linux y Macintosh pueden demorar en cargar la

presentación si el área de la pantalla de escritorio del presentador es mayor
que 1856 x 1392.

Creación de reuniones instantáneas y de reuniones de apoyo

Las reuniones instantáneas y las reuniones de apoyo se pueden crear rápidamente
sin necesidad de pasar por las páginas de programación del IVE o de Microsoft
Outlook. En lugar de ello, un usuario del IVE simplemente tiene que hacer clic en
el botón Instant Meeting o en el botón Support Meeting en la consola de usuario
final del IVE y hacer clic en Start Meeting. En ese momento, el IVE inicia la
reunión.

1. Secure Meeting no puede mostrar el contenido del escritorio del presentador de la reunión si éste está
bloqueado.

630 „ Información general de Secure Meeting

 Capítulo 23: Secure Meeting

Al crear reuniones instantáneas y reuniones de apoyo, el IVE acelera el proceso

omitiendo ciertos pasos de la programación. Por ejemplo, el IVE no solicita al
creador de la reunión agregar las direcciones de correo electrónico de otros
invitados, sino que hace del creador de la reunión el único invitado a la reunión.
Luego, el creador de la reunión puede proporcionar a otros invitados la información
necesaria para entrar en la reunión, como la URL, la ID y la contraseña de la
reunión (según se explica en “Entrar en una reunión” en la página 626).

El IVE también acelera el proceso de programación haciendo ciertas suposiciones

con respecto a lo que los asistentes a la reunión desean hacer. Por ejemplo, además
de hacer del creador de la reunión el único invitado a ella, el IVE también supone
que él desea realizar la reunión y, por lo tanto, lo convierte en el director de la
reunión. (De hecho, debido a que es probable que otros asistentes entren en la
reunión a través de la URL de la reunión y no de la consola de usuario final del IVE,
el creador de la reunión es el único usuario que puede realizar la reunión, según se
explica en “Dirección de reuniones” en la página 629.) Además, el IVE asigna
automáticamente un nombre de reunión (“Secure Meeting (-EETING)$)” para
reuniones instantáneas y “Support Meeting (-EETING)$)” para reuniones de
apoyo), fecha y hora de inicio de una reunión (inmediatamente), la duración de una
reunión (una hora) y la frecuencia de una reunión (una reunión que sólo se
celebrará una vez.)1

El IVE también usa los ajustes predeterminados que corresponden al tipo de

reunión:

„ Reunión instantánea: Una reunión instantánea corresponde básicamente a

una reunión estándar que los usuarios pueden crear con mayor rapidez. Por lo
tanto, cuando un usuario decide crear una reunión instantánea, el IVE aplica
todos los ajustes de nivel de rol del usuario, como requisitos de autenticación,
control remoto y chat seguro.

„ Reunión de apoyo: Una reunión de apoyo corresponde a una reunión de dos

personas cuyo objetivo principal es el de permitirle a un usuario del IVE
resolver rápidamente el problema de otro usuario. Por tanto, el IVE no habilita
todos los ajustes de nivel de rol del usuario, sino que habilita automáticamente
las opciones que facilitan la solución rápida de problemas y inhabilita otros
ajustes, como se describe a continuación:

„ Desktop sharing enabled: Cuando el segundo usuario entra en la reunión,

el IVE comparte automáticamente su escritorio con el director de la
reunión, lo que permite al director ver inmediatamente el problema del
usuario sin tener que explicar las funciones del presentador de una reunión
ni la forma de compartir el escritorio.

„ Remote control initiated: Cuando el segundo usuario entra en la reunión,

el IVE le pregunta automáticamente si el director puede controlar de forma
remota su escritorio. Suponiendo que el usuario acepta haciendo clic en
Yes, el creador de la reunión puede comenzar inmediatamente a navegar a
través del equipo del usuario para encontrar el problema y solucionarlo.
Si el usuario hace clic en No, el director puede obtener posteriormente el
control remoto mediante los mecanismos de solicitud estándar.

1. El creador de la reunión puede cambiar los ajustes predeterminados para una reunión instantánea o de apoyo
volviendo a la página Meeting Details después de crear la reunión.

Información general de Secure Meeting „ 631

 Guía de administración de Secure Access de Juniper Networks

„ Annotations disabled: El IVE no revela la característica de anotaciones

durante una reunión de apoyo debido a que ésta sólo consta de dos
usuarios. Si los usuarios tienen que demostrarse un problema entre sí,
pueden usar la característica de control remoto para controlar directamente
las aplicaciones con problemas.

„ Secure chatting disabled: El IVE no revela la característica de chat seguro

durante una reunión de apoyo debido a que los usuarios no tienen por qué
enviarse mensajes de texto entre sí, sino que deberían hablar directamente
por teléfono.

Creación de reuniones MySecureMeeting

Las reuniones MySecureMeetings, o reuniones personales, se pueden crear
rápidamente sin necesidad de pasar por las páginas de programación del IVE o de
Microsoft Outlook. En lugar de esto, un usuario del IVE simplemente tiene que
hacer clic en el botón Meeting de la consola de usuario final del IVE, introducir el
tema de la reunión y hacer clic en Start Meeting. En ese momento, el IVE inicia la
reunión.

Las reuniones MySecureMeeting son diferentes de las reuniones instantáneas en

que las MySecureMeeting tienen una URL fija para una reunión específica. Puede
crear un marcador para esta URL ya que no cambia. El nombre de la reunión debe
ser único dentro de su lista personal de reuniones y se puede volver a usar
indefinidamente hasta que el propietario o el administrador lo borre. La URL de la
reunión usa el formato:

https://<YourIVE>/<MySecureMeetingRoot>/<userToken>/<MeetingID>

Donde:

„ <YourIVE> corresponde al nombre y dominio del IVE que hospeda la reunión,

como IVEserver.yourcompany.com. Secure Meeting saca este nombre del campo
Hostname de la ficha System > Network > Overview, si se define. De lo
contrario, Secure Meeting saca el nombre del IVE del explorador del creador de
la reunión.

„ <MySecureMeetingRoot> corresponde a la cadena raíz de su URL personal.

De forma predeterminada, la raíz es meeting.

„ <userToken> corresponde a la cadena que identifica exclusivamente a esta URL.

Puede ser el nombre de usuario, una cadena (con un nombre automáticamente
adjuntado, lo que le otorga exclusividad) o una expresión. Por ejemplo:

https://my.company.com/meetings/chris/
https://my.company.com/meetings/room1
https://my.company.com/meetings/chris.andrew

Para obtener más información sobre <userToken>, consulte “Configuración de

los ajustes de reunión a nivel de sistema” en la página 640.

„ <MeetingID> corresponde al token del nombre de esta reunión. Es estático

para una reunión en particular y se puede volver a usar indefinidamente hasta
que se elimine. Por ejemplo:

https://my.company.com/meetings/chris/weeklystaff
632 „ Información general de Secure Meeting
 Capítulo 23: Secure Meeting

La página Meetings del usuario muestras sus direcciones personales de la reunión.

Los usuarios pueden enviar esta URL a los invitados para que entren en la reunión
en el momento en que comience.

Todas las reuniones pasadas aparecen en la página Meetings del usuario, facilitando
la ubicación de una reunión específica y la recuperación de detalles de reuniones.

Entrar en reuniones MySecureMeeting

Los asistentes pueden entrar en la reunión MySecureMeeting introduciendo la URL
de la reunión en un explorador.

Una vez que se dirigieron al sitio de la reunión, los usuarios autenticados del IVE
pueden entrar directamente a la reunión; no es necesario que introduzcan un
nombre de usuario ni una contraseña para tener acceso al sitio de la reunión en el
IVE debido a que ya se autenticaron a través del IVE.

Sin embargo, los usuarios que no son del IVE deben introducir un nombre y una
contraseña en la página de inicio de sesión dado que aún no se les autentica.
MySecureMeeting autentica a los asistentes que no son usuarios del IVE según las
ID y contraseñas de la reunión que introducen en la página de inicio de sesión.
(Tenga en cuenta que el IVE no usa los nombres de los invitados para su
autenticación; sólo usa los nombres para mostrarlos durante la reunión.)

Definición de los ajustes de rol: Secure Meeting

Esta sección incluye la siguiente información sobre los ajustes de de nivel de rol
para Secure Meeting:

„ “Habilitación y configuración de Secure Meeting” en la página 633

„ “Pautas de fusión permisiva para Secure Meeting” en la página 638

„ “Especificación de los servidores a los que pueden acceder los creadores de

reuniones” en la página 638

Habilitación y configuración de Secure Meeting

Para habilitar y configurar reuniones:

1. En la consola de administración, elija Users > User Roles.

2. Seleccione un rol.

3. Si aún no habilita Secure Meeting, en la ficha General > Overview, seleccione

la casilla de verificación Meetings y haga clic en Save Changes.

NOTA: Si no selecciona la casilla de verificación Meetings, los usuarios no pueden

crear reuniones, programar reuniones ni ver la página Meetings. Sin embargo,
tenga en cuenta que pueden seguir asistiendo a las reuniones a las que están
invitados mediante el enlace incluido en los correos electrónicos de invitación
o introduciendo directamente la URL de la reunión en sus exploradores Web.

Definición de los ajustes de rol: Secure Meeting „ 633

 Guía de administración de Secure Access de Juniper Networks

4. Haga clic en la ficha Meetings > Options.

5. En la sección Meeting Types, especifique el tipo de reunión que desea

proporcionar a los usuarios:

„ Users cannot create meetings: Seleccione esta opción para inhabilitar la

creación y programación de reuniones, y seguir proporcionando a los
usuarios acceso a la página Meetings para entrar en las reuniones a las
cuales fueron invitados.

„ MySecureMeeting: Seleccione esta opción para permitirles a los usuarios

crear reuniones personales sin tener que programarlas por adelantado.

‰ Users can create additional meeting URLs under their personal

URL: Seleccione esta casilla de verificación si desea permitir que los
usuarios creen tokens adicionales de <MeetingID>.

‰ Users can create Support meetings: Seleccione esta casilla de

verificación si desea permitir que los usuarios creen reuniones de
apoyo de dos personas (como se explica en “Creación de reuniones
instantáneas y de reuniones de apoyo” en la página 630).

„ Standard meetings: Seleccione esta opción para permitir a los usuarios

crear reuniones programadas a través de la página Meetings.

‰ Users can create Scheduled meetings: Seleccione esta casilla de

verificación para permitir a los usuarios crear reuniones programadas.

‰ Users can create Instant meetings: Seleccione esta casilla de

verificación para permitir a los usuarios crear reuniones instantáneas.

‰ Users can create Support meetings: Seleccione esta casilla de

verificación si desea permitir que los usuarios creen reuniones de
apoyo de dos personas (como se explica en “Creación de reuniones
instantáneas y de reuniones de apoyo” en la página 630).

6. En Authentication Requirements, especifique las restricciones de

autenticación que desea que los usuarios apliquen a las reuniones que crean:

„ Meeting password optional (more accessible): Seleccione esta opción

para permitir al creador de la reunión decidir si la entrada en la reunión
requiere o no una contraseña. Al elegir esta opción, toda persona que
conozca la URL, el número de ID y la contraseña (si corresponde) de la
reunión puede entrar en ella, incluso quienes no son usuarios de IVE.

„ Require meeting password (more secure): Seleccione esta opción para

que el creador de la reunión deba crear una contraseña para la reunión o
usar una generada por Secure Meeting. Al elegir esta opción, toda persona
que conozca la URL, el número de ID y la contraseña de la reunión puede
entrar en ella, incluso quienes no son usuarios de IVE.

634 „ Definición de los ajustes de rol: Secure Meeting

 Capítulo 23: Secure Meeting

„ Require server-generated password (even more secure): Seleccione esta

opción para que el creador de la reunión deba usar la contraseña generada
por Secure Meeting. Al elegir esta opción, toda persona que conozca la
URL, el número de ID y la contraseña de la reunión puede entrar en ella,
incluso quienes no son usuarios de IVE.

„ Require secure gateway authentication (most secure): Seleccione esta

opción para permitir la entrada sólo a los usuarios invitados autenticados
cotejándolos con la puerta de enlace segura del IVE para asistir a las
reuniones. Al elegir esta opción, no es necesario que el creador de la
reunión cree una contraseña para la reunión debido a que todos los
usuarios deben autenticarse a través de la puerta de enlace seguro de IVE.

7. (MySecureMeeting only) Under Password Options, specify password

requirements.

„ Minimum length: Ajuste la cantidad mínima de caracteres para las

contraseñas.

„ Maximum length: Ajuste la cantidad máxima de caracteres para las

contraseñas (opcional). La longitud máxima no puede ser inferior a la
longitud mínima. No existe un límite máximo para la longitud.

„ Password must have one or more digits: Seleccione esta opción para que
las contraseñas deban tener al menos un dígito.

„ Password must have one or more letters: Seleccione esta opción para que
las contraseñas deban tener al menos una letra.

„ Password must have mix of UPPERCASE and lowercase letters:

Seleccione esta opción si desea que todas las contraseñas contengan una
mezcla de mayúsculas y minúsculas.

„ Password must be different from username: Seleccione esta opción para

que la contraseña no pueda ser igual que el nombre de usuario.

8. (sólo MySecureMeeting) En Password Management, especifique cuándo se

pueden cambiar las contraseñas.

„ Allow meeting creator to decide: Seleccione esta opción para que el

creador de la reunión pueda decidir cuándo cambiar la contraseña.

„ Every_meetings: Seleccione esta opción para especificar el número de

reuniones después de las cuales vence la contraseña.

Definición de los ajustes de rol: Secure Meeting „ 635

 Guía de administración de Secure Access de Juniper Networks

9. (sólo reuniones estándar) En Password Distribution, especifique el método de

distribución que desea que empleen los creadores de reuniones (según se
explica en “Envío de correos electrónicos de notificación” en la página 625):

„ Do not display the password in the notification email (more secure):

Seleccione esta opción para que los creadores de reuniones deban
distribuir manualmente la contraseña para la reunión a los invitados. Al
seleccionar esta opción, Secure Meeting no distribuye la contraseña en los
correos electrónicos automáticos de notificación que envía los invitados,
y Microsoft Outlook no muestra la ficha Secure Meeting (que contiene la
contraseña para la reunión) a los invitados. La omisión de la contraseña del
correo electrónico de la reunión y de la entrada del calendario de Microsoft
Outlook ayuda a aumentar la seguridad de la red.

„ Display the password in the notification email (more accessible):

Seleccione esta opción para distribuir automáticamente la contraseña para
la reunión en el correo electrónico de notificación enviado por Secure
Meeting y para que aparezca la ficha Secure Meeting en las entradas del
calendario de Microsoft Outlook.

„ Allow the meeting creator to decide: Seleccione esta opción para

permitirle al creador de la reunión determinar si Secure Meeting y
Microsoft Outlook deben o no distribuir automáticamente la contraseña
de la reunión a los invitados a ella.

NOTA: Debe habilitar un servidor de correo electrónico para enviar correos

electrónicos de notificación de la reunión. Para obtener instrucciones, consulte
“Envío de correos electrónicos de notificación” en la página 625.

10. (Sólo reuniones instantáneas o programadas) En Attendee Names, especifique

si desea que Secure Meeting muestre los nombres de los asistentes durante la
reunión (según se explica en “Asistencia a las reuniones” en la página 628):

„ Do not allow hiding of attendee names: Seleccione esta opción para que
aparezcan siempre los nombres de los asistentes a la reunión.

„ Allow meeting creator to hide attendee names: Seleccione esta opción

para permitir al creador de la reunión decidir si aparecerán o no los
nombres de los asistentes a la reunión.

„ Hide attendee names: Seleccione esta opción para que se oculten siempre
los nombres de los asistentes a la reunión. Tenga en cuenta que, al
seleccionar esta opción, Secure Meeting igual revela los nombres del
director y presentador de la reunión a otros asistentes a ella.

11. (sólo reuniones instantáneas o programadas) En Remote Control, especifique

si desea permitirles a los presentadores de reuniones compartir el control de
sus escritorios y aplicaciones con otros asistentes a la reunión (como se explica
en “Dirección de reuniones” en la página 629):

„ Allow remote control of shared windows (more functional): Seleccione

esta opción para permitir al presentador o director de la reunión transferir
el control del escritorio y de las aplicaciones del presentador a cualquiera
de los asistentes a la reunión, incluidos los que no son usuarios del IVE.

636 „ Definición de los ajustes de rol: Secure Meeting

 Capítulo 23: Secure Meeting

„ Disable remote control (more secure): Seleccione esta opción para limitar
el control del escritorio y de las aplicaciones del presentador de la reunión
exclusivamente al presentador.

12. En Secure Chat, indique si desea o no permitir a los usuarios chatear durante
sus reuniones:

„ Allow secure chat (more functional): Seleccione esta opción para habilitar
el chat en las reuniones que crean los usuarios asignados a este rol.

„ Disable secure chat (more secure): Seleccione esta opción para inhabilitar
el chat en las reuniones que crean los usuarios asignados a este rol.

NOTA: Si cambia este ajuste durante el curso de una reunión (es decir, después de
que algún usuario haya entrado en la reunión), Secure Meeting no aplica el ajuste
modificado a la reunión en curso.

13. (sólo reuniones estándar) En Secure Meeting for Outlook, seleccione la casilla
de verificación Allow users to download Secure Meeting for Outlook Plugin si
desea permitir que los usuarios programen reuniones seguras a través de
Microsoft Outlook (como se explica en “Programación de reuniones” en la
página 622).

14. En Meeting Policy Settings, indique si desea o no restringir los recursos usados
por los usuarios de Secure Meeting:

„ Limit number of simultaneous meetings: Seleccione esta casilla de

verificación e introduzca un valor correspondiente para especificar el
número máximo de reuniones que pueden realizar los miembros del
rol en un momento determinado.

„ Limit number of simultaneous meeting attendees: Seleccione esta casilla

de verificación e introduzca un valor correspondiente para especificar el
número máximo de personas que pueden asistir simultáneamente a las
reuniones programadas por los miembros del rol.

„ Limit duration of meetings (minutes): Seleccione esta casilla de

verificación e introduzca un valor correspondiente para especificar
la duración máxima (en minutos) de una reunión.

NOTA: El IVE también limita el número de reuniones a las que los usuarios pueden
asistir. Un usuario individual sólo puede asistir a una reunión a la vez por equipo y
no puede asistir a más de 10 reuniones consecutivas en un período de 3 minutos.
Estos límites se suman a los de la reunión y del usuario definidos por la licencia
Secure Meeting.

15. Haga clic en Save Changes. El IVE agrega un enlace Meeting a las páginas
principales de puertas de enlace seguro de los usuarios en el rol especificado.

Definición de los ajustes de rol: Secure Meeting „ 637

 Guía de administración de Secure Access de Juniper Networks

Pautas de fusión permisiva para Secure Meeting

Si opta por combinar roles (como se explica en “Pautas de combinación permisiva”
en la página 72), el IVE combina todas las opciones de la página Users > User
Roles > Seleccionar rol > Meetings > Options para favorecer ajustes más
accesibles en lugar de ajustes más seguros que exceptúen directivas. Al aplicar
ajustes de directivas que controlen el número de reuniones y asistentes permitidos
por rol, Secure Meeting pasa por los distintos roles intentando encontrar uno cuyo
límite no se haya alcanzado.

Por ejemplo, puede especificar que los siguientes roles puedan programar el
siguientes número de reuniones:

„ Ingeniería: 25 reuniones

„ Administración: 50 reuniones

„ Ventas: 200 reuniones

Si Joe asigna todos estos roles (en el orden en que aparecen), e intenta programar
una reunión, Secure Meeting primero comprueba si se llegó al límite de reunión
programado para Ingeniería. Si es así, Secure Meeting comprueba el cupo de la
reunión de Administración. Si se llegó al límite, Secure Meeting comprueba el límite
para el rol Ventas. Sólo una vez que se llega al límite de estos roles, Secure Meeting
muestra un mensaje a Joe diciéndole que se alcanzó el límite de reuniones
programado y que no puede crear una reunión. No se puede limitar el número de
reuniones ni de usuarios en reunión a nivel de territorio.

Especificación de los servidores a los que pueden acceder los creadores de reuniones
Puede especificar los servidores de autenticación a los que pueden acceder los
creadores de la reunión y en que pueden buscar si desean invitar a otros usuarios
del IVE a las reuniones. Al especificar los servidores, puede seleccionar cualquiera
de los servidores de autenticación que habilitó a través de la página
Authentication > Auth. Servers de la consola de administración.

Al habilitar creadores de reuniones, Secure Meeting les muestra las siguientes fichas
en el cuadro de diálogo Add Invitees:

„ Local: Gracias a la ficha Local, el creador de la reunión puede tener acceso

y buscar usuarios en cualquiera de los servidores de autenticación habilitados
(entre ellos los servidores LDAP). El creador de la reunión puede tener acceso
y buscar a todos los usuarios administrados a través de un servidor de
autenticación local del IVE además de todos los usuarios administrados por
otros tipos de servidores de autenticación de la memoria del IVE. El creador de
la reunión no puede ver ni buscar usuarios incluidos en la base de datos de un
servidor que no sea del IVE, pero que aún no han iniciado sesión en el IVE y
crearon datos persistentes (como marcadores de usuario o modificaciones de
contraseña).

638 „ Definición de los ajustes de rol: Secure Meeting

 Capítulo 23: Secure Meeting

„ LDAP: Si habilita un servidor LDAP, Secure Meeting muestra la ficha LDAP en el

cuadro de diálogo Add Invitees. El creador de la reunión puede usar esta ficha
para tener acceso y buscar a todos los usuarios presentes en los servidores
LDAP habilitados, no sólo los usuarios guardados en la memoria caché del IVE.
Cuando el creador de una reunión agrega a un usuario a través de la ficha LDAP,
Secure Meeting también usa el atributo de correo electrónico del servidor LDAP
para completar la dirección de correo electrónico del invitado en su correo
electrónico de notificación.

Al agregar usuarios locales y LDAP, la capacidad del creador de la reunión de tener

acceso y buscar los servidores depende de las opciones especificadas en la ficha
Auth Servers de la consola de administración. Esta ficha contiene dos opciones que
puede usar para controlar el acceso a cada uno de los servidores de autenticación:

„ Access: Seleccione esta opción para permitir al creador de la reunión agregar y

validar usuarios desde el servidor de autenticación correspondiente. Si habilita
esta opción, Secure Meeting valida a todos los usuarios que el creador de la
reunión quiera agregar desde este servidor. Si el creador de la reunión
introduce el nombre de un usuario que no existe, Secure Meeting muestra una
advertencia al creador cuando termina de configurar la reunión y elimina al
usuario no válido de la lista de invitados. Si inhabilita esta opción, el creador de
la reunión debe usar las direcciones de correo electrónico en lugar de los
nombres de usuario del IVE para invitar a una reunión a todos los usuarios de
este servidor. A partir de ese momento, Secure Meeting trata a los usuarios
especificados como invitados que no son usuarios del IVE.

„ Search: Seleccione esta opción para permitirle al creador de la reunión buscar

entradas de usuarios en el servidor de autenticación correspondiente. Si
habilita esta opción, Secure Meeting muestra información sobre todos los
usuarios disponibles que cumplan con los criterios introducidos por el creador
de la reunión. Si inhabilita esta opción, el creador de la reunión debe conocer el
nombre de usuario y servidor de autenticación exactos de los usuarios del IVE
que desee invitar a la reunión.

NOTA: Si habilita un servidor LDAP, tenga en cuenta que se debe poder buscar en
él. También tenga en cuenta que puede usar las opciones de la ficha
Authentication > Auth. Servers > Seleccionar servidor LDAP > Meetings para
especificar los atributos LDAP individuales que debe mostrar Secure Meeting a los
creadores de la reunión cuando realizan búsquedas en una base de datos LDAP.
Para obtener más información, consulte “Especificación de los servidores a los
que pueden acceder los creadores de reuniones” en la página 638.

Para especificar los servidores de autenticación a los que pueden tener acceso los
usuarios y en que pueden buscar al programar una reunión:

1. En la consola de administración, elija Users > User Roles.

2. Seleccione un rol.

3. Si no ha habilitado ya Secure Meeting, en la ficha General > Overview,

seleccione la casilla de verificación Meetings y haga clic en Save Changes.

4. Haga clic en la ficha Meetings > Auth Servers.

Definición de los ajustes de rol: Secure Meeting „ 639

 Guía de administración de Secure Access de Juniper Networks

5. En la sección User’s Authentication Server, indique si los miembros de este rol

pueden tener acceso y buscar los servidores de autenticación con respecto a los
cuales están actualmente autenticados.

6. En la sección Authentication Servers, indique los servidores de autenticación

a los que los miembros de este rol pueden tener acceso y en los que pueden
buscar.

7. Haga clic en Save Changes.

Configuración de los ajustes de reunión a nivel de sistema

A diferencia de otras características de acceso, Secure Meeting no cuenta con una
directiva de recursos, sino que usted debe configurar los ajustes a nivel de sistema
que se aplican a todos los roles para los cuales está habilitada esta característica.
Puede:

„ Especificar los límites de duración de la sesión para las reuniones

„ Habilitar los ajustes de horario de verano para las reuniones programadas

„ Especificar la profundidad máxima del color de las presentaciones de

reuniones

„ Habilitar correos electrónicos automáticos de notificación para los usuarios

invitados a reuniones programas a través de la consola de usuario final del IVE

„ Definir la URL de MySecureMeeting

Para configurar Secure Meeting:

1. En la consola de administración, elija System > Configuration >

Secure Meeting.

2. En la sección Session lifetime, especifique los valores para:

„ Idle Timeout: Use este campo para especificar los minutos que la sesión
de una reunión puede permanecer inactiva antes de finalizar.

„ Max. Session Length: Use este campo para especificar los minutos que la
sesión de una reunión puede permanecer abierta antes de finalizar.

NOTA: Los valores introducidos aquí se aplican a la sesión de la reunión, no a la

sesión del IVE. Por ejemplo, puede introducir los valores menores de duración de
la sesión en la página Users > User Roles > Seleccionar rol > General >
Session Options de la consola de administración. Si el usuario alcanza uno de los
valores a nivel de rol antes de entrar en la reunión, debe volver a iniciar la sesión
del IVE para poder tener acceso a la reunión a través de la consola de usuario final
del IVE. Sin embargo, estos valores a nivel de rol no se aplicarán si el usuario los
alcanza después de entrar en la reunión en cuestión. Puede seguir asistiendo a la
reunión sin interrupciones hasta que llegue a los límites a nivel de directiva
especificados aquí.

640 „ Configuración de los ajustes de reunión a nivel de sistema

 Capítulo 23: Secure Meeting

3. En la sección Upload logs, seleccione Enable Upload Logs para permitir a los
usuarios ajenos al IVE cargar registros de la reunión.

NOTA: Si selecciona la opción Upload Logs, también debe usar los ajustes de la
página System > Log/Monitoring > Client Logs > Settings de la consola de
administración para habilitar el registro del lado cliente. Para obtener
instrucciones, consulte “Habilitación de registros del lado cliente” en la
página 841.

4. En la sección MySecureMeeting, especifique los valores para:

„ Root meeting URL: Seleccione la dirección URL de la reunión que desee

asociar con las reuniones MySecureMeeting. Las direcciones URL de la
dirección se crean en la página Authentication > Signing In > Sign-In
Policies.

„ Meeting name: Especifique el token para adjuntar a la dirección URL de la

reunión e identificar exclusivamente esta dirección URL. Puede usar:

‰ Username: Adjunte el nombre de usuario de IVE a la dirección URL de

la reunión.

‰ Sequential room number with prefix: Especifique una cadena para

adjuntar a la dirección URL de la reunión, como “reunión”. Los
números se adjuntarán a la cadena para garantizar su exclusividad.
Por ejemplo, sala_reunión1, sala_reunión2, etc.

‰ Expression: Adjunte una expresión, como <userAttr.lname>, a la

dirección URL de la reunión. Si el atributo no es válido, entonces se
adjunta el nombre de usuario a la dirección URL de la reunión.

NOTA: El cambio de este token afecta sólo a los usuarios que no han creado
reuniones. Los usuarios que ya han creado MySecureMeetings conservan sus
ajustes de token existentes.

Para ver una lista de las direcciones URL de MySecureMeeting que los usuarios
ya han creado, consulte System > Status > Meeting Schedule. Elija
MySecureMeeting URLs en el menú desplegable View.

5. En la sección Email meeting notifications, seleccione Enabled para habilitar

un servidor de correo electrónico SMTP. Después:

„ En el campo SMTP Server, introduzca la dirección IP o el nombre de host

de un servidor SMTP que pueda dirigir el tráfico de correos electrónicos del
dispositivo a los invitados a la reunión.

„ En los campos SMTP Login y SMTP Password, introduzca un nombre de

inicio de sesión y una contraseña para el servidor de correo electrónico
SMTP especificado (si lo solicita el servidor SMTP).

Configuración de los ajustes de reunión a nivel de sistema „ 641

 Guía de administración de Secure Access de Juniper Networks

„ En el campo SMTP Email, introduzca su dirección de correo electrónico

o la dirección de otro administrador. Secure Meeting usa la dirección
especificada como el correo electrónico del remitente en caso de que el
creador del correo electrónico no configure su propia dirección de correo
electrónico en el IVE.

NOTA: Si habilita un servidor SMTP para usar con Secure Meeting, también debe
definir un nombre de host virtual para su dispositivo IVE en el campo Hostname
de la ficha System > Network > Overview. Secure Meeting usa el nombre que
especificó al llenar los correos electrónicos de notificación con direcciones URL de
la reunión y al hacer llamadas SMTP. Si su IVE se corresponde con varios nombres
y no define un nombre de host virtual, es posible que deba restringir el nombre
con que los usuarios IVE inician sesión antes de crear una reunión. Por ejemplo,
si su IVE se corresponde con un nombre interno (como sales.acmegizmo.com) al
cual se pueda acceder sólo desde el interior del cortafuegos de su empresa y otro
nombre (como partners.acmegizmo.com) al cual se pueda acceder de todos lados,
los usuarios del IVE deben iniciar sesión en partners.acmegizmo.com para poder
crear reuniones. De lo contrario, los invitados que no son de IVE recibirán correos
electrónicos de notificación que contengan vínculos a un IVE al cual no se pueden
conectar.

6. En la sección Options, configure los horarios de verano y las opciones de

profundidad de color:

„ De la lista Observe DST rules of this country, especifique el país cuyas

reglas de horarios de verano debe seguir IVE. El cliente usa este ajuste
como referencia y luego ajusta los horarios de reuniones para usuarios
individuales según sea necesario conforme a los ajustes del explorador
y los ajustes de preferencia de DST del lado cliente del IVE.

NOTA: Cuando un usuario inicia sesión en IVE, Secure Meeting determina su huso
horario ejecutando un componente de ActiveX llamado “Captador de huso
horario” (“Timezone Grabber”) en su equipo.

„ Seleccione Enable 32-bit (True Color) Presentations para permitir que

los usuarios se presenten en color verdadero. De forma predeterminada,
Secure Meeting presenta aplicaciones a los usuarios usando la misma
profundidad de color que el escritorio del presentador (hasta un color de
32 bits). Sin embargo, si no selecciona esta opción y el usuario presenta
una aplicación en un color de 32 bits, Secure Meeting cambia la imagen
a 16 bits para mejorar el rendimiento.

7. Haga clic en Save Changes.

8. Configure los ajustes de Secure Meeting para los roles de cada uno mediante
las instrucciones en “Definición de los ajustes de rol: Secure Meeting” en la
página 633.

642 „ Configuración de los ajustes de reunión a nivel de sistema

 Capítulo 23: Secure Meeting

Resolución de problemas de Secure Meeting

Si usted o sus usuarios finales detectan problemas con Secure Meeting y las páginas
de las consolas de administración descritas anteriormente no le ayudan a resolver
el problema, le recomendamos que siga las siguientes pautas.

Los métodos de resolución de problemas incluyen:

„ Desinstale el cliente Secure Meeting de su sistema: Si tiene problemas para

iniciar Secure Meeting, haga clic en el vínculo Joining a Meeting:
Troubleshooting en la página Join Meeting, y luego haga clic en Uninstall.
Haga clic en Return to Join Meeting e intente iniciar nuevamente la reunión.
La próxima vez que intente entrar en una reunión, Secure Meeting actualizará
a su cliente con la última versión. Para obtener más información sobre dónde
Secure Meeting instala los archivos y cuáles archivos deja después de la
desinstalación, consulte el manual Client-side Changes Guide en el Juniper
Customer Support Center.

„ Verifique la compatibilidad de su sistema: Puede detectar problemas al entrar

o al presentarse en una reunión si la configuración de su sistema no es
compatible con Secure Meeting. Para determinar si su sistema es compatible,
diríjase hasta la página de inicio de sesión de la reunión en cualquier momento
o acepte el correo electrónico de la invitación a la reunión y haga clic en Check
Meeting Compatibility. Secure Meeting determina su nivel de compatibilidad
para lograr compatibilidad total, de ser necesario. Sin embargo, tenga en
cuenta que el comprobador de compatibilidad de Secure Meeting no verifica
todos los factores que puedan afectar a su experiencia en la reunión.

Para obtener una lista completa de los exploradores y sistemas operativos

admitidos, además de los requisitos del sistema, como CPU, memoria,
resoluciones de monitor y profundidades de la pantalla, consulte el documento
de plataformas compatibles publicado en el Juniper Networks Customer
Support Center.

„ Determine si está usando funcionalidad no compatible: Secure Meeting

no admite la distribución de aplicaciones de secuencias multimedia. Secure
Meeting tampoco admite aplicaciones de gráfico intensivas que cambien
dinámicamente la resolución o la profundidad de la pantalla.

„ Instale un certificado de nivel de producción en su IVE: Le recomendamos

instalar un certificado de nivel de producción en el servidor de Secure Meeting
(es decir, el IVE) cuando use Secure Meeting junto con un certificado SSL. Si
instala un certificado SSL de firma automática, los usuarios de Secure Meeting
pueden detectar dificultades para iniciar sesión en reuniones (como se describe
en “Uso de varios certificados de dispositivo del IVE” en la página 756). Si opta
por usar un certificado de firma automática, ordene a los asistentes a la reunión
instalar el certificado antes de entrar en la reunión. (En Internet Explorer, los
usuarios deben hacer clic en View Certificate y luego en Install Certificate
cuando vean el mensaje de error.)

Resolución de problemas de Secure Meeting „ 643

 Guía de administración de Secure Access de Juniper Networks

„ Consulte el PDF Secure Meeting Error Messages: El PDF Secure Meeting Error
Messages en el Juniper Networks Customer Support Center enumera los errores
que puede detectar cuando configura o usa Secure Meeting y explica cómo
manejarlos.

„ Comuníquese con Soporte técnico de Juniper Networks: Si detecta un error y

no lo puede resolver usando las soluciones descritas anteriormente, envíe una
descripción clara del problema al Soporte técnico de Juniper que incluya pasos
detallados explicando cómo reproducir el problema, el texto del mensaje de
error, el sistema operativo de IVE y el número de versión de compilación,
además de los archivos de registro de administrador de IVE, archivos de
registro de instalación y archivos de registro del lado cliente.

Problemas conocidos

Iniciar Secure Meeting usando un cliente Java

Cuando use el cliente Java para iniciar una Secure Meeting, si el usuario hace clic No
en la advertencia de certificado presentada por la JVM, el cliente de la reunión no se
inicia, pero al usuario le aparece como si el applet todavía se estuviera cargando.

Barras de herramientas en plataformas Macintosh y Linux

Incluso si los visores se establecen en pantalla completa, la barra de herramientas
aún es visible en las plataformas Macintosh y Linux.

Entrar en reuniones desde un clúster

Cuando usa dos IVE en un clúster de Secure Meeting, los usuarios siempre se deben
conectar a la dirección VIP (IP virtual) para entrar en Secure Meeting, y no la
dirección IP del equipo físico.

Sincronización de relojes en clústeres

Secure Meeting puede funcionar de manera errática si los relojes en los IVE en un
clúster no están sincronizados. Le recomendamos usar el mismo servidor NTP para
cada nodo dentro de un clúster para mantener los tiempos de IVE sincronizados.

Limitación del número de asistentes con Safari

Cuando crea una Secure Meeting usando el explorador Web de Safari, no puede
agregar más de 250 asistentes.

Ancho de banda del acceso telefónico

Durante la presentación, el presentador debe considerar qué métodos de acceso
usan los asistentes. Los asistentes de acceso telefónico pueden tener problemas con
el ancho de banda para presentaciones que actualizan la pantalla con demasiada
frecuencia. Si la presentación satura la banda ancha de los asistentes con acceso
telefónico, es posible que las funciones de control remoto y de chat no funcionen,
puesto que requieren enviar datos de vuelta al IVE por el mismo vínculo saturado
del acceso telefónico por el cual reciben los datos.

Creación de clústeres
Las reuniones Secure Meeting en curso se suspenden si se crea un clúster durante
la reunión.

644 „ Resolución de problemas de Secure Meeting

 Capítulo 23: Secure Meeting

Supervisión de Secure Meeting

Puede usar las siguientes páginas en la consola de administración para supervisar el
rendimiento de Secure Meeting y a los usuarios:

„ System > Status > Overview: Use esta página para ver el uso de la capacidad
del sistema en un dispositivo IVE. Para obtener instrucciones, consulte
“Esquemas XML de los gráficos del panel de la administración central” en la
página 718.

„ System > Status > Meeting Schedule: Use esta página para ver qué usuarios
están actualmente en una reunión y expulsarlos si es necesario. Para obtener
instrucciones, consulte “Programación de reuniones” en la página 622.

Supervisión de Secure Meeting „ 645

 Guía de administración de Secure Access de Juniper Networks

646 „ Supervisión de Secure Meeting

Capítulo 24
Email Client

El tipo de correo electrónico que le proporcione el IVE depende de qué

características opcionales contemple la licencia respectiva:

„ Opción Secure Email Client: Si tiene la opción Secure Email Client, el IVE
admite el protocolo de acceso a mensajes en Internet (IMAP4), el protocolo de
oficina postal (POP3) y el protocolo simple de transferencia de correo (SMTP).

„ Opción Secure Application Manager: Si tiene la opción Secure Application

Manager, el IVE admite el protocolo nativo MAPI de Microsoft Exchange y el
protocolo nativo de Lotus Notes.

NOTA: Si la licencia del IVE incluye la opción de administrador de aplicaciones

seguras, que admite el protocolo nativo MAPI de Microsoft Exchange y el
protocolo nativo de Lotus Notes, no se le aplica esta sección.

La opción de Secure Email Client permite usar clientes de correo electrónico

basados en estándares para tener acceso al correo electrónico corporativo de
manera segura desde lugares lejanos sin tener que recurrir a un software adicional,
como un cliente VPN. El IVE funciona con cualquier servidor de correo electrónico
que admita el protocolo de acceso a mensajes en Internet (IMAP4), el protocolo de
oficina postal (POP3) y el protocolo de transferencia sencilla de correo (SMTP),
incluidos el servidor Microsoft Exchange y el servidor de correo de Lotus Notes,
que ofrecen las interfaces IMAP4/POP3/SMTP.

El IVE se sitúa entre el cliente remoto y el servidor de correo y sirve como proxy de
correo electrónico seguro. El cliente remoto usa el IVE como un servidor de correo
(virtual) y envía el correo mediante un protocolo SSL. El IVE termina las conexiones
SSL desde el cliente y reenvía el tráfico de correo desencriptado dentro de la LAN
hacia el servidor de correo. Luego, el IVE convierte el tráfico desencriptado desde el
servidor de correo en tráfico S-IMAP (Secure IMAP o IMAP seguro), S-POP (Secure
POP o POP seguro) y S-SMTP (SMTP seguro) respectivamente y lo transporta
mediante SSL al cliente de correo electrónico.

Esta sección comprende la siguiente información sobre la característica

Email Client:

„ “Licencia: Disponibilidad de Email Client” en la página 648

„ “Información general sobre Email Client” en la página 648

„ “Definición de los ajustes de rol: Email Client” en la página 652

„ “Definición de directivas de recursos: Email Client” en la página 652

„ 647
 Guía de administración de Secure Access de Juniper Networks

Licencia: Disponibilidad de Email Client

Si usa un dispositivo SA-700, debe instalar una licencia de actualización para acceso
base sin clientes para poder tener acceso a la característica Email Client.

Información general sobre Email Client

Esta sección comprende la siguiente información sobre la característica
Email Client:

„ “Elección de un Email Client” en la página 648

„ “Funcionamiento con un servidor de correo basado en estándares” en la

página 649

„ “Funcionamiento con el servidor Microsoft Exchange” en la página 649

„ “Funcionamiento con Lotus Notes y el servidor de correo de Lotus Notes” en la

página 651

Elección de un Email Client

El IVE admite los siguientes clientes de correo electrónico:

„ Outlook 2000 y 2002

„ Outlook Express 5.5 y 6.x

„ Netscape Messenger 4.7x y Netscape Mail 6.2

Los usuarios que necesiten acceso remoto al correo electrónico normalmente están
en una de estas dos categorías:

„ Usuarios corporativos de equipos portátiles: Estos usuarios usan el mismo

equipo portátil en la oficina y fuera de ella.

„ Usuarios de equipos en el hogar: Estos usuarios usan un equipo cuando están

en la oficina y otro cuando están en su casa.

Antes de recomendar un cliente de correo electrónico a sus usuarios, lea más

adelante las secciones que indican la manera en que los clientes admitidos
interactúan con:

„ Servidores de correo basados en estándares, tales como el servidor de correo

de Lotus Notes. Para obtener más información, consulte “Funcionamiento con
un servidor de correo basado en estándares” en la página 649.

„ Servidor de Microsoft Exchange. Para obtener más información, consulte

“Funcionamiento con el servidor Microsoft Exchange” en la página 649.

NOTA: Puede encontrar instrucciones para configurar los clientes de correo

electrónico admitidos en la página IVE Tools and Guides del sitio Juniper Networks
Customer Support Center.

648 „ Licencia: Disponibilidad de Email Client

 Capítulo 24: Email Client

Funcionamiento con un servidor de correo basado en estándares

El IVE funciona con servidores de correo que admiten IMAP4, POP3 y SMTP.

Servidores de correo IMAP

„ Usuarios corporativos de equipos portátiles: Pueden usar cualquiera de los
seis clientes de correo electrónico admitidos. Recomendamos que los usuarios
utilicen el mismo cliente (configurado para apuntar al IVE) en la oficina y fuera
de ella para evitar sorpresas.

„ Usuarios de equipos en casa: Pueden usar cualquiera de los seis clientes de

correo electrónico admitidos para tener acceso remoto al servidor IMAP server
a través del IVE.

Servidores de correo POP

„ Usuarios corporativos de equipos portátiles: Pueden usar cualquiera de los
cuatro clientes de correo electrónico Outlook*. Recomendamos que los
usuarios utilicen el mismo cliente (configurado para apuntar al IVE) en la
oficina y fuera de ella para evitar sorpresas.

„ Usuarios de equipos en casa: Pueden usar cualquiera de los cuatro clientes de

correo electrónico Outlook* para tener acceso remoto al servidor IMAP server a
través del IVE.
*
El cliente de correo electrónico de Netscape no funciona en modo POP para
acceso remoto, porque no admite S-POP, que es necesario para la transmisión
segura de datos con el IVE.

Funcionamiento con el servidor Microsoft Exchange

El servidor de Microsoft Exchange Server admite:

„ Clientes de la interfaz de programación de aplicaciones de mensajería

(MAPI, por su sigla en inglés) nativos

„ clientes IMAP

„ clientes POP

„ Outlook Web Access (OWA)

El IVE brinda acceso al servidor de Microsoft Exchange a través de clientes IMAP

y POP usando la opción Secure Email Client y a través de OWA mediante la
característica de navegación web segura.

Información general sobre Email Client „ 649

 Guía de administración de Secure Access de Juniper Networks

Clientes Exchange Server e IMAP

Si su servidor de correo corporativo es Exchange, suponemos que el equipo de un
empleado en la oficina está configurado para usar el cliente de correo electrónico
Outlook 2000 o 2002 en modo MAPI nativo.

„ Usuarios corporativos de equipos portátiles: Pueden usar los clientes Outlook

Express o Netscape para tener acceso remoto al servidor Exchange a través
del IVE1.

„ Usuarios de equipos en casa: Pueden usar cualquiera de los seis clientes de

correo electrónico admitidos para tener acceso remoto al servidor Exchange
a través del IVE, suponiendo que no haya cuentas MAPI configuradas en el
equipo remoto.

Cuando se trabaja con clientes Outlook Express o Netscape en modo IMAP, ocurre
lo siguiente con la administración de carpetas:

„ Al usar clientes de correo Outlook Express: Los mensajes borrados aparecen

en la bandeja de entrada de Outlook Express tachados. No se mueven a la
carpeta Deleted Items del servidor Exchange, que es lo que ocurre con los
clientes Outlook 2000 o 2002. Los mensajes eliminados definitivamente en un
cliente Outlook Express no son recuperables. Recomendamos que los usuarios
de Outlook Express:

„ Arrastren los mensajes que desean borrar a la carpeta Deleted Items que
se encuentra debajo de Local Folders (estas son carpetas
predeterminadas). Esta carpeta se sincroniza con la carpeta Deleted Items
del servidor Exchange, lo que permite recuperar los mensajes borrados
posteriormente.

„ Dejen los mensajes borrados en la bandeja de entrada de Outlook Express

y cuando vuelvan a iniciar sesión con Outlook 2000 o 2002, pasen los
mensajes borrados a la carpeta Deleted Items.

„ Al usar clientes de correo Netscape: Los mensajes borrados pasan a la carpeta

Trash y no vuelven a aparecer en la bandeja de entrada, pero no desaparecen
de la bandeja de entrada de Outlook 2000 o 2002 hasta que el usuario:

a. Configura el programa de Netscape para que los mensajes borrados pasen

a la carpeta Trash y marca la opción para vaciar la bandeja de entrada
al salir.

b. Ejecuta un solo programa a la vez y sale de él al terminar para que la

bandeja de entrada del otro programa se sincronice con el servidor y
muestre los mismos mensajes.

Además, los mensajes enviados pasan a la carpeta Sent (u otra definida por el
usuario). Si el usuario desea que los mensajes enviados aparezcan en la carpeta
Sent Items del servidor Microsoft Exchange, debe arrastrarlos manualmente
desde la carpeta Netscape Sent a la carpeta Sent Items.

1. El cliente Outlook 2000 solo admite una configuración del servidor de correo, que en este caso sería el modo
MAPI nativo, con objeto de impedir que se utilice el mismo cliente para tener acceso remoto. El cliente
Outlook 2002 admite configuraciones de servidor MAPI e IMAP simultáneas pero no admite acceso IMAP
cuando la cuenta MAPI está fuera de línea, lo que impide a los usuarios externos recuperar correo electrónico.

650 „ Información general sobre Email Client

 Capítulo 24: Email Client

Clientes Exchange Server y POP

Si su servidor de correo corporativo es Exchange, suponemos que el equipo de un
empleado en la oficina está configurado para usar el cliente de correo electrónico
Outlook 2000 o 2002 en modo MAPI nativo.

„ Usuarios corporativos de equipos portátiles: Pueden usar los clientes Outlook

Express admitidos para tener acceso remoto al servidor Exchange a través
del IVE.

„ Usuarios de equipos en casa: Pueden usar cualquiera de los cuatro clientes

de Outlook para tener acceso remoto al servidor Exchange a través del IVE,
suponiendo que no haya cuentas MAPI configuradas en el equipo remoto.

NOTA: El cliente de correo electrónico de Netscape no funciona en modo POP para

acceso remoto, porque no admite S-POP, que es necesario para la transmisión
segura de datos con el IVE.

Exchange Server y Outlook Web Access

Para proporcionar acceso OWA a su servidor Exchange y permitir a los usuarios
tener acceso al servidor Exchange a través de la característica de navegación web
del IVE, basta con implantar OWA como un servicio basado en web en su intranet.
No hace falta mayor configuración para implantar OWA fuera de su red.

NOTA: Cuando se usa el IVE para tener acceso a Outlook Web Access se protege el
servidor web IIS de Outlook Web Access de ataques típicos, tales como Nimda, y
por ende es más seguro que subir el Outlook Web Access directamente a Internet.

Funcionamiento con Lotus Notes y el servidor de correo de Lotus Notes

El servidor de correo de Lotus Notes ofrece las interfaces POP3 e IMAP4, que
permiten recuperar correo electrónico de una configuración de correo de Lotus
Notes a través del IVE. Para determinar qué cliente de correo se recomienda para
los usuarios de correo electrónico de su empresa que necesitan tener acceso
remoto al servidor de correo de Lotus, lea la sección sobre funcionamiento con
servidores de correo basados en estándares, “Funcionamiento con un servidor de
correo basado en estándares” en la página 649.

Para habilitar el acceso a:

„ Servidores de correo corporativo IMAP/POP/SMTP: Especifique el servidor

de correo, sesión de correo electrónico e información de autenticación en la
página Users > Resource Policies > Email Settings de la consola de
administración. Para obtener más información, consulte “Definición de
directivas de recursos: Email Client” en la página 652.

„ Servidores Microsoft Exchange y Lotus Notes: Use los ajustes de la página

Users > User Roles > SAM > Applications de la consola de administración.
Para obtener más información, consulte “Compatibilidad con aplicaciones
estándar: MS Outlook” en la página 526 y “Compatibilidad con aplicaciones
estándar: Lotus Notes” en la página 528.

Información general sobre Email Client „ 651

 Guía de administración de Secure Access de Juniper Networks

Definición de los ajustes de rol: Email Client

Para usar la característica Email Client, debe habilitarla primeramente a nivel de rol
y crear una directiva de recursos que especifique los ajustes del servidor de correo.

Para habilitar la característica Email Client a nivel de rol:

1. En la consola de administración, seleccione Users > User Roles >

Nombre de rol > General > Overview.

2. En la sección Access features, seleccione la casilla de verificación Email Client.

3. Haga clic en Save Changes.

4. Cree una directiva de recursos que especifique los ajustes del servidor de correo
según las instrucciones de la sección “Definición de directivas de recursos:
Email Client” en la página 652.

Definición de directivas de recursos: Email Client

Cuando habilita la característica de acceso a Email Client para un rol, debe crear
una directiva de recursos que especifique los ajustes del servidor de correo. A
diferencia de otras características de acceso, Secure Email Client tiene sólo una
directiva de recursos que se aplica a todos los roles para los que está habilitada.
Si elige habilitar el servicio de cliente de correo electrónico para los usuarios, debe
especificar la información del servidor de correo IMAP/POP/SMTP y los ajustes de
autenticación de usuarios. El IVE sirve como proxy de correo electrónico para los
servidores especificados.

El IVE admite varios servidores de correo. Se puede exigir a todos los usuarios que
usen un servidor de correo predeterminado o se les puede permitir especificar un
servidor de correo SMTP, IMAP o POP predeterminado. Si se les permite especificar
un servidor de correo personalizado, deben especificar los ajustes del servidor
mediante el IVE. El IVE administra los nombres de usuario del correo electrónico
para evitar conflictos entre nombres.

Para redactar una directiva de recursos para el servidor de correo del Email Client:

1. Habilite la característica Email Client a nivel de rol según las instrucciones de la

sección “Definición de los ajustes de rol: Email Client” en la página 652.

2. En la consola de administración, elija Users > Resource Policies >

Email Client.

3. En Email Client Support, haga clic en Enabled.

652 „ Definición de los ajustes de rol: Email Client

 Capítulo 24: Email Client

4. Bajo Email Authentication Mode, seleccione una opción:

„ Web-based email session: Los usuarios deben configurar el correo

electrónico una sola vez para el IVE. Luego, configuran el cliente de correo
electrónico para usar el nombre de usuario y la contraseña que genera la
configuración de correo electrónico del IVE. Se recomienda que inicien la
sesión en el IVE para dar inicio a una sesión de correo electrónico.
(predeterminado)

„ Combined IVE and mail server authentication: Los usuarios configuran el

cliente de correo electrónico para que use las credenciales siguientes:

‰ Username: El nombre de usuario normal en el servidor de correo o

uno que sea generado por la configuración de correo electrónico del
IVE si se cumple alguna de las siguientes condiciones:
— el usuario tiene más de un nombre de usuario en el servidor
de correo
— el nombre de usuario en el IVE y en el servidor de correo son
distintos

‰ Password: La contraseña del usuario en el IVE seguida de un carácter

personalizable para separar credenciales, seguido de la contraseña del
usuario en el servidor de correo.

No es necesario que el usuario inicie sesión en el IVE para tener acceso al

correo electrónico.

„ Mail server authentication only: Los usuarios configuran su cliente de

correo electrónico para usar su nombre de usuario y contraseña normales
del servidor de correo. No es necesario que el usuario inicie sesión en el
IVE para configurar o usar correo electrónico.

NOTA: Sus usuarios pueden determinar fácilmente su nombre de usuario y

contraseña para el correo electrónico dirigiéndose a la página Email Setup.

5. Bajo Default Server Information, especifique la información del servidor de

correo. El IVE sirve como proxy de correo electrónico para el servidor.

NOTA: Se puede especificar solo un servidor de correo predeterminado. Si los

usuarios necesitan recuperar correo electrónico desde más de un servidor SMTP,
POP o IMAP, permítales definir servidores de correo adicionales marcando la
casilla de verificación correspondiente. Si les permite especificar servidores
personalizados, necesitan introducir la información del servidor una sola vez
en la página Email Setup del IVE.

6. Bajo Email Session Information, especifique el valor:

„ Idle Timeout, que controla el tiempo en que puede permanecer inactiva

una sesión de correo electrónico sin que el IVE la termine.

„ Max. Session Length, que controla el tiempo en que puede permanecer

activa una sesión de correo electrónico sin que el IVE la termine.

7. Haga clic en Save Changes.

Definición de directivas de recursos: Email Client „ 653

 Guía de administración de Secure Access de Juniper Networks

654 „ Definición de directivas de recursos: Email Client

Capítulo 25
Network Connect

La opción Network Connect otorga acceso remoto seguro de nivel de red basado en
SSL a todos los recursos de aplicación de la empresa con el IVE por el puerto 443.

La opción de acceso a Network Connect proporciona experiencia de usuario de VPN

sin clientes, que sirve como mecanismo de acceso remoto adicional a recursos
corporativos con un dispositivo IVE. Esta característica admite todos los modos de
acceso por Internet, como acceso telefónico, banda ancha y LAN, desde el equipo
cliente y funciona en cada proxy y cortafuegos que permita tráfico SSL.

Cuando el usuario inicia Network Connect, éste transmite todo el tráfico desde o
hacia el cliente por un túnel Network Connect seguro. (Consulte la Figura 40 en la
página 657.) La única excepción corresponde al tráfico iniciado por otras
características activadas por el IVE, como la exploración Web, exploración de
archivos y Telnet/SSH. Si no desea habilitar otras características del IVE para
determinados usuarios, cree un rol de usuario para el cual sólo esté habilitada la
opción Network Connect y compruebe que los usuarios asignados a este rol no
estén también asignados a otros roles que hayan habilitado otras características
del IVE.

Al ejecutarse Network Connect, el equipo cliente se convierte en un nodo de la LAN

remota (corporativa) y se vuelve invisible en la red LAN local del usuario; el
dispositivo IVE sirve como puerta de enlace del sistema de nombres de dominio
(DNS) para el cliente y no reconoce la LAN local del usuario. No obstante, los
usuarios pueden definir las rutas estáticas de sus PC para seguir accediendo a la
LAN local a la vez que se conecta simultáneamente con la LAN remota. Debido a
que el tráfico de PC pasa por el túnel de Network Connect hasta sus recursos
corporativos internos, debe comprobar que los demás hosts situados dentro de la
red local del usuario no se puedan conectar con el PC que ejecuta Network Connect.

„ 655
 Guía de administración de Secure Access de Juniper Networks

Puede asegurarse de que la LAN remota del usuario no se pueda conectar con
recursos corporativos internos negando el acceso de usuario a la subred local
(configurada en la ficha Users > User Roles > Seleccionar rol > Network
Connect). Si no permite el acceso a una subred local, un dispositivo IVE finalizará
las sesiones de Network Connect iniciadas por clientes con rutas estáticas definidas.
También puede exigirles a los clientes que ejecuten soluciones de seguridad de
punto final, como un cortafuegos personal, antes de iniciar una sesión de acceso
remoto de nivel de red. Host Checker, que realiza comprobaciones de seguridad de
punto final en hosts que se conectan con un dispositivo IVE, puede verificar si los
clientes usan un software de seguridad de punto final. Para obtener más
información, consulte “Host Checker” en la página 257.

NOTA: Network Connect agrega una entrada de archivo hosts para admitir el
siguiente caso:

„ Si, al conectarse NC, se inhabilita la división de encapsulamiento, y el nombre

de host original externamente resuelto (el nombre de host al que el usuario
inicialmente se conectó antes de iniciar NC) elige otra dirección IP
comparándola con el DNS interno, el explorador desviará a una página de
Servidor no encontrado, debido a que la ruta se definió dentro del sistema
cliente.

„ Al finalizar correctamente (cierre de la sesión o tiempo de espera) la conexión

del cliente de NC, el archivo hosts se restaura. Si el archivo hosts no se
restauró en un caso anterior debido a que la conexión no finalizó
correctamente, el archivo hosts se restaurará la próxima vez que el usuario
inicie Network Connect.

656 „
 Capítulo 25: Network Connect

La Figura 40 ilustra los pasos generales para establecer un túnel de

Network Connect.

Figura 40: Establecimiento de un túnel de Network Connect

Esta sección contiene la siguiente información sobre Network Connect:

„ “Resumen de tareas: Configuración de Network Connect” en la página 658

„ “Información general de Network Connect” en la página 660

„ “Definición de los ajustes de rol: Network Connect” en la página 671

„ “Definición de directivas de recursos: Network Connect” en la página 674

„ “Definición de los ajustes de sistema: Network Connect” en la página 690

„ 657
 Guía de administración de Secure Access de Juniper Networks

Resumen de tareas: Configuración de Network Connect

Esta sección señala los pasos de configuración de Network Connect de alto nivel.
Estos pasos no consideran los de la configuración preliminar del IVE, como
especificar la identidad de la red del IVE o agregar ID de usuario al IVE.

Para configurar el IVE para Network Connect:

1. Habilite el acceso a Network Connect a nivel de rol mediante los ajustes de la

página Users > User Roles > Rol > General > Overview de la consola de
administración. Para obtener instrucciones, consulte “Definición de opciones
predeterminadas para roles de usuario” en la página 84.

2. Cree directivas de recursos de Network Connect mediante los ajustes de las

fichas Users > Resource Policies > Network Connect:

a. Especifique los ajustes generales de acceso y normas de acceso detalladas

para Network Connect en la ficha Network Connect Access Control de la
consola de administración. Para obtener detalles, consulte “Definición de
directivas de control de acceso de Network Connect” en la página 674.

b. Especifique los perfiles de conexión de Network Connect que desea asignar

a usuarios remotos en la ficha Network Connect Connection Profiles de la
consola de administración. Para obtener detalles, consulte “Creación de
perfiles de conexión de Network Connect” en la página 675.

c. (Opcional) Especifique el comportamiento de la división de

encapsulamiento de Network Connect en la ficha Network Connect Split
Tunneling de la consola de administración. Para obtener detalles, consulte
“Definición de directivas de división de encapsulamiento de Network
Connect” en la página 682.

3. Especifique si se debe habilitar o no la instalación de GINA, emplee la división

de encapsulamiento o el comportamiento de inicio automático para Network
Connect en la página Users > User Roles > Rol > Network Connect de la
consola de administración. Para obtener instrucciones, consulte “Resumen de
tareas: Configuración de Network Connect” en la página 658.

NOTA: Si opta por activar el comportamiento de división de encapsulamiento para

Network Connect en esta página, primero debe crear al menos un perfil de
recursos de división de encapsulamiento Network Connect como se describió
anteriormente.

NOTA: Debe habilitar Network Connect para un rol determinado si desea que un
usuario asignado a dicho rol pueda usar GINA durante el acceso a Windows.

658 „ Resumen de tareas: Configuración de Network Connect

 Capítulo 25: Network Connect

4. Especifique una dirección IP para el proceso del lado del servidor Network
Connect para usarse en todas las sesiones de usuario de Network Connect de la
página System > Network > Network Connect de la consola de
administración. Para obtener detalles, consulte “Aprovisionamiento de la red
para Network Connect” en la página 668.

5. Compruebe que esté disponible una versión apropiada de Network Connect

para los clientes remotos que sigan las instrucciones de “Descarga de los
instaladores de aplicaciones” en la página 724.

6. Si desea habilitar o inhabilitar el acceso del lado cliente para Network Connect,
configure las opciones correctas de la ficha System > Configuration >
Security > Client-side Logs de la consola de administración. Para obtener
instrucciones, consulte “Habilitación de registros del lado cliente” en la
página 841.

NOTA: Para instalar Network Connect, los usuarios deben contar con los privilegios
adecuados descritos en la Client-side Changes Guide (Guía de cambios del lado
cliente) del Juniper Customer Support Center. Si el usuario no cuenta con estos
privilegios, use el Servicio de instalador Juniper disponible en la página
Maintenance > System > Installers de la consola de administración para omitir
este requisito.

NOTA: Network Connect requiere la habilitación de ActiveX firmado o applets Java

firmados dentro del explorador para descargar, instalar e iniciar las aplicaciones
cliente.

NOTA: De forma predeterminada, el cortafuegos Vista Advanced bloquea todo el

tráfico entrante y permite todo el tráfico saliente. Para que Network Connect
funcione en conjunto con el cortafuegos Vista Advanced, configure los siguientes
ajustes:

„ Cambie los ajustes predeterminados del cortafuegos Vista Advance para

bloquear todo el tráfico, tanto entrante como saliente.

„ Cree las siguientes normas de tráfico saliente en el perfil del cortafuegos

correspondiente:

„ Cree una norma de puerto a fin de permitir la conexión de cualquiera de

ellos a cualquier IP y de cualquier puerto TCP al 443.

„ Cree una norma personalizada que permita la conexión de TCP 127.0.0.1

a 127.0.0.1 de cualquier puerto a cualquier puerto.

„ Permita iExplorer.exe.

En versiones anteriores, se podía especificar si el IVE compila registros de paquetes

Network Connect para usuarios específicos de Network Connect. Esta opción ya no
está disponible, pues afecta al rendimiento.

Resumen de tareas: Configuración de Network Connect „ 659

 Guía de administración de Secure Access de Juniper Networks

Información general de Network Connect

Esta sección contiene la siguiente información sobre Network Connect:

„ “Ejecución de Network Connect” en la página 660

„ “Perfiles de conexión de Network Connect compatibles con ajustes de varios

DNS” en la página 667

„ “Aprovisionamiento de la red para Network Connect” en la página 668

„ “Registro del lado cliente” en la página 669

„ “Compatibilidad de proxy de Network Connect” en la página 669

„ “Calidad de servicio de Network Connect” en la página 670

„ “Soporte de multicast de Network Connect” en la página 671

Ejecución de Network Connect

El agente Network Connect se ejecuta de la siguiente manera:

1. Si cuenta con Graphical Identification and Authorization (GINA) instalado y

registrado en el cliente remoto, el cliente inicia automáticamente un túnel de
Network Connect al IVE si el usuario inicia sesión en Windows; de lo contrario,
el usuario tiene que iniciar sesión en un dispositivo IVE y hacer clic en el enlace
Network Connect de la página inicial del dispositivo (si no ha configurado el
inicio automático de Network Connect). Para obtener más información,
consulte “Inicio de sesión automático de Network Connect mediante GINA” en
la página 662.

NOTA: A partir de la versión 5.4 y demás posteriores, SSO no es compatible con

GINA de Network Connect.

2. Si el usuario no cuenta con la última versión del instalador Network Connect, el

dispositivo IVE intenta descargar un control ActiveX (Windows) o un applet Java
(Macintosh y Linux) en el equipo cliente, que descarga el software Network
Connect y lleva a cabo las funciones de instalación. Si el dispositivo IVE no
descarga ni actualiza el control ActiveX en un cliente de Windows debido a
privilegios de acceso restringido o a restricciones del explorador, el dispositivo
IVE usa un applet Java que descargue el software Network Connect en el cliente.

NOTA: Si se está ejecutando Microsoft Vista en el sistema, el usuario debe hacer

clic en el enlace de configuración que aparece durante el proceso de instalación
para continuar instalando el cliente de configuración y Network Connect. En todos
los demás sistemas operativos Microsoft, el cliente de configuración y Network
Connect se instalan automáticamente.

Para obtener más información sobre la eliminación del control Juniper ActiveX,
consulte “Eliminación del control ActiveX de Juniper” en la página 317.

660 „ Información general de Network Connect

 Capítulo 25: Network Connect

Ya sea que el IVE descargue un control ActiveX o un applet Java, ambos

componentes intentan identificar la presencia y versión del software Network
Connect actual del equipo cliente antes de determinar cuál de las siguientes
funciones de instalación va a realizar:

a. Si el equipo cliente no cuenta con software Network Connect, instale la

última versión.

b. Si el equipo cliente cuenta con una versión anterior del software Network
Connect, actualice los componentes de Network Connect de acuerdo con la
versión más reciente e instale la versión más reciente de UI del IVE.

NOTA: Para obtener información sobre applets Java válidos, archivos y registros
de instalación, y directorios de sistemas operativos en que se pueda ejecutar
mecanismos de entrega, consulte la Client-side Changes Guide (Guía de cambios
del lado cliente) del Juniper Networks Customer Support Center.

3. Una vez instalado, el agente Network Connect envía una petición al dispositivo
IVE para que inicialice una conexión con una dirección IP del conjunto de
direcciones IP previamente proporcionado (definido en las directivas de
recursos de perfiles de conexión de Network Connect aplicables al rol del
usuario).

4. El icono de la bandeja del sistema Network Connect se comienza a ejecutar en

un cliente Windows o en Dock en un cliente Mac.

5. El dispositivo IVE asigna una dirección IP (a partir de una directiva de recursos

de perfiles de conexión de Network Connect) y asigna una IP única al servicio
de Network Connect que se ejecuta en el cliente.

6. El servicio de Network Connect del lado cliente usa la dirección IP asignada

para comunicarse con el proceso de Network Connect que se ejecuta en el
dispositivo IVE.

7. Después de asignar una dirección IP al cliente, el IVE abre un canal directo de

comunicación entre el cliente y todos los recursos de la empresa a los que
permite acceso la directiva de recursos del usuario. El servidor de aplicaciones
internas ve la IP de origen con la dirección IP del cliente.

Figura 41: Comunicación de cliente o servidor de Network Connect

Información general de Network Connect „ 661

 Guía de administración de Secure Access de Juniper Networks

El agente Network Connect del lado cliente se comunica con el dispositivo IVE, que,
a su vez, envía peticiones del cliente a los recursos de la empresa.

NOTA: Si usa Host Checker para validar la presencia de los componentes de

seguridad del lado cliente según las directivas que definió en el IVE, y el cliente no
puede cumplir todas las directivas de seguridad en cualquier punto durante una
sesión de Network Connect, Host Checker finaliza la sesión.

Inicio de sesión automático de Network Connect mediante GINA

La función de inicio de sesión Graphical Identification and Authorization (GINA)
corresponde a un método de inicio de sesión automatizado que puede instalar y
habilitar en clientes de Windows que inician sesión en un dominio Windows NT.
Puede requerir Network Connect para instalar GINA en el equipo cliente o dejar
a los usuarios decidir si instalar o no GINA al iniciar Network Connect.

NOTA: No se puede instalar más de una función de inicio de sesión automático

GINA en el sistema de un cliente. Si otra aplicación del sistema cliente usa una
función GINA, no se puede instalar Network Connect ni activa el componente
GINA.

Si se instala GINA en el cliente, le pide automáticamente al cliente escoger si se

inicia o no Network Connect cada vez que inicie sesión en Windows. Si elige que la
instalación de GINA sea opcional, el usuario puede activar GINA mediante la opción
Auto connect when login to Windows de la ventana de Network Connect. Esta
opción sólo está disponible durante una sesión de Network Connect abierta.

La opción para habilitar la instalación de GINA en los sistemas de un cliente está

disponible definiendo los atributos de rol en la página Users > User Roles > Rol >
Network Connect. Para obtener detalles, consulte “Resumen de tareas:
Configuración de Network Connect” en la página 658.

La Figura 42 ilustra los pasos generales del proceso de instalación de GINA.

Figura 42: Proceso de instalación de GINA

User signs in to
IVE via Network
Connect

Yes GINA automatic

Is GINA enabled on
sign-in
the user’s IVE role?
No service installed

No

GINA installation
Network Connect No Yes completed and
Does user choose
installed without user asked
to enable GINA?
GINA capability whether or not to
reboot at this time

662 „ Información general de Network Connect

 Capítulo 25: Network Connect

El proceso de instalación de GINA se lleva a cabo una vez y requiere que el usuario
reinicie el sistema para poder habilitar la capacidad de inicio de sesión GINA.
A partir de dicha sesión, GINA avisa al usuario si se debe iniciar o no Network
Connect en cada inicio de sesión de Windows. Cuando el usuario inicia sesión
en Network Connect, a menos que se especifique lo contrario, GINA pasa las
credenciales de inicio de sesión de Windows del usuario al IVE para una
autenticación antes de establecer el túnel de Network Connect.

La Figura 43 ilustra los pasos generales del proceso de establecimiento de un túnel

de GINA automatizado.

Figura 43: Proceso de inicio de sesión automatizado de GINA

Windows
User launches credentials User connected
Windows on client presented to IVE to network
for authentication

Yes Yes

GINA
Yes
Yes sign-in appears. Yes
Does client have Was the tunnel Is user signed in to
Does user want to
network connectivity? established? Windows NT domain?
launch Network
Connect?

No No No No

User signs in to
Attempt user
Windows using User signs in to
credential
cached credentials, no Windows using
verification three
GINA sign-in cached credentials
times only.
displayed, and no and connected to
If unable to
network connectivity LAN only authenticate,
established
display error
message and
connect to LAN

Cuando un usuario inicia sesión en el IVE a través de GINA Juniper, si la versión del
cliente de Network Connect presente en el equipo del usuario coincide con la del
IVE, GINA Juniper establece una conexión Network Connect con el IVE. Si las
versiones de Network Connect no coinciden, GINA Juniper no establece una
conexión de Network Connect con el IVE. Antes de la versión 5.4, GINA Juniper
muestra una advertencia de discrepancia de versiones y permite a los usuarios
iniciar sesión en el escritorio de Windows con sus credenciales en caché. Con la
versión 5.4 y posterior, GINA Juniper permite a los usuarios iniciar sesión en el
escritorio de Windows mediante sus credenciales en caché; luego, inicia un cliente
red independiente. Los usuarios inician sesión en el IVE, y el cliente de Network
Connect correspondiente se descarga automáticamente en el equipo del usuario
y se inicia.

Si usa Host Checker para validar la presencia de los componentes de seguridad

del lado cliente (autorización previa), Host Checker se inicia después de Network
Connect. A veces, esto se denomina comprobación en modo de sistema. Host
Checker existe tras una validación satisfactoria y se reinicia posteriormente una
vez que el usuario inicia sesión en su escritorio (llamado modo de usuario).

Información general de Network Connect „ 663

 Guía de administración de Secure Access de Juniper Networks

Uso del encadenamiento de GINA

Network Connect admite el encadenamiento de GINA. El encadenamiento de GINA
significa que un GinaDLL llama a otro GinaDLL. De forma predeterminada, al
habilitarse GINA de NC también se habilita el encadenamiento de GINA de NC.
El cliente de Network Connect detecta todos los componentes de GINA actualmente
instalados encima de la cadena actual de GINA. Si el componente de GINA es
compatible, GINA de NC se coloca al frente de los componentes actuales de GINA.
Actualmente, Network Connect admite los siguientes componentes de GINA:

„ Cliente Cisco VPN (CSGina.dll)

„ Microsoft GINA (msgina.dll)

„ Cliente Nortel Networks VPN (nngina.dll)

„ RSA SecurID (AceGina.dll)

„ Novell GINA (NWGINA.dll)

Si no se admite un componente de GINA instalado (es decir, no se encuentra en la

lista anterior), aparece un mensaje de advertencia, y GINA de NC no se instala.

Si desinstala un componente de GINA después de que Network Connect agrega su

información a la cadena de GINA, GINA de NC elimina la información de GINA
guardada y no invoca el componente de GINA eliminado la próxima vez que pase
por el encadenamiento de GINA.

NOTA: Si se instala GINA de NC sobre la cadena de GINA (es decir, es lo último en

instalarse), GINA de NC se desinstala una vez desinstalado el cliente de Network
Connect. Sin embargo, si GINA de NC se encuentra en el medio de la cadena,
debe eliminar todos los GINA que estén más arriba en la cadena que GINA de
Network Connect antes de eliminar GINA de NC.

Proveedor de credenciales de Network Connect para Windows Vista

En versiones anteriores a Windows Vista, la personalización del inicio de sesión de
usuario interactivo se realiza creando GINA personalizado. Los usuarios introdujero
sus credenciales de autenticación en la UI de acceso, y GINA transmitió su
información a Winlogon para su autenticación. Sin embargo, debido a que GINA
hace más que transmitir información de autenticación, normalmente es difícil de
implementar.

Windows Vista introduce un nuevo modelo de autenticación en que la UI de acceso

y Winlogon se comunican directamente entre sí. Un proveedor de credenciales
corresponde a un módulo que se conecta a la UI de acceso y describe la
información de la credencial necesaria para que la UI de inicio de sesión procese
y se comunique con un proveedor externo de autenticación. Una vez que el
proveedor de credenciales recopila la información de la credencial, transmite las
credenciales finales a Winlogon.

664 „ Información general de Network Connect

 Capítulo 25: Network Connect

Existen dos tipos básicos de proveedores de credenciales: Autenticación estándar

y proveedores de acceso previo (PLAP). La autenticación estándar incluye
credenciales basadas en contraseñas o en certificados. Un PLAP corresponde a un
tipo especial de proveedor de credenciales que permite a los usuarios realizar una
conexión de red antes de iniciar sesión en su sistema. Otra diferencia entre estos
dos tipos de proveedores es el tiempo de espera. Las credenciales de PLAP no
tienen tiempo de espera; normalmente, las credenciales estándar tienen un tiempo
de espera de 120 segundos.

El proveedor de credenciales de Network Connect corresponde a un proveedor

PLAP, que es visible sólo si el sistema está configurado como parte de un dominio.
El proveedor de Network Connect crea una conexión de red. Si las credenciales del
usuario son las mismas que la del dominio (SSO), su información se introduce una
sola vez. Si las credenciales del usuario no son las mismas que las del dominio,
el usuario selecciona otro proveedor de credenciales para la autenticación del
dominio.

Para instalar el proveedor de credenciales de Network Connect:

1. Compruebe que su usuario cliente forme parte del dominio de Windows.

2. En la consola de administración, vaya a User Roles > Network Connect

y seleccione la opción Require NC to start when logging into Windows.

3. Al instalar Network Connect en el sistema cliente (que ejecuta Windows Vista),

la ventana de GINA le pide configurar la autenticación de GINA. Haga clic en
Aceptar.

4. Una vez establecido el túnel Network Connect en el sistema cliente, abra la

ventana de Network Connect. Vaya a Advanced View y seleccione la ficha
Information. En la sección Results, compruebe que el complemento de GINA
esté configurado. Debe ver algo similar a GINA Plug-In: Configured.

5. Cierre la sesión de Windows y presione Ctrl+Alt+Supr.

Debe ver el icono de acceso de red. Si sólo ve los mosaicos estándar de usuario
de Windows, haga clic en la opción Switch user bajo los mosaicos estándar de
credenciales de Windows para ver el icono de acceso de red.

6. Haga clic en el icono de inicio de sesión de red y, luego, en el icono de acceso

del IVE.

7. Introduzca la credencial del dominio Windows y haga clic en Submit. Para su

nombre de usuario, use el formato domain\username o user@domain.

8. Cuando aparezca la ventana Network Connect, introduzca su nombre de

usuario y la contraseña para establecer la conexión de PLAP de Network
Connect.

Network Connect inicia la sesión del usuario en la URL y el servidor proxy

predeterminados en config.ini. Si el nombre de usuario y la contraseña para la
URL predeterminada no es la misma que para el IVE, aparece una ventana de
Network Connect para que introduzca sus credenciales del IVE. Esta ventana
también contiene un botón de opción para iniciar otra ventana para introducir
una URL, servidor proxy, etc.

Información general de Network Connect „ 665

 Guía de administración de Secure Access de Juniper Networks

Algunas consideraciones necesarias con respecto al proveedor de credenciales de

Network Connect en Vista:

„ En Windows XP, GINA aparece antes que la ventana de acceso de Windows.

En Windows Vista, la credencial del dominio de Windows se introduce en el
icono de acceso del IVE. Aparece la ventana de Network Connect y establece
la conexión PLAP de Network Connect mientras inicia sesión en el escritorio
de Windows.

„ El proveedor de credenciales de Network Connect admite los siguientes

proveedores de autenticación: Autenticación local, LDAP, RADIUS (sólo
UN/PWD), NIS, ADS y conexión telefónica.

Inicio de Network Connect durante una sesión de Windows Secure

Application Manager
Los usuarios pueden iniciar Network Connect mientras inician sesión en el IVE
a través de Windows Secure Application Manager (WSAM). Sin embargo, si un
usuario inicia Network Connect en este contexto, el instalador de Network Connect
finaliza automáticamente la sesión de WSAM antes de iniciar Network Connect.

Durante el proceso, se le envía un mensaje de advertencia al usuario informándole

que está a punto de finalizar su sesión de WSAM para poder iniciar Network
Connect. Le recomendamos configurar las directivas de recursos de Network
Connect de los usuarios para poder contar con el mismo acceso a los recursos
de red que tendrían en sus sesiones WSAM. Así, si los usuarios optan por iniciar
Network Connect (finalizando simultáneamente WSAM), podrán seguir accediendo
a los mismos recursos de red.

NOTA: Aunque los usuarios opten por no iniciar Network Connect, el instalador
de Network Connect igual instala automáticamente la aplicación de cliente en su
equipo, pero no inicia Network Connect. Una vez instalada la aplicación cliente,
los usuarios pueden optar por desinstalarla manualmente a través de su página
inicial de puerta de enlace segura o de las opciones de carpeta disponibles en el
menú Start de Windows.

Inicio de sesión en Windows a través de un túnel seguro

Use la característica Logoff On Connect para que los usuarios inicien sesión en
su entorno Windows a través de un túnel seguro de Network Connect. Esta
característica permite autenticar comparando con el servidor de dominio de
Windows en tiempo real, en lugar de autenticar con las credenciales en la caché
local. Cuando esta característica está activada, su sesión de Windows se cierra
automáticamente después de que se inicia la sesión de Network Connect. La
ventana de inicio de sesión estándar de Windows vuelve a aparecer, y se inicia
sesión con las credenciales de Windows. Su entorno de Windows queda así
establecido a través del túnel de Network Connect.

NOTA: Los usuarios deben iniciar sesión en Windows antes de que transcurran
Usted 5 minutos a partir de la reaparición de la pantalla de inicio de sesión, o antes de
que la directiva de Host Checker determine que el período terminó, lo que ocurra
primero. Si no, puede terminar el tiempo de espera de su conexión de Network
Connect, y no podrán iniciar sesión en Windows a través de un túnel seguro.
Aparece un error si se termina el tiempo de espera de la conexión de Network
Connect.

666 „ Información general de Network Connect

 Capítulo 25: Network Connect

Para usar la característica Logoff On Connect:

1. Los usuarios deben acceder a su equipo local con sus credenciales almacenadas
en la caché del dominio. Su equipo debe formar parte de un dominio de
Windows.

2. Los usuarios deben iniciar Network Connect y hacer clic en Tools en la página
de inicio de sesión de Network Connect.

3. Seleccione la opción Logoff on Connect y haga clic en OK.

4. Los usuarios deben introducir sus credenciales de nombre de usuario y

contraseña en la página de inicio de sesión de Network Connect.

Network Connect establece un túnel y cierra su sesión en su equipo local.

Aparece la página de inicio de sesión de Windows.

5. Los usuarios deben introducir sus credenciales de nombre de usuario y

contraseña para iniciar sesión en su dominio de Windows mediante el túnel
de Network Connect.

Perfiles de conexión de Network Connect compatibles con ajustes de varios DNS

A fin de asegurar que los usuarios remotos puedan realizar búsquedas de DNS con
la mayor eficiencia o seguridad posible, puede configurar el IVE para que permita
ajustes de varios DNS durante las sesiones de Network Connect, según la asociación
del rol del usuario.

Cuando inicia una sesión de Network Connect de un usuario, el IVE usa un perfil
que coincide con la asociación del rol del usuario que contenga la dirección IP,
DNS y los ajustes de WINS.

Si habilita la división de encapsulamiento, el ajuste de orden de búsqueda de DNS le

permite definir qué ajuste de DNS tiene prioridad; por ejemplo, la búsqueda de un
servidor de DNS en la LAN del cliente antes del servidor de DNS del IVE o viceversa.
Network Connect realiza una copia de seguridad de la preferencia de orden de
ajustes o búsqueda de DNS del cliente antes de establecer una conexión con
Network Connect. Después de finalizada la sesión, Network Connect restaura al
cliente a sus ajustes de DNS originales. Si inhabilita la división de encapsulamiento,
todas las peticiones de DNS pasan al servidor de DNS del IVE y su ajuste para la
preferencia de orden de búsqueda de DNS no se aplica.

NOTA: Después de finalizar y reiniciar un cliente de DNS, éste puede no escoger de

forma oportuna el orden de búsqueda de múltiples direcciones de DNS, lo que
provoca un orden de búsqueda incorrecto al iniciar Network Connect. Las normas
que rigen la resolución de nombres y la conmutación de DNS por error son
complejas y, a menudo, específicas de un sistema operativo de un cliente en
particular. Usted o el usuario final pueden intentar ejecutar los comandos de
ipconfig /registerdns desde una ventana de comandos del equipo cliente. Esto
puede restablecer el orden de búsqueda al correcto. Para comprender el orden de
resolución de búsqueda para servidores de DNS, consulte la documentación de
Microsoft DNS correspondiente a su plataforma de sistema operativo.

Información general de Network Connect „ 667

 Guía de administración de Secure Access de Juniper Networks

Al emplear un clúster de múltiples sitios de IVE, el conjunto IP y los ajustes de DNS

pueden ser exclusivos para cada IVE ubicado en un sitio diferente. Por esta razón,
el IVE permite que la directiva de perfil de conexión de Network Connect sea
específica al nodo. Es decir, la directiva de recursos permite que el cliente se
conecte al mismo IVE del clúster cada vez que se establece una nueva sesión.

NOTA: Si se ejecuta Network Connect en un sistema con licencia IVS, consulte

“Configuración del DNS para el IVS” en la página 948 y “Configuración de
Network Connect para uso en un IVE virtualizado” en la página 950.

Aprovisionamiento de la red para Network Connect

Incompatibilidad de Network Connect con otras aplicaciones cliente

de VPN
Las aplicaciones de clientes de VPN de terceros proveedores pueden ser
incompatibles con Network Connect. La Tabla 38 incluye los proveedores de cliente
de VPN conocidos y la compatibilidad relativa de Network Connect con las
aplicaciones cliente de VPN de dichos proveedores.

Tabla 38: Compatibilidad de Network Connect con clientes de VPN de terceros

Proveedor ¿Compatible?
Cisco Sí
Nortel Sí
NS Remote Sí
Intel Sí
Checkpoint Sí

Si desea instalar Network Connect en un cliente que presente una aplicación cliente
de VPN incompatible, debe desinstalar la aplicación incompatible antes de instalar
o iniciar Network Connect en el cliente.

Requisitos de cliente Linux

Los clientes Linux que inicien sesión en Network Connect a través de Mozilla
Firefox versión 1.6 deben asegurarse de que las bibliotecas de OpenSSL estén
instaladas en el cliente. La mayoría de las versiones de Linux incluyen ya de serie
OpenSSL. Si encuentra a algún usuario de Linux que no cuente con las bibliotecas
de OpenSSL necesarias, puede dirigirlo al siguiente recurso, donde las puede
obtener e instalar de forma gratuita:

Consulte http://www.openssl.org/related/binaries.html para obtener detalles.

(También puede aconsejar a los usuarios que compilen su propia versión
dirigiéndolos a la fuente en http://www.openssl.org/source/.) La versión
necesaria es libssl.so.0.9.6b.

668 „ Información general de Network Connect

 Capítulo 25: Network Connect

Registro del lado cliente

Los registros del lado cliente de Network Connect corresponden a archivos que
residen en el cliente remoto y que contienen información sobre inicios de sesión,
depuración y otra información estadística que puede usar para solucionar posibles
problemas en Network Connect. Al habilitar el registro del lado cliente para
usuarios de Network Connect, el cliente registra los eventos de Network Connect en
una serie de archivos de registro, adjuntando continuamente entradas cada vez que
se invoca una característica durante las sesiones de usuario posteriores. Los
archivos de registro resultantes son útiles al trabajar con el equipo de soporte a fin
de depurar problemas con Network Connect. Para obtener más información,
consulte “Habilitación de registros del lado cliente” en la página 841.

NOTA: Si los usuarios de Network Connect desactivan el registro del lado cliente
(incluso si el registro está activado en el IVE), el cliente no registra nueva
información de registro del lado cliente. Si el usuario activa la función de registro,
y seguidamente, el IVE se configura para inhabilitar el registro del lado cliente,
el cliente no registra nueva información de registro del lado cliente.

Compatibilidad de proxy de Network Connect

Network Connect proporciona soporte para clientes remotos mediante un servidor
proxy para acceder a Internet (y al IVE a través de Internet), así como también a los
clientes que no necesitan un proxy para acceder a Internet, pero que acceden a los
recursos de una red interna a través de un proxy. Network Connect también
proporciona soporte para clientes que acceden a un archivo de Proxy Automatic
Configuration (PAC), que especifica los ajustes de cliente y proxy del IVE que
habilitan el acceso a las aplicaciones Web.

NOTA: El cliente de Network Connect no admite el uso del cliente de proxy MS

Winsock. Inhabilite el cliente de proxy MS Winsock antes de ejecutar el cliente
de Network Connect. Para obtener más información, consulte
http://www.microsoft.com/windowsxp/using/mobility/expert/vpns.mspx.

Para abordar estos distintos métodos de implementación de proxy, Network

Connect cambia temporalmente los ajustes de proxy del explorador para que sólo
el tráfico destinado a la sesión de Network Connect use los ajustes temporales de
proxy. Todo el tráfico que no está destinado a la sesión de Network Connect usa los
ajustes actuales de proxy.

NOTA: El cliente de Network Connect no admite la opción de detectar

automáticamente los ajustes de proxy. Debe elegir usar un script de configuración
automática (PAC) o especificar un servidor proxy. No puede usar un servidor proxy
y un script de configuración automática juntos. Puede definir uno o el otro en
Users > Resource Policies > Network Connect > NC Connection Profiles >
Seleccionar perfil > Proxy.

Información general de Network Connect „ 669

 Guía de administración de Secure Access de Juniper Networks

Independientemente de que la división de encapsulamiento esté habilitada o

inhabilitada, el IVE admite los siguientes contextos de proxy:

„ Uso de un proxy explícito para acceder al IVE

„ Uso de un proxy explícito para acceder a las aplicaciones Web internas

„ Uso de un archivo PAC para acceder al IVE

„ Uso de un archivo PAC para acceder a las aplicaciones Web internas

Si en el IVE está habilitada la división de encapsulamiento, Network Connect

administra los ajustes de proxy en una de las siguientes formas, dependiendo
del método con el cual se implementa el proxy:

„ En el caso de los clientes remotos que usan un servidor proxy para acceder a
Internet, todas las peticiones HTTP generadas por el explorador y destinadas al
IVE (como el tráfico de transporte de NCP) pasan por un proxy explícito o por
un archivo PAC al que accede el cliente remoto. Debido a la presencia de un
proxy explícito o a que un acceso a un archivo PAC ya se proporcionó en el lado
cliente, el cliente configura el proxy local temporal antes de intentar establecer
una sesión.

„ En el caso de los clientes remotos que usan un proxy para acceder a recursos
corporativos en una red corporativa, pero que aún pueden conectarse
directamente a Internet sin un proxy, Network Connect identifica los ajustes del
proxy en el cliente aunque no se pueda acceder al servidor proxy hasta que
Network Connect establezca una conexión. Una vez que establece una
conexión, Network Connect crea el proxy local temporal.

„ Si un cliente remoto intenta acceder a un archivo PAC preconfigurado basado

en HTTP, éste no puede acceder al archivo sino hasta después de que Network
Connect establezca una conexión de sesión. Después de que Network Connect
establezca una conexión, el cliente puede acceder al archivo PAC, incluir el
contenido del archivo PAC en el proxy local temporal y actualizar el ajuste del
proxy del explorador.

Calidad de servicio de Network Connect

Para respaldar la calidad de servicio (QoS) de su red interna a través de Network
Connect, el IVE traduce el encabezado “interno” de paquetes IP (para el
encapsulado de paquetes de capa de la aplicación, por ejemplo) al encabezado
“externo” de paquetes, permitiendo así la priorización de paquetes de nivel de capa
de la red. De este modo, los enrutadores de la red pueden identificar, priorizar y
enviar correctamente los paquetes IPsec de Network Connect a través de la red.
Esta característica permite admitir transmisión y recepción temporales de paquetes
IP, como por ejemplo secuencias de vídeo IP.

NOTA: La calidad de servicio (QoS) de Network Connect se aplica solamente a los

paquetes de UDP (IPsec). El comportamiento de encapsulado y reenvío de
paquetes de SSL no cambia si emplea la característica de calidad de servicio (QoS)
de Network Connect.

670 „ Información general de Network Connect

 Capítulo 25: Network Connect

Soporte de multicast de Network Connect

Para permitir la secuencia de difusión de vídeos IP por la red interna, Network
Connect incluye soporte de proxy multicast de puerta de enlace de protocolo de
administración de grupos de Internet (IGMP).

NOTA: Si usa el soporte de multicast NC y conmutadores L2, compruebe que estos

últimos admitan IGMP v3.

Si los usuarios emiten una petición para unirse a un grupo de multicast, el IVE envía
un mensaje IGMP join al enrutador o conmutador de multicast local en nombre del
cliente. Además, el IVE guarda las consultas de peticiones de grupos de IGMP en la
caché para que cada vez que un enrutador de multicast de la red pida información
al IVE sobre el grupo de IGMP, éste le responda con el conjunto actual de peticiones
de usuario y grupo de multicast. Si un enrutador o conmutador no recibe una
respuesta del IVE, la información del grupo de multicast para el IVE se elimina
de la tabla de reenvío del enrutador o conmutador.

NOTA: Network Connect admite secuencias multimedia de hasta 2 MB por

segundo en un solo túnel.

Definición de los ajustes de rol: Network Connect

Use los ajustes a nivel de rol para especificar las opciones de división de
encapsulamiento, inicio automático, desinstalación automática y Graphical
Identification and Authentication (GINA). Para obtener más información sobre
GINA, consulte “Inicio de sesión automático de Network Connect mediante GINA”
en la página 662.

Para especificar las opciones de Network Connect de división de encapsulamiento,

inicio automático, desinstalación automática e instalación de GINA:

1. En la consola de administración, elija Users > User Roles > Rol >
Network Connect.

2. En Split Tunneling Options, seleccione una de las siguientes opciones:

„ Disable Split Tunneling: Todo el tráfico de la red que proviene del cliente
pasa por el túnel de Network Connect. Cuando Network Connect establece
correctamente una conexión con el IVE, éste elimina todas las rutas locales
predefinidas (cliente) de subred y entre hosts que puedan causar división
de encapsulamiento. Si se hacen cambios a la ruta del cliente durante una
sesión activa de Network Connect, el IVE finaliza la sesión.

„ Allow access to local subnet: El IVE conserva la ruta en el cliente,

manteniendo el acceso a los recursos locales, como impresoras. Si es
necesario, puede agregar entradas a la ruta del cliente durante la sesión
de Network Connect. El IVE no finaliza la sesión. Ésta es la opción
predeterminada.

Definición de los ajustes de rol: Network Connect „ 671

 Guía de administración de Secure Access de Juniper Networks

„ Enable Split Tunneling: Esta opción activa la división de encapsulamiento

y requiere especificar las combinaciones de dirección IP o máscara de la
red cuyo tráfico entre el cliente remoto y la intranet corporativa maneja el
IVE según las instrucciones de “Definición de directivas de división de
encapsulamiento de Network Connect” en la página 682.

Al usar la división de encapsulamiento, Network Connect modifica las rutas

de clientes para que el tráfico perteneciente a las redes de intranet
corporativa a Network Connect y el resto del tránsito pasen por el
adaptador local físico.

„ Enable Split Tunneling with route change monitor: Una vez iniciada una
sesión de Network Connect, si se realizan cambios en las combinaciones
de dirección IP/máscara de red dirigidas al tráfico a través de Network
Connect en la tabla de rutas del cliente, se finaliza la sesión. Esta opción
retiene el acceso a los recursos locales, como las impresoras.

„ Enable Split Tunneling with allowed access to local subnet: Activa la

división de encapsulamiento y conserva la ruta en el cliente, manteniendo
el acceso a los recursos locales, como impresoras.

3. En Auto Launch Options, especifique si Network Connect se inicia

automáticamente o no cuando un usuario autenticado corresponda
a uno o más roles que permitan sesiones de Network Connect.

4. En Auto Uninstall Options, especifique si Network Connect se desinstala

automáticamente o no del cliente remoto cuando un usuario cierra la sesión
de Network Connect.

5. En TOS Options, especifique si desea o no habilitar la característica de calidad

de servicio (QoS) de copia de bits de TOS IP activando y desactivando esta
opción. Al habilitar esta opción, Network Connect copia los bits de TOS IP del
encabezado de paquetes IP interno en el externo.

NOTA:

„ Si habilita esta opción, es posible que el usuario necesite reiniciar el equipo al

instalar Network Connect por primera vez en el sistema operativo Windows.

„ Si habilita esta opción en el IVE, compruebe que haya inhabilitado la opción

Repeat Protection descrita en “Creación de perfiles de conexión de Network
Connect” en la página 675.

6. En Multicast Option, especifique si desea o no que Network Connect funcione

en modo multicast.

7. En GINA Options, especifique si habilita o no la instalación de GINA para un rol

y especifique el comportamiento de inicio de sesión de GINA seleccionando
una de las siguientes opciones:

„ Install GINA with Network Connect: Instala adicionalmente GINA en un

sistema cliente al instalar Network Connect.

672 „ Definición de los ajustes de rol: Network Connect

 Capítulo 25: Network Connect

„ Require NC to start when logging into Windows: Una vez que se instala
GINA, esta opción inicia automáticamente la función de inicio de sesión de
Network Connect en todo inicio de sesión de usuario de Windows.

„ Allow user to decide whether to start NC when logging into Windows:

Una vez que se instala GINA, esta opción permite al usuario determinar,
en cada inicio de Windows, si se inicia o no Network Connect después de
la instalación de GINA.

NOTA: Debe habilitar Network Connect para un rol determinado si desea que
un usuario asignado a dicho rol pueda usar GINA durante el acceso a Windows.

8. En Session Scripts, especifique lo siguiente:

a. La ubicación de los scripts de inicio y término de Network Connect para

clientes de Windows, Macintosh o Linux. Si no especifica scripts de inicio
y término, Network Connect no ejecuta scripts para iniciar o finalizar la
sesión.

Al iniciarse Network Connect, los scripts de inicio y término se copian al

cliente y, después de finalizar la sesión, se eliminan del cliente. Se puede
acceder a los scripts de forma local o remota a través del recurso
compartido de archivos u otro recurso de red local de disponibilidad
permanente.

NOTA:

„ El cliente debe ser un miembro del mismo dominio que el servidor remoto
para que NC pueda copiar los scripts de inicio y término. Si el servidor no
conoce las credenciales del cliente, la copia de scripts se interrumpe, y NC
no le pide al usuario introducir nombre de usuario y contraseña.

„ Windows sólo admite scripts con la extensión .bat, .cmd o .exe. Para ejecutar
un script .vbs, el usuario debe contar con un archivo de lote para invocar el
script .vbs.

„ El cliente de Network Connect hace una copia del script de término una vez
configurado el túnel y guarda el script en un directorio temporal a fin de
asegurar que, si se interrumpe la conexión de red, se pueda seguir usando
el script de término para finalizar la sesión de Network Connect.

b. Active la opción Skip if GINA enabled para omitir el script de inicio de

sesión específico de Windows.

Si el cliente inicia sesión en su dominio de Windows a través de la función

de inicio de sesión automático GINA, el cliente de Windows ejecuta un
script. En este caso, el script de inicio de sesión puede ser idéntico al script
de inicio específico de Network Connect. Por lo tanto, puede usar esta
opción como una manera de evitar ejecutar dos veces el mismo script.

9. Haga clic en Save Changes.

Definición de los ajustes de rol: Network Connect „ 673

 Guía de administración de Secure Access de Juniper Networks

Definición de directivas de recursos: Network Connect

Las directivas de recursos de Network Connect especifican una variedad de
parámetros de sesión de Network Connect que puede usar para determinar el
método de acceso para clientes remotos. Puede configurar los siguientes tipos de
directivas de recursos en el IVE y aplicarlas a uno o más roles de usuario:

„ Directivas de recursos de acceso: Este tipo de directiva especifica los recursos

a los que los usuarios pueden acceder al usar Network Connect, como equipos
Web, de archivos y de servidor en la intranet corporativa. Para obtener más
información, consulte “Definición de directivas de control de acceso de
Network Connect” en la página 674.

„ Directivas de recursos de perfiles de conexión: Este tipo de directiva

especifica la opción (DHCP o conjunto de direcciones IP administrado por el
IVE) que usa el IVE para asignar una dirección IP al agente Network Connect del
lado cliente. También puede usar esta característica para especificar el
protocolo de transporte y el método de encriptación para la sesión de Network
Connect. Para obtener más información, consulte “Creación de perfiles de
conexión de Network Connect” en la página 675.

„ Directivas de recursos de división de encapsulamiento: Este tipo de directiva

le permite especificar una o más combinaciones de dirección IP o máscara de
red cuyo tráfico entre el cliente remoto y la intranet corporativa maneja el IVE.
Para obtener más información, consulte “Definición de directivas de división de
encapsulamiento de Network Connect” en la página 682.

Definición de directivas de control de acceso de Network Connect

Use la ficha Network Connect Access Control para escribir una directiva de
recursos de Network Connect que controle los recursos con que se pueden conectar
los usuarios mediante Network Connect.

Para escribir una directiva de recursos de acceso de Network Connect:

1. En la consola de administración, elija Users > Resource Policies > Network

Connect > Network Connect Access Control.

2. En la página de Network Connect Network Connect Access Control, haga clic

en New Policy.

3. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva. (opcional)

4. En la sección Resources, especifique los recursos a los cuales se aplica esta

directiva. Para obtener más información, consulte “Componentes de las
directivas de recursos” en la página 103.

674 „ Definición de directivas de recursos: Network Connect

 Capítulo 25: Network Connect

5. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

6. En la sección Action, especifique:

„ Allow access: Seleccione esta opción para otorgar acceso a los recursos
especificados en la lista Resources.

„ Deny access: Seleccione esta opción para denegar el acceso a los recursos
especificados en la lista Resources.

„ Use Detailed Rules: Seleccione esta opción para definir las normas de
directivas de recursos que ponen restricciones adicionales a los recursos
especificados. Para obtener más información, consulte “Escritura de una
regla detallada” en la página 109.

7. Haga clic en Save Changes.

8. En la página de Network Connect Access Policies, ordene las directivas en el

orden en el que desee que el IVE las evalúe. Tenga presente que una vez que el
IVE compara el recurso solicitado por el usuario con un recurso en una lista de
Resource de la directiva (o una regla detallada), realiza la acción especificada y
detiene las directivas de procesamiento.

Creación de perfiles de conexión de Network Connect

Use la ficha Network Connect Connection Profiles para crear un perfil de recursos
de Network Connect. Cuando el IVE recibe la petición de un cliente de iniciar una
sesión de Network Connect, asigna una dirección IP al agente Network Connect del
lado cliente. El IVE asignará esta dirección IP según las directivas de conjunto de
direcciones IP aplicables a un rol de usuario. Además, esta característica le permite
especificar el protocolo de transporte, método de encriptación y si se emplea o no
compresión de datos para la sesión de Network Connect.

Los nodos de un clúster de varios sitios comparten información de configuración,

lo que significa que los dispositivos IVE de diferentes redes comparten un conjunto
de direcciones IP. Debido a que cualquier nodo del IVE puede recibir la petición del
cliente de iniciar la sesión de Network Connect, debe especificar un filtro IP para
dicho nodo, que permita sólo las direcciones de red disponibles para dicho nodo.
Cuando un nodo de clúster solicita crear una sesión de Network Connect, asigna la
dirección IP para la sesión a partir del conjunto de direcciones IP filtradas.

Definición de directivas de recursos: Network Connect „ 675

 Guía de administración de Secure Access de Juniper Networks

Para escribir un perfil de conexión de Network Connect:

1. En la consola de administración, elija Users > Resource Policies > Network

Connect > NC Connection Profiles.

2. En la página Network Connect Connection Profiles, haga clic en New Profile.

3. En la página New Profile, introduzca la siguiente información:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

4. En la sección IP address assignment, especifique el método de asignación de

dirección IP del lado cliente escogiendo una de las siguientes opciones:

„ DHCP server: Esta opción le permite especificar el nombre de host o

dirección IP de un servidor de protocolo de configuración dinámica de
host (DHCP) de la red encargado de la asignación de dirección IP del
lado cliente.

Puede especificar hasta tres servidores de DHCP separándolos con comas

(sin espacios delante). Cuando en la lista aparecen varios servidores de
DHCP, el IVE envía un mensaje de descubrimiento de DHCP a todos los
servidores de DHCP de la lista y espera una respuesta durante cinco
segundos. Si responden varios servidores de DHCP, el IVE elige el que tiene
el período de arrendamiento más prolongado.

„ IP address pool: Esta opción le permite especificar direcciones IP o un

rango de direcciones IP para que el IVE las asigne a los clientes que
ejecutan el servicio Network Connect. Use el formato canónico: ip_range

El valor de ip_range puede especificarse como se muestra en la Tabla 39,

donde el último componente de la dirección IP corresponde a un rango
delimitado por un guión (-). No se permiten caracteres especiales.

Tabla 39: Sintaxis para los conjuntos de direcciones IP

Rango de direcciones IP : Descripción
a.b.c.d Especifica una sola dirección IP
a.b.c.d-e.f.g.h Especifica todas las direcciones IP, incluidas la primera y la última
a.b.c.d-f.g.h Forma abreviada que especifica el rango entre a.b.c.d y a.f.g.h
a.b.c.d-g.h Forma abreviada que especifica el rango entre a.b.c.d y a.b.g.h
a.b.c.d-h Forma abreviada que especifica el rango entre a.b.c.d y a.b.c.h
a.b.c.d/máscara Especifica todas las direcciones de una red

676 „ Definición de directivas de recursos: Network Connect

 Capítulo 25: Network Connect

Por ejemplo, para asignar todas las direcciones del rango entre 172.20.0.0 y
172.20.3.255, especifique 172.20.0.0-3.255. Para asignar todas las direcciones
de una clase C, especifique 10.20.30.0/24.

NOTA: No olvide especificar un número suficiente de direcciones IP del conjunto

para todos los puntos finales de su despliegue. Una vez que todas las direcciones
del conjunto estén asignadas a puntos finales, los puntos finales adicionales no
pueden obtener una dirección IP virtual, y se bloquea su acceso a los recursos
protegidos. El IVE guarda un mensaje en el registro de eventos si una dirección IP
no se puede asignar a un punto final.

NOTA: Le recomendamos configurar su red para que el conjunto de direcciones IP

del lado cliente de Network Connect o el servidor de DHCP especificado en el
perfil de conexión de Network Connect resida en la misma subred que el IVE.

Si la topología de su red exige que la interfaz IP interna del IVE y el conjunto de

direcciones IP o servidor de DHCP residan en diferentes subredes, debe agregar
rutas estáticas a los enrutadores de puertas de enlace de su intranet a fin de
asegurar que los recursos de su empresa y el IVE puedan verse entre sí en la red
interna.

NOTA:

„ Si ejecuta un clúster de múltiples unidades por una LAN o WAN, asegúrese de

que el conjunto de direcciones IP contenga direcciones válidas para cada
nodo del clúster. Seguidamente, configure un filtro IP por cada nodo para que
se aplique a este conjunto de direcciones IP.

„ El IVE no admite un conjunto común de direcciones IP de Network Connect

para un clúster activo/activo. En despliegues de NC A/A, le recomendamos
dividir el conjunto IP de NC en subconjuntos específicos al nodo. Además,
le recomendamos configurar coordinadamente una ruta estática en la
infraestructura de enrutador backend, con rutas estáticas para cada
subconjunto que señale hacia la dirección IP interna del nodo de clúster de
hosts con puerta de enlace de siguiente salto.

IP address pool también admite sustitución de atributos. Por ejemplo, puede

introducir un atributo de asignación de roles RADIUS en este campo, como
<atrUsu.Dirección-IP-entramada>.

Definición de directivas de recursos: Network Connect „ 677

 Guía de administración de Secure Access de Juniper Networks

5. En la sección Connection settings, especifique los ajustes de transporte,

encriptación y compresión para este perfil de conexión. ESP usa una
compresión de LZO, mientras que oNCP/NCP usa un método de compresión de
disminución. La compresión es útil para una conexión lenta, pero puede causar
problemas en despliegues extremadamente grandes dado que los ciclos
adicionales se gastan comprimiendo los datos.

a. Especifique el método de encapsulado y transporte eligiendo una de las

siguientes opciones:

‰ ESP (maximize performance): Seleccione esta opción para usar

un método de transferencia de ESP con UDP encapsulado a fin
de transferir de forma segura datos entre el cliente y el IVE. Puede
personalizar aún más los parámetros de transferencia de datos
definiendo el puerto de UDP, el valor de tiempo de espera de retroceso
de ESP a NCP y los valores de duración de claves de encriptación
de ESP.

‰ oNCP/NCP (maximize compatibility): Seleccione esta opción para

usar el método de transporte estándar oNCP/NCP para este perfil de
conexión. Para obtener más información sobre oNCP y NCP, y las
opciones para el uso de NCP en el IVE, consulte “Configuración de
licencias, seguridad y NCP” en la página 727.

NOTA: El protocolo de transporte oNCP ofrece mayor flexibilidad a través de NCP

pues admite clientes Macintosh y Linux. (El protocolo de transporte NCP
tradicional funciona exclusivamente en un entorno de cliente Windows.) Si
desactiva la característica de selección automática de oNCP o NCP en la página de
System > Configuration > NCP de la consola de administración y se produce
una conmutación por error de UDP a oNCP o NCP, el IVE desconecta a los clientes
de Macintosh y Linux debido a que el IVE conmuta erróneamente UDP a NCP (en
lugar de oNCP), que no admite estos usuarios.

b. Si desea aceptar los valores predeterminados del IVE para el método de

transporte de ESP, proceda al siguiente paso. De lo contrario, puede
proporcionar los siguientes valores:

‰ UDP port: Proporcione el puerto de IVE a través del cual piensa dirigir
el tráfico de la conexión de UDP. El número de puerto predeterminado
es 4500.

NOTA: Ya sea que especifique un número de puerto personalizado o elija usar el

número de puerto predeterminado (4500) configurado en el IVE, también debe
comprobar que otros dispositivos junto con el túnel encriptado permitan que haya
tráfico de UDP entre el IVE y los clientes de Network Connect. Por ejemplo,
si emplea un enrutador fronterizo y un cortafuegos entre Internet y la intranet
corporativa, debe asegurarse de que el puerto 4500 se habilite en el enrutador y
en el cortafuegos, y que el puerto 4500 se configure para aceptar tráfico de UDP.

‰ ESP to NCP fallback timeout: Proporcione un período (en segundos)

para retroceder a la conexión de NCP ya establecida cuando se
produzca un fallo de conexión de UDP. El período predeterminado
es de 15 segundos.

678 „ Definición de directivas de recursos: Network Connect

 Capítulo 25: Network Connect

‰ Key lifetime: Proporcione el período (en minutos) durante el cual el

IVE emplea la misma clave de encriptación de ESP para este perfil de
conexión. Tanto el lado local como el remoto del túnel de transmisión
encriptado usan la misma clave de encriptación sólo por un período
limitado con el fin de impedir el acceso no autorizado. El período
predeterminado es de 20 minutos.

NOTA: Si cambia frecuentemente la clave de encriptación, puede aumentar el nivel

máximo de tráfico de la CPU del IVE.

‰ Replay Protection: Habilite esta opción para activar la protección

contra reprocesamiento de paquetes del IVE. Una vez habilitada, esta
opción protege contra los “constantes ataques” hostiles de la red.
Cuando llegan los paquetes del cliente, el IVE comprueba la
información de encabezado IP a fin de verificar que un paquete que
presenta la misma información de encabezado IP no se haya recibido.
Si se recibió uno, el paquete se rechaza. Esta opción se habilita en las
directivas de recursos de Network Connect de forma predeterminada.

Si activa la opción Enable TOS Bits Copy descrita en “Resumen de

tareas: Configuración de Network Connect” en la página 658, los
paquetes IP con diferentes bits de TOS se pueden reordenar al pasar
por los enrutadores de las puertas de enlace de su red. Para asegurarse
de que los paquetes recibidos fuera de servicio no se eliminen
automáticamente al llegar al IVE, puede inhabilitar la opción de
protección contra reprocesamiento de paquetes para esta directiva
de recursos.

NOTA: Le recomendamos dejar activada la protección contra reprocesamiento de

paquetes si no espera más de un origen de paquetes del cliente (p. ej., si sólo una
aplicación transmite y recibe tráfico por el túnel de Network Connect).

c. Especifique el método de encriptación eligiendo una de las siguientes

opciones:

‰ AES128/MD5 (maximize performance): Esta opción ordena al IVE

emplear la encriptación de 128 bits de norma de encriptación
avanzada (AES) en el canal de datos y el método de autenticación MD5
para sesiones de Network Connect.

‰ AES128/SHA1: Esta opción ordena al IVE emplear la encriptación de

128 bits de AES en el canal de datos y el método de autenticación
SHA1 durante las sesiones de Network Connect.

‰ AES256/MD5: Esta opción ordena al IVE emplear la encriptación de

256 bits de AES en el canal de datos y el método de autenticación MD5
para sesiones de Network Connect.

‰ AES256/SHA1 (maximize security): Esta opción ordena al IVE emplear

la encriptación de 256 bits de AES en el canal de datos y el método de
autenticación SHA1 durante las sesiones de Network Connect.

Definición de directivas de recursos: Network Connect „ 679

 Guía de administración de Secure Access de Juniper Networks

NOTA: El algoritmo de autenticación MD5 crea firmas digitales. El método de

autenticación MD5 traduce una cadena de entrada (como por ejemplo una ID
de usuario o contraseña de inicio de sesión) en una huella digital fija de 128 bits
(también llamada “síntesis del mensaje”) antes de transmitirla hacia o desde
el IVE.

El método de autenticación SHA1 es fácil de usar y eficiente al codificar la

información de ID y contraseña de usuario. El algoritmo SHA1 traduce los
caracteres que comprenden una cadena de ID o contraseña de usuario en un texto
ilegible antes de transmitirlos desde o hacia el IVE. Luego, se usa el mismo
algoritmo para revertir la traducción antes de que se presente al servidor de
autenticación.

NOTA: AES256 es compatible sólo con Network Connect en Windows Vista. No es

compatible con Network Connect en Windows XP.

d. Especifique si va a comprimir o no para proteger la conexión.

6. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

7. En la página New Profile, haga clic en la ficha DNS.

8. Marque la casilla de verificación Custom DNS Settings para sobrescribir los

ajustes de DNS con los que usted proporcionó:

a. Primary DNS: Proporcione la dirección IP para el DNS primario.

b. Secondary DNS: Proporcione la dirección IP para el DNS secundario.

c. DNS Domain(s): Proporcione los dominios de DNS, como

“suempresa.com, suempresa.net”.

d. WINS: Proporcione el nombre de resolución de WINS o dirección IP.

680 „ Definición de directivas de recursos: Network Connect

 Capítulo 25: Network Connect

9. Seleccione la opción Auto-allow IP's in DNS/WINS settings (only for split-

tunnel enabled mode) si desea crear una norma de permiso para el servidor
DNS. Por ejemplo, si cuenta con directivas definidas para permitir peticiones de
dirección IP 10.0.0.0, pero su servidor DNS tiene una dirección de
172.125.125.125, las peticiones del servidor DNS se eliminarán. Si selecciona
esta opción, el dispositivo crea una norma que permita las peticiones de DNS.

10. En la sección DNS search order, seleccione el orden de búsqueda de servidor

DNS sólo si se habilita la división de encapsulamiento:

„ Search client DNS first, then the device

„ Search the device’s DNS servers first, then the client

11. En la página New Profile, haga clic en la ficha Proxy.

12. En la sección Network Connect proxy server configuration, seleccione una de

las siguientes opciones:

„ No proxy server: Especifica que el nuevo perfil no requiere servidor proxy.

„ Automatic (URL for PAC file on another server): Especifica la URL del
servidor en el cual reside el archivo PAC y la frecuencia (en minutos) con
que Network Connect solicita al servidor una versión actualizada del
archivo PAC. Puede configurar Network Connect para que busque archivos
PAC actualizados con una frecuencia de hasta 1 minuto. El período de
actualización predeterminado es de 5 minutos. Si especifica un valor de
0 minutos, Network Connect nunca solicita al servidor un archivo PAC.
El archivo PAC debe residir en un servidor Web, no en el PC local.

NOTA: Network Connect limita el tamaño de los archivos PAC internos (del lado
servidor) a 30 K.

„ Manual configuration: Especifique la dirección IP o el nombre de host del

servidor y proporcione la asignación de puerto.

13. Haga clic en Save Changes.

14. En la páginaNC Connection Profiles, ordene los perfiles en el orden en el que

desee que el IVE los evalúe. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource del
perfil (o una regla detallada), realiza la acción especificada y detiene los perfiles
de procesamiento.

NOTA: Si se ejecuta Network Connect en un sistema con licencia IVS, consulte

“Configuración de Network Connect para uso en un IVE virtualizado” en la
página 950.

Definición de directivas de recursos: Network Connect „ 681

 Guía de administración de Secure Access de Juniper Networks

Definición de directivas de división de encapsulamiento de Network Connect

Use la ficha Network Connect Split Tunneling para escribir una directiva de
recursos de Network Connect que especifique una o más combinaciones de
dirección IP o máscara de red cuyo tráfico entre el cliente remoto y la intranet
corporativa maneja el IVE.

Al usarse división de encapsulamiento, Network Connect modifica las rutas de

clientes para que el tráfico perteneciente a las redes de intranet corporativa a
Network Connect; todo el resto del tránsito pasa por el adaptador local físico. El IVE
intenta resolver todas las peticiones de DNS, primero, a través del adaptador físico;
luego, enruta las que fallan en el adaptador de Network Connect.

Para escribir una directiva de recursos de redes de división de encapsulamiento de

Network Connect:

1. En la consola de administración, elija Users > Resource Policies > Network

Connect > Split-tunneling Networks.

2. En la página de Network Connect Network Connect Split Tunneling, haga clic

en New Policy.

3. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

4. En la sección Resources, especifique una o más combinaciones de dirección IP

o máscara de red cuyo tráfico entre el cliente remoto y la intranet corporativa
maneja el IVE. También puede especificar estas redes con la notación ‘/’ (barra
inclinada).

5. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

6. En la sección Action, especifique:

„ Allow access: Seleccione esta opción para otorgar acceso a los recursos
especificados en la lista Resources.

„ Use Detailed Rules (available after you click ‘Save Changes’): Seleccione
esta opción para definir las normas de directivas de recursos que ponen
restricciones adicionales a los recursos especificados. Para obtener más
información, consulte “Escritura de una regla detallada” en la página 109.

682 „ Definición de directivas de recursos: Network Connect

 Capítulo 25: Network Connect

7. Haga clic en Save Changes.

8. En la página de Network Connect Split Tunneling Policies, ordene las

directivas en el orden en el que desee que el IVE las evalúe. Tenga presente que
una vez que el IVE compara el recurso solicitado por el usuario con un recurso
en una lista de Resource de la directiva (o una regla detallada), realiza la acción
especificada y detiene las directivas de procesamiento.

Caso de uso: Configuración de directivas de recursos de Network Connect

Esta sección describe una aplicación real de Network Connect y los pasos
necesarios para configurar la directiva de recursos correcta que otorgue acceso
a los usuarios remotos de la red.

Las grandes instituciones financieras (también llamadas “empresas Fortune”)

requieren una aplicación sólida para el inicio de sesión de cliente, como Network
Connect, que proporcione a los empleados remotos una conexión de red continua a
una gran variedad de recursos de la empresa de las oficinas centrales corporativas.
Frecuentemente, los usuarios remotos pueden acceder a múltiples aplicaciones de
sus equipos portátiles o cliente más allá de las simples aplicaciones de
programación de correo electrónico o reuniones. Estos “superusuarios” o “usuarios
avanzados” requieren un acceso seguro y encriptado a poderosas aplicaciones de
servidor, como bases de datos de Microsoft OutlookTM, OracleTM y el sistema de
administración de casos RemedyTM.

Para este escenario, supongamos lo siguiente:

„ Un pequeño conjunto de usuarios remotos tendrá acceso en su totalidad a los

recursos de la empresa de su institución financiera a través del mismo IVE.

„ Todos los usuarios tiene el mismo rol “user_role_remote” asignado a su ID

de usuario.

„ Host Checker y Cache Cleaner están configurados, y verifican los equipos de los
usuarios después del inicio de sesión del IVE e inician las sesiones de Network
Connect.

„ Todos los usuarios requieren acceso a tres servidores de gran capacidad en las
oficinas centrales corporativas con los siguientes atributos:

„ “outlook.acme.com” en la dirección IP 10.2.3.201

„ “oracle.financial.acme.com” en la dirección IP 10.2.3.202

„ “case.remedy.acme.com” en la dirección IP 10.2.3.99

„ Debido a que la empresa desea administrar de forma muy estricta su conjunto

de direcciones IP, cada IVE proporciona direcciones IP a los usuarios remotos
(nuestro IVE en particular controla las direcciones IP entre 10.2.3.128 y
10.2.3.192).

„ La empresa está interesada en el acceso más seguro posible, que acepte

simultáneamente sólo el mínimo tiempo de espera cliente posible.

Definición de directivas de recursos: Network Connect „ 683

 Guía de administración de Secure Access de Juniper Networks

Para configurar la directiva de recursos de Network Connect que otorgue el acceso

adecuado a los usuarios remotos de empresas Fortune:

1. Cree una nueva directiva de recursos de Network Connect en que especifique

los tres servidores a los cuales desea otorgar acceso a usuarios remotos según
las instrucciones descritas en “Definición de directivas de control de acceso de
Network Connect” en la página 674:

a. En la sección Resources, especifique la dirección IP necesaria para acceder

a los tres servidores (“outlook.acme.com,” “oracle.financial.acme.com” y
“case.remedy.acme.com”) separados por retornos de carro.

udp://10.2.3.64-127:80,443

udp://10.2.3.192-255:80,443

b. En la sección Roles, seleccione la opción Policy applies to SELECTED

roles y asegúrese de que sólo aparezca “user_role_remote” en la lista
Selected roles.

c. En la sección Action, seleccione la opción Allow access.

2. Cree un nuevo perfil de conexión de Network Connect en que defina el método

de transporte y encriptación para el túnel de datos entre los clientes y el IVE
según las instrucciones descritas en “Creación de perfiles de conexión de
Network Connect” en la página 675:

a. En la sección IP address assignment, seleccione la opción IP address pool

e introduzca 10.2.3.128-192 en el campo de texto asociado.

b. En la sección Connection Settings, seleccione la opción de transporte ESP

y la opción de encriptación AES/SHA1.

c. En la sección Roles, seleccione la opción Policy applies to SELECTED

roles y asegúrese de que sólo aparezca “user_role_remote” en la lista
Selected roles.

Definición de directivas de administración de ancho de banda de Network Connect

La administración de ancho de banda controla la velocidad del tráfico enviado y
recibido por una interfaz de red. La administración de ancho de banda desecha el
exceso de paquetes y garantiza que al usuario se le asigne la cantidad especificada
de ancho de banda. Se garantiza el envío de un tráfico menor o igual que la
velocidad especificada. El tráfico que exceda la velocidad se desecha o demora.

Las cantidades de total de ancho de banda garantizado y de ancho de banda

sobrante se someten a seguimiento y actualizan con el inicio y cierre de sesión
de los usuarios. El ancho de banda se define como el máximo configurado por el
administrador menos el total de ancho de banda garantizado para los usuarios que
iniciaron sesión.

684 „ Definición de directivas de recursos: Network Connect

 Capítulo 25: Network Connect

Los anchos de banda garantizado y máximo se definen a nivel de rol. Este límite
se aplica a todos los usuarios del rol y asegura que todos ellos reciban al menos la
cantidad garantizada de ancho de banda, pero no más que la cantidad máxima
configurada. Cuando los usuarios se asignan a múltiples roles, se usa el límite
mayor. Si no se define un ancho de banda garantizado a un rol, los usuarios en
dicho rol aún pueden iniciar sesión, pero no tienen garantizado ningún ancho de
banda. Es decir, su ancho de banda garantizado se configura en cero.

La administración de ancho de banda también se aplica al IVS. El administrador

configura el total de ancho de banda garantizado para cada IVS y configura los
límites para los roles dentro de cada IVS. La suma de los totales de ancho de banda
para cada IVS debe ser menor o igual que el ancho de banda máximo del
dispositivo. La suma de todos los anchos de banda máximos de Network Connect
de todos los IVS debe ser menor o igual que el ancho de banda máximo del IVE.
Recuerde configurar el ancho de banda para el IVE (System > Network >
Overview) y el IVS (System > Virtual Systems > root).

NOTA: Si usa la misma VLAN en múltiples sistemas IVS, la administración de

ancho de banda no es compatible.

Para que el IVE no permita más ancho de banda que el total disponible, la
capacidad de iniciar túneles de Network Connect está restringida. Los usuarios
pueden iniciar Network Connect sólo si está disponible el ancho de banda
garantizado para su rol. Una vez que los usuarios inician una sesión de Network
Connect, nunca pierden la conexión debido a restricciones de ancho de banda.
Un nivel de privilegio controla esta restricción, que aparece en la siguiente tabla.

Tabla 40: Niveles de privilegio y porcentaje de ancho de banda máximo

Porcentaje de ancho de banda máximo de

Nivel de privilegio Network Connect
Bajo Limitado al 50%
Medio Limitado al 75%
Alto Limitado al 90%
Máximo Limitado al 100%

Por ejemplo, los usuarios asignados a un nivel de privilegio bajo pueden iniciar
Network Connect si el total actual de uso de ancho de banda de Network Connect
es menor que el 50% del ancho de banda máximo configurado de Network
Connect del IVE. Los usuarios asignados al nivel de privilegio máximo pueden
iniciar Network Connect en cualquier momento, siempre que haya disponible algún
ancho de banda de IVE.

Definición de directivas de recursos: Network Connect „ 685

 Guía de administración de Secure Access de Juniper Networks

Cuando un usuario intenta iniciar una conexión de Network Connect, la suma del
ancho de banda garantizado de todas las conexiones abiertas de Network Connect
se divide por el total de ancho de banda configurado de Network Connect de IVE.
Si el valor resultante es menor que el nivel de privilegio configurado de este usuario;
luego, se establece la conexión de Network Connect del usuario. De lo contrario,
se deniega la petición de conexión de Network Connect. Por ejemplo, si el privilegio
del usuario es del 75% y el consumo actual calculado es del 70%, se establece la
conexión de Network Connect del usuario. Si el consumo actual calculado es del
80%, se deniega la petición de conexión de Network Connect del usuario, y éste
recibe un código de error 23791.

NOTA: Recomendamos que los empleados normales reciban niveles de privilegio

bajo y medio. Los empleados con mayor privilegio pueden recibir el nivel máximo
que asegure el acceso a intranet siempre que haya ancho de banda disponible.

Aunque un usuario no cuente con el ancho de banda para configurar túneles de

Network Connect, de todos modos puede iniciar sesión, pero hay restricciones en
cuanto a lo que puede hacer. Por ejemplo, sólo puede acceder al correo electrónico
Web, etc.

Un ancho de banda garantizado corresponde al ancho de banda que el usuario

recibe una vez establecida la conexión de Network Connect. Si el resto del ancho de
banda de Network Connect es menor que el ancho de banda mínimo garantizado,
se deniega la conexión de Network Connect del usuario, y éste recibe un código de
error 23791. El ancho de banda mínimo garantizado debe ser menor que el ancho
de banda máximo de Network Connect del IVE.

El ancho de banda máximo corresponde al ancho de banda que un usuario puede

usar a través de la conexión de Network Connect. Éste es un límite a la cantidad de
banda ancha que el usuario puede usar, si hay disponible. Por ejemplo, si el ancho
de banda máximo del usuario es de 100 kbps, el usuario no puede usar más de
100 kbps, independientemente de la cantidad disponible.

686 „ Definición de directivas de recursos: Network Connect

 Capítulo 25: Network Connect

El siguiente diagrama de flujo ilustra el proceso de decisión.

A NC
connection
request is
received

NC bandwidth
management
is enabled

Yes
Is the user
allowed per
privilege?

Yes
No

Is there enough
No bandwidth left to allow
the user the
No guaranteed minimum
bandwidth?
Yes

Deny NC tunnel creation.

User receive 23791 error Create NC tunnel
code.

Las estadísticas de administración de ancho de banda se registran en las

instantáneas del sistema. Para obtener más información sobre las instantáneas del
sistema, consulte “Creación de imágenes instantáneas del estado del sistema IVE”
en la página 857.

NOTA: Antes de usar las directivas de administración de ancho de banda de

Network Connect, debe especificar los valores del ancho de banda máximo de
Network Connect para el dispositivo. Para obtener más información sobre la
configuración de estos valores, consulte “Configuración de los ajustes generales de
la red” en la página 703.

Definición de directivas de recursos: Network Connect „ 687

 Guía de administración de Secure Access de Juniper Networks

Asignación del usuario a varios roles

El siguiente proceso de decisión se realiza cuando el usuario se asigna a múltiples
roles:

„ Calcule las directivas de administración de ancho de banda según el nivel de

privilegio definido.

„ El porcentaje actual del ancho de banda usado se calcula y compara con los
niveles de privilegio de la directiva de administración de ancho de banda
de los roles asignados.

„ Todas las directivas de administración de ancho de banda con los niveles

de privilegio que no permiten a los usuarios configurar túneles de Network
Connect se desechan.

„ Compare las directivas de administración de ancho de banda coincidentes y

elija la que tenga el mayor ancho de banda mínimo garantizado. Si existe más
de una directiva con el mayor ancho de banda mínimo garantizado, gana la
directiva con el mayor ancho de banda máximo.

Por ejemplo, si un usuario está asignado a 3 roles, la directiva de administración de

ancho de banda para cada rol es la siguiente:

Rol 1 Rol 2 Rol 3

Ancho de banda mínimo garantizado 100 mbps 200 mbps 100 mbps
Ancho de banda máximo garantizado 500 mbps 400 mbps 400 mbps
Nivel de privilegio Medio Alto Máximo

Si el total actual de ancho de banda usada es del 80%:

„ Debido a que el privilegio del rol 1 no es el suficiente como para permitirle a

este usuario configurar un túnel de Network Connect, se ignora la directiva de
administración de ancho de banda del rol 1.

„ La directiva del rol 2 cuenta con un ancho de banda mínimo garantizado mayor
que el rol 3; por lo tanto, gana el rol 2. El usuario recibe un ancho de banda
mínimo garantizado de 200 mbps y un ancho de banda máximo garantizado
de 400 mbps.

Sin embargo, si el total actual de ancho de banda usado es del 92%, sólo el
privilegio del rol 3 permite al usuario configurar el túnel de NC; por lo tanto, se usa
la directiva de administración de ancho de banda del rol 3. Así, el usuario cuenta
con un ancho de banda mínimo garantizado de 100 mbps y un ancho de banda
máximo garantizado de 400 mbps.

Limitaciones
La administración del ancho de banda puede no funcionar correctamente en las
siguientes condiciones:

„ Más de un IVS usa el mismo puerto interno del IVE.

„ Más de un IVS cuenta con la misma IP de VLAN.

„ Superposición de IP de Network Connect en IVS.

688 „ Definición de directivas de recursos: Network Connect

 Capítulo 25: Network Connect

Escritura de una directiva de recursos de administración de ancho de

banda de Network Connect
Para escribir una directiva de recursos de administración de ancho de banda de
Network Connect:

1. En la consola de administración, elija Users > Resource Policies > Network

Connect > NC Bandwidth Management.

2. En la página de Network Connect Network Connect Bandwidth Management,

haga clic en New Policy.

3. En la página New Policy, introduzca:

a. Un nombre para identificar esta directiva.

b. Una descripción de la directiva (opcional).

4. En la sección Bandwidth Management Settings, especifique:

„ Admission Privilege Level: Seleccione el porcentaje del ancho de banda

máximo de Network Connect que permite a los usuarios iniciar una sesión
de Network Connect. Los usuarios pueden iniciar sesión sólo si el ancho de
banda es menor que este porcentaje.

„ Guaranteed Minimum Bandwidth: Especifique el ancho de banda mínimo

del usuario una vez que inicie una sesión de Network Connect.

„ Maximum Bandwidth: Especifique el ancho de banda máximo del usuario

una vez que inicie una sesión de Network Connect.

NOTA: El ancho de banda máximo debe ser menor o igual que el valor máximo
calculado para el dispositivo.

5. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.

6. Haga clic en Save Changes.

Definición de directivas de recursos: Network Connect „ 689

 Guía de administración de Secure Access de Juniper Networks

Definición de los ajustes de sistema: Network Connect

Esta sección contiene la siguiente información sobre la configuración de ajustes
a nivel del sistema para Network Connect:

„ “Especificación de filtros IP” en la página 690

„ “Descarga del instalador de Network Connect” en la página 690

Especificación de filtros IP
Puede especificar filtros IP para que el IVE los aplique a los conjuntos IP de Network
Connect en la ficha System > Network > Network Connect de la consola de
administración. Un conjunto IP corresponde a un rango específico de direcciones IP
disponibles para peticiones de Network Connect (que se explica en “Network
Connect” en la página 655).

Especificación de filtros IP para aplicarlos a conjuntos IP de Network

Connect
Para agregar una dirección IP a la lista de filtros de Network Connect:

1. En la consola de administración, seleccione System > Network > Network

Connect.

2. Especifique una combinación de dirección IP o máscara de red; luego, haga clic

en Add. El IVE aplica los filtros especificados en esta página a las directivas de
recursos de conjunto IP de Network Connect que se aplican a la petición de un
usuario.

Especificación de la dirección IP del servidor de Network Connect

El proceso de Network Connect del lado servidor usa la dirección IP del servidor
para comunicarse con los recursos de la empresa.

NOTA: Cambie la dirección IP del servidor de Network Connect sólo cuando se lo

indique el equipo de soporte de Juniper Networks.

La dirección IP del servidor de Network Connect no puede formar parte de un

conjunto de direcciones IP especificadas como parte de un perfil de conexión de NC
(consulte “Perfiles de conexión de Network Connect compatibles con ajustes de
varios DNS” en la página 667). Es decir, la dirección IP no puede estar en el rango
del conjunto de direcciones IP configurado para Network Connect ni en una
dirección IP que pueda estar asignada a un servidor DHCP.

Descarga del instalador de Network Connect

Para descargar la aplicación Network Connect como archivo ejecutable de
Windows, consulte Maintenance > System > Installers. Para obtener más
información, consulte “Descarga de los instaladores de aplicaciones” en la
página 724.

690 „ Definición de los ajustes de sistema: Network Connect

 Capítulo 25: Network Connect

Dependencias del proceso de instalación de Network Connect

Durante la instalación, Network Connect interactúa con una serie de componentes
del sistema, llevando a cabo, al mismo tiempo, comprobaciones y validaciones.
La siguiente lista proporciona el orden de ejecución durante la instalación, lo que
puede ser útil si tiene que depurar un proceso de instalación de Network Connect.
Para obtener más información sobre el proceso de instalación, consulte
“Dependencias del proceso de desinstalación de Network Connect” en la
página 693.

1. Inicio del proceso de instalación previa:

a. Analice los argumentos de línea de comandos.

b. Configure las variables correctas a través de la línea de comandos.

c. Procese los comandos necesarios.

d. Si la entrada de línea de comandos responde con información de ayuda

o de versión, el programa de instalación de Network Connect se detiene,
tras procesar la línea de comandos. Normalmente, ocurre al ejecutar el
instalador de Network Connect como un instalador independiente.

2. Valide el sistema:

a. Compruebe el sistema operativo. Network Connect sólo es compatible con

Windows 98, Windows 2K y Windows XP. Si el sistema operativo es 95, ME
o NT 4.0, aparece un error, y el proceso de validación se cancela.

b. Compruebe los privilegios de administrador.

c. Componente de GINA de terceros: Si GINA debe registrarse, compruebe

que existe alguno de los componentes registrados de GINA. Si es así,
cancele la instalación.

3. Si existe una instalación de Network Connect, active la desinstalación en el

modo de actualización de Network Connect actual. El proceso de desinstalación
se describe en “Dependencias del proceso de desinstalación de Network
Connect” en la página 693.

4. Espere a que finalice el proceso de desinstalación de Network Connect actual

(en el modo de actualización).

5. Si finaliza el tiempo de espera del proceso de desinstalación, aparece un

mensaje de error y se cancela la instalación de Network Connect; de lo
contrario, continúa la instalación de Network Connect.

6. Escriba las claves de registro de acceso para los componentes de Network

Connect.

7. Inicie la instalación de Network Connect.

Definición de los ajustes de sistema: Network Connect „ 691

 Guía de administración de Secure Access de Juniper Networks

8. Instalación de componentes compartidos:

a. Compruebe el valor del registro de sharedDll de los componentes

compartidos si ésta es la primera instancia de instalación de componentes
compartidos.

b. Compruebe si está configurado el flag de Neo_CleanInst.

c. Si los pasos a o b son verdaderos, asegúrese de que el valor de registro de

sharedDll esté limpio.

d. Detenga el servicio si aún está ejecutándose.

e. Compruebe la instalación y el controlador.

i. Si el controlador está instalado y tiene una instalación limpia,

desinstálelo.

ii. Si el controlador está instalado y no tiene una instalación limpia,

compare las versiones de los controladores.

iii. Si corresponde a una actualización, configure el flag de instalación de

controlador, de lo contrario, no instale el controlador (mantenga el
controlador actual de versión posterior).

9. Instalación de componentes de Network Connect:

a. Si se configura el flag de instalación de controlador o si es una instalación

limpia, instale el controlador.

b. Invoque la macro de instalación de componentes compartidos para el

servicio Network Connect y el componente GINA. Esta macro realiza una
comparación de versiones, asegura la actualización correcta e incrementa
el valor de la clave de registro de sharedDll.

c. Copie otros archivos binarios de Network Connect.

d. Invoque la macro NCCopyFile para los archivos que se pueden bloquear

mediante msGINA. Esta macro se encarga de cambiar el nombre a archivos
antiguos y los marca para eliminarlos al reiniciar.

e. Registre GINA si está configurado el flag de GINA.

10. Guarde los ajustes regionales y de GINA en el archivo config.ini del usuario.

11. Inicie el NCService.

12. Cree un acceso directo al programa.

13. Cree las claves de registro de desinstalación.

14. Inicie la interfaz de usuario de Network Connect.

692 „ Definición de los ajustes de sistema: Network Connect

 Capítulo 25: Network Connect

15. Finalice el proceso de instalación de Network Connect.

16. Inicie el proceso de postinstalación:

a. Imprima la versión del producto y adjunte el registro de instalación al

archivo de registro de administración.

b. Reinicie, si se configuró el flag de reinicio.

Dependencias del proceso de desinstalación de Network Connect

Durante la desinstalación, Network Connect interactúa con una serie de
componentes del sistema, llevando a cabo, al mismo tiempo, comprobaciones
y validaciones. La siguiente lista proporciona el orden de ejecución durante la
desinstalación, lo que puede ser útil si tiene que depurar un proceso de
desinstalación de Network Connect. Para obtener más información sobre el proceso
de desinstalación, consulte “Dependencias del proceso de instalación de Network
Connect” en la página 691.

1. Inicio del proceso de desinstalación previa:

a. Analice las entradas de línea de comandos, entre ellas:

i. Configuración regional

ii. Flag de desinstalación limpia

iii. Flag de actualización

2. Inicie la operación de desinstalación.

3. Compruebe los privilegios de administrador.

4. Elimine el registro de GINA si ya está registrado.

5. Si la desinstalación se realiza en modo de actualización, detenga el servicio de

Network Connect.

6. Si la desinstalación no se realiza en el modo de actualización, compruebe el

valor actual de la clave de registro de sharedDll. Si el valor es 1, ésta es la única
instancia que usa los componentes compartidos, por lo tanto:

a. Desinstale el controlador.

b. Elimine el archivo del controlador.

c. Detenga el servicio de Network Connect y elimine el registro.

Definición de los ajustes de sistema: Network Connect „ 693

 Guía de administración de Secure Access de Juniper Networks

7. Invoque la macro de componentes compartidos para desinstalarlos. Esta macro

disminuye el valor de la clave de registro de SharedDLL y elimina el archivo
de origen.

NOTA: Si el proceso de desinstalación se realiza en el modo de actualización,

este paso no se ejecuta debido a que la desinstalación se activa en un proceso
de instalación de Network Connect, y la macro de componentes compartidos del
proceso de instalación manejará las operaciones de actualización de componentes
compartidos.

8. Elimine los otros archivos de Network Connect, entre ellos:

a. dsNcAdmin.dll

b. dsNcDiag.dll

c. versioninfo.ini

9. Invoque la macro NCDeleteFile para eliminar los archivos que se pueden

bloquear mediante msGINA.

10. Elimine las claves de registro de Network Connect.

11. Elimine los directorios de archivos de programa de Network Connect.

12. Finalice el proceso de desinstalación.

13. Imprima la versión del producto y adjunte el registro de instalación de Network

Connect al registro de administración.

14. Reinicie, si se configuró el flag de reinicio.

Uso del iniciador de Network Connect (iniciador de NC)

El iniciador de Network Connect corresponde a una utilidad de línea de comandos
del lado cliente, que mantiene un espacio físico muy pequeño. Puede agrupar el
iniciador de NC con otras aplicaciones que necesiten un cliente operativo de
Network Connect. La agrupación del iniciador de NC con otras aplicaciones le
permite estar seguro de que el usuario final puede acceder a estas aplicaciones sin
dificultad. El iniciador de NC le permite iniciar la sesión de NC con un script,
archivo de lote o invocando una aplicación, sin necesidad de usar una interfaz
gráfica de usuario.

NOTA: El iniciador de NC no admite la opción de asignación de roles Users must

select from assigned Roles si se asigna más de un rol al usuario. Si usa el
iniciador de NC, y se puede asignar más de un rol al usuario, debe elegir los
ajustes de combinación para todos los roles asignados o debe elegir la opción que
obliga al usuario a seleccionar los conjuntos de roles combinados asignados por
cada regla.

694 „ Uso del iniciador de Network Connect (iniciador de NC)

 Capítulo 25: Network Connect

Para usar el iniciador de NC:

1. Escriba un script, archivo de lote o aplicación para invocar el iniciador de NC.

2. Incluya una invocación al ejecutable del iniciador de NC.

La sintaxis de comandos del iniciador de NC es:

nclauncher.exe [-version|-help|-stop|-signout] -u <usuario> -p <contraseña> -url <url>

-r <territorio> -c <nombre de certificado> -d <DSID>

Tabla 41: Sintaxis de comandos del iniciador de Network Connect

Argumento Acción
-version Muestra la información de versión del iniciador de NC,
luego sale.
-help Muestra la información disponible sobre argumentos.
-u <nombre de usuario> Especifica el nombre de usuario.
-p <contraseña> Especifica la contraseña para autenticación.
-url <URL de IVE> Especifica la información de URL del IVE.
-r <territorio> Especifica el territorio al cual el IVE envía las credenciales
del usuario.
-c <certificate name> Especifica el certificado que se debe usar para la
autenticación del usuario en lugar de nombre de usuario
y contraseña. Para el <nombre del certificado>, use la
cadena especificada en el campo Issued To del certificado.
Para usar la autenticación de certificados con el iniciador de
NC, primero debe configurar el IVE para permitir al usuario
iniciar sesión a través de la autenticación de certificados del
usuario. También debe confiar en la CA de cliente fiable del
IVE (consulte “Uso de CA de cliente de confianza” en la
página 758) e instale el certificado del lado cliente
correspondiente en los exploradores de Web de sus usuarios
finales antes de ejecutar el iniciador de NC.
Al usar el argumento -c, también especifique los argumentos
-url y -r <territorio>.
Si el certificado no es válido, el iniciador de NC muestra un
mensaje de error en la línea de comandos y registra un
mensaje en el archivo nclauncher.log.
-d <DSID> Transfiere una cookie al iniciador de NC a partir de otro
mecanismo de autenticación una vez que arranca el
iniciador de NC.
-signout Finaliza el túnel de NC y cierra la sesión del usuario actual.
-stop Finaliza el túnel de NC.

Uso del iniciador de Network Connect (iniciador de NC) „ 695

 Guía de administración de Secure Access de Juniper Networks

Por ejemplo, puede distribuir una aplicación de inicio de sesión simple a sus
usuarios finales. La aplicación puede capturar el nombre de usuario y contraseña
del usuario final, el recurso de IVE al que intentan llegar y el territorio al cual están
asignados.

En este ejemplo, debe escribir un script o agregar lógica a su aplicación para

capturar las credenciales que introduce el usuario final, y transferir las credenciales
como argumentos al nclauncher.exe del siguiente modo:

nclauncher.exe -u JMendoza -p mi$contrasena84 -url https://int-empresa.portal.com/

usr -r Usuario

La Tabla 42 incluye los posibles códigos de retorno que nclauncher regresa al salir.

Tabla 42: Códigos de retorno de nclauncher

Código Descripción
-1 (-Detener/-Cerrar sesión) Network Connect no se está ejecutando.
Ocurrió un error del sistema.
0 Network Connect se inició.
1 Argumentos no válidos.
2 Network Connect no puede conectarse con la puerta de enlace
segura.
3 Network Connect no puede autenticarse con el servidor.
4 El rol especificado no es válido o no existe.
5 Network Connect no se puede ejecutar debido a que no se pudo
iniciar la aplicación de autenticación previa.
6 La instalación de Network Connect falló.
8 Network Connect no pudo realizar una actualización necesaria del
software.
10 El servidor con el cual intenta conectarse no admite esta
característica.
12 Network Connect no pudo autenticar el certificado del cliente.

696 „ Uso del iniciador de Network Connect (iniciador de NC)

 Capítulo 25: Network Connect

Solución de errores de Network Connect

Es posible que los usuarios finales no puedan resolver algunos de los errores que
se produzcan sin su intervención. Los siguientes temas pueden corresponder a los
errores mencionados en la ayuda para usuarios finales.

nc.windows.app.23792
Si el usuario final encuentra este error (o nc.windows.app.1023), no se podrá
conectar al IVE.

Revise los elementos del equipo cliente y del IVE.

En el cliente
„ El error puede indicar una instalación fallida de Java en el cliente. Dígale al
cliente que desinstale el JRE y que lo vuelva a instalar.

„ Uno o más de los terceros clientes del equipo de su usuario final pueden tener
defectos o estar interrumpiendo la conexión. Deberá revisar sus clientes,
o pedirle al usuario que lo haga, como clientes de VPN, antivirus, cortafuegos
personales, spyware y otros tipos de clientes de seguridad de punto final.

„ La carpeta \Documents and Settings del equipo del usuario final puede estar
encriptada. Network Connect no puede instalarse en un directorio encriptado.

En el IVE
„ Asegúrese de que la consulta de nombre de DNS para el IVE no se resuelva con
su dirección IP pública o privada.

„ Si el perfil de NC se configura para usar un servidor de DHCP externo,

compruebe que el servidor de DHCP responda al IVE.

„ Recuerde configurar la opción Auto Enable para NCP.

„ Seleccione System > Network > Overview y no deje de configurar el DNS

para el IVE.

Conflicto de versiones al cambiar a una anterior

Al cambiarse a una versión anterior, los usuarios finales pueden recibir un error de
conflicto de versión al iniciarse Network Connect. El problema puede ocurrir debido
a que el cliente contiene una versión más reciente de determinados archivos que la
versión anterior no puede usar correctamente.

Para resolver este problema, elimine los siguientes archivos:

„ <user_home>/.juniper_networks/ncLinuxApp.jar

„ <user_home>/.juniper_networks/network_connect/*.*

Si esto no resuelve el problema de conflicto de versiones, comuníquese con el

administrador del sistema.

Solución de errores de Network Connect „ 697

 Guía de administración de Secure Access de Juniper Networks

698 „ Solución de errores de Network Connect

Parte 5
Administración de sistema

Esta sección contiene la siguiente información acerca de la administración del

sistema IVE:

„ “Administración general del sistema” en la página 701

„ “Certificados” en la página 749

„ “Archivado del sistema” en la página 781

„ “Registro y supervisión” en la página 823

„ “Resolución de problemas” en la página 851

„ “Creación de clústeres” en la página 869

„ “Delegación de los roles de administrador” en la página 899

„ “Sistema IVS” en la página 915

„ “Interoperabilidad de IVE e IDP” en la página 975

„ 699
 Guía de administración de Secure Access de Juniper Networks

700 „
Capítulo 26
Administración general del sistema

El IVE proporciona diversas características que permiten mantener fácilmente el

sistema. Puede definir, modificar y supervisar las funciones de administración del
sistema, como:

„ “Licencia: Disponibilidad de la administración del sistema” en la página 701

„ “Resumen de tareas: Configuración de las funciones de administración” en la

página 702

„ “Configuración de los ajustes de la red” en la página 702

„ “Uso de las características de administración central” en la página 717

„ “Configuración de las utilidades del sistema” en la página 720

„ “Configuración de licencias, seguridad y NCP” en la página 727

„ “Configuración y uso del puerto de administración” en la página 740

Licencia: Disponibilidad de la administración del sistema

Las características de administración del sistema forman parte integral de todos los
productos Secure Access; no es necesario contar con una licencia especial para
administrar el dispositivo Secure Access. Sin embargo, tenga en cuenta que las
siguientes características avanzadas de administración no están disponibles en el
dispositivo SA 700:

„ Puertos de enlace

„ Puertos SFP

„ Puertos de administración

„ VLAN

„ Características de administración central

„ Características de clústeres

„ Aceleración de SSL

„ Instaladores de WSAM

Licencia: Disponibilidad de la administración del sistema „ 701

 Guía de administración de Secure Access de Juniper Networks

Resumen de tareas: Configuración de las funciones de administración

Generalmente, es posible realizar en orden las siguientes tareas, aunque para
configurar los ajustes del sistema, no siempre es necesario realizar todas las tareas
de una vez.

1. Configurar los ajustes de la licencia.

2. Opcionalmente, actualizar el software del sistema o cambiarlo a una versión

anterior.

3. Configurar los ajustes de la red.

4. Configurar las opciones de seguridad.

5. Configurar los puertos internos, externos, de administración y SFP.

6. Opcionalmente, configurar los hosts y las rutas estáticas.

7. Opcionalmente, configurar las VLAN.

8. Opcionalmente, configurar los filtros IP de Network Connect.

9. Opcionalmente, configurar NCP.

10. Opcionalmente, configurar Central Manager y personalizar los gráficos del

panel.

Además, es posible que se deban realizar tareas más específicas que abarquen
múltiples temas. En esos casos, puede encontrar instrucciones en los resúmenes de
tareas:

„ “Resumen de tareas: Asociación de certificados con puertos virtuales” en la

página 714

„ “Configuración de los ajustes de la red” en la página 702

Configuración de los ajustes de la red

El IVE permite modificar los ajustes de la red que introdujo a través de la consola
serie durante la configuración inicial del IVE, así como configurar ajustes
adicionales de la red, como filtros IP para habilitar otras características del IVE. En
esta sección se presentan las siguientes vistas generales de los ajustes de la red que
se pueden establecer a través de la consola de administración:

„ “Puertos de enlace” en la página 703

„ “Configuración de los ajustes generales de la red” en la página 703

„ “Configuración de los puertos internos y externos” en la página 706

„ “Configuración de puertos SFP” en la página 708

702 „ Resumen de tareas: Configuración de las funciones de administración

 Capítulo 26: Administración general del sistema

„ “Configuración del puerto de administración” en la página 708

„ “Configuración de VLAN” en la página 709

„ “Configuración de puertos virtuales” en la página 711

„ “Configuración de las rutas estáticas para el tráfico de red” en la página 714

„ “Creación de cachés ARP” en la página 715

„ “Especificación de nombres de host para que el IVE resuelva de manera local”

en la página 716

„ “Especificación de filtros IP” en la página 716

Puertos de enlace
De forma predeterminada y sólo en el SA 6000, el IVE usa enlaces de varios puertos
para proporcionar protección en caso de errores. El enlace describe una tecnología
en la que se agregan dos puertos físicos a un grupo lógico. Al enlazar dos puertos en
el IVE se aumentan las capacidades de conmutación por error al cambiar
automáticamente el tráfico hacia el puerto secundario cuando el puerto primario
presenta errores.

El dispositivo SA 6000 enlaza puertos de la siguiente forma:

„ Puerto interno = Puerto 0+Puerto 2

„ Puerto externo = Puerto 1+Puerto 3

El IVE indica si la funcionalidad de conmutación por error está habilitada a través

de un mensaje en la página System > Network > Overview.

Configuración de los ajustes generales de la red

El IVE permite ver el estado de los puertos del sistema, especificar un nombre de
host para el IVE y configurar la resolución de nombre de DNS, el servidor del
servicio de nombres de Internet de Windows (WINS) y los ajustes del explorador
maestro para el IVE mediante ajustes en la página System > Network > Overview
en la consola de administración. También puede usar los ajustes en esta página
para ver los ajustes de DNS y WINS que introdujo a través de la consola serie
durante la configuración inicial.

Cuando elimina un grupo de trabajo de Windows, es posible que siga apareciendo

durante varias horas en la lista de los grupos de trabajo del IVE, antes de ser
finalmente eliminado de la lista. Esto se produce porque el IVE recopila la
información de los grupos de trabajo desde todos los sistemas con los que se puede
comunicar. El nombre del grupo de trabajo puede estar guardado en caché o en uno
o más sistemas Windows durante varias horas y, cuando el IVE interroga los
sistemas, seguirá encontrando los nombres de los grupos de trabajo. Esta aparición
también es común en sistemas distintos del IVE, y no supone problemas de
integridad.

Configuración de los ajustes de la red „ 703

 Guía de administración de Secure Access de Juniper Networks

Utilice los ajustes que aparecen en esta ficha para configurar los ajustes generales
de la red. El área Status muestra el estado de sólo lectura de los siguientes
elementos:

„ Node Name: El nombre del nodo actual, si está ejecutando un clúster.

„ Failover Message: Indica si la funcionalidad de conmutación por error está

habilitada o no (sólo en un dispositivo SA 6000).

„ Internal Port: El estado y la velocidad del puerto interno.

„ Port 1: El estado y la velocidad del puerto externo, si se utiliza.

„ Management Port: El estado del puerto de administración, si se utiliza.

Para configurar los ajustes generales de la red:

1. En la consola de administración, elija System > Network > Overview.

2. En Network Identity, elija el nombre de host totalmente clasificado del IVE.

NOTA:

„ El nombre de host que introdujo en este campo no puede ser superior a 30

caracteres.

„ Secure Meeting usa el nombre de host especificado al realizar llamadas SMTP

y al rellenar correos electrónicos de notificación con las direcciones URL de
reunión. Para obtener más información, consulte “Secure Meeting” en la
página 619.

„ El proxy Pass Through utiliza el nombre de host especificado como un alias

para el nombre de host del servidor de aplicaciones. Para obtener más
información, consulte “Resumen de tareas: configuración de proxy
passthrough” en la página 391.

„ Si sus dispositivos IVE están en clúster, el nombre de host de la identidad de la

red que especifica está sincronizado en todo el clúster. Sin embargo, en
clústeres que incluyen varios sitios recomendamos que dé prioridad a estos
ajustes y especifique nombres de host diferentes para los nodos individuales
en el clúster, utilizando las opciones de la página System > Clustering.

3. En DNS Name Resolution, actualice la dirección DNS principal, la dirección

DNS secundaria y el nombre de dominio DNS predeterminado para el
dispositivo IVE individual.

En estos campos puede introducir una lista delimitada por comas de los
dominios DNS; el IVE los busca en el orden en que aparecen.

704 „ Configuración de los ajustes de la red

 Capítulo 26: Administración general del sistema

4. En Windows Networking:

„ Introduzca el nombre o la dirección IP del servidor del servicio de nombres

de Internet de Windows (WINS) local o remoto que utiliza para asociar los
nombres y las ubicaciones de la estación de trabajo con las direcciones IP,
si se aplica.

„ Haga clic en Master Browser(s) para seleccionar un servidor WINS,

un controlador de dominio u otro servidor dentro del dominio IVE
que responda a las llamadas de NETBIOS y asocie los nombres y las
ubicaciones de la estación de trabajo con las direcciones IP (si se aplican).
Agregue el explorador maestro a través de la página Windows
Networking – Specify Master Browser.

„ Si hay configurado un servidor WINS, se utiliza para la resolución de

nombre resolviendo nombres para conectarse al servidor AD, realizando
una consulta de grupo y un descubrimiento de red para la exploración de
archivos. Si no hay configurado un servidor WINS, la consulta de archivo de
host y DNS se utilizan para la resolución de nombre. El orden de resolución
de nombres para la exploración de archivos de Windows es: archivo de
host, servidor WINS, DNS, petición de difusión de NetBIOS.

„ Seleccione la casilla de verificación Enable network discovery para

permitir que el IVE descubra las carpetas compartidas de Windows.

5. En Bandwidth Management:

„ Introduzca el ancho de banda máximo para el dispositivo en Total

Maximum Bandwidth. El valor máximo es de 1000 Mbps.

„ Introduzca el ancho de banda máximo de Network Connect en NC

Maximum Bandwidth. Cuando el ancho de banda sea inferior
a determinado porcentaje, los usuarios pueden comenzar una sesión de
Network Connect. El ancho de banda máximo de Network Connect debe
ser menor que el ancho de banda máximo total anteriormente introducido.
Para obtener más información, consulte “Definición de directivas de
administración de ancho de banda de Network Connect” en la página 684.

NOTA: Si no pretende utilizar la administración del ancho de banda de Network

Connect, establezca ambas opciones en 0. Si desea definir un límite de tráfico
superior, pero no desea administrar el tráfico de Network Connect, introduzca un
valor para el Total Maximum Bandwidth y establezca el NC Maximum
Bandwidth en 0.

6. Haga clic en Save Changes.

Configuración de los ajustes de la red „ 705

 Guía de administración de Secure Access de Juniper Networks

Configuración de los puertos internos y externos

El puerto interno, también conocido como la interfaz interna, administra todas las
peticiones de LAN a los recursos, la escucha de la exploración web, la exploración
de archivos, la autenticación y las peticiones de correo saliente. Configure el puerto
interno proporcionando la dirección IP, la puerta de enlace, el dominio y el servidor
DNS y los ajustes de MTU durante la configuración inicial del IVE. También los
puede cambiar en la ficha System > Network > Internal Port > Settings. Para
obtener más información, consulte “Configuración del puerto de administración”
en la página 708. De manera alternativa, puede implementar el dispositivo en el
modo de puerto doble para escuchar las conexiones SSL entrantes de proxy de
correo y web en un puerto externo.

El puerto externo, también conocido como la interfaz externa, administra todas las
peticiones de los usuarios que iniciaron sesión en el IVE desde fuera de la LAN, por
ejemplo, desde Internet. Antes de enviar un paquete, el IVE determina si el paquete
está asociado con una conexión TCP iniciada por un usuario a través de la interfaz
externa. Si es el caso, el IVE envía el paquete a la interfaz externa. Todos los demás
paquetes van a la interfaz interna.

Las rutas que especifica para cada interfaz se aplican después de que el IVE
determina si va a usar la interfaz interna o la externa. El IVE no inicia ninguna
petición desde la interfaz externa, y esta interfaz no acepta ninguna otra conexión
(excepto las conexiones de tracerout y ping). Todas las peticiones a cualquier
recurso se emiten desde la interfaz interna. (Para obtener más información,
consulte “Configuración de los ajustes generales de la red” en la página 703.)

NOTA: Si habilita el puerto externo, de forma predeterminada los administradores

ya no pueden iniciar sesión desde una ubicación externa. Puede abrir el puerto
externo para los administradores desde la ficha Administrators > Admin
Realms > Nombre de territorio > Authentication Policy > Source IP. Para
obtener más información, consulte “Especificación de las restricciones de acceso
de la dirección IP de origen” en la página 60.

Para modificar los ajustes de la red para el puerto interno (interfaz de LAN):

1. En la consola de administración, elija System > Network > Internal Port >
Settings.

NOTA: La mayoría de los campos de esta página se rellenan previamente con los
ajustes especificados durante la instalación del IVE.

2. En la sección Port Information, actualice la dirección IP, la máscara de red y los

ajustes predeterminados de la puerta de enlace para el dispositivo IVE
individual. De forma predeterminada, estos campos se rellenan con los ajustes
introducidos durante la configuración inicial del IVE.

3. En el campo Link Speed, especifique la combinación dúplex y la velocidad que

desea usar para el puerto interno.

706 „ Configuración de los ajustes de la red

 Capítulo 26: Administración general del sistema

4. En el campo ARP Ping Timeout, especifique cuánto tiempo debe esperar el IVE
respuestas a las peticiones del protocolo de resolución de direcciones (ARP)
antes de que se agote el tiempo de espera. Los dispositivos IVE en clúster
envían peticiones de ARP1 a las puertas de enlace de otros dispositivos IVE para
determinar si se comunican correctamente entre sí.

NOTA: Si no está ejecutando el IVE en un entorno de clústeres, el IVE no usa este

ajuste. Si sus sistemas IVE están en clúster, el intervalo de tiempo de espera que
especifica está sincronizado en todo el clúster. En clústeres de múltiples sitios,
puede dar prioridad a estos ajustes para los nodos individuales del clúster,
utilizando las opciones de la página System > Clustering. Sin embargo, debe
tener precaución cuando cambie estos ajustes en clústeres activos/pasivos, porque
el IVE también utiliza los ajustes del ARP Ping Timeout que están en la ficha
Internal como temporizador de la conmutación por error para la VIP.

5. En el campo MTU, especifique una unidad de transmisión máxima para la

interfaz interna del IVE.

NOTA: Utilice los ajustes predeterminados de MTU (1500), a menos que deba
cambiar los ajustes para la resolución de problemas.

6. Haga clic en Save Changes.

Para habilitar el puerto externo:

1. En la consola de administración, elija System > Network > Port 1 > Settings.
2. En Use Port, seleccione Enable.
3. En la sección Port Information, introduzca la dirección IP, la máscara de red
y la información predeterminada de la puerta de enlace para el puerto externo
del IVE. Normalmente, debe utilizar los ajustes de la página Internal Port >
Settings y luego debe cambiar la información del puerto interno a una puerta
de enlace, máscara de red y dirección IP local.
4. En el campo Link Speed, especifique la combinación dúplex y la velocidad que
desea usar para el puerto externo.
5. En el campo ARP Ping Timeout, especifique cuánto tiempo debe esperar el IVE
respuestas a las peticiones del protocolo de resolución de direcciones (ARP)
antes de que se agote el tiempo de espera. Los dispositivos IVE en clúster
envían peticiones de ARP2 a las puertas de enlace de otros dispositivos IVE para
determinar si se comunican correctamente entre sí.

NOTA: Si sus IVE están en clúster, el intervalo de tiempo de espera que especifica
está sincronizado en todo el clúster. Sin embargo, en clústeres de múltiples sitios,
puede dar prioridad a estos ajustes para los nodos individuales del clúster,
utilizando las opciones de la página System > Clustering. Si no está ejecutando el
IVE en un entorno de clústeres, el IVE no usa el ajuste ARP Ping Timeout.

1. El IVE realiza dos peticiones ARP, una a la puerta de enlace en el puerto interno y otra a la puerta de enlace en el
puerto externo, cuando trata de establecer comunicaciones en el clúster.
2. El IVE realiza dos peticiones ARP, una a la puerta de enlace en el puerto interno y otra a la puerta de enlace en el
puerto externo, cuando trata de establecer comunicaciones en el clúster.

Configuración de los ajustes de la red „ 707

 Guía de administración de Secure Access de Juniper Networks

6. En el campo MTU, especifique una unidad de transmisión máxima para la

interfaz externa del IVE.

NOTA: Utilice los ajustes predeterminados de MTU (1500), a menos que deba
cambiar los ajustes para la resolución de problemas.

7. Haga clic en Save Changes.

Configuración de puertos SFP

El SA 6000 incluye dos puertos Gigabit Ethernet conectables de factor de forma
pequeño (SFP) (puertos 2 y 3 designados en la parte frontal de SA 6000). Estos
puertos se utilizan principalmente para la conmutación por error. No es necesario
configurar los puertos SFP; están disponibles para el uso inmediatamente después
de conectarlos.

Asegúrese de habilitar el puerto externo:

1. Seleccione System > Network > Port [#] (External Port) y luego la ficha
Settings.

2. En Use Port?, seleccione Enabled para activar el puerto externo.

Configuración del puerto de administración

El SA 6000 proporciona un puerto de administración que permite una integración
gradual en una administración de redes dedicada, proporciona acceso de
administración disponible continuamente al IVE y permite realizar actividades de
administración sin afectar al tráfico de los usuarios y viceversa.

Puede configurar el puerto de administración tal como configura el puerto interno.

La consola de administración proporciona una ficha de configuración separada en
System > Network > Management Port, donde puede especificar ajustes del
puerto y ajustes avanzados, como dirección IP, máscara de red, MTU, caché ARP
y otros.

Para modificar los ajustes de la red para el puerto de administración:

1. Seleccione la ficha Management Port > Settings.

NOTA: La mayoría de los campos de esta página se rellenan previamente con los
ajustes especificados durante la instalación del IVE.

2. En Use Port?, seleccione Enabled para activar el puerto de administración.

3. En la consola de administración, elija System > Network > Management

Port > Settings.

4. En la sección Port Information, actualice la dirección IP, la máscara de red y los

ajustes de velocidad del vínculo.

708 „ Configuración de los ajustes de la red

 Capítulo 26: Administración general del sistema

5. En el campo ARP Ping Timeout, especifique cuánto tiempo debe esperar el IVE
respuestas a las peticiones del protocolo de resolución de direcciones (ARP)
antes de que se agote el tiempo de espera. Los dispositivos IVE en clúster
envían peticiones de ARP1 a las puertas de enlace de otros dispositivos IVE para
determinar si se comunican correctamente entre sí.

NOTA: Si no está ejecutando el IVE en un entorno de clústeres, el IVE no usa este

ajuste. Si sus sistemas IVE están en clúster, el intervalo de tiempo de espera que
especifica está sincronizado en todo el clúster. En clústeres de múltiples sitios,
puede dar prioridad a estos ajustes para los nodos individuales del clúster,
utilizando las opciones de la página System > Clustering. Sin embargo, debe
tener precaución cuando cambie estos ajustes en clústeres activos/pasivos, porque
el IVE también utiliza los ajustes del ARP Ping Timeout que están en la ficha
Management Port como temporizador de la conmutación por error para la VIP.

6. En el campo ARP Ping Timeout, especifique cuánto tiempo debe esperar el IVE
respuestas a las peticiones del protocolo de resolución de direcciones (ARP)
antes de que se agote el tiempo de espera.

7. En el campo MTU, especifique una unidad de transmisión máxima para la

interfaz interna del IVE.

NOTA: Utilice los ajustes predeterminados de MTU (1500), a menos que deba
cambiar los ajustes para la resolución de problemas.

8. Haga clic en Save Changes.

Configuración de VLAN
El IVE permite crear VLAN para la empresa. Las VLAN son ampliamente utilizadas
en los sistemas virtuales, como se describe en “Configuración de una red de área
local virtual (VLAN)” en la página 932. También puede crear una VLAN para usarla
en un entorno en el que haya implementado un IVE para que todos los usuarios
finales de su empresa puedan usarlo (también se requiere una licencia IVS para este
escenario).

La VLAN permite aprovechar el etiquetado VLAN, mediante el cual el IVE etiqueta el

tráfico con IDs de VLAN 802.1Q antes de transmitir el tráfico a través del backend.
La infraestructura utiliza la etiqueta VLAN para dirigir los paquetes a sus
VLAN/subredes correctas.

El tráfico que proviene a través del front-end, es decir, el tráfico entrante, no tiene
etiquetas VLAN. El IVE la etiqueta a un mensaje después de su llegada a través de
uno de los puertos del IVE.

Cada VLAN se asigna a un ID de VLAN, que forma parte de una etiqueta compatible
con la norma IEEE 802.1Q que se agrega a cada trama Ethernet saliente. El ID de
VLAN identifica de forma exclusiva a todo el tráfico entrante. Este etiquetado
permite que el sistema dirija todo el tráfico a la VLAN correcta y que aplique las
directivas respectivas a ese tráfico.

1. El IVE realiza dos peticiones ARP, una a la puerta de enlace en el puerto interno y otra a la puerta de enlace en el
puerto externo, cuando trata de establecer comunicaciones en el clúster.

Configuración de los ajustes de la red „ 709

 Guía de administración de Secure Access de Juniper Networks

El punto terminal de la VLAN es cualquier dispositivo en el que se identifique el

tráfico etiquetado de VLAN, se le quite la etiqueta de VLAN y se reenvíe al túnel
correcto al backend. El punto terminal de la VLAN puede ser un enrutador CE, un
enrutador CPE, el switch L2, un cortafuegos u otro dispositivo capaz de realizar el
enrutamiento de la VLAN.

Debe definir un puerto de VLAN para cada VLAN. Asigne el ID de la VLAN específica
al definir el puerto de la VLAN.

Para cada VLAN que configure, el IVE virtualizado proporciona una interfaz única
y lógica de VLAN, o un puerto, en la interfaz interna. No existe relación entre la
dirección IP del puerto interno y la dirección IP de cualquier puerto de VLAN. Cada
puerto de VLAN tiene su propia tabla de rutas.

Se debe asignar el puerto interno al sistema raíz y se debe marcar como la VLAN
predeterminada. Además, las interfaces de VLAN se pueden asignar al sistema raíz.
Sin embargo, todos los servidores de autenticación configurados para el sistema
raíz deben tener rutas en la tabla de rutas del puerto interno, incluso si los
servidores son alcanzables a través de interfaces de VLAN. Las rutas a servidores
alcanzables a través de interfaces de VLAN deben tener la puerta de enlace del
siguiente salto establecida en la puerta de enlace configurada para la interfaz de
VLAN, y el puerto de salida definido como el puerto de VLAN.

Para una implementación en clúster activa/pasiva, el administrador raíz de una red

MSP debe configurar todos los puertos de VLAN con al menos un puerto virtual
(System > Network > VLANs > Virtual Ports). El administrador de rutas debe
configurar rutas para los rangos de IP de Network Connect IVS que apuntan a la
dirección IP del puerto virtual de VLAN como la puerta de enlace del siguiente salto.
Esto se requiere para la conmutación por error de la sesión de Network Connect
desde un IVS en el nodo activo al IVS correspondiente en el nodo pasivo.

Cada definición de puerto de VLAN consiste en:

„ Port Name. Debe ser único en todos los puertos de VLAN que define en el
sistema o el clúster.

„ VLAN ID. Un número entero entre 1 a 4094 que identifica únicamente a la

VLAN.

„ IP Address/Netmask. Debe ser una dirección IP o una máscara de red desde la

misma red que el punto terminal de la VLAN, porque el IVE se conecta al punto
terminal de la VLAN en una conexión de red de capa 2. Las direcciones IP de
las VLAN deben ser únicas. No puede configurar una VLAN para que tenga la
misma red que el puerto interno. Por ejemplo, si el puerto interno es
10.64.4.30/16 y configura una VLAN como 10.64.3.30/16, probablemente
obtenga errores y resultados inesperados.

„ Default gateway. La dirección IP del enrutador predeterminado, normalmente

el enrutador CE o CPE. La puerta de enlace predeterminada podría actuar como
el punto terminal de la VLAN, o podría residir detrás del punto terminal de la
VLAN.

„ Other network settings. Otros ajustes de red heredados desde el puerto

interno.

710 „ Configuración de los ajustes de la red

 Capítulo 26: Administración general del sistema

Cuando crea un nuevo puerto de VLAN, el sistema crea dos rutas estáticas de forma
predeterminada:

„ La ruta predeterminada para la VLAN, que apunta a la puerta de enlace

predeterminada.

„ La ruta de interfaz a la red conectada directamente.

Para crear un puerto de VLAN, realice los siguientes pasos:

1. Seleccione System > Network > VLANs para abrir la ficha VLAN Network
Settings.

2. Haga clic en New Port. Si está ejecutando un clúster, debe crear la VLAN para
todo el clúster y no solamente uno para un nodo único.

3. En VLAN settings, introduzca un nombre para el puerto de VLAN.

4. Introduzca un ID de VLAN.

NOTA: El ID de VLAN debe estar entre 1 y 4094 y debe ser único en el sistema.

5. Introduzca la dirección IP para la VLAN.

6. Introduzca una máscara de red para la VLAN.

7. Introduzca una puerta de enlace para la VLAN.

8. Haga clic en Save Changes.

Configuración de puertos virtuales

El IVE permite crear puertos virtuales para usuarios tales como empleados que
inician sesión en el IVE desde el interior de la red interna. Un puerto virtual activa
un alias de IP en un puerto físico y comparte todos los ajustes de la red (excepto la
dirección IP) con el puerto que sirve de host para el puerto virtual. Un alias de IP es
una dirección IP que está ligada a un puerto virtual. (Tenga en cuenta que un alias
de IP es diferente a la dirección IP principal del sistema del IVE, que es un ajuste
requerido del IVE que se configura durante el proceso de inicialización del IVE).

También puede especificar puertos virtuales como alias de IP de origen basado en

roles. Estos alias pueden corresponder a direcciones IP de origen que especifica en
un dispositivo de red de backend como direcciones válidas originadas en la interfaz
interna del sistema del IVE. Por ejemplo, es posible que desee utilizar un
cortafuegos situado detrás del IVE para dirigir el tráfico del usuario final a
departamentos en particular según las direcciones de IP de origen. Puede definir un
alias de IP de origen basado en roles para cada sitio en departamentos, tras lo cual
cada usuario final se dirige a una ubicación específica según su rol, a través del uso
del alias de IP de origen. Para obtener más información sobre la configuración de
los alias de IP de origen basados en roles, consulte “Especificación de alias de IP de
origen basados en roles” en la página 75.

Configuración de los ajustes de la red „ 711

 Guía de administración de Secure Access de Juniper Networks

Puede usar los puertos virtuales junto con la característica de certificados de

dispositivos múltiples para proporcionar a los usuarios acceso al mismo IVE a través
de diferentes alias de IP.

Utilice los puertos virtuales cuando use un IVE configurado con una licencia IVS.

En resumen, puede utilizar puertos virtuales con diversos fines, dependiendo del
puerto físico en el que basa el puerto virtual:

„ Configure los puertos virtuales en el puerto interno para admitir subredes en la

red de backend y alias de IP de origen basados en roles. Además, si cuenta con
una licencia IVS, puede utilizar puertos virtuales para dirigir el tráfico
a diferentes sistemas virtuales.

„ Configure los puertos virtuales en el puerto externo para admitir clústeres

e inicios de sesión externos.

„ Configure los puertos virtuales en el puerto de administración para admitir el

redireccionamiento del tráfico administrativo.

„ Configure los puertos virtuales en los puertos SFP para admitir el

redireccionamiento del tráfico desde y hacia esos puertos.

Para crear un puerto virtual para un IVE independiente:

1. En la consola de administración, seleccione System > Network > Ficha del

puerto > Virtual Ports.

La Ficha del puerto puede ser para cualquiera de los puertos 1, 2, 3, 4, los
puertos internos o externos o el puerto de administración.

2. Haga clic en New Port.

3. Introduzca un nombre único para el puerto virtual.

4. Introduzca un alias de IP único para asociarlo con el puerto virtual; no utilice

una dirección IP que ya esté asociada con otro puerto virtual.

NOTA: Si no introduce una dirección IP, el IVE no activa el puerto virtual.

5. Haga clic en Save Changes.

NOTA: Si necesita asociar el puerto virtual con un certificado de dispositivo, utilice

los ajustes de la ficha System > Configuration > Certificates > Device
Certificates. Para obtener más información, consulte “Asociación de un
certificado con un puerto virtual” en la página 757.

712 „ Configuración de los ajustes de la red

 Capítulo 26: Administración general del sistema

Para crear un puerto virtual en un nodo del clúster:

1. En la consola de administración, seleccione System > Network > Ficha del

puerto > Virtual Ports.

La Ficha del puerto puede ser para cualquiera de los puertos 1, 2, 3, 4, los
puertos internos o externos o el puerto de administración.

2. En la lista desplegable Settings for, seleccione Entire cluster y luego haga clic
en Update.

3. Haga clic en New Port.

4. Introduzca un nombre único para el puerto virtual y haga clic en Save Changes.
El IVE agrega el nombre del puerto virtual a la lista de Virtual Ports
y proporcione acceso a cada nodo en el clúster.

5. Haga clic en el vínculo a un nodo para obtener acceso a la página de

configuración de la dirección IP. Introduzca un alias de IP único para asociarlo
con el puerto virtual; no utilice una dirección IP que ya esté asociada con otro
puerto virtual.

NOTA: Si no introduce una dirección IP, el IVE no activa el puerto virtual.

6. Haga clic en Save Changes. La página Virtual Ports vuelve a la ficha de puertos
virtuales. Si es necesario, vuelva a seleccionar Entire cluster en la lista
desplegable Settings for y repita los dos últimos pasos de este procedimiento.

Para obtener más información acerca del uso de los puertos virtuales en los
clústeres, consulte “Implementación de dos nodos en un clúster activo/pasivo” en la
página 877.

Resumen de tareas: Definición de los destinos de subred en base a roles

En esta sesión se proporciona una vista general de nivel superior de las tareas
necesarias para dirigir a los usuarios a subredes específicas según sus roles. Para
configurar una asignación basada en roles, necesita crear alias de IP de origen
basados en roles.

Configuración de los ajustes de la red „ 713

 Guía de administración de Secure Access de Juniper Networks

Para definir los destinos de subred en base a roles:

1. Cree puertos virtuales en la página Network > Internal Port > Virtual Ports
de la consola de administración, como se describe en “Configuración de
puertos virtuales” en la página 711.

2. Modifique uno o más roles para que apunten a los puertos virtuales, en la
página Users > Roles > Nombre del rol > General > Source IP de la consola
de administración, como se describe en “Especificación de alias de IP de origen
basados en roles” en la página 75.

3. Asigne sus usuarios a roles específicos según la subred indicada por la IP de

origen del rol, en la página Authentication > Nombre de territorio > Role
Mapping de la consola de administración, como se describe en “Creación de
las roles de administrador” en la página 901.

Resumen de tareas: Asociación de certificados con puertos virtuales

Para asociar certificados con puertos virtuales:

1. Utilice los ajustes de la ficha System > Network > Internal Port para crear
puertos virtuales. Para obtener instrucciones, consulte “Configuración de
puertos virtuales” en la página 711.

2. Utilice los ajustes de la página System > Configuration > Certificates >
Device Certificates de la consola de administración para importar los
certificados de servidor que desea utilizar para validar los certificados de
usuario. Utilice también esta ficha para especificar los puertos que el IVE debe
asociar con los certificados. Para obtener instrucciones, consulte “Asociación de
un certificado con un puerto virtual” en la página 757.

Configuración de las rutas estáticas para el tráfico de red

El IVE permite agregar entradas de la tabla de enrutamiento utilizando los ajustes
de la ficha System > Network > Routes. Todas las peticiones de conexión a los
recursos internos provienen del puerto interno del IVE, independientemente de los
ajustes de ruta. Los ajustes de ruta del puerto externo sólo se utilizan para enrutar
los paquetes asociados con las conexiones que inicia un cliente remoto.

Puede agregar rutas estáticas, si desea indicar una ruta específica que el IVE debe
usar para enrutar las peticiones. Necesita especificar una dirección DNS, una puerta
de enlace y una dirección IP válida. La métrica es una manera de comparar varias
rutas para establecer la preferencia. Generalmente, mientras menor sea el número,
de 1 a 15, mayor es la preferencia. Por lo tanto, se elegirá una ruta con una métrica
de 2 antes que otra que tenga una métrica de 14. El valor de métrica cero (0)
identifica una ruta que no se debe utilizar.

En el SA6000, puede configurar dos puertos adicionales, el puerto 2 y el puerto 3.

A pesar de que los puertos 2 y 3 parecen ser equivalentes al puerto interno, no lo
son y, de forma predeterminada, el IVE dirige el tráfico al puerto interno cuando se
establece una conexión saliente. Por lo tanto, si uno de estos dos puertos está
conectado a una red que el puerto interno no puede alcanzar, necesita una ruta
estática para volver a escribir el acceso a la red inalcanzable. De lo contrato, es
posible que se produzca un error cuando se vuelva a escribir.

714 „ Configuración de los ajustes de la red

 Capítulo 26: Administración general del sistema

Como consecuencia, necesita configurar rutas estáticas a esos puertos. Los puertos
aparecen en el menú de puertos desplegable como puerto 2 y puerto 3. Para
obtener más información acerca de la configuración de rutas estáticas, consulte
“Configuración de las rutas estáticas para el tráfico de red” en la página 714.

Para especificar rutas estáticas para el tráfico de red:

1. En la consola de administración, elija System > Network > Routes.

2. Seleccione una tabla de rutas de destino desde el menú desplegable View route
table for:.

3. Haga clic en New Route.

4. Introduzca la información necesaria.

5. Haga clic en Add to [destination] route table.

Las tablas de rutas de destino pueden estar disponibles para el puerto interno,
el puerto externo, el puerto de administración, el puerto 2 y el puerto 3, según
la plataforma de hardware que está configurando, o para cada VLAN que haya
definido.

NOTA: El puerto 2 y el puerto 3 están disponibles exclusivamente en el SA 6000.

Creación de cachés ARP

Puede utilizar el caché ARP para determinar la dirección física (MAC) de un
dispositivo de red, como un enrutador o un servidor de aplicaciones de backend
que se conecta con el IVE. Utilice la ficha System > Network > Internal Port >
ARP Cache para administrar los siguientes tipos de entradas del ARP (protocolo de
resolución de direcciones).

„ Static entries: Puede agregar una entrada de ARP estática al caché asociado
con la dirección IP y MAC. El IVE almacena entradas estáticas durante los
reinicios y vuelve a reactivarlos después de los reinicios. Las entradas estáticas
siempre están presentes en el IVE.

„ Dynamic entries: La red “aprende” las entradas ARP dinámicas durante el uso
y la interacción normal con otros dispositivos de red. El IVE guarda en caché las
entradas dinámicas por hasta 20 minutos y las elimina durante un reinicio
o cuando se eliminan de manera manual.

Puede ver y eliminar las entradas estáticas y dinámicas desde el caché ARP, así
como también agregar entradas estáticas. Si tiene un clúster de IVE, tenga en
cuenta de que la información del caché ARP es específica para el nodo. El IVE sólo
sincroniza la información del caché ARP en clústeres que no son de múltiples sitios.

Configuración de los ajustes de la red „ 715

 Guía de administración de Secure Access de Juniper Networks

Para agregar una entrada estática al caché de ARP:

1. En la consola de administración, seleccione System > Network > Ficha del

puerto > ARP Cache.

La Ficha del puerto puede ser para cualquiera de los puertos 1, 2, 3, 4, los
puertos internos o externos o el puerto de administración.

2. Introduzca la IP Address y la Physical Address en sus campos respectivos en la

parte superior de la tabla.

NOTA: Si agrega una entrada que contiene una dirección IP existente, el IVE
sobrescribe la entrada existente con su nueva entrada. Tenga en cuenta también
que el IVE no verifica la validez de las direcciones MAC.

3. Haga clic en Add.

Especificación de nombres de host para que el IVE resuelva de manera local

Especifique nombres de host que el IVE pueda resolver a direcciones IP de manera
local utilizando la ficha Hosts. Esta característica es útil cuando:

„ No se puede tener acceso al servidor DNS para IVE.

„ Utiliza WINS para obtener acceso a servidores dentro de la LAN.

„ Sus directivas de seguridad corporativas no permiten que servidores internos

aparezcan en la lista de un DNS externo o requieren que los nombres de host
internos se enmascaren.

Para especificar los nombres de host para que el IVE resuelva de manera local:

1. En la consola de administración, seleccione la ficha System > Network >

Hosts.

2. Introduzca una dirección IP, una lista delimitada por comas de los nombres de
host que resuelven a la dirección IP, un comentario de 200 palabras o menos
(opcional) y haga clic en Add.

Especificación de filtros IP
Puede especificar filtros IP para que el IVE los aplique a los conjuntos IP de Network
Connect en la ficha System > Network > Network Connect. Un conjunto IP
corresponde a un rango específico de direcciones IP disponibles para peticiones de
Network Connect (como se explica en “Network Connect” en la página 655). Para
obtener instrucciones acerca de la configuración, consulte “Especificación de filtros
IP” en la página 690.

716 „ Configuración de los ajustes de la red

 Capítulo 26: Administración general del sistema

Uso de las características de administración central

Las características de administración central consisten en un sistema de dos niveles
(cliente/servidor) que permite administrar múltiples IVE, sin importar si están en
clúster o no. Las características de administración central incluyen:

„ Panel del sistema: La característica del panel del sistema muestra gráficos
y alarmas sobre la capacidad del sistema que le permiten supervisar el sistema
fácilmente. Puede obtener acceso al panel del sistema en la página System >
Status de la consola de administración.

„ Mejor registro y supervisión: La característica de registro le permite crear

filtros personalizados para que pueda ver y guardar sólo los mensajes de
registro que elija en el formato que desee. Puede obtener acceso a la
característica de registro en la página System > Log/Monitoring de la consola
de administración.

„ Característica de configuración de envío: La característica de configuración

de envío le permite enviar fácilmente ajustes de un IVE a otro para obtener una
administración centralizada conveniente. Puede acceder a la característica de
configuración de envío en la página Maintenance > Push Config de la consola
de administración.

„ Actualizaciones del tiempo de inactividad mínimo: La característica de

actualización del tiempo de inactividad mínimo le permite acelerar las
actualizaciones en todo un clúster, lo que garantiza que un miembro del
clúster siempre está funcional durante el proceso de actualización. Puede
obtener acceso a la característica de actualización en la página Maintenance >
System > Upgrade/Downgrade de la consola de administración.

„ Recuperación determinista del clúster: La característica de recuperación

determinista del clúster le permite asignar jerarquías a varios nodos de un
clúster, de forma que cuando un clúster se recupera de una situación
problemática, el nodo que tenga la jerarquía superior propagará el estado del
clúster correcto.

„ Interfaz de usuario mejorada: La consola de administración para Central

Manager incluye una mejora del aspecto respecto a la consola de
administración estándar para dispositivos que tengan una licencia de usuario.

„ SNMP MIB mejorados: La característica de SNMP MIB mejorados le

proporciona métricas de uso de la capacidad. Puede descargar el MIB
mejorado en la página System > Log/Monitoring > SNMP de la consola
de administración.

„ Salvaguarda de copias de seguridad locales: La característica de copias de

seguridad locales permite guardar hasta 10 copias de seguridad locales de
archivos de sistema y de configuración del usuario en el IVE. Puede obtener
acceso a esta característica a través de la página Maintenance > Archiving >
Local Backups de la consola de administración.

Uso de las características de administración central „ 717

 Guía de administración de Secure Access de Juniper Networks

Modificación de los gráficos del panel de la administración central

Si instaló la actualización de Central Manager en su dispositivo Secure Access, el
panel del sistema aparece cuando abre la consola del administrador. El panel
muestra gráficos de la capacidad del sistema que le permiten supervisar el sistema
con facilidad.

Si desea analizar o mostrar la información contenida en estos gráficos usando sus

propias herramientas, puede usar la característica de descarga de gráficos. Para el
panel del sistema, puede descargar los datos desde cada uno de los gráficos a un
archivo XML. Luego puede utilizar sus propias herramientas para volver a formatear
o analizar los datos en el archivo XML.

Esquemas XML de los gráficos del panel de la administración central

Los archivos XML de todos los gráficos del panel del sistema contienen los mismos
elementos básicos de XML:

„ <xport>: Elemento de nivel principal.

„ <meta>: Elemento de segundo nivel.

„ <start>: La hora a la que el sistema recopiló el primer punto de datos para el

gráfico, en formato UTC.

„ <step>: Intervalo durante el cual el sistema recopiló los puntos de datos para el
gráfico, en segundos. Por ejemplo, la siguiente entrada XML indica que el
sistema recopila datos cada minuto. <step>60</step>

„ <end>: La hora a la que el sistema recopiló el último punto de datos para el

gráfico, en formato UTC.

„ <rows>: Número de puntos de datos recopilados para realizar el gráfico.

„ <columns>: Número de métricas recopilado para el gráfico. (Corresponde al

número de líneas mostradas en el gráfico en la consola del administrador.)

„ <legend>: Contiene una lista de subelementos de <entry> que definen los

nombres de cada una de las métricas recopiladas para los gráficos. Por
ejemplo, los subelementos para el gráfico de usuarios simultáneos pueden
incluir:

<legend>
<entry>Local users</entry>
<entry>Concurrent users</entry>
</legend>

718 „ Uso de las características de administración central

 Capítulo 26: Administración general del sistema

„ <data>: Contiene una lista de subelementos <row> que incluyen los datos
periódicos recopilados para cada entrada. Cada elemento de <row> contiene un
subelemento <t> que incluye la hora en que el sistema recopiló los datos y los
subelementos <v> de cada dato. Por ejemplo, una fila dentro del gráfico
Concurrent Users puede incluir:

<data>
<row>

<t>1089748980</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>

Esquema XML de muestra

La siguiente muestra ilustra el resultado de XML para un gráfico Concurrent Users.
(Tenga en cuenta que, a fin de conservar la brevedad, algunos de los elementos de
<row> originales se eliminaron de la muestra).

<xport>
<meta>
<start>1089748980</start>
<step>60</step>
<end>1089763440</end>
<rows>242</rows>
<columns>2</columns>
<legend>
<entry>Local users</entry>
<entry>Concurrent users</entry>
</legend>
</meta>
<data>
<row>

<t>1089748980</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
<row>

<t>1089749040</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
<row>

<t>1089749100</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
...
<row>
<t>1089763440</t><v>NaN</v><v>NaN</v>
</row>
</data>
</xport>

Uso de las características de administración central „ 719

 Guía de administración de Secure Access de Juniper Networks

Configuración de las utilidades del sistema

Las utilidades del sistema IVE permiten administrar el servidor, actualizar el
software del sistema o cambiarlo a una versión anterior, habilitar la supervisión de
la versión y descargar los servicios y las aplicaciones cliente. Para obtener más
información, consulte los siguientes temas:

„ “Revisión de los datos del sistema” en la página 720

„ “Actualización o cambio a una versión anterior del IVE” en la página 721

„ “Ajuste de las opciones del sistema” en la página 722

„ “Descarga de los instaladores de aplicaciones” en la página 724

Revisión de los datos del sistema

La página Maintenance > System > Platform de la consola de administración
muestra los datos del sistema IVE y contiene los controles para reiniciar, rearrancar
y apagar un IVE. También contiene un control para probar la conectividad del
servidor. Cuando el IVE es miembro de un clúster, esta página muestra datos del
sistema adicionales y específicos del clúster y los controles funcionan en todo el
clúster.

Reinicio, rearranque, apagado o prueba de la conectividad del servidor

La página Maintenance > System > Platform muestra los siguientes datos del
sistema para un IVE:

„ Model: Muestra el modelo del IVE

„ Version: Muestra la versión del software del IVE

„ Rollback: Muestra la versión del software al que se revierte el IVE cuando se

revierte la imagen instalada

„ Last Reboot: Muestra el tiempo desde el último reinicio del IVE

Cuando el IVE es miembro de un clúster, la página Platform muestra los siguientes

datos adicionales del sistema:

„ Cluster: Muestra el nombre del clúster al que pertenece el IVE

„ Member: Muestra el nombre de miembro del clúster del IVE

La página Platform contiene los siguientes controles:

„ Restart Services/Cluster: Elimina todos los procesos y reinicia el IVE. Cuando

el IVE es miembro de un clúster, este control elimina todos los procesos y
reinicia todos los miembros de un clúster.

720 „ Configuración de las utilidades del sistema

 Capítulo 26: Administración general del sistema

„ Reboot: Apaga y vuelve a encender y reinicia el IVE. Cuando el IVE es miembro

de un clúster, este control apaga y vuelve a encender y reinicia todos los
miembros del clúster.

„ Shut down: Apaga el IVE, para lo que necesita presionar el botón de reinicio en
el dispositivo para reiniciar el servidor. Cuando el IVE es miembro de un clúster,
este control apaga todos los miembros de un clúster, para lo que necesita
presionar el botón de reinicio en todos los dispositivos del clúster para reiniciar
el clúster. Tenga en cuenta que la alimentación del equipo continúa después de
apagar el servidor.

NOTA: Si desea reiniciar, rearrancar o apagar, o actualizar un IVE en un cluster,

primero inhabilite el IVE utilizando los controles de la página System >
Clustering > Status, y luego vuelva a la página Platform para emplear el control
que desee.

„ Rollback: Revierte la imagen del software y reinicia el IVE. Después de que el

IVE se reinicia, automáticamente se revierte la imagen en el IVE hasta la
imagen que se muestra en el campo Rollback, indicado anteriormente.

„ Test Connectivity: Envía un ping ICMP desde el IVE a todos los servidores que
el IVE está configurado para usar e informar de su conectividad. El estado de
cada servidor se informa en Server Connectivity Results.

NOTA: Si busca información sobre cómo realizar un restablecimiento de fábrica

o revertir el sistema al estado anterior, consulte “IVE Consola serie” en la
página 987.

Actualización o cambio a una versión anterior del IVE

Puede instalar un paquete de actualización diferente obteniendo primero el
software desde el sitio web del Soporte técnico de Juniper y luego cargándolo
a través de la consola de administración Los archivos del paquete están encriptados
y firmados para que el servidor del IVE sólo acepte paquetes válidos emitidos por
Juniper Networks. Esta medida impide que el servidor del IVE acepte programas
que sean troyanos.

Esta rol se utiliza normalmente para actualizar a versiones más recientes del
software del sistema, pero también puede utilizar este proceso para cambiarlo
a una versión anterior o para eliminar todos los ajustes actuales de la configuración
y comenzar de manera limpia. También puede revertir a un estado anterior del
sistema a través de la consola serie, como se describe en “Retroactivación a un
estado anterior del sistema” en la página 988.

Configuración de las utilidades del sistema „ 721

 Guía de administración de Secure Access de Juniper Networks

Puede actualizar el IVE o cambiarlo a una versión anterior en la página

Maintenance > System > Upgrade/Downgrade de la consola de administración.

NOTA: La instalación de un paquete de actualización demora varios minutos

y requiere reiniciar el IVE. Debido a que se realizan copias de seguridad de los
datos existentes del sistema durante este proceso, puede disminuir el tiempo de
instalación si borra su registro de sistema antes de intentar la instalación de un
paquete de actualización.

Ajuste de las opciones del sistema

Puede establecer varias opciones del sistema, como:

„ Version monitoring: Mantenga seguro y actualizado su sistema haciendo que

el IVE le notifique acerca de parches y actualizaciones esenciales del software.
Para ello, comunica a Juniper Networks los siguientes datos: el nombre de su
empresa, un hash MD5 de los ajustes de su licencia y la información que
describe la versión actual del software.

„ gzip compression: Reduzca las velocidades de la descarga cuando se usan

exploradores habilitados para compresión de HTTP.

„ Java instrumentation caching: Mejore el rendimiento de la descarga de las

aplicaciones Java.

„ SSL acceleration: Descargue la encriptación y la desencriptación de los

protocolos de enlace SSL si ha instalado una tarjeta aceleradora.

„ Show auto-allow: Copie los marcadores de roles para las directivas de control
de acceso correspondientes cuando se usen directivas de recurso.

„ External user records management: Elimine del sistema los registros de

usuarios anteriores. Tenga precaución al utilizarlo.

„ End-user localization: Establezca el idioma para el explorador del usuario

final, o acepte los valores predeterminados del explorador.

Para establecer las opciones del sistema:

1. En la consola de administración, seleccione Maintenance > System >

Options.

2. Seleccione la casilla de verificación Automatic Version Monitoring para recibir

automáticamente notificaciones sobre parches y actualizaciones esenciales del
software.

NOTA: Para su protección, recomendamos encarecidamente que habilite este

servicio automático, pero es posible inhabilitarlo si es necesario.

3. Seleccione la casilla de verificación Enable gzip compression para reducir la

cantidad de datos enviados a los exploradores que admiten la compresión de
HTTP.

722 „ Configuración de las utilidades del sistema

 Capítulo 26: Administración general del sistema

4. Seleccione la casilla de verificación Enable Java instrumentation caching para

mejorar el rendimiento de la descarga de aplicaciones Java. Con el caché de
instrumentación de Java habilitado, el IVE guarda en caché applets de Java a los
que accedieron los usuarios finales y entrega los applets en caché a peticiones
siguientes de los mismos applets.

5. Seleccione la casilla de verificación Enable SSL acceleration para descargar la

encriptación y la desencriptación de los protocolos de enlace SSL desde el
dispositivo hasta la tarjeta aceleradora.

NOTA: El IVE sólo muestra esta opción si ha adquirido un dispositivo IVE equipado
con la tarjeta aceleradora correspondiente.

6. Si la casilla de verificación Show Auto-allow está marcada, desmarque la casilla

de verificación si desea ocultar la opción de permiso automático para usted
u otros administradores que crean nuevos marcadores de roles.

La opción de permiso automático proporciona el medio para agregar

automáticamente marcadores para un rol determinado a una directiva de
control de acceso, por ejemplo, para agregar a la directiva de control de acceso
Web marcadores web con el permiso automático establecido. Utilice esta
característica sólo si utiliza además directivas de recursos. Recomendamos
que utilice perfiles de recursos. Para obtener más información sobre los
perfiles de recursos, consulte “Componentes de los perfiles de recursos” en la
página 92.

7. En la opción Show Auto-allow, puede seleccionar:

„ Only this URL: Esta opción restringe los marcadores que se van a agregar
a la directiva de control de acceso a la dirección URL principal. Por
ejemplo, la dirección URL http://www.company.com se agregaría a la
directiva de control de acceso.

„ Everything under this URL: Esta opción permite que los marcadores
a otras rutas bajo la dirección URL principal se agreguen a la directiva de
control de acceso. Si define sitios web adicionales por rol, quizás le interese
incluirlos en la directiva de control de acceso. Por ejemplo, las siguientes
direcciones URL se agregan cuando selecciona esta opción:

‰ http://www.company.com/sales

‰ http://www.company.com/engineering

8. Utilice las opciones en External User Records Management para eliminar del
IVE los registros de usuarios anteriores. Esta característica es útil cuando el
rendimiento del sistema se ve afectado debido a una gran cantidad de registros
de usuarios. Recomendamos encarecidamente que consulte al soporte técnico
de Juniper Networks antes de utilizar esta característica.

Configuración de las utilidades del sistema „ 723

 Guía de administración de Secure Access de Juniper Networks

Eliminar el registro de un usuario elimina también todos los marcadores,

cookies persistentes, información de SSO, recordatorios de reuniones y otros
recursos de ese usuario en el IVE. No elimina el registro del usuario de un
servidor de autenticación externo o interno. Si elimina el registro de un usuario
y ese usuario vuelve a iniciar sesión en el servidor de autenticación, se crean
nuevos registros del usuario. Los registros no se eliminan si ese usuario inició
sesión actualmente.

„ Persistent user records limit: Introduzca el número máximo permitido de

registros de usuarios en el IVE.

„ Number of user records to delete when the limit is exceeded: Introduzca

la cantidad de registros a eliminar cuando se exceda el límite. Primero se
eliminan los registros anteriores. El registro de un usuario no se elimina si
dicho usuario inició sesión actualmente.

„ Delete Records Now: Haga clic en este botón para comprobar si se excedió
el límite de los registros persistentes del usuario. Si es así, elimine el
número de registros del usuario especificado en la opción anterior.

„ Enable automatic deletion of user records during new user logins: Cada
vez que se va a crear el registro nuevo de un usuario, compruebe si se va
a exceder el límite de los registros persistentes de un usuario. Si es así,
elimine los registros antes de crear el nuevo registro del usuario.

9. Seleccione el idioma para el explorador del usuario final en el menú

desplegable End-user Localization.

10. Haga clic en Save Changes.

Descarga de los instaladores de aplicaciones

Puede descargar una aplicación o servicio como un archivo ejecutable de Windows,
el que le permitirá:

„ Distribuir el archivo a los equipos cliente usando las herramientas de

distribución de software. Esta opción le permite instalar una aplicación
o servicio en los equipos del cliente cuyos usuarios no tienen privilegios de
administrador, lo que es necesario para instalar la aplicación o el servicio.

„ Poner el ejecutable en un repositorio seguro para que los usuarios con los
derechos de administrador apropiados puedan descargar e instalar la versión
correcta.

„ Descargar y ejecutar un script que recupere de forma automática la versión

adecuada del instalador desde un servidor FTP.

Estas opciones le permitirán controlar qué versión de una aplicación o un servicio

se ejecuta en los equipos cliente.

724 „ Configuración de las utilidades del sistema

 Capítulo 26: Administración general del sistema

La página Installers contiene los siguientes controles:

„ Juniper Installer Service: El servicio de instalador Juniper permite que los

usuarios descarguen, instalen, actualice y ejecuten aplicaciones del lado cliente
sin tener privilegios de administrador. Para realizar estas tareas (que requieren
los privilegios de administrador), el servicio de Juniper Installer se ejecuta en la
cuenta del sistema local del cliente (una cuenta potente con acceso completo al
sistema) y se registra con el Administrador de control de servicios (“Service
Control Manager”, o “SCM”) de Windows. Un control ActiveX o un applet Java
que se ejecute dentro del explorador web del usuario comunica los detalles de
los procesos de instalación que se debe realizar a través de un canal seguro
entre el IVE y el sistema cliente.

NOTA: Cuando instale el servicio de instalador Juniper en sistemas cliente, tenga

en cuenta que:

„ Necesita contar con los privilegios de administrador para instalar el servicio

de instalador Juniper. Para obtener información adicional, consulte el manual
Client-side Changes Guide en Juniper Networks Customer Support Center.

„ Debe asegurarse de que Microsoft Windows Installer existe en el sistema

cliente antes de instalar el servicio de instalador Juniper.

„ Los sistemas cliente de sus usuarios finales deben contener un Java Runtime
Engine (JRE) válido y habilitado o un control ActiveX de IVE actual. Si los
sistemas cliente no contienen ninguno de estos componentes de software, los
usuarios finales no podrán conectarse a la puerta de enlace.

„ Debe asegurarse de que haya un JRE válido habilitado en los sistemas

cliente de sus usuarios finales.

„ Si no existe un JRE en los sistemas cliente de sus usuarios finales, debe

descargar un paquete de instalador adecuado desde Maintenance >
System > Installers.

„ El servicio aparece en la lista de servicios de Windows (local) como Neoteris

Setup Service.

„ El servicio comienza automáticamente en la instalación y durante el inicio del

sistema cliente.

„ Host Checker: Este instalador (HCInst.exe) instala Host Checker en los sistemas
de los usuarios. Host Checker es un agente del lado cliente que realiza
verificaciones de seguridad de punto final en los hosts que se conectan al IVE.

NOTA: Si decide distribuir Host Checker, asegúrese de anular la selección de la

opción Auto-upgrade Host Checker en la página Authentication > Endpoint
Security > Host Checker (consulte “Especificación de las opciones generales de
Host Checker” en la página 314). De lo contrario, el IVE descarga la aplicación
Host Checker al equipo de un usuario, que puede no ser la misma versión que la
versión distribuida.

Configuración de las utilidades del sistema „ 725

 Guía de administración de Secure Access de Juniper Networks

„ Windows Secure Application Manager for Windows 9x platforms: Este

instalador (WSAMInst.exe) incluye la versión básica de WSAM. Utilice esta
versión para instalar WSAM en Windows 9x.

„ Windows Secure Application Manager for Windows 2000/XP platforms: Este

instalador (WSAMInstNt.exe) incluye la versión de NetBIOS de W-SAM, que
permite que los usuarios asignen unidades a los recursos de Windows. Utilice
esta versión para instalar WSAM en sistemas de Windows 2000 y Windows XP.

„ Scriptable W-SAM: Este instalador (Samlauncher.exe) le permite iniciar WSAM

de manera manual desde una línea de comandos o de manera automática
desde un archivo de lote, una aplicación que realiza una llamada de shell o un
servicio de Win32. Consulte “Uso del iniciador de WSAM” en la página 510 para
obtener información acerca de los argumentos de línea de comandos, códigos
de retorno, errores y ejemplos.

NOTA: Si decide distribuir W-SAM, recomendamos que inhabilite la opción

Auto-upgrade de Secure Application Manager option en la página Users > User
Roles > Nombre del rol > SAM > Options (consulte “Especificación de opciones
WSAM a nivel de rol” en la página 506) y guarde los cambios. Si está habilitado, el
IVE descarga automáticamente una versión más reciente de W-SAM al cliente, lo
que produce que diferentes usuarios ejecuten versiones inconsistentes de W-SAM.
Es más, si un usuario no cuenta con los privilegios de administrador, la
actualización falla y es posible que W-SAM no vuelva a funcionar.

„ Windows Secure Application Manager for PocketPC 2003SE: Este instalador

(wsam.ppc2003_arm.cab) incluye la versión de WSAM para PDA. Utilice esta
versión para instalar WSAM en sistemas Pocket PC.

„ Network Connect for Windows: Este instalador (NcInst.exe) instala Network

Connect en sistemas Windows. Network Connect es un mecanismo de acceso
remoto que proporciona una experiencia de usuario de VPN sin clientes.

„ Network Connect for Mac OS X: Este instalador (NetworkConnect.dmg) instala

Network Connect en sistemas Macintosh OS X. Network Connect es un
mecanismo de acceso remoto que proporciona una experiencia de usuario de
VPN sin clientes.

„ Network Connect for Linux: Este instalador (ncui-1.2-1.i386.rpm) instala

Network Connect en sistemas Linux. Network Connect es un mecanismo de
acceso remoto que proporciona una experiencia de usuario de VPN sin clientes.

Para descargar una aplicación o servicio:

1. En la consola de administración, elija Maintenance > System > Installers.

2. Haga clic en el vínculo Download que aparece a la derecha de la aplicación o el

servicio que desea descargar. Aparece el cuadro de diálogo File Download.

3. Haga clic en el botón Save del cuadro de diálogo File Download. Aparece el
cuadro de diálogo Save As.

4. Elija una ubicación adecuada en el cuadro de diálogo Save As.

5. Haga clic en el botón Save del cuadro de diálogo Save As.

726 „ Configuración de las utilidades del sistema

 Capítulo 26: Administración general del sistema

Configuración de licencias, seguridad y NCP

Utilice las páginas System > Configuration para aplicar su licencia inicial
o actualizar su licencia, para establecer las opciones de seguridad predeterminadas,
y para configurar los protocolos de comunicación NCP o JCP, como se describe en
los siguientes temas:

„ “Introducción o actualización de licencias de IVE” en la página 727: utilice esta

característica para introducir una nueva licencia, para agregar opciones a su
licencia existente o para actualizar una licencia a una nueva versión.

„ “Activación y desactivación del modo de emergencia” en la página 734: use

esta característica para activar o desactivar el modo “En caso de emergencia”
(“In Case of Emergency”, o ICE).

„ “Ajuste de las opciones de seguridad” en la página 735: utilice esta

característica para establecer todas las opciones de seguridad, incluidas las
opciones del sistema completo, cookies, intermediación y más.

„ “Configuración de NCP y JCP” en la página 738: utilice esta característica para

establecer protocolos de comunicación.

„ “Instalación de un paquete de actualización de software de Juniper” en la

página 739: utilice esta característica para instalar un nuevo paquete de
actualización en el IVE.

Introducción o actualización de licencias de IVE

El dispositivo IVE se envía con una licencia que le permite obtener un acceso básico
al IVE1. Sin embargo, para aprovechar completamente su dispositivo, debe obtener
acceso al sistema de administración de licencias de Juniper Networks, proporcionar
su ID de hardware de licencia y sus códigos de autorización para obtener sus claves
de licencia e iniciar sesión a la consola de administración para introducir las claves
de licencia que recibe de Juniper Networks.

Un ID de hardware de licencia es un código único de 16 caracteres que

Juniper Networks utiliza para identificar su IVE en particular cuando se generan
claves de licencia. Puede encontrar el ID de hardware de licencia del IVE sobre
las opciones del menú en la consola serie y en la parte inferior de la consola de
administración.

Un código de autorización es una clave de paso necesaria para generar y activar las
claves de licencia que usted o su empresa han adquirido para su IVE. Reciba sus
códigos de autorización de forma separada del IVE después de adquirir su IVE y las
licencias de productos y características asociadas.

1. La licencia básica de IVE le permite crear 5 cuentas de usuario locales, permite que 2 usuarios inicien sesión
simultáneamente y proporciona capacidades básicas de exploración de archivos UNIX/NFS, Windows y web.

Configuración de licencias, seguridad y NCP „ 727

 Guía de administración de Secure Access de Juniper Networks

Figura 44: Generación y activación de las claves de licencia

Obtain your Juniper Obtain your Juniper

Networks Secure Networks Secure
Access Authorization Access Licensing
Code Hardware ID

Supply your Juniper

Networks Secure
Sign in to Juniper Networks
Access Appliance
License Management System
Serial Number
at
(when upgrading
http://www.juniper.net/
SA 1000, SA 3000,
generate_license
and SA 5000 license
keys only)

Receive Juniper
Networks
Secure Access
license keys

Enter Juniper
Networks Secure
Access license keys
in Secure Access
administrator Web
console

728 „ Configuración de licencias, seguridad y NCP

 Capítulo 26: Administración general del sistema

El paquete que descarga desde el sistema de administración de licencias de

Juniper Networks o del mensaje de correo electrónico que recibe de
Juniper Networks puede contener tipos de licencias diferentes:

„ Claves de licencia del usuario de IVE: La clave de licencia del usuario del IVE
le permite actuar como host de todos los usuarios que especifique el código de
la clave de licencia. Las claves de licencia de usuario del IVE son aditivas, lo que
significa que puede ampliar el número de usuarios que pueden obtener acceso
al IVE simplemente adquiriendo una clave de licencia de usuario adicional
y agregándola a su configuración. Por ejemplo, si adquiere inicialmente una
licencia SA4000-ADD-100U y luego adquiere otra licencia SA4000-ADD-100U
en el futuro, su IVE podría alojar hasta 200 usuarios.

NOTA: Cuando se alcanza el límite de licencias de usuario, todo usuario nuevo que
inicie sesión experimentará una reducción en la velocidad del proceso de inicio de
sesión. No resultan afectadas las sesiones de usuarios existentes.

„ Claves de licencia de características de acceso del IVE: Las claves de licencia

de características de acceso del IVE le permiten habilitar los métodos de acceso
en el IVE. Las claves de licencia de las características de acceso están
disponibles para varios métodos de acceso, que incluyen licencias de
características de acceso de Network Connect y Secure Application Manager,
Secure Meeting y Advanced.

„ Claves de licencia de clúster del IVE: IVE las claves de licencia de clúster
habilitan el comportamiento de clústeres entre los IVE. Puede adquirir claves de
licencia de clúster del IVE junto con las claves de licencia de usuario del IVE,
pero el número de usuarios que puede obtener acceso a los IVE del clúster está
restringido al número máximo de usuarios que permite la clave de licencia de
clúster del IVE. Al igual que las claves de licencia de usuario del IVE, las claves
de licencia de clúster del IVE son aditivas; es decir, puede aumentar el número
de los usuarios que pueden obtener acceso al clúster adquiriendo claves de
licencia adicionales en el futuro. Por ejemplo, si adquiere inicialmente una
licencia de clúster SA4000-CL-100U y luego adquiere otra licencia de clúster
SA4000-CL-100U en el futuro, su IVE podría alojar hasta 200 usuarios. Sin
embargo, si adquiere una clave de licencia de usuario SA4000-ADD-100U IVE
adicional, en lugar de una clave de licencia de clúster adicional, a pesar de
poder alojar hasta 200 usuarios a través de las claves de licencia de usuario,
todavía puede alojar sólo 100 usuarios en el clúster de los IVE. Para obtener
más información sobre los IVE en clúster, consulte “Creación de clústeres” en la
página 869.

NOTA: Todos los nodos de un clúster deben tener la misma clave de licencia que el
IVE del clúster primario para que el clúster pueda funcionar. No se puede agregar
una licencia ADD y una CL en el mismo equipo al mismo tiempo. Para que un
nodo pueda integrarse a un clúster, deberá agregar una licencia CL al nodo.

Configuración de licencias, seguridad y NCP „ 729

 Guía de administración de Secure Access de Juniper Networks

„ Claves de licencia de laboratorio del IVE: Las claves de licencia de laboratorio

le permiten implementar la nueva funcionalidad de IVE en un entorno de
prueba o de laboratorio antes de decidir si adquirir y extender la funcionalidad
actualizada en su red real. Las claves de licencia de laboratorio tienen una
vigencia de 52 semanas y otorgan acceso a un número limitado de usuarios.
A pesar de que puede adquirir múltiples claves de licencia de laboratorio, no
aumenta el número de usuarios a los que puede proporcionar acceso. En lugar
de eso, puede aumentar la duración de la licencia en múltiplos de 52 semanas
(104 semanas, 156 semanas y así sucesivamente). Por ejemplo, si adquiere dos
licencias SA4000-LAB, puede otorgar acceso a 10 usuarios durante 104
semanas, en lugar de sólo 52.

„ Claves de licencia en caso de emergencia (ICE) de IVE: Las claves de licencia

en caso de emergencia (ICE) le permiten activar el modo de emergencia del IVE,
que temporalmente habilita el IVE para un gran número de usuarios. Por
ejemplo, quizás le interese activar este modo si una de sus oficinas cierra
a causa de las inclemencias meteorológicas. Cuando lo hace, sus empleados
pueden usar el IVE para trabajar desde casa en lugar de ir a la oficina. Las
licencias ICE válidas admiten un conjunto completo de características, pero su
uso está limitado a 2 usuarios cuando el modo de emergencia está desactivado.
Puede operar el IVE en el modo de emergencia durante hasta 8 semanas. Para
obtener más información, consulte “Activación y desactivación del modo de
emergencia” en la página 734.

„ Claves de licencia de evaluación del IVE: Las claves de licencia de evaluación

permiten habilitar y extender la funcionalidad de IVE más reciente por un
tiempo limitado, antes de decidir si adquirir las claves de licencia y habilitar la
nueva funcionalidad de IVE de manera permanente. Las claves de licencia de
evaluación son válidas durante una, dos o cuatro semanas.

Utilice la ficha System > Configuration > Licensing para introducir las claves de
licencia para su sitio, ver sus fechas de vencimiento y eliminarlas (si es necesario).

NOTA: Asegúrese de leer el acuerdo de licencia, al que se puede obtener acceso

desde la ficha Licensing, antes de ejecutar su clave de licencia. El acuerdo de
licencia disponible en la ficha Licensing es el mismo texto que se muestra en la
consola serie durante la configuración inicial.

Introducción de nuevas claves de licencia de IVE

Para crear e introducir nuevas claves de licencia de IVE o transferir claves de
licencia a un IVE de reemplazo:

1. Asegúrese de tener disponible su ID de hardware de licencias y sus códigos de

autorización.

Puede encontrar el ID de hardware de licencia del IVE encima de las opciones

del menú de la consola serie y en la parte inferior de la consola de
administración.

Reciba sus códigos de autorización de forma separada del IVE después de

adquirir su IVE y las licencias de productos y características asociadas.

730 „ Configuración de licencias, seguridad y NCP

 Capítulo 26: Administración general del sistema

2. Diríjase al sistema de administración de licencias de Juniper Networks en

https://www.juniper.net/generate_license.

NOTA: El sistema de administración de licencias de Juniper Networks ofrece un

punto de acceso donde puede obtener información detallada acerca de las
licencias de Juniper Networks, incluidas todas las licencias registradas para usted
y su empresa, así como también las licencias actualmente asociadas con IDs de
hardware de licencias específicos.

Debe tener un ID de usuario y una contraseña válidos del Juniper Networks

Customer Support Center para obtener acceso a la información que se
encuentra en esta ubicación. Para obtener un ID de usuario y una contraseña
de Juniper Networks Customer Support Center, obtenga acceso al Customer
Support Center.

3. Haga clic en el vínculo Secure Access SSL VPN para generar nuevas claves de
licencia de IVE o haga clic en Generate Replacement License for RMA Device
para crear una clave de licencia basada en una licencia existente para un IVE
que esté reemplazando.

NOTA: La opción Generate Replacement License for RMA Device está diseñada
para alojar sólo escenarios de reemplazo de hardware RMA. No se puede utilizar
para reemplazar una clave de licencia creada por error (por ejemplo, con un
código de autorización para crear una clave de licencia para un IVE distinto al IVE
para el que se adquirió la licencia originalmente).

4. En la página Generate Licenses:

„ Si está creando una clave de licencia para un solo IVE, introduzca el ID de

hardware de licencia y uno o más códigos de autorización en los campos
correctos.

„ Si desea crear claves de licencia para IVE múltiples al mismo tiempo, haga
clic en Generate License Keys for Multiple SSL VPN Devices y siga el
procedimiento en pantalla para crear el archivo Excel necesario para
generar sus claves de licencia.

5. Haga clic en Generate.

Aparece la página Confirm License Information, que muestra un resumen de

la información enviada al sistema de administración de licencias.

6. Revise la información para asegurarse de que todo esté correcto y luego haga
clic en Generate License.

Aparece la página Generate License SSL VPN, que muestra un resumen de sus
claves de licencia, incluido un vínculo que muestra los detalles de sus nuevas
claves de licencia.

7. Haga clic en Download/Email y especifique el formato del archivo y el método

de entrega que desea utilizar para obtener sus nuevas claves de licencia.

Configuración de licencias, seguridad y NCP „ 731

 Guía de administración de Secure Access de Juniper Networks

Después de descargar o recibir sus claves de licencia por correo electrónico:

1. En la consola de administración, seleccione System > Configuration >

Licensing.

2. Haga clic en el vínculo license agreement. Lea el acuerdo de licencia y, si está

de acuerdo con los términos, continúe al siguiente paso.

3. Introduzca sus códigos de licencia y haga clic en Add.

Actualización de las claves de licencia de IVE

Si está utilizando un dispositivo Secure Access 700 o Secure Access FIPS y desea
actualizar sus claves de licencia después de actualizar la imagen en su IVE a 5.1
o posterior, debe realizar el siguiente procedimiento para crear e introducir sus
nuevas claves de licencia. Debido a que el IVE mantiene la información de licencias
existente cuando se actualiza, sólo necesita validar y crear nuevas claves de licencia
para cualquier actualización de licencia que adquiera. En la Figura 44 en la
página 728 se resumen los principales pasos en el proceso de generación de
licencias.

NOTA: Cuando actualiza sus claves de licencia en un IVE anterior, el sistema de

administración de licencias de Juniper Networks mantiene la información acerca
de las nuevas claves de licencia que crea, así como también cualquier clave de
licencia futura que adquiera e introduzca en su IVE. No se puede obtener acceso
a los detalles de claves de licencia anteriores. Juniper Networks no puede verificar
la información de claves de licencia para las versiones de software anteriores
a 5.1. Si elimina por accidente su información de licencia, comuníquese con
Juniper Customer Care a través del administrador de casos del Customer Support
Center:

„ 1-800-638-8296 (Estados Unidos y Canadá)

„ 1-408-745-9500 (internacional)

Juniper Customer Care abrirá un caso en su nombre y le proporcionará un registro

de sus claves de licencia perdidas.

Para actualizar sus claves de licencia de IVE:

1. Asegúrese de tener disponible su ID de hardware de licencias y sus códigos de

autorización.

Puede encontrar el ID de hardware de licencia del IVE sobre las opciones del
menú en la consola serie y en la parte inferior de la consola de administración.

Si está actualizando sus claves de licencia y software de IVE, recibe sus códigos
de autorización para sus licencias de características adicionales de parte del
proveedor al que adquirió originalmente su IVE.

732 „ Configuración de licencias, seguridad y NCP

 Capítulo 26: Administración general del sistema

2. Diríjase al sistema de administración de licencias de Juniper Networks en

https://www.juniper.net/generate_license.

NOTA: El sistema de administración de licencias de Juniper Networks ofrece un

punto de acceso donde puede obtener información detallada acerca de las
licencias de Juniper Networks, incluidas todas las licencias registradas para usted
y su empresa, así como también las licencias actualmente asociadas con IDs de
hardware de licencias específicos.

Debe tener un ID de usuario y una contraseña válidos del Juniper Networks

Customer Support Center para obtener acceso a la información que se
encuentra en esta ubicación. Para obtener un ID de usuario y una contraseña
de Juniper Networks Customer Support Center, obtenga acceso al Customer
Support Center.

3. Haga clic en el vínculo Secure Access SSL VPN para generar nuevas claves de
licencia de IVE o haga clic en Generate Replacement License for RMA Device
para crear una licencia basada en una licencia existente para un IVE que esté
reemplazando.

NOTA: La opción Generate Replacement License for RMA Device está diseñada
para alojar sólo escenarios de reemplazo de hardware RMA. No se puede utilizar
para reemplazar una clave de licencia creada por error (por ejemplo, con un
código de autorización para crear una clave de licencia para un IVE distinto al IVE
para el que se adquirió la licencia originalmente).

4. En la página Generate Licenses:

„ Si está creando una clave de licencia para un solo IVE, introduzca el ID de

hardware de licencia y uno o más códigos de autorización en los campos
correctos.

„ Si desea crear claves de licencia para IVE múltiples al mismo tiempo, haga
clic en Generate License Keys for Multiple SSL VPN Devices y siga el
procedimiento de la pantalla para crear el archivo Excel necesario para
generar sus claves de licencia.

5. Haga clic en Generate.

6. Introduzca el número de serie de su IVE en el campo Serial Number. Si no

introduce el número de serie de su IVE cuando se le solicita, el portal de
generación de licencias utiliza automáticamente el ID de hardware de licencia
que introduzco anteriormente.

7. Haga clic nuevamente en Generate.

Aparece la página Confirm License Information, que muestra un resumen de

la información enviada al sistema de administración de licencias.

Configuración de licencias, seguridad y NCP „ 733

 Guía de administración de Secure Access de Juniper Networks

8. Revise la información para asegurarse de que todo esté correcto y luego haga
clic en Generate License.

Aparece la página Generate License SSL VPN, que muestra un resumen de sus
claves de licencia, incluido un vínculo que muestra los detalles de sus nuevas
claves de licencia.

9. Haga clic en Download/Email y especifique el formato del archivo y el método

de la entrega que desea utilizar para obtener sus nuevas claves de licencia.

Después de descargar o recibir sus actualizaciones de claves de licencia por correo

electrónico:

1. En la consola de administración, seleccione System > Configuration >

Licensing.

2. Haga clic en el vínculo license agreement. Lea el acuerdo de licencia y, si está

de acuerdo con los términos, continúe al siguiente paso.

3. Introduzca las claves de licencia y haga clic en Save Changes.

Activación y desactivación del modo de emergencia

La característica del modo de emergencia del IVE le permite habilitar
temporalmente el IVE para un gran número de usuarios, como se explica en
“Introducción o actualización de licencias de IVE” en la página 727.

A fin de activar el IVE en modo de emergencia, primero debe instalar una licencia
en caso de emergencia (ICE) usando el procedimiento de instalación de licencias de
IVE estándar. Seguidamente, cuando se produce la emergencia, podrá activar
fácilmente el modo de emergencia a través de la consola web del IVE. Cuando haya
pasado la emergencia, debe desactivar el modo de emergencia.

NOTA: La licencia ICE es permanente hasta que active el modo de emergencia.

La activación del modo de emergencia cambia la licencia ICE a una licencia
temporal, y sólo permite que opere en el modo de emergencia durante 8
semanas. Una vez que vence la licencia ICE, desaparecen todas las características
y sus usuarios ya no pueden obtener acceso al IVE usando el modo de
emergencia.

Para activar o desactivar el modo de emergencia:

1. En la consola web, seleccione System > Configuration > Licensing.

2. Encuentre la entrada de In Case of Emergency License en la lista de licencias.

Los nombres de la licencia ICE de muestra incluyen:

„ SA4000-ICE

„ SA4000-ICE-CL

„ SA6000-ICE

„ SA6000-ICE-CL

734 „ Configuración de licencias, seguridad y NCP

 Capítulo 26: Administración general del sistema

3. Haga clic en el vínculo Enable que aparece a la derecha de la columna de

licencias para activar el modo de emergencia, o haga clic en Inhabilitar para
desactivarlo.

NOTA: Cuando habilite y inhabilite el modo de emergencia, el IVE reduce la

licencia correspondiente en intervalos de 5 minutos.

Ajuste de las opciones de seguridad

Utilice la página System > Configuration > Security para cambiar los ajustes de
seguridad predeterminados para su IVE. Recomendamos que utilice los ajustes de
seguridad predeterminados, que proporcionan una máxima seguridad, pero es
posible que necesite modificar estos ajustes si sus usuarios no pueden utilizar
determinados exploradores u obtener acceso a determinadas páginas web.
También puede configurar opciones de bloqueo para proteger el IVE y los sistemas
de back-end frente a ataques de DoS, DDoS y de averiguación de contraseñas desde
la misma dirección IP.

Ajuste de las opciones de seguridad del sistema completo

Si alguno de los usuarios experimenta problemas con el explorador cuando obtiene
acceso a determinadas páginas web, plantéese realizar los siguientes ajustes:

„ Allowed SSL and TLS Version: Especifique los requisitos de encriptación para
los usuarios de IVE. El IVE cumple con estos ajustes para todo el tráfico del
servidor web, incluido oNCP y Secure Email Client, y todos los tipos de clientes,
incluido Pocket PC e iMode. (El IVE requiere de forma predeterminada SSL
versión 3 y TLS.) Puede solicitar que los usuarios que posean exploradores
anteriores que utilizan SSL versión 2 actualicen sus exploradores o que cambien
los ajustes del IVE para permitir SSL versión 2, SSL versión 3 y TLS.

„ Allowed Encryption Strength: El IVE necesita encriptación de 128 bits de

forma predeterminada, o puede especificar que el IVE necesita encriptación de
168 bits. Es posible que sigan usando la encriptación de 40 bits los
exploradores anteriores al cambio de la ley de exportación de los Estados
Unidos realizado en el año 2000, cuando se exigía la encriptación de 40 bits
para la exportación internacional. Puede solicitar que los usuarios actualicen
a un explorador con encriptación de 128 bits o cambiar la intensidad de la
encriptación requerida para permitir también encriptaciones de 40 bits.

Si selecciona la opción Accept only 168-bit and greater, el IVE le da

preferencia al AES de 256 bits por delante de 3DES. Si selecciona la opción
Accept only 128-bit and greater o la opción Accept 40-bit and greater, el IVE
le da preferencia a los cifrados RC4.

Para especificar una combinación de suites de cifrado para la conexión

entrante desde el explorador del usuario, seleccione la opción Custom SSL
Cipher Selection en Allowed Encryption Strength. Si selecciona la opción
AES/3DES, el IVE le da preferencia al AES de 256 bits por delante de 3DES. Si
selecciona cualquiera de las opciones personalizadas de suite de cifrado, el IVE
utiliza cifrados de 168 bits o superiores para las conexiones de reescritura de
backend. El IVE le da preferencia a la encriptación del AES de 256 bits para las
conexiones SSL del proxy de correo de backend.

Configuración de licencias, seguridad y NCP „ 735

 Guía de administración de Secure Access de Juniper Networks

NOTA: Cuando se utiliza la encriptación de 168 bits en el IVE, algunos

exploradores web siguen mostrando la encriptación de 128 bits (el candado
dorado en la barra de estado del explorador), incluso si la conexión es de 168 bits.
Ésta puede ser una limitación de la capacidad del explorador.

„ Encryption Strength option: Normalmente, la intensidad de encriptación

permitida se aplica después de establecer una sesión SSL, por lo que un usuario
que se conecta con una intensidad de encriptación no permitida recibe una
página web que describe el problema. Esta opción impide que un explorador
con un cifrado débil establezca una conexión.

„ SSL Handshake Timeout option: Determina los segundos antes de que se

agote el tiempo del protocolo de enlace SSL. El intervalo predeterminado es de
60 segundos.

„ Delete all cookies at session termination: Para su comodidad, el IVE

establece cookies persistentes en el equipo del usuario para admitir funciones
como inicio de sesión múltiple, el último territorio asociado y la última
dirección URL de inicio de sesión. Si desea obtener seguridad o privacidad
adicionales, puede optar por no definirlas.

„ Include IVE session cookie in URL: Mozilla 1.6 y Safari no pueden pasar
cookies a la máquina virtual de Java, con lo que los usuarios no pueden ejecutar
applets JSAM ni Java. Para admitir estos exploradores, el IVE puede incluir las
cookies de la sesión del usuario en la dirección URL que inicia JSAM o un applet
de Java. De forma predeterminada, esta opción está habilitada, pero si le
preocupa la exposición de los cookies en la dirección URL, puede inhabilitar
esta característica.

„ Last Login options: Muestra el día y la hora del último inicio de sesión del
usuario en el sistema. Para los usuarios, esta información aparece en su página
de marcadores. Para los administradores, esta información aparece en la
página System Status Overview.

„ SAML version: De forma predeterminada, el IVE utiliza el protocolo y el

esquema SAML 1.1. Si utiliza SAML 1.0 en su entorno, seleccione la opción
SAML 1.0.

Configuración de las opciones de bloqueo

Puede configurar las siguientes Lockout options para proteger el IVE y otros
sistemas contra ataques de rechazo de servicio (DoS), rechazo de servicio
distribuido (DDoS) y de adivinación de contraseñas desde la misma dirección IP:

„ Rate: Especifique el número de intentos de inicio de sesión fallidos permitidos

por minuto.

736 „ Configuración de licencias, seguridad y NCP

 Capítulo 26: Administración general del sistema

„ Attempts: Especifique el número máximo de intentos de inicio de sesión

fallidos permitidos antes de activar el bloqueo inicial. El IVE determina el
período inicial máximo (en minutos) para permitir que se produzcan los
intentos de inicio de sesión fallidos dividiendo el número especificado de
intentos por el índice. Por ejemplo, 180 intentos divididos por un índice de 3
da como resultado un período inicial de 60 minutos. Si se producen 180 o más
intentos de inicio de sesión fallidos dentro de 60 minutos o menos, el IVE
bloquea la dirección IP utilizada en el intento de inicio de sesión fallido.

„ Lockout period: Especifique los minutos que desea que el IVE bloquee la
dirección IP.

NOTA: Las opciones de bloqueo no están disponibles para los sistemas IVS. Todas
las demás opciones de seguridad están disponibles para los sistemas IVS.

El IVE reacciona rápidamente frente a un ataque persistente, y poco a poco se

vuelve menos restrictivo cuando disminuye el ataque. Después de producido un
bloqueo, el IVE se recupera poco a poco manteniendo el valor de Rate. Si el índice
de fallos desde el último bloque sobrepasa el valor de Rate especificado, el IVE
vuelve a bloquear la dirección IP. Si el índice de fallos es inferior al Rate
especificado para el período de Attempts/Rate, el IVE vuelve al estado de
supervisión inicial.

Por ejemplo, si utiliza los siguientes ajustes para las Lockout options, el IVE
bloquea la dirección IP para los períodos correspondientes al siguiente escenario.

„ Rate=3 intentos de inicio de sesión fallidos/minuto

„ Attempts=180 permitidos como máximo en un período inicial de 60 minutos

(180/3)

„ Lockout period=2 minutos

1. Durante un período de tres minutos, se producen 180 intentos de inicio de

sesión fallidos desde la misma dirección IP. Como el número de intentos
especificado en Attempts se produce en menos del período inicial permitido de
60 minutos (180/3), el IVE bloquea la dirección IP durante dos minutos (el
minuto 4 y el minuto 5).

2. En el minuto 6, el IVE elimina el bloqueo de la dirección IP y comienza

a mantener el índice de 3 intentos de inicio de sesión fallidos/minuto. En el
minuto 6 y el minuto 7, el número de intentos de inicio de sesión fallidos es de
2 por minuto, por lo que el IVE no bloquea la dirección IP. Sin embargo, cuando
el número de intentos de inicio de sesión fallidos aumenta a 5 en el minuto 8,
lo que da un total de 9 intentos de inicio de sesión fallidos en 3 minutos, el IVE
vuelve a bloquear la dirección IP durante 2 minutos (minuto 9 y minuto 10).

Configuración de licencias, seguridad y NCP „ 737

 Guía de administración de Secure Access de Juniper Networks

3. En el minuto 11, el IVE elimina el bloqueo de la dirección IP y comienza

a mantener el índice de 3 intentos de inicio de sesión fallidos/minuto. Cuando
el índice se mantiene por debajo de un promedio de 3/minuto durante 60
minutos, el IVE vuelve a su estado de supervisión inicial.

NOTA: En entornos en los que dos o más usuarios comparten la misma dirección
IP (desde la perspectiva del IVE), la característica de bloqueo impide que todos los
usuarios inicien sesión desde la dirección IP compartida, incluso cuando sólo uno
de ellos es el usuario ofensivo. Desde el punto de vista del IVE, es posible que se
comparta la dirección IP cuando, por ejemplo, los usuarios inician sesión detrás
de un cuadro NAT.

Configuración de NCP y JCP

El IVE utiliza los siguientes tipos de protocolos internos para comunicarse entre las
aplicaciones IVE cliente y servidor:

„ Network Communications Protocol (NCP): El NCP estándar fue reemplazado

por oNCP. Las aplicaciones cliente de Windows, que incluyen el cliente
Windows de Secure Meeting, WSAM, y Terminal Services, retroceden al NCP si
falla el oNCP.

„ Optimized NCP (oNCP): El protocolo optimizado NCP (oNCP) mejora

notablemente las prestaciones de las aplicaciones clientes que utilizan NCP
porque contiene mejoras en la eficiencia de protocolos, gestión de conexiones
y compresión de datos. Las aplicaciones cliente de Windows, que incluyen el
cliente Windows de Secure Meeting Windows, WSAM, Network Connect
y Terminal Services utilizan oNCP de forma predeterminada.

„ Java Communications Protocol (JCP): JCP es la implementación Java del NCP

estándar. El IVE utiliza el JCP para comunicarse con las aplicaciones cliente de
Java, que incluyen el cliente Java de Secure Meeting, JSAM, y el motor de
intermediación de contenido de Java.

Para establecer las opciones del NCP:

1. En la consola de administración, seleccione System > Configuration > NCP.

2. (Clientes Windows) En NCP Auto-Select, seleccione:

„ Auto-select Enabled (recomendado): Utiliza el oNCP de forma

predeterminada. Si selecciona esta opción, el IVE utiliza el oNCP para la
mayoría de las comunicaciones cliente/servidor y luego cambia al NCP
estándar, cuando es necesario. El IVE revierte al NCP si el usuario está
ejecutando un sistema operativo no compatible, un tipo de explorador no
compatible o una combinación de ambos, o si la aplicación cliente no
puede abrir una conexión TCP directa al IVE por cualquier motivo (por
ejemplo, la presencia de un proxy, tiempo de espera, desconexión).

738 „ Configuración de licencias, seguridad y NCP

 Capítulo 26: Administración general del sistema

„ Auto-select Disabled: Utiliza siempre el NCP estándar. Esta opción se

proporciona principalmente para la compatibilidad con versiones
anteriores.

NOTA: Si está utilizando Network Connect para proporcionar acceso del cliente,
recomendamos que actúe con precaución cuando emplee la opción Auto-select
Disabled, porque los clientes Mac y Linux no se pueden conectar utilizando el
protocolo NCP tradicional. Si desactiva la característica de selección automática de
oNCP o NCP y se produce una conmutación por error de UDP a oNCP o NCP, el
IVE desconecta a los clientes de Macintosh y Linux debido a que el IVE conmuta
erróneamente UDP a NCP (en lugar de oNCP), que no admite a estos usuarios.

3. (Clientes Java) En Read Connection Timeout, establezca el intervalo de tiempo

de espera para clientes Java (de 15 a 120 segundos). Si los métodos de acceso
seguro del lado cliente no reciben datos desde el IVE para el intervalo
especificado, intente restablecer una conexión al IVE. Tenga en cuenta que este
valor no se aplica a la inactividad del usuario en las aplicaciones cliente.

4. (Clientes Windows) En Idle Connection Timeout, establezca el intervalo de

conexión inactiva. Este intervalo inactivo determina por cuánto tiempo el IVE
mantiene las conexiones inactivas para los métodos de acceso seguro de
Windows del lado cliente.

5. Haga clic en Save Changes.

Instalación de un paquete de actualización de software de Juniper

Antes de instalar un nuevo paquete de actualización, exporte su configuración de
sistema actual, las cuentas de usuarios locales, los ajustes personalizados del
usuario y la información de roles y directivas utilizando las instrucciones de la
sección “Importación y exportación de archivos de configuración del IVE” en la
página 787.

Para instalar un paquete de actualizaciones:

1. Diríjase al Juniper Networks Customer Support Center y obtenga el paquete de

actualizaciones deseado.

2. En la consola de administración, elija Maintenance > System >

Upgrade/Downgrade.

3. Haga clic en Browse para encontrar en su disco duro el paquete de

actualización que obtuvo en el Juniper Networks Customer Support Center.
Si desea eliminar sus ajustes de configuración actuales, pero seguir usando
la misma versión del IVE, elija el paquete de actualización que está instalado
actualmente en su dispositivo.

Configuración de licencias, seguridad y NCP „ 739

 Guía de administración de Secure Access de Juniper Networks

4. Si está revirtiendo a un paquete de actualización anterior o eliminado sus

ajustes de configuración, seleccione Delete all system and user data.

NOTA: Si opta por revertir para eliminar todos los datos del sistema y del usuario
desde el dispositivo con esta opción, tendrá que restablecer la conectividad de la
red antes de volver a configurar el sistema. Tenga en cuenta, además, que no
puede revertir a una versión de IVE anterior a 3.1.

5. Seleccione el archivo del paquete de actualización y haga clic en Install Now.

Configuración y uso del puerto de administración

El SA 6000 de Juniper Networks incluye un puerto de administración físico que
puede utilizar para conectarse a redes de administración dedicadas. Puede utilizar
el puerto de administración para separar el tráfico comercial del tráfico de
administración del dispositivo, lo que puede mejorar la fiablilidad y la recuperación
en caso de fallo.

El escenario de implementación común aprovecha el puerto interno para obtener

acceso a los sistemas comerciales de la empresa, el puerto externo para obtener
acceso desde y hacia Internet y el puerto de administración para obtener acceso
a la red de administración, que consta de dispositivos dedicados como servidores
syslog y servidores SNMP.

Una vez que habilite las capacidades del puerto de administración, especifique los
tipos de tráfico de administración que se envían a través del puerto de
administración:

„ tráfico syslog

„ capturas SNMP

„ consultas SNMP

„ tráfico NTP

„ tráfico de archivos FTP/SCP

NOTA: Si aplica una licencia IVS, no puede utilizar el puerto de administración para
capturar el tráfico administrativo y de gestión de IVS. Además, no puede utilizar el
prefijo de la URL basado en rutas de IVS para iniciar sesión en el puerto de
administración.

También puede utilizar el puerto de administración para copiar los ajustes de

configuración seleccionados de un IVE a otro, usando la característica de
configuración de envío.

740 „ Configuración y uso del puerto de administración

 Capítulo 26: Administración general del sistema

Información relacionada
„ “Configuración de los ajustes de red del puerto de administración” en la
página 741

„ “Resolución de problemas del puerto de administración” en la página 745

„ “Configuraciones de envío de un IVE a otro” en la página 816

Configuración de los ajustes de red del puerto de administración

Puede configurar los ajustes de la red del puerto de administración en la consola de
administración o en la consola serie.

Puede hacer lo siguiente:

„ “Configuración de los ajustes de la red en la consola serie” en la página 741

„ “Configuración de los ajustes de la red en la consola de administración” en la

página 742

„ “Inclusión de rutas estáticas en la tabla de rutas de administración” en la

página 742

„ “Asignación del certificado al puerto de administración” en la página 743

„ “Control del acceso de inicio de sesión del administrador” en la página 743

„ “Inicio de sesión a través del puerto de administración” en la página 744

„ “Ajuste de las reglas de asignación de roles a través de expresiones

personalizadas” en la página 744

Configuración de los ajustes de la red en la consola serie

Para configurar sus ajustes de la red del puerto de administración desde la consola
serie

1. Comience una sesión de la consola serie, como se describe en “Conexión a la

consola serie de un dispositivo IVE” en la página 987.

2. Seleccione el elemento 1, System Settings and Tools.

3. Seleccione el elemento 10, Configure Management port. El texto indica si la

opción está habilitada o inhabilitada.

Configuración y uso del puerto de administración „ 741

 Guía de administración de Secure Access de Juniper Networks

4. Introduzca los ajustes de red para el puerto de administración, según se le

solicite.

NOTA: Si habilita el puerto de administración pero no configura correctamente la

dirección IP y la máscara de red, el puerto se revierte a un estado inhabilitado.
Además, no puede borrar los ajustes del puerto de administración desde la
consola serie cuando el puerto está inhabilitado, aunque sí puede borrarlos desde
la consola de administración.

5. Cuando se le solicite aceptar los cambios, si son correctos, introduzca y. De lo

contrario, repita el proceso para corregir los ajustes.

6. Cierre la consola serie.

Información relacionada
„ “Configuración de los ajustes de la red en la consola de administración” en la
página 742

Configuración de los ajustes de la red en la consola de administración

Para configurar sus ajustes de la red del puerto de administración desde la consola
de administración:

1. Asegúrese de que la red de administración de backend ya está configurada.

2. Conecte su puerta de enlace de la red de administración al SA 6000 a través del

puerto de administración.

3. En la consola de administración, elija System > Network > Management

Port.

4. Seleccione Enabled.

5. Introduzca la información de su puerto, incluida la dirección IP, la máscara de

red y la puerta de enlace predeterminada.

6. Haga clic en Save Changes.

Información relacionada
„ “Configuración de los ajustes de la red en la consola serie” en la página 741

Inclusión de rutas estáticas en la tabla de rutas de administración

También puede agregar rutas estáticas a la tabla de rutas de administración. Esto se
logra fácilmente siguiendo el procedimiento para agregar rutas estáticas a las tablas
de rutas como se describe en “Configuración de las rutas estáticas para el tráfico de
red” en la página 714. Cuando se habilita el puerto de administración, la página
New Route incluye una nueva selección de interfaces para la tabla de rutas de
administración.

742 „ Configuración y uso del puerto de administración

 Capítulo 26: Administración general del sistema

Asignación del certificado al puerto de administración

Sólo puede asignar un certificado de dispositivo al puerto de administración. Si
asigna un certificado distinto al certificado de dispositivo predeterminado al puerto
de administración, se anula la selección del certificado de dispositivo
predeterminado como el valor predeterminado. Si no selecciona un certificado de
dispositivo para el puerto de administración, el IVE utiliza el certificado de
dispositivo predeterminado que se presenta en el puerto interno.

NOTA: No puede asignar certificados a las VIP del puerto de administración.

Control del acceso de inicio de sesión del administrador

Puede controlar el acceso del administrador a los puertos en el IVE. Cuando habilita
el puerto de administración, el acceso a él se controla mediante la configuración de
sus territorios de administrador.

Para controlar el acceso del administrador al puerto de administración

1. Habilite el puerto de administración siguiendo las instrucciones de la sección

“Configuración de los ajustes de red del puerto de administración” en la
página 741.

2. Realice uno de los siguientes pasos:

„ Seleccione Administrators > Admin Realms > Admin Users si intenta

modificar el territorio de usuarios de administración predeterminado.

„ Seleccione Administrators > Admin Realms y luego haga clic en New si

desea crear un nuevo territorio de administrador.

3. Realice uno de los siguientes pasos:

„ Si optó por crear un nuevo territorio de administrador, siga las

instrucciones para configurar el territorio como se describe en “Creación
de un territorio de autenticación” en la página 196, luego continúe con el
siguiente paso.

„ Si optó por modificar el territorio de usuarios de administración

predeterminado, continúe al siguiente paso.

4. Haga clic en la ficha Authentication Policy.

5. Desplácese hasta la parte inferior de la ficha Source IP. Debe ver un mensaje
que indica que el puerto de administración está habilitado, junto con un vínculo
a la página Network Settings.

6. Seleccione las opciones disponibles para permitir que los administradores

inicien sesión en todos los puertos disponibles, sólo en el puerto de
administración o el puerto interno, o para impedirles que inicien sesión en
cualquiera de los puertos. En algunos casos, puede limitar accidentalmente el
acceso administrativo total. Si esto se produce, puede reconfigurar los puertos
utilizando la consola serie.

Configuración y uso del puerto de administración „ 743

 Guía de administración de Secure Access de Juniper Networks

NOTA:

„ Si limita el acceso administrativo al puerto de administración, y luego exporta

la configuración y la importa a un dispositivo SA 2000 o SA 4000, la operación
de importación puede fallar o se puede ignorar la configuración del puerto de
administración, dejando de lado posiblemente su acceso de administrador.
Esto podría producirse porque sólo el SA 6000 admite el puerto de
administración. Los otros modelos de dispositivo no reconocen la
configuración del puerto de administración.

„ Si permite que los administradores inicien sesión en el puerto de

administración o en el puerto interno, pero no habilita correctamente el
mismo puerto de administración, el IVE considera que se debe establecer la
opción para permitir que los administradores inicien sesión sólo en el puerto
interno. Si luego habilita el puerto de administración, se restaurarán los
ajustes del acceso del administrador al puerto de administración, asumiendo
que dejó seleccionada la opción del puerto de administración en la ficha
Authentication Policy.

7. Haga clic en Save Changes.

Inicio de sesión a través del puerto de administración

Si inicia sesión en un dispositivo directamente a través de la dirección IP del puerto
de administración, no podrá obtener acceso a la página de inicio de sesión del
usuario final, como normalmente podría con la configuración predeterminada del
IVE a través del puerto interno. Sólo tiene permitido iniciar sesión en el territorio
definido para el acceso administrativo en el puerto de administración. Si desea
obtener acceso a la página de inicio de sesión del usuario final, necesita iniciar
sesión a través del puerto interno o del puerto externo.

Sin embargo, si tiene acceso restringido dentro del territorio, para que los
administradores puedan iniciar sesión a través del puerto de administración, el
acceso a los demás puertos queda en realidad bloqueado cuando se inicia sesión en
la dirección de IP del puerto de administración.

Ajuste de las reglas de asignación de roles a través de expresiones personalizadas

Cuando haya habilitado el puerto de administración, puede utilizar un valor nuevo
para la variable (networkIF) de la interfaz de red en expresiones personalizadas para
asignar roles al puerto.

Para usar la variable nueva:

1. Una vez completados los pasos descritos en “Control del acceso de inicio de
sesión del administrador” en la página 743, haga clic en la ficha Role Mapping.

2. Seleccione Custom Expressions en el menú desplegable Rule based on.

3. Haga clic en Update.

4. En la sección Rule, haga clic en Expressions.

744 „ Configuración y uso del puerto de administración

 Capítulo 26: Administración general del sistema

5. En la ficha Expresiones del diálogo Catálogo de servidores, introduzca un

nombre para su regla nueva.

6. Introduzca la expresión como:

networkIF = “management”

Asegúrese de escribir el valor entre comillas dobles. A diferencia de los valores

para los puertos internos y externos, debe delimitar el valor del puerto de
administración con comillas dobles.

7. Haga clic en Save Changes. Su expresión denominada aparece en el cuadro de

texto Available Expressions.

8. Seleccione la expresión y haga clic en Add para moverla al cuadro de texto

Selected Expressions.

9. Seleccione el rol correcto, por ejemplo, .Administrators, y luego haga clic en

Add para mover el rol al cuadro de texto Selected Roles.

10. Haga clic en Save Changes.

Este procedimiento asigna el rol o los roles seleccionados al puerto de

administración.

Resolución de problemas del puerto de administración

El IVE proporciona diversas características de resolución de problemas para
ayudarle a identificar y resolver los problemas, si es necesario. Se pueden producir
algunos problemas potenciales si no configura su red de administración y si
permite que algunos dispositivos de administración, como servidores syslog,
envíen el tráfico a través del puerto interno del IVE.

Por ejemplo, si configura los dispositivos de administración para enviar el tráfico

a través del puerto interno, es posible que no pueda recuperar esa información. Por
ejemplo, si configura una captura SNMP para enviar los resultados a través del
puerto interno cuando el puerto de administración está habilitado, el IVE descarta
los datos.

NOTA: El IVE ignora las consultas SNMP que se producen en cualquier otro puerto
distinto al puerto de administración, cuando el puerto de administración está
habilitado.

El tráfico del puerto de administración es capturado en el registro de

administración.

Puede hacer lo siguiente:

„ “Uso de TCPDump para solucionar los problemas del puerto de administración”

en la página 746

„ “Uso de las utilidades de red para probar la conectividad” en la página 746

„ “Uso del puerto de administración en un clúster” en la página 746

Configuración y uso del puerto de administración „ 745

 Guía de administración de Secure Access de Juniper Networks

Uso de TCPDump para solucionar los problemas del puerto de

administración
Puede usar la utilidad TCPDump para solucionar los problemas del puerto de
administración.

1. Seleccione Maintenance > Troubleshooting > Tools > TCP Dump.

2. Seleccione Management Port.

3. Configure las demás opciones disponibles como se describe en “Creación de

archivos de volcado TCP” en la página 859.

4. Haga clic en Start Sniffing.

Uso de las utilidades de red para probar la conectividad

El IVE proporciona varias utilidades de red que puede utilizar para probar la
conectividad al puerto de administración, que incluyen ARP, ping, traceroute
y NSlookup.

1. Seleccione Maintenance > Troubleshooting > Tools > Commands.

2. Seleccione el tipo de comando desde el menú desplegable Command.

3. Configure la utilidad específica, como se describe en “Prueba de la

conectividad de red del IVE” en la página 861.

4. Seleccione Management Port.

5. Haga clic en Ok.

Uso del puerto de administración en un clúster

El puerto de administración utiliza los ajustes de red específicos del nodo, incluidos
los ajustes de habilitación/inhabilitación. En efecto, esto significa que puede
combinar diferentes modelos del dispositivo IVE en un clúster, pero al hacerlo
puede limitar el uso del puerto de administración para todo el clúster.

El puerto de administración no está disponible en ningún dispositivo distinto al

SA 6000. Si habilita el nodo de administración en un nodo SA 6000, el tráfico de
administración desde dicho nodo viaja a través del puerto de administración. Sin
embargo, el tráfico desde nodos distintos de SA 6000 viaja a través del puerto
interno.

Importación de las configuraciones a un sistema con el puerto de administración

habilitado
Si importa una configuración de un sistema que no admite un puerto de
administración a un sistema que tiene habilitado un puerto de administración y lo
importa todo, incluidas las licencias, parecerá que se ha eliminado el puerto de
administración en el sistema objetivo. El puerto de administración en realidad sigue
estando operativo y reaparecerá junto con su configuración original cuando vuelva
a aplicar la licencia del puerto de administración para el sistema objetivo. Si
importa al objetivo pero especifica la opción Import everything except network
settings and licenses, el puerto de administración y su configuración persisten en
el sistema objetivo y el puerto es operativo.

746 „ Configuración y uso del puerto de administración

Capítulo 27
Certificados

Un IVE usa PKI para proteger los datos que envía a los clientes a través de Internet.
PKI (infraestructura de claves públicas) es un método de seguridad que usa claves
públicas y privadas para encriptar y desencriptar información. Estas claves se
habilitan y almacenan mediante certificados digitales. Un certificado digital es un
archivo electrónico encriptado emitido que establece las credenciales de un
servidor Web o de un usuario para las transacciones cliente-servidor.

Un IVE usa los siguientes tipos de certificados digitales para establecer las
credenciales y proteger las transacciones de sesiones del IVE:

„ Certificados de dispositivos: Un certificado de dispositivo ayuda a proteger el

tráfico de la red desde y hacia un dispositivo IVE, usando elementos como el
nombre de la empresa, una copia de la clave pública de la empresa, la firma
digital de la autoridad de certificación (CA) que emitió el certificado, un número
de serie y la fecha de vencimiento. Para obtener más información, consulte
“Uso de certificados de dispositivo” en la página 750.

„ CA de cliente de confianza: Un CA de cliente confianza es un certificado del

lado cliente emitido por una autoridad de certificación (CA) que permite
controlar el acceso a los territorios, roles y directivas de recursos basándose en
los certificados o sus atributos. Por ejemplo, puede especificar que los usuarios
deban presentar un certificado del lado cliente válido con el atributo OU
configurado en “suempresa.com” para iniciar sesión en el territorio de
autenticación “Users”. Para obtener más información, consulte “Uso de CA de
cliente de confianza” en la página 758.

„ CA de servidor de confianza: Un CA de servidor de confianza es el certificado de

un servidor Web en que confía. Si tiene una licencia de exploración Web, puede
instalar una CA de servidor de confianza en el IVE para validar las credenciales
de los sitios Web a las que acceden los usuarios a través del dispositivo IVE.
Para obtener más información, consulte “Uso de CA del servidor de confianza”
en la página 774.

„ Certificados de firma de código: Un certificado de firma de código (también

llamado certificado de applet) es un tipo de certificado del lado servidor que
vuelve a firmar los applets de Java intermediados por el IVE. Puede usar el
certificado de firma de código de autofirma que viene precargado en un
dispositivo IVE o puede instalar su propio certificado de firma de código.
Para obtener más información, consulte “Uso de certificados de firma de
código” en la página 776.

„ 749
 Guía de administración de Secure Access de Juniper Networks

En una configuración básica del IVE, los únicos certificados necesarios son un
certificado de dispositivo y un certificado de firma de código. El dispositivo IVE
puede usar un certificado de firma de código único para volver a firmar todos los
applets de Java y un certificado de dispositivo único para intermediar todas las otras
interacciones basadas en PKI. No obstante, si los certificados básicos no satisfacen
sus necesidades, puede instalar varios certificados de dispositivo y de applet en un
dispositivo IVE o usar certificados de CA de confianza para validar usuarios.

NOTA: El IVE puede verificar los certificados que usa SHA2 como la síntesis del
mensaje.

NOTA: Actualmente no se admiten los certificados DSA.

Esta sección contiene la siguiente información sobre certificados:

„ “Licencia: Disponibilidad de certificados” en la página 750

„ “Uso de certificados de dispositivo” en la página 750

„ “Uso de CA de cliente de confianza” en la página 758

„ “Uso de CA del servidor de confianza” en la página 774

„ “Uso de certificados de firma de código” en la página 776

Licencia: Disponibilidad de certificados

Las características de administración de certificados son una parte integral del
marco de administración del IVE: todos los productos Secure Access incluyen
algunas características de administración de certificados. Sin embargo, si es
administrador de SA 700, tenga en cuenta que las características de administración
de CA de servidor de confianza y de certificados de firma de código sólo están
disponibles si tiene una licencia de actualización de Acceso sin cliente de núcleo.

Uso de certificados de dispositivo

Un certificado de dispositivo ayuda a proteger el tráfico de la red desde y hacia un
dispositivo IVE usando elementos como el nombre de la empresa, una copia de la
clave pública de la empresa, la firma digital de la autoridad de certificación (CA) que
emitió el certificado, un número de serie y la fecha de vencimiento.

Al recibir datos encriptados de un IVE, el explorador del cliente primero comprueba

si el certificado del IVE es válido y si el usuario confía en la CA que emitió el
certificado del IVE. Si el usuario aún no ha indicado que confía en el emisor del
certificado del IVE, el explorador de Web le solicita al usuario que acepte o instale el
certificado del IVE.

750 „ Licencia: Disponibilidad de certificados

 Capítulo 27: Certificados

Cuando inicializa un IVE, crea localmente un certificado digital temporal de

autofirma que permite que los usuarios comiencen de inmediato a usar el IVE.
Tenga en cuenta que la encriptación del certificado de autofirma creado durante la
inicialización es perfectamente segura, pero los usuarios verán una alerta de
seguridad cada vez que inicien sesión en el IVE porque el certificado no fue emitido
por una autoridad de certificación (CA) de confianza. Para fines de producción, se
recomienda que obtenga un certificado digital de una CA de confianza.

El IVE admite certificados de dispositivo X.509 en formato de codificación DER

y PEM (extensiones de archivos que incluyen .cer, .crt, .der, y .pem) así como PKCS
#12 (extensiones de archivo que incluyen .pfx y .p12). El IVE también admite el uso
de las siguientes características adicionales con certificados de dispositivo:

„ Certificados intermedios de CA de dispositivo: Dentro de una jerarquía de

certificados, uno o más certificados intermedios se excluyen de un certificado
raíz único.

„ Certificados de varios dispositivos: Al usar certificados de varios dispositivos,

cada certificado maneja la validación de un nombre de host separado o un
nombre de dominio totalmente clasificado (FQDN) y puede ser emitido por una
CA diferente.

Esta sección contiene las siguientes instrucciones para trabajar con certificados de
dispositivos:

„ “Importación de certificados en el IVE” en la página 751

„ “Descarga de un certificado de dispositivo del IVE” en la página 754

„ “Creación de una solicitud de firma de certificado (CSR) para un nuevo

certificado” en la página 754

„ “Uso de los certificados de CA de servidor intermedio” en la página 755

„ “Uso de varios certificados de dispositivo del IVE” en la página 756

Importación de certificados en el IVE

Esta sección contiene las siguientes instrucciones de importación:

„ “Importación de un certificado raíz existente y una clave privada” en la

página 752

„ “Importación de un certificado renovado que usa la clave privada existente” en

la página 753

Uso de certificados de dispositivo „ 751

 Guía de administración de Secure Access de Juniper Networks

Importación de un certificado raíz existente y una clave privada

Puede crear certificados de servidor Web a partir de servidores como Apache, IIS,
Sun ONE (anteriormente denominado iPlanet) o Netscape, e importar el certificado
al IVE. Para exportar un certificado y una clave de servidor digital, siga las
instrucciones del servidor Web para la exportación de certificados. Use la ficha
Device Certificates para importar estos archivos.

NOTA:

„ Al exportar un certificado de otro servidor Web, tenga en cuenta que se debe

encriptar y debe exportar la contraseña con el certificado.

„ No puede importar la clave privada de un certificado de servidor Web a un

equipo con Secure Access FIPS, dado que la clave se crea en un entorno no
compatible con FIPS. Sin embargo, puede importar una clave de certificado
de otro IVE junto con su entorno de seguridad. Para obtener más información,
consulte “Importación y exportación de archivos de configuración del IVE” en
la página 787.

Para importar un certificador de servidor de raíz existente y una clave privada:

1. En la consola de administración, elija System > Configuration >

Certificates > Device Certificates.

2. Haga clic en Import Certificate & Key.

NOTA: esta opción no se encuentra disponible en plataformas FIPS ya que no se

admite la importación de claves privadas. En un sistema FIPS, sólo puede crear
una CSR e importar un certificado firmado de la CSR.

3. Elija el formulario adecuado para importar el certificado.

„ Si el certificado y la clave están en un solo archivo, use el formulario If

certificate file includes private key.

„ Si el certificado y la clave están en archivos distintos, use el formulario If

certificate and private key are separate files.

„ Si el certificado y la clave están en un archivo de configuración del sistema,

use el formulario Import via System Configuration file. Cuando elige esta
opción, el IVE importa todos los certificados especificados en el archivo de
configuración en la página Device Certificates (incluyendo las claves
privadas y CSR pendientes, pero no las asignaciones de puerto
correspondientes).

4. En el formulario correspondiente, busque el certificado y archivo de clave. Si el

archivo está encriptado, introduzca una clave de contraseña.

5. Haga clic en Import.

752 „ Uso de certificados de dispositivo

 Capítulo 27: Certificados

Importación de un certificado renovado que usa la clave privada

existente
Puede renovar un certificado de dispositivo de dos formas:

„ Submit a new CSR to a CA: Este proceso de renovación de un certificado es

más seguro porque la CA genera un certificado y una clave privada nuevos,
eliminando la clave anterior. Para usar este método de renovación, primero
debe crear una CSR mediante la consola de administración. Para obtener más
información, consulte “Creación de una solicitud de firma de certificado (CSR)
para un nuevo certificado” en la página 754.

NOTA: No puede importar la clave privada de un certificado de servidor Web a un

equipo con Secure Access FIPS, dado que la clave se crea en un entorno no
compatible con FIPS.

„ Request renewal based on the CSR previously submitted to the CA: Este
proceso de renovación de un certificado es menos seguro porque la CA genera
un certificado que usa la clave privada existente.

NOTA: Cuando solicite un certificado renovado, debe volver a enviar la CSR

original o asegurarse de que la CA tiene un registro de la CSR que envió para su
certificado actual.

Para importar un certificado renovado de dispositivo que usa la clave privada

existente.

1. Siga las instrucciones de la CA para renovar un certificado que haya adquirido.

NOTA: Asegúrese de especificar la misma información que usó en la CSR original.

Su CA usa esta información para crear un nuevo certificado que corresponde con
la clave existente.

Aunque especifique la misma información utilizada en la CSR original, la CA raíz

puede tener números de serie y claves diferentes al original. Es posible que deba
admitir los certificados cliente nuevo y antiguo durante el período de transición, lo
que quiere decir que deberá mantener dos certificados de CA raíz (el certificado
existente y el renovado) por un tiempo.

2. En la consola de administración, seleccione System > Configuration >

Certificates > Device Certificates.

3. Si desea renovar un certificado intermedio, haga clic en el vínculo

Intermediate Device CAs en la parte superior de la página.

4. Haga clic en el vínculo que corresponda al certificado que desea renovar.

5. Haga clic en Renew Certificate.

6. En el formulario Renew the Certificate, busque el archivo de certificado

renovado, introduzca la contraseña para la clave de certificado y haga clic en
Import.

Uso de certificados de dispositivo „ 753

 Guía de administración de Secure Access de Juniper Networks

Descarga de un certificado de dispositivo del IVE

Por ejemplo, si crea una directiva de recursos SAML, debe crear una relación de
confianza entre el IVE y el sistema de administración de acceso. (Las relaciones de
confianza garantizan que los sistemas habilitados por SAML sólo pasarán
información desde y hacia orígenes de confianza.) Si decide crear una directiva de
recursos SAML SSO mediante el perfil POST, parte de la creación de una relación de
confianza implica instalar el certificado del dispositivo IVE en el sistema de
administración de acceso. La página Device Certificates permite descargar
fácilmente el certificado del dispositivo IVE para que pueda instalarlo en el sistema
de administración de acceso.

Para descargar un certificado de dispositivo del IVE:

1. En la consola de administración, seleccione System > Configuration >

Certificates > Device Certificates.

2. Haga clic en el vínculo que corresponda al certificado que desea guardar.

3. Haga clic en Download.

4. Busque la ubicación en que desea guardar el certificado y haga clic en Save.

Creación de una solicitud de firma de certificado (CSR) para un nuevo certificado

Si su empresa no posee un certificado digital para sus servidores Web o si está
ejecutando un sistema Secure Access FIPS, puede crear una CSR (solicitud de firma
de certificado) mediante la consola de administración y enviar luego la solicitud
a una CA para su procesamiento. Cuando crea una CSR mediante la consola de
administración, se crea localmente una clave privada que corresponde con la CSR.
Si elimina la CSR en cualquier punto, este archivo también se elimina, lo que le
impide instalar un certificado firmado generado de la CSR.

NOTA: No envíe más de una CSR a una CA a la vez, ya que podrían cobrársela
varias veces. Puede ver los detalles de cualquier solicitud pendiente que envió
previamente, haciendo clic en el vínculo Certificate Signing Request Details de la
ficha Device Certificates.

Para crear una solicitud de firma de certificado:

1. En la consola de administración, seleccione System > Configuration >

Certificates > Device Certificates.

2. Haga clic en New CSR.

3. Introduzca la información requerida y haga clic en Create CSR.

4. Siga las instrucciones en pantalla que explican la información que debe enviar
al CA y cómo enviarla.

754 „ Uso de certificados de dispositivo

 Capítulo 27: Certificados

5. Cuando recibe el certificado firmado de la CA, importe el archivo de certificado

siguiendo las siguientes que aparecen a continuación.

NOTA: Al enviar una CSR a una autoridad de CA, es posible que se solicite que
especifique el tipo de servidor Web en que se creó el certificado o el tipo de
servidor Web en que se usará. Seleccione apache (si hay más de una opción que
tenga disponible apache, elija una cualquiera). Asimismo, si se le solicita indicar el
formato del certificado que descargará, seleccione el formato estándar.

Importación de un certificado firmado creado a partir de una CSR

Si crea una CSR mediante la consola de administración, el IVE muestra un vínculo
Pending CSR para la CSR en la ficha Device Certificates hasta que importe el
certificado de dispositivo firmado distribuido por la autoridad de certificación (CA).

Para importar un certificado de dispositivo firmado que se creó a partir de una CSR:

1. En la consola de administración, elija System > Configuration >

Certificates > Device Certificates.

2. Debajo de Certificate Signing Requests, haga clic en el vínculo Pending CSR

que corresponde al certificado firmado.

3. En Import signed certificate, explore el archivo de certificado que recibió

desde la CA y haga clic en Import.

Uso de los certificados de CA de servidor intermedio

Dentro de una jerarquía de certificados, uno o más certificados intermedios se
excluyen de un certificado raíz único. Una autoridad de certificación (CA) raíz emite
el certificado raíz y se firma de manera automática. Cada certificado intermedio lo
emite el certificado superior en la cadena.

Si protege el tráfico usando certificados encadenados, debe asegurarse de que el

IVE y el explorador de Web en conjunto contengan la cadena de certificados
completa. Por ejemplo, puede optar por proteger el tráfico usando una cadena que
tiene su origen en un certificado raíz Verisign. Suponiendo que los exploradores de
los usuarios vienen precargados con los certificados raíz Verisign, sólo debe instalar
los certificados de nivel inferior en la cadena del IVE. Cuando los usuarios busquen
en el IVE, el IVE presenta cualquier certificado requerido dentro de la cadena en el
explorador para proteger la transacción. (El IVE crea los vínculos correspondientes
en la cadena usando el IssuerDN del certificado raíz). Si de forma conjunta el IVE
y el explorador no contienen toda la cadena, el explorador del usuario no
reconocerá ni confiará en el certificado de dispositivo del IVE porque lo emitió otro
certificado en lugar de la CA de confianza.

Para obtener información sobre los certificados cliente encadenados, consulte

“Habilitación de jerarquías de CA cliente” en la página 767.

Al instalar certificados mediante el IVE, puede instalarlos en cualquier orden. El IVE

admite la carga de una o más CA intermedias en un archivo PEM.

Uso de certificados de dispositivo „ 755

 Guía de administración de Secure Access de Juniper Networks

Para importar un certificador de dispositivo intermedio y una clave privada:

1. En la consola de administración, elija System > Configuration >

Certificates > Device Certificates.

2. Haga clic en el vínculo Intermediate Device CAs en la parte superior de la

página.

3. Haga clic en Import CA certificate.

4. Busque el certificado de CA que desea cargar en el IVE y haga clic en Import

Certificate.

Uso de varios certificados de dispositivo del IVE

Al usar varios certificados de dispositivos IVE, cada certificado maneja la validación
de un nombre de host separado o un nombre de dominio totalmente clasificado
(FQDN) y puede ser emitido por una CA diferente. Puede usar varios certificados
raíz en conjunto con varias URL de inicio de sesión. Con la característica de varias
URL de inicio de sesión, puede otorgar acceso al IVE desde varios nombres de host
creando una URL de inicio de sesión diferente para cada nombre de host o FQDN.
A continuación, puede crear páginas de inicio de sesión y requisitos de
autenticación diferentes para cada URL de inicio de sesión. Para obtener más
información, consulte “Directivas de inicio de sesión” en la página 211. Con la
característica de certificados de dispositivos múltiples, puede usar certificados
diferentes para validar usuarios que inician sesión en cada uno de esos nombres de
host o FQDN. Por ejemplo, puede asociar un certificado con el sitio
partners.yourcompany.com y otro con el sitio employees.yourcompany.com.

Resumen de tareas: habilitación de varios certificados de dispositivo

Para habilitar varios certificados de dispositivo, debe:

1. Especificar las direcciones IP desde las que los usuarios pueden acceder al IVE
y crear un puerto virtual para cada una. Un puerto virtual activa un alias de IP
en un puerto físico. Para crear puertos virtuales para:

„ Usuarios internos: Use los ajustes de la ficha System > Network >
Internal Port > Virtual Ports para crear puertos virtuales para usuarios
como empleados que inician sesión en el IVE desde dentro de su red
interna. Para obtener instrucciones, consulte “Configuración de puertos
virtuales” en la página 711.

„ Usuarios externos: Use los ajustes de la ficha System > Network >
Port 1 > Virtual Ports para crear puertos virtuales para usuarios como
clientes y socios que inician sesión en el IVE desde fuera de su red interna.
Para obtener instrucciones, consulte “Configuración de puertos virtuales”
en la página 711.

756 „ Uso de certificados de dispositivo

 Capítulo 27: Certificados

2. Cargue los certificados de dispositivo en el IVE. Puede importar certificados

desde la página System > Configuration > Certificates > Device
Certificates de la consola de administración o la página Maintenance >
Import/Export > System Configuration de la consola de administración.
Cargue un certificado de dispositivo para cada dominio (nombre de host) que
desee hospedar en el IVE. Para obtener instrucciones, consulte “Importación de
un certificado raíz existente y una clave privada” en la página 752.

3. Especifique los puertos virtuales que el IVE debe asociar con los certificados
usando los ajustes de la ficha System > Configuration > Certificates >
Device Certificates. Cuando un usuario intenta iniciar sesión en el IVE usando
la dirección IP definida en un puerto virtual, el IVE usa el certificado asociado
con el puerto virtual para iniciar la transacción SSL. Para obtener instrucciones,
consulte “Asociación de un certificado con un puerto virtual” en la página 757.

Asociación de un certificado con un puerto virtual

Si decide asociar varios nombres de host con un IVE único, debe especificar los
certificados que el IVE usará para validar a los usuarios que inician sesión con
nombres de host diferentes. Las opciones son:

„ Asociar todos los nombres de host con un certificado comodín único: Con
este método, usa un certificado comodín único para validar a todos los
usuarios, sin importar el nombre de host que usen para iniciar sesión en el IVE.
Un certificado comodín incluye un elemento variable en el nombre de dominio,
lo que hace posible que los usuarios inicien sesión en varios host para asignar
el “mismo” dominio. Por ejemplo, si crea un certificado comodín para
*.yourcompany.com, el IVE usa el mismo certificado para autenticar usuarios
que inician sesión en employees.yourcompany.com que para autenticar a los
usuarios que inician sesión en partners.yourcompany.com.

„ Asociar cada nombre de host con su propio certificado: Con este método,
asocia nombres de host distintos con certificados diferentes. Sin embargo,
dado que el IVE no conoce el nombre de host que usa el usuario final para
iniciar sesión en el IVE, debe crear un puerto virtual para cada nombre de host
y luego asociar los certificados con los puertos virtuales. Un puerto virtual activa
un alias de IP en un puerto físico. Por ejemplo, puede optar por crear dos
puertos virtuales en un dispositivo único, asignando el primer puerto virtual a la
dirección IP 10.10.10.1 (sales.yourcompany.com) y el segundo puerto virtual
a la dirección IP 10.10.10.2 (partners.yourcompany.com). Puede asociar cada
uno de estos puertos virtuales con su propio certificado, asegurándose de que
el IVE autentica usuarios diferentes mediante certificados diferentes.

Para asociar certificados diferentes con puertos virtuales diferentes:

1. En la consola de administración, navegue hasta la ficha System > Network >

Internal Port o la ficha Port 1. Cree sus propios puertos virtuales usando los
ajustes de la página Virtual Ports.

2. Importe los certificados de dispositivo que desea usar para validar los
certificados de usuario. Puede importar certificados desde la página System >
Configuration > Certificates > Device Certificates de la consola de
administración o la página Maintenance > Import/Export > System
Configuration de la consola de administración.

Uso de certificados de dispositivo „ 757

 Guía de administración de Secure Access de Juniper Networks

3. En la página System > Configuration > Certificates > Device Certificates,

haga clic en el vínculo que corresponda a un certificado que desee usar para
validar los certificados de usuario.

4. En Present certificate on these ports, especifique los puertos que el IVE debe
asociar con el certificado; puede elegir puertos internos o externos y puertos
principales o virtuales, pero no puede elegir un puerto que ya esté asociado con
otro certificado.

5. Haga clic en Save Changes.

6. Repita los pasos del 3 al 6 para cada uno de los certificados que desea usar para
autenticar usuarios.

Uso de CA de cliente de confianza

Una CA de cliente de confianza es una autoridad de certificación (CA) en que el IVE
confía. El IVE confía en cualquier certificado emitido por esa CA. Para usar los
certificados de CA de cliente, debe instalar y habilitar los certificados
correspondientes en el IVE. Además, debe instalar los certificados del lado cliente
correspondientes en los exploradores de Web de sus usuarios finales o usar la
combinación de Certificados MMC en las cuentas de equipos de los usuarios
(certificado de equipo). Al validar un certificado de CA del lado cliente, el IVE
comprueba que el certificado no ha vencido ni esté corrupto y que esté firmado por
una CA que el IVE reconozca. Si el certificado de CA está encadenado (se describe
a continuación), el IVE también sigue la cadena de emisores hasta que llega a la CA
raíz, comprobando la calidez de cada emisor. El IVE admite certificados de CA
X.509 en los formatos de codificación DER y PEM.

Al instalar un certificado del lado cliente, debe determinar si desea usarlo para
identificar a usuarios o a equipos individuales. Para usar el certificado para
identificar a usuarios individuales, debe instalarlo en el almacén de certificados
individual de cada usuario. Debe habilitar la autenticación mediante la consola de
administración del IVE usando el servidor de certificados (como se explica en
“Configuración de una instancia de servidor de certificados” en la página 126)
o habilitar la autorización usando los ajustes de territorio, roles o directiva de
recursos (como se explica en “Especificación de las restricciones del certificado del
lado cliente” en la página 765). Para usar el certificado para identificar a equipos
individuales, debe instalarlo en el almacén de certificados de cada equipo. Debe
configurar la directiva de Host Checker que comprueba el certificado del equipo
y autoriza el acceso a los territorios, roles o directivas de recursos según la validez
del certificado (como se explica en “Especificación de requisitos personalizados
usando reglas personalizadas” en la página 276).

758 „ Uso de CA de cliente de confianza

 Capítulo 27: Certificados

El IVE admite el uso de las siguientes características adicionales con certificados

de CA:

„ Servidores de certificados: Un servidor de certificados es un tipo de servidor de

autenticación local que permite autenticar a los usuarios del IVE basándose
exclusivamente en sus atributos del certificado en lugar de autenticarlos en un
servidor de autenticación estándar (como LDAP o RADIUS), así como exigir
certificados específicos o atributos de certificados. Para obtener más
información, consulte “Configuración de una instancia de servidor de
certificados” en la página 126.

„ Jerarquías de certificados: Dentro de una jerarquía de certificados, uno o más

certificados subordinados (denominados certificados intermedios) se excluyen
de un certificado raíz creando una cadena de certificados. Cada certificado
intermedio (también denominado certificado encadenado) maneja solicitudes
para una parte del dominio de la CA raíz. Por ejemplo, puede crear un
certificado raíz que maneja todas las solicitudes para el dominio
yourcompany.com y excluye los certificados intermedios que manejan
solicitudes en partners.yourcompany.com y employees.yourcompany.com.
Cuando instala un certificado encadenado en el IVE, el dispositivo confirma
que la cadena es válida y permite que los usuarios se autentiquen usando el
certificado de hoja (es decir, el certificado de rango inferior de la cadena).
Para obtener más información, consulte “Habilitación de jerarquías de CA
cliente” en la página 767.

„ Listas de revocación de certificados: La revocación de certificados es un

mecanismo mediante el cual una CA deja sin validez a un certificado antes de
su fecha de vencimiento. Una lista de revocación de certificados (CRL) es una
lista de certificados revocados publicada por una CA. Dentro de la CRL, cada
entrada contiene el número de serie del certificado revocado, la fecha en que se
revocó y el motivó por el cual se revocó. La CA puede dejar sin validez un
certificado por varios motivos: por ejemplo, el empleado al que se emitió el
certificado ya no trabaja en la empresa, la clave privada del certificado es
vulnerable o el certificado del lado cliente fue robado o se perdió. Una vez que
la CA revoca un certificado, el IVE puede denegar el acceso correspondiente
a los usuarios que presentan un certificado revocado. Para obtener más
información, consulte “Habilitación de CRL” en la página 768.

NOTA: Si tiene una licencia de usuario, sólo puede instalar un certificado de CA

raíz en el IVE y validar a los usuarios usando uno de los certificados de CA del lado
cliente correspondientes.

Habilitación de CA de cliente de confianza

Si exige que los usuarios proporcionen un certificado del lado cliente para iniciar
sesión en el IVE, debe cargar el certificado de CA correspondiente en el IVE.
Puede cargar certificados de CA manualmente o configurar el IVE para cargar los
certificados de CA automáticamente. El IVE usa el certificado cargado para verificar
que el certificado enviado a través del explorador es válido. Además, puede
especificar si desea o no importar automáticamente los certificados de CA para
su validación y el método de recuperación de CRL/OCSP que usará el IVE cuando
importe de manera automática los certificados de CA.

Uso de CA de cliente de confianza „ 759

 Guía de administración de Secure Access de Juniper Networks

NOTA:

„ Al usar certificados del lado cliente, se recomienda encarecidamente

aconsejar a los usuarios que cierren sus exploradores de Web después de
cerrar sesión en el IVE. De lo contrario, otros usuarios pueden usar las
sesiones abiertas en el explorador para obtener acceso a recursos protegidos
por el certificado en el IVE sin volver a autenticarse. Después de cargar un
certificado del lado cliente, tanto Internet Explorer como Netscape colocan
las credenciales y claves privadas en certificado en la memoria caché.
El explorador guarda esta información en memoria caché hasta que el usuario
cierra el explorador (o en algunos casos, hasta que se reinicia la estación de
trabajo). Para obtener más detalles, consulte:
http://support.microsoft.com/?kbid=290345.) Para recordar a los usuarios que
cierren sus exploradores, puede modificar el mensaje de cierre de sesión en la
ficha Authentication > Signing In > Sign-in Pages.

„ La carga de un certificado de CA en el IVE no habilita la autenticación ni

autorización SSL del lado cliente. Para habilitar la autenticación o la
autorización, debe usar un servidor de certificado (como se explica en
“Configuración de una instancia de servidor de certificados” en la
página 126), habilitar las restricciones de certificados en el nivel de territorio,
rol o directiva de recursos (como se explica en “Especificación de las
restricciones del certificado del lado cliente” en la página 765) o crear una
directiva de Host Checker que compruebe el certificado de un equipo (como
se explica en “Especificación de requisitos personalizados usando reglas
personalizadas” en la página 276).

„ Si tiene una sola licencia de usuario del IVE estándar, sólo puede importar un
certificado de CA al IVE.

„ Cuando carga una cadena de certificados en el IVE, debe instalar los

certificados uno a uno en orden descendiente, comenzando con el certificado
raíz (archivos DER o PEM) o debe cargar un solo archivo en el IVE que
contenga toda la cadena de certificados (sólo archivos PEM). Al usar uno de
estos métodos, se asegura de que el IVE pueda vincular los certificados en el
orden correcto.

Esta sección contiene las siguientes instrucciones de certificado de CA:

„ “Importación automática de un certificado de CA” en la página 761

„ “Cargar manualmente certificados de CA” en la página 762

„ “Especificación de atributos para el certificado de CA de cliente de confianza”

en la página 763

„ “Especificación de las restricciones del certificado del lado cliente” en la

página 765

760 „ Uso de CA de cliente de confianza

 Capítulo 27: Certificados

Importación automática de un certificado de CA

Para importar y especificar automáticamente las opciones de un certificado de CA
de cliente de confianza en el IVE:

1. En la consola de administración, seleccione System > Configuration >

Certificates > Trusted Client CAs.

2. Haga clic en Auto-import options. Aparecerá la página Auto-import options.

3. Haga clic en Auto-import Trusted CAs.

4. En Client certificate status checking, especifique el método que el IVE usa

para verificar el estado del certificado cliente:

„ None: Especifica que el IVE no debe validar este certificado de cliente de

confianza.

„ Use OCSP: Especifica que el IVE debe usar el método de OCSP, validando el
certificado cliente en tiempo real, según sea necesario. Después de
seleccionar esta opción, puede especificar opciones para OCSP según se
describe en “Especificación de las restricciones del certificado del lado
cliente” en la página 765.

„ Use CRLs: Especifica que el IVE no debe usar la CRL para validar el
certificado cliente. Después de seleccionar esta opción, puede especificar
opciones para OCSP según se describe en “Especificación de las opciones
de CDP” en la página 769.

„ Use OCSP with CRL fallback: Especifica que el IVE debe usar el método
de validación de OCSP cuando sea posible, pero intentar validar los
certificados cliente usando la CRL si el método OCSP falla (por ejemplo,
si el vínculo al respondedor OCSP falla). Después de seleccionar esta
opción, puede especificar opciones para OCSP según se describe en
“Especificación de las restricciones del certificado del lado cliente” en la
página 765 y para CDP según se describe en “Especificación de las
opciones de CDP” en la página 769.

5. En CDP(s)/OCSP responder, especifique el método de recuperación de

CRL/OCSP de la lista desplegable asociada:

„ None: Especifica que el IVE no usa un método de recuperación de

CRL/OCSP.

„ From client certificate: Especifica que el IVE usa un método de

recuperación de CRL/OCSP encontrado en el certificado cliente.

„ From trusted CA certificates: Especifica que el IVE usa un método de

recuperación de CRL/OCSP encontrado en el certificado de CA de cliente de
confianza.

6. Habilite la opción Verify imported CA certificates si desea que el IVE valide la

CRL desde la que se emitió el certificado.

7. Haga clic en Save.

Uso de CA de cliente de confianza „ 761

 Guía de administración de Secure Access de Juniper Networks

8. Use uno de los siguientes métodos para especificar cómo el IVE debe usar el
certificado para autenticar usuarios o autorizar el acceso a los recursos:

„ Use un servidor de certificados para autenticar a usuarios individuales

como se explica en “Configuración de una instancia de servidor de
certificados” en la página 126,

„ Use los ajustes de territorio, rol y directiva de recursos para autorizar el

acceso de usuarios individuales a los recursos como se explica en
“Especificación de las restricciones del certificado del lado cliente” en la
página 765,

„ Use una directiva de Host Checker para autorizar que equipos individuales
accedan a los recursos como se explica en “Especificación de requisitos
personalizados usando reglas personalizadas” en la página 276.

Cargar manualmente certificados de CA

Para cargar manualmente certificados de CA en el IVE:

1. Instale un certificado de usuario del lado cliente o un certificado de equipo

mediante el explorador de Web del usuario. Para obtener ayuda, consulte las
instrucciones del explorador.

2. En la consola de administración, seleccione System > Configuration >

Certificates > Trusted Client CAs.

3. Haga clic en Import CA Certificate. Aparecerá la página Import Trusted

Client CA.

4. Busque el certificado de CA que desea cargar en el IVE y haga clic en Import

Certificate.

5. En Client certificate status checking, especifique el método que el IVE usa

para verificar el estado del certificado cliente:

„ None: Especifica que el IVE no debe validar este certificado de cliente de

confianza.

„ Use OCSP: Especifica que el IVE debe usar el método de OCSP, validando el
certificado cliente en tiempo real, según sea necesario. Después de
seleccionar esta opción, puede especificar opciones para OCSP según se
describe en “Especificación de las restricciones del certificado del lado
cliente” en la página 765.

„ Use CRLs: Especifica que el IVE no debe usar la CRL para validar el
certificado cliente. Después de seleccionar esta opción, puede especificar
opciones para OCSP según se describe en “Especificación de las opciones
de CDP” en la página 769.

762 „ Uso de CA de cliente de confianza

 Capítulo 27: Certificados

„ Use OCSP with CRL fallback: Especifica que el IVE debe usar el método de
validación de OCSP cuando sea posible, pero intenta validar los certificados
cliente usando la CRL si el método OCSP falla (por ejemplo, si el vínculo al
respondedor OCSP falla). Después de seleccionar esta opción, puede
especificar opciones para OCSP según se describe en “Especificación de las
restricciones del certificado del lado cliente” en la página 765 y para CDP
según se describe en “Especificación de las opciones de CDP” en la
página 769.

6. Habilite la opción Verify Trusted Client CA si desea que el IVE valide la CRL
desde la que se emitió el certificado.

7. Habilite la opción Verify for Client Authentication? si desea que el IVE confíe
en este certificado al autenticar certificados cliente. Si agregó este certificado
para fines no relacionados con la autenticación (como la verificación de firma
de SAML o la validación del certificado del equipo), inhabilite esta opción,
indicando que el IVE no debe confiar en el certificado cliente emitido por
esta CA.

8. Haga clic en Save.

Después de haber importado manualmente el certificado de CA, puede

especificar los atributos del certificado de CA como se describe en
“Especificación de atributos para el certificado de CA de cliente de confianza”
en la página 763.

9. Use uno de los siguientes métodos para especificar cómo el IVE debe usar el
certificado para autenticar usuarios o autorizar el acceso a los recursos:

„ Use un servidor de certificados para autenticar a usuarios individuales

como se explica en “Configuración de una instancia de servidor de
certificados” en la página 126,

„ Use los ajustes de territorio, rol y directiva de recursos para autorizar el

acceso de usuarios individuales a los recursos como se explica en
“Especificación de las restricciones del certificado del lado cliente” en la
página 765,

„ Use una directiva de Host Checker para autorizar que equipos individuales
accedan a los recursos como se explica en “Especificación de requisitos
personalizados usando reglas personalizadas” en la página 276.

Especificación de atributos para el certificado de CA de cliente de

confianza
Para especificar atributos para el certificado de CA de cliente de confianza:

1. En la consola de administración, seleccione System > Configuration >

Certificates > Trusted Client CAs.

2. Haga clic en el certificado que desea ver. Aparece la página Trusted Client CA
que muestra toda la información sobre el certificado que seleccionó.

Uso de CA de cliente de confianza „ 763

 Guía de administración de Secure Access de Juniper Networks

3. En Certificate, use la flecha situada junto a los siguientes nombres de campo

para ver los detalles del certificado:

„ Issued To: Nombre y atributos de la entidad a la que se emite el certificado.

„ Issued By: Nombre y atributos de la entidad que emitió el certificado.

Tenga en cuenta que el valor de este campo debe coincidir con el campo
Issued To (para certificados raíz) o el campo Issued To del siguiente
certificado superior en la cadena (para certificados intermedios).

„ Valid Dates: Rango de horas que el certificado es válido. Si el certificado

está vencido, consulte las instrucciones en “Importación de un certificado
renovado que usa la clave privada existente” en la página 753.

„ Details: Incluye varios detalles de certificados, que contienen la versión,

número de serie, algoritmo de firma, puntos de distribución de la CRL, tipo
de algoritmo de clave pública y la clave pública. Tenga en cuenta que el IVE
puede mostrar un punto de distribución de la CRL en el campo Details, no
comprueba el CDP a menos que lo habilite. Para obtener más información,
consulte “Habilitación de CRL” en la página 768.

4. Si desea renovar el certificado:

a. Haga clic en Renew Certificate.

b. Busque el certificado de CA renovado que desea cargar en el IVE y haga clic

en Import Certificate.

5. En CRL checking for client certificates, vea los detalles de las CRL que están
habilitadas para este certificado:

„ Enable: Muestra una marca de verificación si el IVE está configurado para

usar la CRL de este CDP.

„ CRL Distribution Points: Ubicación del punto de distribución de la CRL con

el que se validan los certificados cliente. Este campo también indica si el
último intento de descarga de la CRL del CDP fue correcto o no.

„ Status: Indica el estado de la CRL (OK, No CRL, Expired, Download in

progress), el tamaño de CRL y el número de revocaciones incluidas en
la CRL.

„ Last Updated: Indica la última vez que el IVE descargó una CRL del punto
de distribución de la CRL especificado. También contiene un vínculo para
guardar la versión actual de la CRL del IVE.

„ Next Update: Indica la siguiente hora de descarga según el intervalo

especificado en el punto de distribución de la CRL. Tenga en cuenta que
el intervalo de descarga se especifica en la CRL y en la página de
configuración de la CRL del IVE (como CRL Download Frequency):
el tiempo real de descarga es el menor de los dos intervalos, sin importar
lo que se muestra en la columna Next Update.

764 „ Uso de CA de cliente de confianza

 Capítulo 27: Certificados

6. En la sección Client Certificate Status Checking, especifique el método que

usa el IVE para validar el certificado cliente:

„ None: Especifica que el IVE no debe validar este certificado de cliente de

confianza.

„ Use OCSP: Especifica que el IVE debe usar el método de OCSP, validando el
certificado cliente en tiempo real, según sea necesario. Después de
seleccionar esta opción, puede especificar opciones para OCSP según se
describe en “Especificación de las restricciones del certificado del lado
cliente” en la página 765.

„ Use CRLs: Especifica que el IVE no debe usar la CRL para validar el
certificado cliente. Después de seleccionar esta opción, puede especificar
opciones para OCSP según se describe en “Especificación de las opciones
de CDP” en la página 769.

„ Use OCSP with CRL fallback: Especifica que el IVE debe usar el método de
validación de OCSP cuando sea posible, pero intenta validar los certificados
cliente usando la CRL si el método OCSP falla (por ejemplo, si el vínculo al
respondedor OCSP falla). Después de seleccionar esta opción, puede
especificar opciones para OCSP según se describe en “Especificación de las
restricciones del certificado del lado cliente” en la página 765 y para CDP
según se describe en “Especificación de las opciones de CDP” en la
página 769.

7. Habilite la opción Verify Trusted Client CA para indicar al IVE que valide la CA
de cliente de confianza.

8. Haga clic en Save Changes.

Especificación de las restricciones del certificado del lado cliente

Use una restricción de certificado para exigir que los equipos cliente tengan un
certificado del lado cliente válido a fin de obtener acceso a una página de inicio de
sesión del IVE, se les asigne un rol u obtengan acceso a un recurso. Si usa esta
característica, asegúrese de importar un certificado de CA para verificar el
certificado del lado cliente. Para maximizar la seguridad de esta característica,
asegúrese de que los ajustes de cliente del usuario estén configurados para que
soliciten al usuario que introduzca una contraseña cada vez que inicia sesión. El
ajuste predeterminado para algunas versiones de explorador es recordar la
contraseña del certificado, lo que quiere decir que al usuario no se le solicitará esta
información de inicio de sesión adicional después de instalar el certificado.

Para especificar restricciones de certificado:

1. Busque: System > Configuration > Certificates > Trusted Client CAs
y especifique la autoridad de certificación raíz que desea usar para validar las
restricciones de certificado del lado cliente que habilita en los niveles de
territorio, rol y directiva de recursos.

Uso de CA de cliente de confianza „ 765

 Guía de administración de Secure Access de Juniper Networks

2. Seleccione el nivel en que desea implementar las restricciones de certificado:

„ Nivel de territorio: Diríjase a:

‰ Administrators > Admin Realms > Seleccionar territorio >

Authentication Policy > Certificate

‰ Users > User Realms > Seleccionar territorio > Authentication

Policy > Certificate

„ Nivel de rol: Diríjase a:

‰ Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Certificate

‰ Users > User Realms > Seleccionar territorio > Role Mapping >
Seleccionar|Crear regla > Custom Expression

‰ Users > User Roles > Seleccionar rol > General > Restrictions >
Certificate

„ Nivel de directiva de recursos: Diríjase a: Users > Resource Policies >

Seleccionar recurso > Seleccionar directiva > Detailed Rules >
Seleccionar|Crear regla > Campo de condición

3. Escoja una de las siguientes opciones:

„ Allow all users (no client-side certificate required): No requiere que el

cliente de usuario tenga un certificado del lado cliente.

„ Allow all users and remember certificate information while user is

signed in: No requiere que un cliente de usuario tenga un certificado del
lado cliente, pero si el cliente lo tiene, el IVE recuerda la información del
certificado durante toda la sesión del usuario.

„ Only allow users with a client-side certificate signed by Trusted Client

CAs to sign in: Requiere que el cliente del usuario tenga un certificado del
lado cliente para satisfacer el requisito de administración de acceso. Para
restringir el acceso aún más, puede definir pares exclusivos de valores de
atributos del certificado. Tenga en cuenta que el certificado del usuario
debe tener todos los atributos que defina.

4. Agregue un nombre de campo de certificado y un valor previsto para solicitar

de manera opcional los valores específicos en el certificado cliente. Puede
especificar variables en el campo Expected Value. Por ejemplo, puede agregar
el valor uid al campo Certificate y <userAttr.uid> al campo Expected Value.

NOTA: El atributo de usuario puede provenir de cualquier servidor de autenticación

que admita atributos. Cualquier nombre de atributo especificado en una
restricción de certificado se debe incluir en el catálogo de servidores para que los
valores se recopilen durante la autenticación y se agreguen a los datos de contexto
de la sesión.

766 „ Uso de CA de cliente de confianza

 Capítulo 27: Certificados

5. Haga clic en Save Changes para guardar sus ajustes.

NOTA:

„ El IVE admite todos los atributos de nombre completo X.509 (DN) (como
C, CN, L, O, OU).

„ Los campos attribute y value no distinguen mayúsculas de minúsculas.

„ Defina sólo un valor para cada atributo. Si especifica varios valores, puede
que el certificado del lado cliente no se autentique correctamente con el
certificado de CA.

„ El IVE actualmente reconoce una dirección de correo electrónico en el

atributo subjectAltName de un certificado.

„ El IVE puede extraer User Principal Name (UPN) del atributo

subjectAltName. El IVE ubica un UPN Object Identifier (OID) específico en
el certificado y decodifica el valor. Para representar UPN en el atributo
subjectAltName, use el token <certAttr.altName.UPN>.

Habilitación de jerarquías de CA cliente

Dentro de una jerarquía de certificados, uno o más certificados intermedios se
excluyen de un certificado raíz único. Una autoridad de certificación (CA) raíz emite
el certificado raíz y se firma de manera automática. Cada certificado intermedio lo
emite el certificado superior en la cadena.

Para habilitar la autenticación en un entorno de certificado encadenado, debe

instalar los certificados del lado cliente adecuados en el explorador de Web de cada
usuario y cargar los certificados de CA correspondientes en el IVE.

NOTA: Con una licencia de usuario, no puede instalar una cadena con certificados
emitidos por distintas CA. La CA que firma el certificado de nivel inferior en la
cadena también debe firmar todos los otros certificados en la cadena.

Para obtener información sobre los certificados de dispositivo encadenados,

consulte “Uso de los certificados de CA de servidor intermedio” en la página 755.

Puede instalar CA cliente mediante la página System > Configuration >

Certificates > Trusted Client CAs de la consola de administración. Al cargar una
cadena de certificado en el IVE, debe usar uno de los siguientes métodos:

„ Importar toda la cadena de certificados a la vez: Cuando instale una cadena

de certificados incluida en un archivo único, el IVE importa el certificado raíz
y cualquier subcertificado cuyo certificado principal esté en el archivo o en el
IVE. Puede incluir certificados en cualquier orden en el archivo de importación.

Uso de CA de cliente de confianza „ 767

 Guía de administración de Secure Access de Juniper Networks

„ Importar los certificados de uno en uno en orden descendente: Cuando

instale una cadena de certificados incluida en varios archivos, el IVE le solicita
que instale primero el certificado raíz y luego los certificados encadenados
restantes en orden descendiente.

Cuando instale certificados encadenados usando uno de estos métodos, el IVE

encadena automáticamente los certificados en el orden correcto y los muestra en
orden jerárquico en la consola de administración.

NOTA: Si instala varios certificados en el explorador de Web de un usuario, el

explorador le solicita al usuario que elija el certificado que se usará cada vez que
inicie sesión en el IVE.

Habilitación de CRL
Una lista de revocación de certificados (CRL) es un mecanismo para cancelar un
certificado del lado cliente. Como el nombre indica, una CRL es una lista de
certificados revocados publicada por una CA o un emisor de CRL delegado. El IVE
admite las CRL base, que incluyen todos los certificados revocados de la empresa en
una sola lista unificada.

El IVE sabe qué CRL debe usar al comprobar el certificado del cliente. (Al emitir un
certificado, la CA incluye la información de la CRL para el certificado en el
certificado en sí.) Para asegurarse de que se recibe la información de CRL más
actualizada, el IVE se comunica periódicamente con un punto de distribución de
CRL para obtener una lista actualizada de los certificados revocados. Un punto de
distribución de CRL (CDP) es una ubicación en el servidor del directorio LDAP
o servidor Web donde una CA publica las CRL. El IVE descarga información de la
CRL desde el CDP en el intervalo especificado en la CRL, en el intervalo que
especifique durante la configuración de CRL y cuando elija descargar manualmente
la CRL. El IVE también admite las partición de CRL. La partición de CRL permite
verificar partes de una CRL muy grande sin tener que gastar tiempo ni ancho de
banda necesarios para acceder y validar una CRL muy grande o la recopilación de
CRL grandes. La partición de CRL sólo se habilita en el IVE cuando usa el método
Specify the CDP(s) in the client certificates (descrito a continuación). En este
caso, el IVE valida al usuario verificando sólo la CRL especificada en el certificado
cliente.

Aunque las CA incluyen información de CRL en certificados del lado cliente, no

siempre incluyen información de CDP. Una CA puede usar cualquiera de los
siguientes métodos para notificar al IVE de la ubicación de CDP de un certificado.

„ Specify the CDP(s) in the CA certificate: Cuando la CA emite un certificado de

CA, puede incluir un atributo que especifica la ubicación de los CDP que el IVE
debe comunicar. Si se especifica más de un CDP, el IVE elige el primero que
aparece en el certificado y conmuta por error al siguiente CDP, si fuese
necesario.

768 „ Uso de CA de cliente de confianza

 Capítulo 27: Certificados

„ Specify the CDP(s) in the client certificates: Cuando la CA emite un certificado

del lado cliente, puede incluir un atributo que especifica la ubicación de los CDP
con que el IVE debe comunicarse. Si se especifica más de un CDP, el IVE elige el
primero que aparece en el certificado y conmuta por error al siguiente CDP, si
fuese necesario. Cuando el IVE usa una partición de CRL y el certificado cliente
especifica sólo una CRL, el IVE realiza la verificación usando sólo esa CRL.

NOTA: Si elige este método, el usuario recibe un error la primera vez que intenta
iniciar sesión en el IVE porque no hay información de CRL disponible. Una vez
que el IVE reconoce el certificado cliente y extrae la ubicación de CRL, puede
comenzar a descargar la CRL y validar posteriormente el certificado del usuario.
Para iniciar sesión correctamente en el IVE, el usuario debe volver a conectarse
después de unos segundos.

„ Require the administrator to manually enter the CDP location: Si la CA no

incluye la ubicación de CDP en los certificados de CA cliente, debe especificar
manualmente cómo descargar todo el objeto de CRL al configurar el IVE.
Puede especificar un CDP primario y de respaldo. (Introducir manualmente la
ubicación de CDP proporciona mayor flexibilidad porque no es necesario volver
a emitir certificados si cambia la ubicación de CDP).

El IVE comprueba el certificado del usuario con la CRL correspondiente durante la

autenticación. Si determina que el certificado del usuario es válido, el IVE coloca los
atributos del certificado en memoria caché y los aplica si fuese necesario durante
las comprobaciones de rol y directivas de recursos. Si determina que el certificado
del usuario no es válido, si no se puede comunicar con la CRL correspondiente o si
la CRL vence, el IVE deniega el acceso al usuario.

Puede configurar la comprobación de CRL mediante la página System >

Configuration > Certificates > Trusted Client CAs de la consola de
administración.

NOTA:

„ El IVE sólo admite las CRL que estén en formato PEM o DER y que estén
firmadas por la CA para la que se aplican las revocaciones.

„ El IVE sólo guarda la primera CRL en un archivo PEM.

„ El IVE no admite la extensión de la CRL Issuing Distribution Point (IDP).

Especificación de las opciones de CDP

Si seleccionó Use CRLs o Use OCSP with CRL fallback en los procedimientos
descritos en “Especificación de atributos para el certificado de CA de cliente de
confianza” en la página 763, puede habilitar y descargar periódicamente las listas
de revocación de certificados (CRL) de los puntos de distribución de CRL (CDP) para
verificar la validez constante de los certificados del lado cliente.

1. En la consola de administración, seleccione System > Configuration >

Certificates > Trusted Client CAs.

Uso de CA de cliente de confianza „ 769

 Guía de administración de Secure Access de Juniper Networks

2. Haga clic en el vínculo que corresponde al certificado para al cual desea

habilitar la comprobación de CRL.

NOTA: Dado que el IVE admite la partición de CRL, puede ver varias CRL en CRL
distribution points. Esto se debe a que las partes particionadas de una lista de
revocación no se identifican de manera individual, sino que se hace referencia a
ellas como el CDP desde el que se derivan.

3. Haga clic en CRL Checking Options. Aparecerá la página CRL Checking

Options.

4. En CRL Distribution Points, especifique el lugar en que el IVE debe buscar la

información de acceso del CDP. Las opciones son:

„ No CDP (no CRL Checking): Cuando selecciona esta opción, el IVE no

comprueba las CRL emitidas por la CA, por lo que no es necesario que
introduzca ningún parámetro para obtener acceso al CDP que emitió
la CRL.

„ CDP(s) specified in the Trusted Client CA: Cuando selecciona esta opción,
el IVE comprueba al atributo de punto de distribución de CRL en el
certificado y muestra los URI de los CDP que encuentra en la página CRL
Checking Options. Si el certificado de CA no incluye toda la información
necesaria para obtener acceso al CDP, especifique la información requerida
adicional:

‰ CDP Server: (sólo LDAP): Introduzca la ubicación del servidor CDP. Al

usar el protocolo LDAP, introduzca la dirección IP o nombre de host
(por ejemplo, ldap.domain.com).

‰ CRL Attribute: (sólo LDAP): Introduzca el atributo LDAP en el objeto

que contiene la CRL (por ejemplo, CertificateRevocationList).

‰ Admin DN, Password: (sólo LDAP): Si el servidor CDP no permite las

búsquedas anónimas de la CRL, introduzca el DN y contraseña de
administrador que se requieren para autenticarse en el servidor CDP.

„ CDP(s) specified in client certificates: Si el certificado cliente no incluye

toda la información necesaria para obtener acceso al CDP, especifique la
información requerida adicional:

‰ CDP Server (sólo LDAP): Introduzca la ubicación del servidor CDP. Al

usar el protocolo LDAP, introduzca la dirección IP o nombre de host
(por ejemplo, ldap.domain.com).

‰ CRL Attribute (sólo LDAP): Introduzca el atributo LDAP en el objeto

que contiene la CRL (por ejemplo, CertificateRevocationList).

‰ Admin DN, Password (sólo LDAP): Si el servidor CDP no permite las

búsquedas anónimas de la CRL, introduzca el DN y contraseña de
administrador que se requieren para autenticarse en el servidor CDP.

770 „ Uso de CA de cliente de confianza

 Capítulo 27: Certificados

„ Manually configured CDP: Cuando selecciona esta opción, el IVE accede al

CDP que especificó. Introduzca la URL del CDP primario y opcionalmente
un CDP de respaldo. Para un servidor LDAP, use la sintaxis:
ldap://Server/BaseDN?attribute?Scope?Filter. Para un servidor Web,
introduzca la ruta completa al objeto CRL. Por ejemplo:
http://domain.com/CertEnroll/CompanyName%20CA%20Server.crl

Además, si el servidor CDP no permite las búsquedas anónimas de la CRL,

introduzca el DN y contraseña de administrador que se requieren para
autenticarse en el servidor CDP. (sólo LDAP)

NOTA: Si elige descargar CDP usando un método y luego selecciona otro, el IVE
elimina cualquier CDP del disco que se haya descargado usando el método
anterior.

5. En el campo CRL Download Frequency, especifique la frecuencia con que el

IVE debe descargar la CRL del CDP. El rango permitido es de 1 a 9999 horas.

6. Haga clic en Save Changes.

7. Si desea comprobar la validez del certificado de CA (además de los certificados

del lado cliente) con la CRL especificada en los pasos anteriores, seleccione
Verify Trusted Client CA en la página Trusted Client CA.

NOTA:

„ Cuando opte por verificar un certificado intermedio, asegúrese de que las CRL
estén disponibles para todos los certificados de CA sobre el certificado
intermedio en la cadena; cuando verifica un certificado de CA, el IVE también
verifica todas las CA emisoras sobre el certificado en la cadena.

„ Si selecciona esta opción pero no habilita la comprobación de CRL, el IVE

comprueba el certificado de CA con el CDP para el emisor de la CA. Si no se
habilita la CRL para el usuario, se produce un error en la autenticación del
usuario.

8. Haga clic en Save Changes. El IVE descarga la CRL usando el método que
especificó (si corresponde) y muestra los detalles de comprobación de CRL
(descritos en la siguiente sección).

9. Haga clic en Update Now en la página Trusted Client CA para descargar

manualmente la CRL del CDP (opcional).

Habilitación de OCSP
El Online Certification Status Protocol (OCSP) ofrece la capacidad de verificar los
certificados cliente en tiempo real. Usando OCSP, el IVE pasa a ser cliente de un
respondedor OCSP y reenvía las solicitudes de validación a los usuarios, basándose
en los certificados cliente. El respondedor OCSP mantiene un almacén de CRL
publicadas por la CA y una lista actualizada de certificados cliente válidos y no
válidos. Una vez que el respondedor OCSP recibe una solicitud de validación del IVE

Uso de CA de cliente de confianza „ 771

 Guía de administración de Secure Access de Juniper Networks

(que por lo general es una transmisión HTTP o HTTPS), el respondedor OCSP valida
el estado del certificado usando su propia base de datos de autenticación o llama al
respondedor OCSP que emitió originalmente el certificado para validar la solicitud.
Después de formular una respuesta, el respondedor OCSP devuelve la respuesta
firmada al IVE y el certificado original se aprueba o rechaza, dependiendo de si el
respondedor OCSP valida o no el certificado.

Esta sección contiene las siguientes instrucciones de OCSP:

„ “Especificación de las opciones de OCSP” en la página 772

„ “Especificación de las opciones del respondedor OCSP” en la página 773

Especificación de las opciones de OCSP

Si seleccionó Use OCSP o Use OCSP with CRL fallback en los procedimientos
especificados en “Especificación de atributos para el certificado de CA de cliente de
confianza” en la página 763, el IVE muestra una lista de los respondedores OCSP
conocidos y permite configurar las opciones del respondedor OCSP:

1. Elimine, habilite o inhabilite la configuración del respondedor OCSP mediante

los botones Delete, Enable o Disable, respectivamente.

2. Si desea configurar las opciones de OCSP, haga clic en OCSP Options.

Aparecerá la página OCSP Options.

3. Especifique el tipo de respondedor OCSP que usa el IVE para validar la CA de

cliente de confianza en la lista desplegable Use:

„ None: El IVE no usa OCSP para verificar el estado de los certificados

emitidos por esta CA.

„ Responder(s) specified in the CA certificate: El IVE usa los respondedores

OCSP especificados en la CA cliente importada para realizar la verificación.
Cuando selecciona esta opción, el IVE muestra una lista de los
respondedores OCSP especificados en la CA importada (si hubiese alguno)
y la última vez que se usaron.

„ Responder(s) specified in the client certificates: El IVE usa los

respondedores especificados durante la autenticación del cliente para
realizar la verificación. Cuando selecciona esta opción, el IVE muestra una
lista de los respondedores OCSP conocidos (si hubiese alguno) y la última
vez que se usaron.

„ Manually configured responders: El IVE usa los respondedores OCSP

primario y secundario en las direcciones que especifique.

772 „ Uso de CA de cliente de confianza

 Capítulo 27: Certificados

4. En la sección Options, especifique si el IVE firma o no la solicitud de validación

de certificado con un identificador y si el IVE usa o no la propuesta durante la
verificación.

NOTA: Una propuesta son datos aleatorios que el IVE incluye en una solicitud OCSP
y que el respondedor OCSP devuelve en la respuesta OCSP. El IVE compara la
propuesta de la solicitud con la respuesta para asegurarse de que la respuesta fue
generada por el respondedor OCSP. Si no coinciden, el IVE pasa por alto la
respuesta y envía una nueva solicitud. Las propuestas son una forma común de
evitar ataques de reprocesamiento.

5. Haga clic en Save Changes.

Especificación de las opciones del respondedor OCSP

Para especificar las opciones de OCSP Responder Signer Certificate para uno o más
respondedores OCSP.

1. Haga clic en el nombre del respondedor OCSP que desea configurar en la lista
OCSP responders. Aparece la página de especificación de opciones para el
respondedor OCSP.

2. Busque la ruta de red o la ubicación del directorio local de un Responder Signer

Certificate. Este es el certificado que el respondedor OCSP usa para firmar la
respuesta. Debe especificar el Responder Signer Certificate si el certificado del
firmante no se incluye en la respuesta.

3. Si desea permitir un certificador de respondedor OCSP que coincide con el

certificado de firmante del respondedor, active la casilla de verificación Trust
Responder Certificate.

4. Habilite la opción Revocation Checking para asegurarse de que el certificado

que usa el IVE y el respondedor OCSP no fue revocado recientemente. Esta
opción sólo tiene implicancias si especificó la opción Use OCSP with CRL
fallback en los procedimientos descritos en “Especificación de atributos para el
certificado de CA de cliente de confianza” en la página 763.

5. Especifique un valor de discrepancia de reloj en el campo Allow clock

discrepancy para considerar posibles discrepancias en las marcas de hora
entre el IVE y el respondedor OCSP. Si la discrepancia es suficientemente
significativa, el IVE simplemente pasa por alto la respuesta del respondedor
OCSP como no actualizada o vencida.

6. Haga clic en Save Changes.

Uso de CA de cliente de confianza „ 773

 Guía de administración de Secure Access de Juniper Networks

Uso de CA del servidor de confianza

Si tiene una licencia de exploración de Web, puede validar las credenciales de los
sitios Web a los que acceden los usuarios mediante el dispositivo IVE. Sólo debe
instalar el certificado de CA de los servidores Web en que confía en el dispositivo IVE.

NOTA: Todas las CA raíz de confianza para los certificados Web instalados en
Internet Explorer 6.0 y Windows XP Service Pack 2 están preinstaladas en el
dispositivo IVE.

Por lo tanto, siempre que un usuario visite un sitio Web habilitado por SSL, el
dispositivo IVE verifica que:

„ El certificado del sitio Web lo ha emitido alguna de las cadenas de CA raíz de

confianza instaladas en el dispositivo IVE.

„ El certificado del sitio Web no ha caducado.

„ El valor Subject CN del certificado del sitio Web coincide con el nombre de host
real de la URL a la que se accedió. (Tenga en cuenta que el dispositivo IVE
permite que el valor Subject CN contenga comodines en el formato:
*.company.com.)

Si no se cumple alguna de estas condiciones, el dispositivo IVE registra un evento

grave en el registro de acceso del usuario y permite o deniega el acceso del usuario
al sitio Web basándose en los ajustes del nivel de rol que configuró mediante la
ficha Users > User Roles > Seleccionar rol > Web > Options de la consola de
administración. (Si no configura estos ajustes, el dispositivo IVE le advierte al
usuario de que el certificado del sitio Web no es válido, pero le permite acceder
a éste.)

Esta sección contiene las siguientes instrucciones de CA del servidor de confianza:

„ “Carga de certificados de CA del servidor de confianza” en la página 775

„ “Renovación del certificado de CA de servidor de confianza” en la página 775

„ “Eliminación del certificado de CA del servidor de confianza” en la página 776

„ “Visualización de detalles del certificado de CA del servidor de confianza” en la

página 776

774 „ Uso de CA del servidor de confianza

 Capítulo 27: Certificados

Carga de certificados de CA del servidor de confianza

Use la ficha System > Configuration > Certificates > Trusted Server CAs para
importar los certificados de CA de los sitios Web de confianza al IVE.

El IVE admite certificados de CA X.509 en formatos de codificación PEM (Base 64)

y DER (binario). Tenga en cuenta que también debe especificar lo que el IVE debe
hacer en caso de que un usuario intente obtener acceso a un sitio Web que no es de
confianza. Para obtener más información, consulte “Especificación de las
restricciones de acceso para certificados” en la página 65.

NOTA:

„ Cuando carga una cadena de certificados en el IVE, debe instalar los

certificados uno a uno en orden descendiente, comenzando con el certificado
raíz (archivos DER o PEM) o debe cargar un solo archivo en el IVE que
contenga toda la cadena de certificados (sólo archivos PEM). Al usar uno de
estos métodos, se asegura de que el IVE pueda vincular los certificados en el
orden correcto.

„ El IVE no admite las comprobaciones de revocación de CRL para certificados

de CA del servidor de confianza.

Para cargar certificados de CA en el IVE:

1. En la consola de administración, seleccione System > Configuration >

Certificates > Trusted Server CAs.

2. Haga clic en Import Trusted Server CA.

3. Busque el certificado de CA que desea cargar en el IVE y haga clic en Import

Certificate.

Renovación del certificado de CA de servidor de confianza

Si uno de los sitios Web de confianza renueva su certificado, debe cargar el
certificado revocado en el IVE.

Para importar un certificado de CA renovado en el IVE:

1. En la consola de administración, seleccione System > Configuration >

Certificates > Trusted Server CAs.

2. Haga clic en el vínculo que corresponda al certificado que desea renovar.

3. Haga clic en Renew Certificate.

4. Busque el certificado de CA renovado que desea cargar en el IVE y haga clic en

Import Certificate.

Uso de CA del servidor de confianza „ 775

 Guía de administración de Secure Access de Juniper Networks

Eliminación del certificado de CA del servidor de confianza

Puede eliminar cualquier certificado de CA del servidor de confianza que esté
instalado en el IVE, incluyendo los certificados instalados previamente para Internet
Explorer 6 y Windows XP Service Pack 2.

Para eliminar un certificado de CA del servidor de confianza del IVE:

1. En la consola de administración, seleccione System > Configuration >

Certificates > Trusted Server CAs.

2. Seleccione la casilla de verificación junto al certificado que desea eliminar.

3. Haga clic en Delete y confirme que desea eliminar el certificado.

Visualización de detalles del certificado de CA del servidor de confianza

Puede ver una variedad de detalles sobre cada uno de los certificados de CA
instalados en el IVE.

Para ver los detalles del certificado de CA del servidor de confianza:

1. En la consola de administración, seleccione System > Configuration >

Certificates > Trusted Server CAs.

2. Haga clic en el certificado que desea ver.

3. En Certificate, use la flecha situada junto a los siguientes nombres de campo

para ver los detalles del certificado:

„ Issued To: Nombre y atributos de la entidad a la que se emite el certificado.

„ Issued By: Nombre y atributos de la entidad que emitió el certificado.

Tenga en cuenta que el valor de este campo debe coincidir con el campo
Issued To (para certificados raíz) o el campo Issued To del siguiente
certificado superior en la cadena (para certificados intermedios).

„ Valid Dates: Rango de tiempo de vigencia del certificado. Si el certificado

está vencido, consulte las instrucciones en “Importación de un certificado
renovado que usa la clave privada existente” en la página 753.

„ Details: Incluye varios detalles de certificados, que contienen la versión,

número de serie, algoritmo de firma, puntos de distribución de la CRL, tipo
de algoritmo de clave pública y la clave pública. (Tenga en cuenta que el
IVE no admite las comprobaciones de CRL para certificados de CA del
servidor de confianza.)

Uso de certificados de firma de código

Cuando el IVE intermedia un applet de Java firmado, el IVE vuelve a firmar el applet
con un certificado de autofirma predeterminado. Una CA raíz de confianza no
estándar emite este certificado. En consecuencia, si un usuario solicita un applet
potencialmente de alto riesgo (como un applet que accede a los servidores de la
red), el explorador de Web del usuario le alerta de que la ruta no es de confianza.

776 „ Uso de certificados de firma de código

 Capítulo 27: Certificados

Si importa un certificado de firma de código al IVE, el IVE usa el certificado

importado para volver a firmar los applets en lugar del certificado de autofirma
predeterminada. En consecuencia, si un usuario solicita un applet potencialmente
de alto riesgo, el explorador de Web del usuario muestra un mensaje informativo en
lugar de una advertencia. El mensaje le informa al usuario de que el applet tiene la
firma de una autoridad de confianza.

El IVE admite los siguientes tipos de certificados de firma de código:

„ Microsoft Authenticode Certificate: El IVE usa este certificado para firmar

applets que se ejecutan en MS JVM o SUN JVM. Tenga en cuenta que sólo se
admiten certificados Authenticode de Microsoft emitidos por Verisign. Puede
adquirir certificados Authenticode de Microsoft en la siguiente ubicación:

http://www.verisign.com/products-services/security-services/code-
signing/index.html

„ JavaSoft Certificate: El IVE usa este certificado para firmar applets que se
ejecutan en SUN JVM. Tenga en cuenta que sólo se admiten certificados de
JavaSoft emitidos por Verisign y Thawte.

Al decidir qué certificado de firma de código importar, considere las siguientes

dependencias del explorador:

„ Internet Explorer: Internet Explorer en equipos nuevos con Windows XP

preinstalado normalmente ejecuta SUN JVM, lo que quiere decir que el IVE
debe volver a firmar los applets usando el certificado de JavaSoft.

Internet Explorer en un equipo con Windows 98 o Windows 2000, o en un

equipo que se actualizó a Windows XP, normalmente ejecuta MS JVM, lo que
quiere decir que el IVE debe volver a firmar los applets usando el certificado de
Authenticode.

„ Netscape, Firefox y Safari: Estos exploradores sólo admiten SUN JVM, lo que
quiere decir que el IVE debe volver a firmar los applets usando el certificado de
JavaSoft.

NOTA: Si crea sistemas IVS, también puede importar certificados de firma de

código para cada IVS. Debe dirigirse a cada sistema IVS, usando el menú
desplegable del sistema IVS en el encabezado de la consola de administración,
luego importar el certificado de firma de código para cada IVS en la página System
> Configuration > Certificates > Code-signing Certificates.

Esta sección contiene la siguiente información sobre certificados de firma de

código:

„ “Consideraciones adicionales para los usuarios de SUN JVM” en la página 778

„ “Resumen de tareas: configurar el IVE para que firme o vuelva a firmar los
applets” en la página 778

„ “Importación de un certificado de firma de código” en la página 778

Uso de certificados de firma de código „ 777

 Guía de administración de Secure Access de Juniper Networks

Consideraciones adicionales para los usuarios de SUN JVM

„ De forma predeterminada, el complemento Java coloca en memoria caché el
applet junto con el certificado de firma de código que se presentó cuando el
usuario accede al applet. Este comportamiento quiere decir que incluso
después de importar un certificado de firma de código al IVE, el explorador
continua presentando applets con el certificado original. Para garantizar que a
los usuarios de SUN JVM no se les solicite un certificado sin confianza para los
applets a los que acceden antes de importar un certificado de firma de código,
los usuarios deben borrar la memoria caché del complemento de Java. Como
alternativa, los usuarios pueden inhabilitar la memoria caché, pero esta opción
puede afectar el rendimiento pues se debe buscar el applet cada vez que el
usuario accede a éste.

„ El complemento de Java mantiene su propia lista de certificados de servidor

Web de confianza que es diferente de la lista de certificados de confianza del
explorador. Cuando un usuario accede a un applet, SUN JVM realiza su propia
conexión (además de la del explorador) con el servidor Web en que reside el
applet. Al usuario se le presenta la opción de aceptar el certificado de servidor
Web además del certificado de firma de código. En estos casos, el usuario debe
seleccionar el botón “Always Trust” para el certificado de servidor Web. Debido
al tiempo de espera incorporado en el complemento de Java, si el usuario
espera demasiado para seleccionar este botón para el certificado de servidor
Web, el applet no se carga.

Resumen de tareas: configurar el IVE para que firme o vuelva a firmar los applets
Para configurar el IVE para que vuelva a firmar los applets usando los certificados
de firma de código, debe:

1. Instalar los certificados de firma de código de Java mediante la página System

> Configuration > Certificates > Code-Signing Certificates de la consola de
administración. Para obtener instrucciones, consulte “Importación de un
certificado de firma de código” en la página 778.

2. Siga uno de estos pasos:

„ Cree directivas de firma de código que especifiquen los applets que el IVE
debe volver a firmar mediante la página Users > Resource Policies >
Web > Java > Code Signing de la consola de administración o la página
Users > Resource Profiles > Web Application Resource Profiles >
Perfil. Las directivas deben especificar los nombres de host desde los que
se originan los applets. Para obtener instrucciones, consulte “Escritura de
una directiva de recursos de firma de código Java” en la página 441.

„ Cargue sus propios applets de Java en el IVE y configure el IVE para que los
firme o los vuelva a firmar, como se explica en “Plantillas de applets de
Java hospedados” en la página 345.

Importación de un certificado de firma de código

Para importar un certificado de firma de código:

1. En la consola de administración, seleccione System > Configuration >

Certificates > Code-Signing Certificates.

778 „ Uso de certificados de firma de código

 Capítulo 27: Certificados

2. En Applet Signing Certificates, haga clic en Import Certificates.

3. En la página Import Certificates, busque los archivos de certificado de firma de

código correspondientes, introduzca la información de clave de contraseña y
haga clic en Import.

4. Cuando haya importado correctamente un certificado, aparecerá Sign Juniper

Web Controls With un panel de diálogo donde podrá especificar la opción de
firma del IVE:

„ Default Juniper Certificate: Seleccione esta opción para especificar que el

IVE debe firmar todos los applets de ActiveX y Java provenientes del IVE
usando el certificado predeterminado de Juniper Networks. Si seleccionó
previamente un certificado de firma de código importado y está revirtiendo
esta opción, después de hacer clic en Save, aparecerá un icono de proceso
que indica que el IVE está procesando la solicitud y firmando nuevamente
todo el código pertinente. Este proceso puede demorar varios minutos en
completarse.

„ Imported Certificate: Seleccione esta opción para especificar que el IVE

firme todos los applets de ActiveX y Java usando los certificados
importados en el paso anterior. Cuando hace clic en Save, aparece un icono
de proceso que indica que el IVE está procesando la solicitud y firmando
todo el código pertinente. Este proceso puede demorar varios minutos en
completarse.

5. Use los ajustes de las siguientes fichas para especificar los recursos que el
certificado del applet firmó o volvió a firmar:

„ Users > Resource Policies > Web > Java > Code Signing

„ Users > Resource Policies > Web > Java > Applets

Uso de certificados de firma de código „ 779

 Guía de administración de Secure Access de Juniper Networks

780 „ Uso de certificados de firma de código

Capítulo 28
Archivado del sistema

El IVE proporciona diferentes formas de crear copias de seguridad y de restaurar

los archivos de configuración que contienen datos de sistema y del usuario.
Las utilidades del IVE que puede usar para crear una copia de seguridad y restaurar
la información mantienen los datos en dos formatos distintos: binario y XML.
El método que use dependerá de sus necesidades.

Al usar las características de administración de archivos de configuración del IVE,

puede importar, exportar, guardar, archivar y enviar archivos de configuración de
envío como se describe en las secciones siguientes:

„ “Licencia: Disponibilidad de archivado del sistema” en la página 781

„ “Archivado de archivos de configuración binarios del IVE” en la página 782

„ “Creación de copias de seguridad locales de los archivos de configuración del

IVE” en la página 784

„ “Importación y exportación de archivos de configuración del IVE” en la

página 787

„ “Importación y exportación de archivos de configuración XML” en la

página 791

„ “Estrategias para trabajar con instancias XML” en la página 800

„ “Configuraciones de envío de un IVE a otro” en la página 816

„ “Archivado de Secure Meetings” en la página 821

Licencia: Disponibilidad de archivado del sistema

Las capacidades de archivado del sistema están disponibles en todos los productos
Secure Access y no se necesita una licencia especial para usarlas. No obstante, es
posible que las siguientes herramientas de archivado no se encuentren disponibles
en el dispositivo SA 700:

„ Archivado de copias de seguridad locales

„ Configuración de envíos

Licencia: Disponibilidad de archivado del sistema „ 781

 Guía de administración de Secure Access de Juniper Networks

Archivado de archivos de configuración binarios del IVE

El IVE le permite usar SCP o FTP para archivar automáticamente una copia binaria
de registros del sistema, archivos de configuración y cuentas de usuario con una
frecuencia diaria o semanal. El IVE encripta los archivos de configuración y las
cuentas de usuario para garantizar una transmisión y almacenamiento seguros en
otros servidores y luego archiva los archivos en el servidor y en el directorio que
especifique, los días y a las horas que elija.

Si el proceso de archivado presenta un error, se reiniciará en la siguiente hora

programada. El IVE no continúa reintentando el proceso si ocurre un error. Los
archivos de registro no se eliminan si ocurre un error en el proceso de archivado.

El archivado automático se realiza sólo en las horas programadas. Las operaciones

de archivado no programadas no se realizan automáticamente. Por ejemplo, si un
archivo de registro excede el tamaño máximo de archivo, el proceso de archivado
no crea automáticamente una copia de seguridad del archivo antes de la hora
programada para evitar una pérdida de datos.

SCP es una utilidad de transferencia de archivos similar a FTP. SCP encripta todos
los datos durante la transferencia. Cuando los datos llegan a su destino, se entregan
en su formato original. En la mayoría de las distribuciones SSH se incluye SCP y
también está disponible en las plataformas de los principales sistemas operativos.

El nombre de los archivos de archivado tiene el siguiente formato:

„ Eventos del sistema: JuniperAccessLog-[nombredeclúster|standalone]-

[nombredenodo|nombredehost]-[nombredeIVS|raíz]-[fecha]-[hora]

„ Eventos del usuario: JuniperEventsLog-[nombredeclúster|standalone]-

[nombredenodo|nombredehost]-[nombredeIVS|raíz]-[fecha]-[hora]

„ Eventos del administrador: JuniperAdminLog-[nombredeclúster|standalone]-

[nombredenodo|nombredehost]-[nombredeIVS|raíz]-[fecha]-[hora]

„ Archivos de configuración del sistema: JuniperConf-

[nombredeclúster|standalone]-[nombredenodo|nombredehost]-[nombredeIVS|raíz]-
[fecha]-[hora]

„ Cuentas de usuario: JuniperUserAccounts-[nombredeclúster|standalone]-

[nombredenodo|nombredehost]-[nombredeIVS|raíz]-[fecha]-[hora]

A continuación se encuentran algunos ejemplos de nombres de archivo: En estos

ejemplos, “gen” se refiere al nombre del clúster.

„ JuniperAccessLog-gen-nodo1-Raíz-20090109-1545.gz

„ JuniperEventsLog-gen-nodo1-Raíz-20090109-1545.gz

„ JuniperAdminLog-gen-nodo1-Raíz-20090109-1545.gz

„ JuniperConf-gen-nodo1-Raíz-20090109-1545.gz

„ JuniperUserAccounts-gen-nodo2-Raíz-20090109-1542

782 „ Archivado de archivos de configuración binarios del IVE

 Capítulo 28: Archivado del sistema

Para especificar los parámetros para el archivado:

1. En la consola de administración, elija Maintenance > Archiving > Archiving

Servers.

2. En Archive Settings, especifique el servidor de destino, un directorio y sus

credenciales para ese servidor. No incluya una especificación de unidad para el
directorio de destino, como: juniper/log.

„ Aunque en equipos UNIX puede especificar una ruta absoluta o específica,

recomendamos que use una ruta completa, dependiendo del directorio de
inicio del usuario.

„ Para equipos con Windows, especifique una ruta relativa al directorio

ftproot. Recomendamos que use una ruta completa para el directorio.

3. Para la opción Method, especifique SCP o FTP. SCP es el método

predeterminado.

4. En Archive Schedule, habilite la casilla de verificación asociada para

especificar uno o más de los siguientes componentes para el archivado:

„ Archive events log (Para obtener más información, consulte “Información

general de registro y supervisión” en la página 824.)

„ Archive user access log (Para obtener más información, consulte

“Información general de registro y supervisión” en la página 824.)

„ Archive admin access log (Para obtener más información, consulte

“Información general de registro y supervisión” en la página 824.)

„ Archive Sensors log (Para obtener más información, consulte “Información

general de registro y supervisión” en la página 824.)

„ Archive client-side log uploads (Para obtener más información, consulte

“Información general de registro y supervisión” en la página 824.)

„ Archive system configuration (Para obtener más información, consulte

“Archivado de archivos de configuración binarios del IVE” en la
página 782.)

„ Archive user accounts (Para obtener más información, consulte

“Exportación de cuentas de usuario locales o directivas de recursos” en la
página 789.)

„ Archive IVS (Para obtener más información, consulte “Realización de la

exportación y la importación de los archivos de configuración del IVS” en la
página 959.)

„ Configuración Archive XML (Para obtener más información, consulte

“Importación y exportación de archivos de configuración XML” en la
página 791.)

Archivado de archivos de configuración binarios del IVE „ 783

 Guía de administración de Secure Access de Juniper Networks

5. Especifique una programación para el archivado de cada componente

seleccionado. A través de las opciones para cada componente, programe
archivados en cualquier combinación de días, incluyendo los fines de semana.

NOTA: Si programa una operación de archivado para la hora en la que su sistema

cambia a horario de verano, es posible que la operación no se lleve a cabo según
la programación. Por ejemplo, si su sistema está configurado para cambiar
a horario de verano a la 1:00 a.m. y usted ha programado una operación de
archivado para una hora entre la 1:01 a.m. y la 1:59 a.m., la operación no se
realizará ya que a la 1:00 a.m. el reloj del sistema se adelantará a las 2:00 a.m.
y nunca se llegará a la hora programada para el archivado en esa fecha.

6. Defina una hora específica cuando desea que el IVE realice el archivado de
datos o elija que se lleve a cabo cada hora, lo que produce veinticuatro archivos
con marcas de hora únicos.

NOTA: Recomendamos que programe una operación de archivado durante las

horas en las que el tráfico es bajo para minimizar el impacto a los usuarios. El
proceso de archivado automático comprime archivos y, si el sistema está ocupado,
puede afectar negativamente al rendimiento para los usuarios. Además, es posible
que algún nodo del clúster no responda si el sistema está ocupado con tráfico
y realizando el archivado de forma simultánea.

7. Seleccione un filtro de registros desde la lista desplegable. Consulte “Archivos

de registro personalizado del filtro” en la página 826 para obtener información
acerca de los tipos de filtros.

8. Especifique que se limpien los filtros de eventos del sistema, acceso

y administrador después del archivado (opcional).

NOTA: Si un proceso de archivado presenta un error, los archivos de registro no se

eliminarán.

9. Proporcione una contraseña si desea usarla para encriptar la configuración del

sistema o los archivos de la cuenta del usuario (opcional).

10. Haga clic en Save Changes.

Creación de copias de seguridad locales de los archivos de

configuración del IVE
Los dispositivos IVE le permiten guardar copias de seguridad de la configuración del
sistema y de las cuentas de usuario actuales directamente en el IVE en formato
binario. Luego puede usar estas configuraciones para restaurar el IVE o un clúster
del IVE al estado contenido en el archivo encriptado. Tenga en cuenta que estos
archivos sólo contienen información de configuración pero no incluyen los
registros.

784 „ Creación de copias de seguridad locales de los archivos de configuración del IVE
 Capítulo 28: Archivado del sistema

NOTA: Durante una operación de importación al nodo de un clúster, la jerarquía de

la sincronización del nodo puede cambiar de forma temporal para permitir la
propagación de los datos importados a todos los nodos. La jerarquía de
sincronización regresará a su valor original después de que finalice la operación de
importación.

Puede guardar hasta 5 copias de seguridad de la configuración del sistema y 5

copias de seguridad de las cuentas de usuario en el IVE. Si supera este límite, el IVE
escribirá la copia de seguridad nueva sobre la más antigua. Si no desea sobrescribir
la copia de seguridad más antigua, elija otra copia de seguridad para eliminar en su
lugar antes de guardar la actual.

Para guardar su configuración del sistema actual:

1. En la consola de administración, elija Maintenance > Archiving > Local

Backups.

2. Haga clic en Save Configuration o en Save User Accounts. El IVE agrega una
copia de seguridad nueva a la lista, con la fecha y hora actuales como nombre.

Puede usar las copias de seguridad del sistema y del usuario para actualizar un IVE
único o un clúster. Si opta por restaurar un IVE que está habilitado como parte de
un clúster, ese IVE envía automáticamente la configuración a todos los otros
miembros del clúster. El clúster se inhabilita hasta que todos los miembros activos
del clúster hayan actualizado sus configuraciones usando la configuración de la
copia de seguridad. Después, reinicie el clúster y vuelva a habilitarlo.

Puede guardar una copia de seguridad de su configuración actual o restaurar su

sistema o el estado de las cuentas de usuario desde una copia de seguridad, como
se explica en “Creación de copias de seguridad locales de los archivos de
configuración del IVE” en la página 784.

Para sobrescribir su configuración con los ajustes de un archivo de copia de

seguridad:

1. En la consola de administración, elija Maintenance > Archiving > Local

Backups.

2. Seleccione la casilla de verificación situada junto al archivo de copia de

seguridad de la configuración del sistema o de la cuenta del usuario que desee
usar para restaurar el sistema.

Creación de copias de seguridad locales de los archivos de configuración del IVE „ 785
 Guía de administración de Secure Access de Juniper Networks

3. Si va a restaurar desde una configuración de sistema, indique si desea o no usar

el certificado, la dirección IP y los ajustes de red contenidos en el archivo de
configuración.

NOTA:

„ Si va a actualizar un clúster completo, tenga precaución al usar los ajustes de

red. Debido a que es posible que las direcciones IP y otros ajustes no se
apliquen a todos los miembros del clúster, éstos podrían tener problemas de
comunicación entre ellos si se envían los ajustes a todos lo miembros.

„ Si va a actualizar un sistema Secure Access FIPS y opta por importar un

certificado, debe elegir uno que use una clave privada que cumpla con las
normas FIPS. Para asegurar el cumplimiento con las normas FIPS, seleccione
un certificado y las claves privadas correspondientes de un entorno de
seguridad que se generen en un sistema Secure Access FIPS.

4. Haga clic en Restore. El IVE debe reiniciarse para que los cambios se hagan
efectivos. Después de reiniciar el IVE, debe iniciar sesión nuevamente en él
para obtener acceso a la consola de administración.

Para guardar una copia de seguridad local de sus archivos de configuración de IVS:

1. En la consola de administración, elija Maintenance > Archiving > Local

Backups.

2. Haga clic en Save IVS.

La copia de seguridad resultante contiene:

„ Perfiles IVS

„ Sistema IVS

„ Autenticación IVS

„ Administradores IVS

„ Usuarios IVS

„ Directivas de recursos IVS

„ Mantenimiento de IVS

3. Al restaurar, si desea incluir ajustes de red IVS, seleccione IVS Profile Network
Settings y luego haga clic en Restore.

Al seleccionar IVS Profile Network Settings puede importar referencias a

puertos VLAN y puertos virtuales en los perfiles IVS importados. Para obtener
más información acerca de la importación y exportación de IVS, consulte
“Realización de la exportación y la importación de los archivos
de configuración del IVS” en la página 959.

786 „ Creación de copias de seguridad locales de los archivos de configuración del IVE
 Capítulo 28: Archivado del sistema

Importación y exportación de archivos de configuración del IVE

El IVE le permite importar y exportar ajustes de red y de sistema del IVE usando
archivos de configuración binarios del IVE. Cuando importe un archivo de
configuración de sistema, puede excluir los ajustes del certificado y la dirección IP
del servidor IVE o los ajustes de red de la información que se importará. Por
ejemplo, para configurar IVE múltiples detrás de un equilibrador de carga, importe
todo excepto la dirección IP. Para configurar un IVE como un servidor de respaldo,
importe todo excepto el certificado digital y los ajustes de red.

NOTA:

„ Cuando importa un archivo de configuración que contiene licencias, el IVE le

da la preferencia a las licencias existentes que actualmente se encuentran
instaladas en el IVE. Las licencias archivadas sólo se importan si no existen
licencias actuales en el IVE.

„ Puede importar un archivo de configuración de Secure Access FIPS en un

equipo sin Secure Access FIPS y viceversa, siempre y cuando no incluya el
certificado y el entorno de seguridad en el proceso de importación.

„ Al importar certificados, tenga en cuenta que el IVE sólo importa certificados

de dispositivos, no las cadenas correspondientes a los certificados de los
dispositivos o los CA de clientes fiables.

El IVE también le permite importar y exportar todas las cuentas de usuarios locales
que haya definido para cualquier servidor de autenticación local.

NOTA:

„ Si desea exportar directivas de recursos, debe exportar las cuentas de usuario,

no los ajustes de sistema. Puede exportar las directivas de recursos en la ficha
Maintenance > Import/Export > Import/Export Users. Para obtener más
información, consulte “Exportación de cuentas de usuario locales o directivas
de recursos” en la página 789.

„ Para exportar o importar registros del lado cliente, exporte o importe los
archivos de configuración del usuario y del sistema.

„ Las configuraciones del sensor se incluyen en el archivo de configuración del

sistema, mientras que las directivas de eventos del sensor se incluyen en el
archivo de configuración del usuario. Para exportar o importar a un IVE la
configuración relacionada con el sensor, exporte o importe los archivos de
configuración del usuario y del sistema.

El archivo de configuración del usuario, y no el de configuración del sistema,

es el que incluye los perfiles de recursos, las directivas de recursos y la base de
datos del usuario local. Para realizar una copia de seguridad completa, exporte
los archivos de configuración del usuario y del sistema.

Importación y exportación de archivos de configuración del IVE „ 787

 Guía de administración de Secure Access de Juniper Networks

Exportación de un archivo de configuración del sistema

Exporte el archivo de configuración del sistema:

„ Configuraciones de red

„ Configuración del clúster

„ Licencias

„ Ajustes SNMP

Para exportar un archivo de configuración del sistema:

1. En la consola de administración, elija Maintenance > Import/Export >

Configuration.

2. En Export, escriba una contraseña si desea usarla para proteger el archivo de

configuración.

3. Haga clic en Save Config As para guardar el archivo.

NOTA: Al exportar un archivo de configuración Secure Access FIPS, tenga en

cuenta que se incluirá en el archivo la información acerca del entorno de
seguridad del equipo. Por lo tanto, deberá usar una tarjeta de administrador
asociada a ese entorno de seguridad para poder importar correctamente el archivo
de configuración a otro equipo.

Importación de un archivo de configuración del sistema

NOTA: Los ajustes específicos para el nodo existente se eliminan cuando un nodo
IVE se integra a un clúster. Entre estas configuraciones se incluyen la dirección de
la interfaz de red, las tablas de rutas, los puertos virtuales, la caché ARP, la interfaz
VLAN, las configuraciones SNMP, etc. El administrador debe reconfigurar de forma
manual estos ajustes para el nuevo nodo que se integra. No es posible usar la
característica de configuración de sistema Import (importar) para importar estas
configuraciones y ajustes en un nodo IVE que se ha integrado al clúster.

Para importar un archivo de configuración:

1. Elija Maintenance > Import/Export > Import/Export Configuration en la

consola de administración.

2. Especifique si desea importar el certificado del dispositivo IVE. El certificado no

se importa a menos que marque la casilla de verificación Import Device
Certificate(s)?.

NOTA: Al importar un certificado para dispositivo en un sistema Secure Access

FIPS, tenga en cuenta que debe elegir un certificado que use una clave privada que
cumpla con las normas FIPS. Para asegurar el cumplimiento con las normas FIPS,
seleccione un certificado y las claves privadas correspondientes de un entorno de
seguridad que se generen en un sistema Secure Access FIPS.

788 „ Importación y exportación de archivos de configuración del IVE

 Capítulo 28: Archivado del sistema

3. Elija una de las siguientes opciones de importación.

„ Import everything (except Device Certificate(s)): Esta opción importa

todos los ajustes de configuración, excepto los certificados de dispositivo
del IVE.

„ Import everything but the IP address: Esta opción no incluye la dirección

IP del archivo de configuración importado. Si no incluye la dirección IP, la
dirección IP del servidor no cambiará cuando importe el archivo. Cuando
seleccione esta opción, el IVE también importa cualquier ajuste SNMP que
haya definido. En otras palabras, si escoge esta opción se mantiene la
dirección IP, la máscara de red, la puerta de enlace predeterminada, VIP,
ARP y las rutas de las interfaces de red en el dispositivo de destino.

„ Import everything except network settings and licenses: Esta opción

importa todos los ajustes de configuración, excepto los ajustes de red. Si no
incluye los ajustes de red, la información de la página System > Network
(ajustes de puerto interno, puerto externo y ruta estática) no cambia
cuando importa el archivo. Cuando selecciona esta opción, no se importan
la configuración de red, licencias, configuración del clúster, certificados,
ajustes SNMP definidos y las configuraciones de syslog.

„ Import only Device Certificate(s): Esta opción importa solamente los

certificados del servidor IVE. Asegúrese de habilitar la casilla de verificación
Import Device Certificate(s)? cuando use esta opción.

4. Busque el archivo de configuración, cuyo nombre es system.cfg de forma

predeterminada.

5. Introduzca la contraseña que especificó para el archivo. Si no especificó una

contraseña antes de exportar el archivo, deje este campo en blanco.

6. Haga clic en Import Config.

NOTA: Cuando importe un certificado de dispositivo y su entorno de seguridad

correspondiente en un equipo Secure Access FIPS, debe terminar de inicializar el
entorno de seguridad usando la consola serie y una tarjeta de administrador
asociada con el entorno de seguridad nuevo importado. Para obtener más
información, consulte “Creación de un entorno de seguridad nuevo” en la
página 1017.

Exportación de cuentas de usuario locales o directivas de recursos

Exporte las cuentas de usuario si desea exportar:

„ Ajustes de inicio de sesión (incluyen directivas de inicio de sesión, páginas de

inicio de sesión y todos los servidores de autenticación

„ Territorios de autenticación

„ Roles

„ Acceso a la red

Importación y exportación de archivos de configuración del IVE „ 789

 Guía de administración de Secure Access de Juniper Networks

„ Perfiles de recursos/directivas de recursos

„ Cuentas de usuario

„ Configuraciones de reuniones

Para exportar cuentas de usuario locales o directivas de recursos:

1. En la consola de administración, elija Maintenance > Import/Export >

Import/Export User Accounts.

2. En Export, escriba una contraseña si desea usarla para proteger el archivo de

configuración.

3. Haga clic en Save Config As para guardar el archivo.

Importación de cuentas de usuario locales o directivas de recursos

Para importar cuentas de usuario locales o directivas de recursos:

1. En la consola de administración, seleccione Maintenance > Import/Export >

Import/Export Users.

2. Busque el archivo de configuración, cuyo nombre es user.cfg de forma

predeterminada.

3. Introduzca la contraseña que especificó para el archivo. Si no especificó una

contraseña antes de exportar el archivo, deje este campo en blanco.

4. Haga clic en Import Config.

Importación de ajustes de configuración IVS

Al importar la configuración IVS se guardan los siguientes ajustes en un archivo
encriptado:

„ Perfiles IVS

„ Sistema IVS

„ Autenticación IVS

„ Administradores IVS

„ Usuarios IVS

„ Directivas de recursos IVS

„ Mantenimiento de IVS

790 „ Importación y exportación de archivos de configuración del IVE

 Capítulo 28: Archivado del sistema

Para exportar los ajustes IVS:

1. En la consola de administración, elija Maintenance > Import/Export >

Import/Export IVS.

2. En Export, escriba una contraseña si desea usarla para proteger el archivo de

configuración.

3. Haga clic en Save Config As para guardar el archivo.

Importación de ajustes de configuración IVS

Para importar los ajustes IVS:

1. En la consola de administración, elija Maintenance > Import/Export >

Import/Export IVS.

2. Busque el archivo de configuración, cuyo nombre es ivs.cfg de forma

predeterminada.

3. Introduzca la contraseña que especificó para el archivo. Si no especificó una

contraseña antes de exportar el archivo, deje este campo en blanco.

4. Seleccione la opción IVS Profile Network Settings para importar referencias

a puertos VLAN y puertos virtuales en los perfiles IVS importados.

5. Haga clic en Import Config.

Importación y exportación de archivos de configuración XML

La característica XML Import/Export le permite realizar importantes cambios en la
configuración del sistema y le proporciona diversos beneficios, especialmente
cuando realiza una gran cantidad de cambios repetitivos o cuando quiere agregar,
actualizar o eliminar datos de configuración de una sola vez.

Algunas de las tareas que puede realizar usando los archivos de configuración XML
exportados son:

„ Agregar un gran número de usuarios.

„ Eliminar todos o la mayoría de los servidores de autenticación, usuarios u otros

objetos IVE.

„ Realizar seguimiento de los cambios a la configuración mediante una

comparación de las exportaciones semanales.

„ Modificar instancias múltiples de un ajuste único, como el nombre de un

servidor de autenticación.

„ Crear una plantilla de configuración para configurar nuevos dispositivos IVE.

Importación y exportación de archivos de configuración XML „ 791

 Guía de administración de Secure Access de Juniper Networks

NOTA: Sólo puede exportar e importar archivos de instancia XML entre IVE que
tengan sistemas operativos de la misma versión. No puede usar la característica
XML Import/Export para actualizar una versión más antigua del producto usando
archivos de configuración exportados desde una versión más reciente del
producto. Tampoco puede cambiar una versión más reciente del producto a una
versión anterior usando los archivos de configuración exportados desde una
versión más antigua del producto.

El IVE le permite exportar varios tipos de datos de configuración, como algunos

ajustes de red, ajustes de inicio de sesión, servidores de autenticación, territorios,
roles, directivas de recursos y usuarios. Puede importar esos ajustes en el mismo
o en otro IVE.

NOTA: Cuando importe la configuración del servidor de autenticación AD con un

archivo XML o a través de Push Config, es necesario cambiar el nombre Computer
Object de forma manual después de la importación. Podrían presentarse
problemas inesperados si dos sistemas que usan el mismo nombre Computer
Object se unen al dominio AD.

Puede exportar archivos de configuración XML que contengan ajustes de la

siguiente lista. También pueden estar disponibles ajustes adicionales.

NOTA: Si está ejecutando el IVE con una licencia IVS, no se admitirá la

característica XML Import/Export. Para obtener más información acerca de la
exportación e importación en IVS, consulte “Realización de la exportación y la
importación de los archivos de configuración del IVS” en la página 959.

„ System Settings: Licencias, certificados, dirección IP del servidor Network

Connect, nodos, identificadores de nodos, servidores DNS, dominios DNS,
hosts, NIC, identificadores NIC, direcciones de puertos virtuales, alias de
direcciones IP de origen, caché ARP, tiempo de espera del ping ARP, puerta de
enlace predeterminada, dirección IP, MTU, nombre NIC, máscara de red,
rutas estáticas, velocidad del enlace, tipo de NIC, nombre del host, licencias,
dirección WINS, ajustes SNMP, incluyendo ajustes y límites de capturas.

NOTA: No debe modificar nunca los dos identificadores NIC en el archivo de

instancia XML. El IVE se basa en la información de que cada dispositivo tiene dos
tarjetas de interfaz, conocidas como NIC0 y NIC1.

Los identificadores aparecen en los elementos NIC <NICIdentifier>0</NICIdentifier>

y <NICIdentifier>1</NICIdentifier>.

792 „ Importación y exportación de archivos de configuración XML

 Capítulo 28: Archivado del sistema

„ Sign-in Settings: servidores de autenticación, opciones de contraseña,

opciones de administración de contraseña, páginas de inicio de sesión
estándares, texto personalizado, opciones de encabezado, mensajes de error
personalizados, opciones de ayuda, direcciones URL de inicio de sesión y tipo
de página.

„ Endpoint Security: Directivas de Host Checker, servidores IMV remoto y ESAP

e IMV.

„ Authentication Realms: Territorios de usuario y administrador, nombres de

territorio, tipos de territorio, ajustes de servidores primario y secundario,
ajustes de evaluación de directivas dinámicas, directivas de autenticación,
límites, directivas de contraseñas, ajustes de asignación de roles y opciones
de procesamiento de rol.

„ Roles: Roles de usuario, roles de administrador, nombres de roles,

características habilitadas, restricciones, opciones de sesión, opciones de UI,
dirección IP de origen de VLAN, ajustes de archivos de Windows y UNIX,
ajustes de WSAM y JSAM, opciones de la Web, opciones de Secure Meeting,
opciones de Network Connect, opciones de Telnet, opciones del servidor de
terminal, opciones del sistema de administración, y ajustes de las directivas
de recursos.

„ Resource Policies: Directivas Web, listas de directivas de acceso a archivos,

directivas de Telnet/SSH, Network Connect, Terminal Connect y SAM.

„ Local User Accounts: Usuarios, nombre de servidor de autenticación, nombre

completo, nombre de inicio de sesión, contraseña, opción para cambio de
contraseña, estado del usuario y tipo de usuario.

„ Maintenance Settings: Opciones del sistema, destinos de configuración de

envío, archivado e imágenes instantáneas.

„ Meeting Configuration: Ajustes de configuración de reuniones.

NOTA: Es posible que estas listas no muestren todos los ajustes disponibles. Para
obtener una lista completa de ajustes compatibles, consulte la página XML
Import/Export y la página Push Config en la consola de administración.

El proceso básico para exportar e importar un archivo de configuración XML es el

siguiente:

1. Escoja los ajustes de configuración que desea modificar.

2. Exporte el archivo desde el IVE.

3. Abra el archivo y edite los datos de configuración en un editor de texto.

4. Guarde y cierre el archivo.

5. Importe el archivo al IVE.

Importación y exportación de archivos de configuración XML „ 793

 Guía de administración de Secure Access de Juniper Networks

En las siguientes secciones puede obtener más información acerca de los archivos
de configuración XML y de cómo usarlos:

„ “Creación y modificación de instancias XML” en la página 794

„ “Estrategias para trabajar con instancias XML” en la página 800

„ “Estrategias para trabajar con instancias XML” en la página 800

„ “Casos de uso de XML Import/Export” en la página 810

„ “Importación de un sistema con el puerto de administración” en la página 814

Creación y modificación de instancias XML

Cuando exporta su archivo de configuración, el IVE guarda el archivo como una
instancia XML. La instancia es el archivo que modificará.

La instancia XML
Después de la exportación, el archivo de instancia le muestra el estado actual de la
configuración del IVE. La instancia XML se basa en un esquema XML. El esquema
es un archivo separado que define los metadatos y que sirve como modelo
o plantilla para el archivo de instancia. Si llegara a usar el archivo de esquema, sólo
será para propósitos de referencia.

Los datos del archivo de instancia se basan en las selecciones que hace la ficha XML
Import/Export en la consola de administración cuando realiza la operación de
exportación.

Los archivos de instancia generalmente terminan con la extensión de archivo .xml.

Creación de un archivo de instancia

Puede crear un archivo de instancia exportando el archivo de configuración XML
desde el IVE. Incluso si desea reemplazar todos los ajustes de configuración
existentes para un objeto determinado, debe comenzar con un archivo de instancia
exportado. El archivo de instancia exportado contiene todas las instrucciones de
procesamiento XML requeridas y las declaraciones de espacios de nombres, que
deben incluirse exactamente como están definidas.

Para exportar un archivo de configuración XML, consulte “Estrategias para trabajar

con instancias XML” en la página 800.

Edición del archivo de instancia

Todos los archivos de instancia del IVE comparten una estructura similar. Cuando se
familiarice con la estructura básica, debería poder explorar fácilmente los archivos.
Es posible que los archivos sean grandes, por lo que puede ser mejor usar un editor
de XML comercial o de código abierto. Los editores de XML a menudo separan los
datos editables de la representación de la estructura. Esta separación reduce
o elimina la posibilidad de modificar de forma accidental un elemento XML en
lugar de sus datos, lo que sí se puede hacer cuando se utiliza un editor de texto
simple para la edición.

794 „ Importación y exportación de archivos de configuración XML

 Capítulo 28: Archivado del sistema

A pesar de las ventajas potenciales de usar un editor de XML, puede realizar una
buena edición de sus datos de configuración usando un editor de texto simple.

Elementos de instancia
Un elemento es una unidad XML discreta que define un objeto del IVE o parte de un
objeto. El elemento suele constar de un par de etiquetas que pueden o no estar
alrededor de datos de cadena. Las etiquetas están delimitadas por corchetes
angulares (< >). Puede encontrar varios ejemplos de etiquetas en los temas
siguientes.

Cada etiqueta corresponde a uno de los siguientes tipos:

„ Etiqueta de inicio: Define el inicio de un elemento. La etiqueta de inicio

consiste de un corchete angular de apertura (<), un nombre, cero o más
atributos y un corchete angular de cierre (>). Por cada etiqueta de inicio debe
haber una de final en algún lugar del documento.

„ Etiqueta de final: Define el fin de un elemento. La etiqueta de final consta de

un corchete angular de apertura y una barra diagonal (</), seguida por el
mismo nombre definido en la etiqueta de inicio correspondiente y finalizada
con un corchete angular de cierre (>).

„ Etiqueta vacía: La etiqueta vacía se indica de dos formas. Si un par de etiquetas

no tiene datos entremedias, dicho par se considera una etiqueta vacía.
De forma oficial, de acuerdo con la especificación de XML, una etiqueta vacía
tiene este aspecto:

<empty tag example/>

De esta forma, la etiqueta vacía consta de un corchete angular de apertura (<),

seguido de un nombre de elemento, una barra diagonal y un corchete angular
de cierre (/>). Cuando vea una etiqueta vacía en sus archivos de configuración,
significa que un elemento que es un elemento que el esquema necesita que se
incluya en el archivo de instancia, pero cuyos datos son opcionales.

Las etiquetas de inicio contienen atributos y los pares de etiquetas (elementos)

pueden contener elementos adicionales. El siguiente ejemplo muestra un archivo
de instancia XML para el objeto Users. En este ejemplo, verá solo los ajustes de
configuración del Administrator. Los elementos en cursiva son los datos del usuario.

<configuration xmlns="http://xml.juniper.net/ive-sa/6.2R1"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<authentication>
<auth-servers>
<auth-server>
<local>
<users>
<user>
<username>admin</username>
<fullname>Platform Administrator</fullname>
<password-encrypted>3u+U</password-encrypted>
<one-time-use>false</one-time-use>
<enabled>true</enabled>

Importación y exportación de archivos de configuración XML „ 795

 Guía de administración de Secure Access de Juniper Networks

<change-password-at-signin>false</change-
password-at-signin>
</user>
</users>
</local>
<name>Administrators</name>
</auth-server>

Para hacer cambios en los datos de la cadena que aparecen entre las etiquetas de
inicio y de final. Por ejemplo, en el ejemplo anterior puede agregar o cambiar los
siguientes elementos:

„ <name>Administrators</name>

„ <fullname>Platform Administrator</fullname>

„ <username>admin</username>

„ <password-cleartext>password</password-cleartext>

„ <change-password-at-signin>false</change-password-at-signin>

NOTA: Si cambia un usuario para un determinado servidor de autenticación

o cambia un servidor de autenticación para un determinado usuario, estará
creando un usuario distinto, no actualizando un usuario existente o un servidor
existente. Un usuario y un servidor de autenticación juntos definen lógicamente
a un usuario único.

El ejemplo anterior muestra los datos del elemento Password como datos
encriptados, indicando que no puede cambiar el valor de la contraseña. De forma
predeterminada, la operación e exportación de XML proporciona contraseñas
encriptadas con un password-encrypted. Puede modificar la contraseña si cambia el
elemento a password-cleartext. Si modifica la contraseña en el archivo de instancia,
el valor contraseña será visible hasta que se vuelva a importar al IVE. Después de
importado, IVE encripta la contraseña.

Si escribe contraseñas para usuarios nuevos en formato cleartext, las contraseñas

serán visibles en el archivo de instancia, por lo que quizás debería plantearse
ajustar la opción Change Password at Next Login con el valor true.

NOTA:

„ Debido a que las contraseñas están encriptadas de forma predeterminada, se

pueden traspasar de un sistema al otro.

„ Nunca debe intentar encriptar una contraseña de forma manual en el archivo

XML. El IVE rechaza cualquier intento de hacerlo. Use el password-cleartext
y escriba una contraseña de texto cuando cambie las contraseñas a través el
archivo XML.

796 „ Importación y exportación de archivos de configuración XML

 Capítulo 28: Archivado del sistema

Espacios de nombres
Los espacios de nombres le permiten usar en su código las mismas palabras
o etiquetas de contexto o vocabularios XML diferentes. Si agrega calificadores de
nombres de espacios como prefijos a los elementos permite que un archivo de
instancia incluya referencias a distintos objetos que se originan en diferentes
vocabularios de XML y que comparten el mismo nombre. Si no agrega el prefijo
a los elementos con calificadores de espacios de nombres, el espacio de nombre
XML será el predeterminado y se hará referencia a los nombres de tipos de
elementos en ese espacio de nombre sin un prefijo.

Una declaración de espacio de nombre se ve de la siguiente forma:

<configuration xmlns="http://xml.juniper.net/ive-sa/6.2R1"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">

No es necesario preocuparse por los identificadores de espacio de nombre que vea

en sus archivos de instancia, a menos que los elimine o modifique.

Secuencia de elementos
Debe evitar cambiar la secuencia de elementos en el archivo de instancia en la
medida de lo posible. Aunque el esquema no aplica la secuencia en todos los casos,
no tiene ninguna ventaja cambiar el orden en el que los elementos aparecen en el
archivo de instancia exportado y, en algunos casos, podría invalidar un documento
de instancia al cambiar la secuencia de los elementos.

Restricciones de integridad referencial

Los objetos de configuración del IVE son parte de un modelo de datos que se aplica
a través del uso de restricciones de integridad referencial. No podrá cambiar estas
restricciones, pero debe entenderlas antes de intentar eliminar objetos que
dependan de otros objetos.

Si no respeta las restricciones de integridad referencial del IVE, la operación de

importación presentará un error. El diagrama siguiente muestra las relaciones entre
varios objetos del IVE.

Figura 45: IVE Restricciones de integridad referencial de objetos

En la Figura 45 las casillas representan tipos de objetos del IVE y las flechas
representan relaciones de dependencia entre los tipos de objetos. Las flechas
apuntan desde los objetos dependientes a los otros.

Importación y exportación de archivos de configuración XML „ 797

 Guía de administración de Secure Access de Juniper Networks

El sistema no le permite eliminar un objeto del que depende otro objeto. Y a la

inversa, cuando agrega uno, debe agregar todos los otros objetos de los cuales
depende ése.

En la Figura 45, las direcciones URL de inicio de sesión dependen de los territorios
y de las páginas de inicio de sesión. Los territorios dependen tanto de los servidores
de autenticación como de los roles. Las directivas dependen de los roles. Los
usuarios dependen de los servidores de autenticación.

Observe los siguientes escenarios basado en la Figura 45:

„ Si agrega direcciones URL de inicio de sesión, debe agregar territorios, páginas

de inicio de sesión y servidores de autenticación. Deberá agregar un servidor
de autenticación y al menos un rol para admitir el territorio, además de la
página de inicio de sesión para admitir la nueva dirección URL de inicio de
sesión.

„ Si agrega un usuario, debe poder asignarlo a un servidor de autenticación. Si no

hay un servidor de autenticación en el IVE de destino, deberá agregar uno en el
archivo de instancia.

„ Si agrega una directiva, debe poder asignarla a un rol. Si no hay un rol en el IVE
de destino, deberá agregar una en el archivo de instancia.

„ Si elimina un servidor de autenticación, se pueden inhabilitar los territorios

y usuarios, por lo tanto, deberá asegurarse de que no hay territorios ni usuarios
que dependan del servidor de autenticación antes de que intente eliminarlo.

„ Si elimina un rol, es posible que inhabilite directivas y territorios. Para eliminar

un rol, primero debe eliminar cualquier directiva que dependa de él o reasignar
la directiva asociada a otro rol. Además, para eliminar un rol, primero deberá
eliminar o reasignar cualquier territorio que dependa de ese rol.

„ Si elimina una página de inicio de sesión, es posible que inhabilite una o más
direcciones URL de inicio de sesión. Para eliminar una página de inicio de
sesión, primero debe eliminar cualquier dirección URL de inicio de sesión
asociada o reasignarla a otra página de inicio de sesión.

NOTA: Las comprobaciones de integridad referencial se realizan solamente

durante la importación de XML.

Asignación de instancia XML a componentes UI

Los elementos de la instancia XML se relacionan estrechamente con los objetos
y sus opciones como las ve en la consola de administración. Los nombres de
elementos en el archivo de instancia XML se correlacionan estrechamente con los
nombres de objeto y de opción mostrados.

Por ejemplo, vaya a Users > User Roles > [Rol] > General > Session Options en
la consola de administración. La consola de administración envía los valores
posibles para una sesión itinerante como un grupo de botones de opciones que
consta de los valores siguientes:

798 „ Importación y exportación de archivos de configuración XML

 Capítulo 28: Archivado del sistema

„ Enabled

„ Limit to subnet

„ Disabled

El siguiente fragmento del archivo de configuración exportado muestra las opciones

de la sesión para el rol Users. En la línea en negrita, la opción de la sesión itinerante
está configurada en disabled:

<session-options>
<idle-timeout>10</idle-timeout>
<max-timeout>60</max-timeout>
<reminder-time>5</reminder-time>
<session-timeout-warning>false</session-timeout-warning>
<session-timeout-relogin>true</session-timeout-relogin>
<roaming>disabled</roaming>
<netmask></netmask>
<persist-session-cookie>disabled</persist-session-cookie>
<persist-passwords>disabled</persist-passwords>
<request-follow-through>disabled</request-follow-through>
<session-idle-timeout-skip>disabled</session-idle-timeout-skip>
<session-upload-log>false</session-upload-log>
</session-options>

En el archivo de esquema, encontrará los valores permitidos para la opción de

sesión itinerante (roaming):

<!--Attribute roaming:START-->
<xsd:element name="roaming" minOccurs="0">
...
<xsd:enumeration value="enabled">
...
<xsd:enumeration value="limit-to-subnet">
...
<xsd:enumeration value="disabled">
...
</xsd:element>
<!--Attribute roaming:END-->
Si desea cambiar el valor para la sesión itinerante desde “disabled” a “limit to
subnet”, reemplace disabled por limit-to-subnet.

Este ejemplo le muestra que la consola de administración a menudo proporciona

todos los valores permitidos, que se muestran en un grupo de botón de radio, como
casillas de verificación, como listas desplegables o como otros tipos de
componentes de interfaz de usuario. El archivo de instancia muestra sólo el estado
actual de la configuración del IVE. El archivo de esquema muestra todos los valores
reales para las opciones de configuración que se admiten en la característica XML
Import/Export.

Para obtener más información acerca de elementos específicos, revise los archivos
de esquema directamente.

Importación y exportación de archivos de configuración XML „ 799

 Guía de administración de Secure Access de Juniper Networks

Descarga del archivo de esquema

Puede descargar el archivo de esquema (.xsd) para los objetos IVE si desea revisar la
estructura y las reglas que se aplican a los objetos.

Puede descargar el archivo de esquema de dos maneras:

„ Desde las páginas XML Import/Export, haciendo clic en un hipervínculo.

„ De forma directa, introduciendo a la URL donde se almacenan los archivos en

el sistema.

Para tener acceso al archivo .xsd, introduzca a la siguiente dirección URL, ya sea
directamente o a través de un script:

https://<IP-or-hostname>/dana-na/xml/config.xsd

donde IP-or-hostname es la dirección IP del IVE o el nombre del host. Con este
método, no será necesario que inicie sesión en el IVE.

NOTA: Esta característica puede cambiar en el futuro. Esté alerta de esto si usa
scripts para tener acceso al archivo comprimido en zip mediante la dirección URL.
Los elementos que podrían cambiar son:

„ La dirección URL.

„ El nombre de archivo.

„ La extensión del archivo.

Estrategias para trabajar con instancias XML

Las siguientes estrategias pueden ser útiles cuando exporte e importe archivos de
instancias XML:

„ Defina su objetivo para una operación de XML Import/Export.

„ ¿Qué objeto del IVE desea agregar, actualizar o eliminar?

„ ¿Necesita completar todas las modificaciones en una operación o puede

modificar la configuración en operaciones separadas?

„ ¿El proceso será una operación de una única vez, o necesitará realizar la
misma operación varias veces?

„ ¿Va a actualizar un IVE existente o va a usar una configuración de un IVE

como una plantilla para configurar otros IVE?

800 „ Importación y exportación de archivos de configuración XML

 Capítulo 28: Archivado del sistema

„ Documente los cambios en los objetos del IVE que desea modificar.

„ Haga una lista de objetos que se agregarán, actualizarán o eliminarán.

„ Haga una lista de datos de atributos específicos para los objetos que
agregará o actualizará.

„ Haga una lista con las páginas o fichas de la consola de administración que
correspondan a los objetos y atributos que desea cambiar.

„ Tome una imagen instantánea binaria del sistema o realice una copia de
seguridad binaria de la configuración antes de realizar la importación.

„ Establezca un plan para verificar que la configuración realizada cumple sus

objetivos.

„ Compruebe el registro de Admin Acces para asegurarse de que las

operaciones de importación y exportación resultaron correctas.

„ Realice una comprobación al azar de los elementos modificados. Asegúrese

de que los elementos se agregaron, actualizaron o eliminaron de acuerdo
con lo esperado.

Casi siempre necesitará usar el archivo de instancia XML y la consola de

administración juntos, especialmente cuando comience a modificar por primera
vez los archivos de instancia XML. Es posible que también deba ver los archivos de
esquema XML.

Use el archivo de instancia XML para:

„ Identificar los objetos de la configuración, que se expresan como

elementos XML.

„ Busque los datos de configuración y modifíquelos.

Use la consola de administración para:

„ Correlacionar componentes visuales al esquema XML y a los elementos de

instancia.

„ Confirmar la precisión de las modificaciones en objetos específicos.

Use el archivo de esquema XML para:

„ Identificar la estructura y la secuencia de los objetos de configuración.

„ Identificar los elementos opcionales y necesarios, los valores permitidos, los

valores predeterminados y otros atributos de los objetos de configuración.

NOTA: La importación y exportación de los archivos de configuración XML puede

tardar varios minutos en finalizar. No realice ninguna operación que pueda
modificar o eliminar datos que actualmente se estén importando o exportando.

Importación y exportación de archivos de configuración XML „ 801

 Guía de administración de Secure Access de Juniper Networks

Importación de datos de configuración XML

Para importar datos de configuración XML:

1. Elija Maintenance > Import/Export > Import XML en la consola de

administración.

2. En Schema Files, haga clic en el enlace para descargar los archivos XML
Schema (.xsd) que describen los objetos del IVE (opcional). Para obtener más
información acerca de los archivos de esquema, consulte “Descarga del archivo
de esquema” en la página 800.

3. Busque y seleccione el archivo de datos XML que desea importar. Puede

importar un archivo de fragmento XML si desea importar sólo la configuración
parcial.

4. Haga clic en Import. La página Import XML Results muestra la información

contenida acerca de los ajustes de red, los roles, las directivas de recursos
y otros ajustes importados.

Si hay errores en el XML, la operación de importación se detendrá y volverá la

configuración al estado anterior. Los mensajes de error se muestran en la
página Import XML Results.

5. Haga clic en OK para volver a la página Import.

Tenga en cuenta lo siguiente cuando importe datos de configuración XML:

„ Una directiva de recursos importada está asociada a un rol que no existe en el

IVE de destino y el rol no existe en el archivo XML. El proceso de importación
de XML presentará un error.

„ Un perfil de recursos importado está asociado a un rol que no existe en el IVE

de destino y el rol no existe en el archivo XML. El proceso de importación de
XML presentará un error.

„ Un perfil de recursos importado contiene un marcador y un rol asociado pero la

referencia del marcador dentro del rol no existe.

„ Un perfil de recursos importado está asociado a un rol. Ese rol está asociado a
un marcador pero el marcador no se encuentra en el perfil de recursos.

„ Un perfil de recursos importado contiene una directiva de recursos que no se

encuentra en la lista de directivas de recursos. La referencia de la directiva de
recursos se vuelve a crear en el IVE de destino y se registra un error.

„ El perfil de recursos importado es un “hijo” de otro perfil de recursos pero el

perfil “padre” no se encuentra. El proceso de importación de XML presentará
un error.

„ Los applets de Java almacenados se tratan como tipos de datos BLOB y se

importan como fragmentos de datos codificados base 64.

„ No se puede importar o exportar certificados de firma de código.

802 „ Importación y exportación de archivos de configuración XML

 Capítulo 28: Archivado del sistema

„ Un marcador de rol importado es un hijo de un perfil de recursos pero el perfil

de recursos no se encuentra en el archivo de configuración. El marcador no se
importa y se registra un error. Esto puede ocurrir cuando, por ejemplo, exporta
un rol sin exportar el perfil de recursos y luego importa este archivo de
configuración a un nuevo IVE.

„ Una directiva de recursos hija importada necesita un perfil padre en los datos
de configuración. La directiva de recursos hija se elimina (no se importa).

„ Una directiva de recursos hija contiene una regla detallada que no existe en el
perfil de recursos padre. El proceso de validación de la importación presentará
un error, al igual que el proceso de importación de XML.

„ (cuando sólo se exportan perfiles de recursos) Si se crean nuevas referencias de

directivas de recursos en un IVE que aún no tiene esas directivas de recursos,
las nuevas directivas de recursos se insertarán delante de las existentes.

Por ejemplo, suponga que hay cuatro directivas de recursos: resource_policy_A,

resource_policy_B, resource_policy_C y resource_policy_D y resource_policy_B
y resource_policy_D son directivas de recursos hijas de resource_policy_parent.
Exporte sólo resource_policy_parent desde el IVE de origen e importe esa
directiva en el IVE de destino. Se crearán Resource_policy_B y resource_policy_D
en el IVE de destino. Ahora importe las cuatro directivas de recursos desde el
IVE de origen e impórtelos en el IVE de destino. El orden resultante de las
directivas es resource_policy_A, resource_policy_C, resource_policy_B,
resource_policy_D.

„ (cuando se exportan solo perfiles de recursos) No se importa ningún ajuste con

los certificados para dispositivos configurados para la autenticación de cliente
SOAP debido a que los certificados para dispositivos no son portables.

„ (cuando se exportan sólo perfiles de recursos) No se admite la importación

de CDP.

„ Un paquete ESAP no admite un producto que está configurado en alguna de las

reglas del Host Checker. La importación del paquete ESAP presenta un error.

„ Se deben cumplir las siguientes condiciones del Host Checker o, de lo

contrario, ocurrirá un error:

„ Las expresiones personalizadas definidas en una directiva del Host Checker

deben hacer referencia sólo a reglas configuradas dentro de esa directiva
del Host Checker.

„ Las directivas del Host Checker deben contener sólo tipos de reglas válidas
para esa plataforma. Por ejemplo, no puede tener reglas AV predefinidas
para plataformas Macintosh o Linux.

„ Las directivas de antivirus, cortafuegos y spyware deben contener sólo los

tipos que están disponibles en los paquetes ESAP actualmente activos.

„ Puede importar una licencia sólo al mismo sistema. No puede importar una
licencia desde un IVE distinto (se registrará un error).

„ No se admite la importación de clústeres.

Importación y exportación de archivos de configuración XML „ 803

 Guía de administración de Secure Access de Juniper Networks

Exportación de datos de configuración XML

Tenga en cuenta lo siguiente cuando exporte datos de configuración XML:

„ Las directivas de recursos que existen en perfiles de recursos se exportan. Sin

embargo, la entrada de la directiva de recursos en la tabla de directivas de
recursos no se exporta.

„ Los marcadores de perfiles de recursos se exportan, pero la misma entrada del

marcador en Roles no se exporta.

„ Las asociaciones de rol se exportan pero los datos de rol individuales no.

„ Los applets de Java almacenados se tratan como tipos de datos BLOB y se

exportan como fragmentos de datos codificados base 64.

„ No se admite la exportación de CDP.

„ Los archivos de paquetes JEDI se exportan como BLOB encriptados.

„ Las directivas de terceros se exportan como la directiva principal más el

paquete JEDI (como un archivo comprimido en zip) y un grupo de
subdirectivas. No puede exportar ninguno de estos elementos de forma
separada.

„ Los paquetes ESAP se exportan como BLOB encriptados.

„ Los archivos de datos de firmas AV asociados con Virus Signature Version

Monitoring se exportan como un BLOB encriptado.

„ No existe la opción de seleccionar los ajustes VLAN/dirección de IP de origen

para exportación. Sin embargo, estos ajustes se exportan con el rol al que se
asocian.

Para exportar datos de configuración XML:

1. Elija Maintenance > Import/Export > Export XML en la consola de

administración.

2. (opcional) En Schema Files, haga clic en el enlace para descargar el archivo

XML Schema (.xsd) que describe los objetos del IVE (opcional). Para obtener
más información acerca de los archivos de esquema, consulte “Descarga del
archivo de esquema” en la página 800.

3. Haga clic en Expand All para ver todos los ajustes; haga clic en Select All para
seleccionar todos los ajustes identificados en la página. De lo contrario,
seleccione la información específica que desea exportar. Dentro de cada
sección, puede hacer clic en Select All para seleccionar todos los ajustes dentro
de una sección en particular:

4. Seleccione la casilla de verificación System Settings para exportar ajustes de

red, como ajustes de puertos internos, ajustes de puertos externos
e información de licencia. Las opciones son:

„ Hora y fecha del sistema: Exporta la zona horaria del servidor y los ajustes
del protocolo de hora de la red (NTP).

804 „ Importación y exportación de archivos de configuración XML

 Capítulo 28: Archivado del sistema

„ Página de cabina: Exporta los ajustes de la página System Status Overview,

como los gráficos que se muestran y la frecuencia de actualización.

„ Licencias: Exporta las licencias en un formato encriptado.

NOTA: Las siguientes reglas se aplican a las licencias exportadas e importadas:

„ No puede editar los datos de licencia que se exportan, ya que están

encriptados.

„ Una importación XML de licencias sólo es válida si el equipo que importa la

licencia no tiene una instalada actualmente. Si hay una licencia instalada, se
eliminará cualquier licencia importada. Si aún intenta importar una licencia,
debe restablecer a valores de fábrica el IVE, y luego realizar la operación de
importación.

„ Si importa una licencia después de eliminar una licencia temporal del IVE, la
licencia importada no se tendrá en cuenta debido a que aún podría reactivar
la licencia eliminada y la operación de importación intenta mantener
cualquier dato actual en el IVE.

„ NCP: Exporta las opciones NCP, tales como el valor de la selección

automática, el tiempo de espera de la conexión de lectura y el tiempo de
espera de la conexión de inactividad.

„ Sensores: Exporta eventos del sensor y sus directivas.

„ Tipos de clientes: Exporta los tipos de clientes y su patrón de cadena de

usuario-agente coincidente.

„ Secure Meeting: Exporta ajustes de configuración de Secure Meeting, como

los ajustes de la duración de la sesión, la dirección URL de la reunión raíz
y envía por correo electrónico los ajustes de notificaciones de reuniones,

„ Seguridad: Exporta los ajustes de configuración de seguridad, como las

versiones SSL y TLS, la intensidad de la encriptación, el valor del tiempo de
espera de la conexión SSL y las opciones de cookies.

„ Vista general: Exporta los ajustes de la ficha Network Settings Overview,

como la administración de DNS, WINS y de ancho de banda.

„ Puerto de Internet: Exporta los ajustes de la ficha Network Settings Internal

Port, como la dirección IP, la máscara de red, la puerta de enlace
predeterminada, la velocidad del enlace, el tiempo de espera del comando
ping ARP y MTU.

„ Puerto externo: Exporta los ajustes de la ficha Network Settings External

Port, como la dirección IP, la puerta de enlace predeterminada, la velocidad
del enlace, el tiempo de espera del comando ping ARP y MTU.

„ VLANS: Exporta los ajustes de la ficha Network Settings VLAN, como el

nombre, la identidad, la ID, la dirección IP, la máscara de red y la puerta
de enlace.

Importación y exportación de archivos de configuración XML „ 805

 Guía de administración de Secure Access de Juniper Networks

„ Rutas: Exporta los ajustes de la ficha Network Settings Routes, como la

dirección IP, la máscara de red, la puerta de enlace y la interfaz.

„ Hosts: Exporta los ajustes de la ficha Network Settings Hosts, como la

dirección IP y el nombre.

„ Clústeres: Exporta las propiedades de los clústeres, como el nombre del

clúster, los ajustes de la configuración, los ajustes de sincronización y los
ajustes del estado de la red. Esta opción es visible sólo cuando el
dispositivo es parte de un clúster.

„ Eventos: Exporta ajustes de registro de eventos, como el tamaño máximo

del registro y qué eventos registrar.

„ Acceso de los usuarios: Exporta ajustes de registro del acceso de los

usuarios, como el tamaño máximo del registro, el servidor syslog y qué
eventos registrar.

„ Acceso del administrador: Exporta ajustes de registro del acceso del

administrador, como el tamaño máximo del registro, el servidor syslog
y qué eventos registrar.

„ Sensores: Exporta los ajustes de registros del sensor, como el tamaño

máximo del registro y el servidor syslog.

„ Registros de clientes: Exporta los ajustes de registros de cliente, como qué

características del lado cliente registrar y el tamaño del espacio del disco.

„ SNMP: Exporta los ajustes de registro SNMP, incluyendo el nombre del

nodo, el nombre y la ubicación del sistema, los ajustes de captura y
los límites.

5. Seleccione la casilla de verificación Sign-in Settings para exportar servidores

de autenticación, opciones de contraseña, opciones de administración de
contraseña, páginas de inicio de sesión estándares, texto personalizado,
opciones de encabezado, mensajes de error personalizados, opciones de
ayuda, direcciones URL de inicio de sesión y tipo de página.

„ En Sign-in URLs, elija ALL sign-in URLs para exportar todas las
direcciones URL de inicio de sesión o elija SELECTED sign-in URLs para
especificar qué direcciones URL de inicio de sesión exportará.

„ En Sign-in Pages, seleccione ALL Pages para exportar todas las páginas de
inicio de sesión, SELECTED pages para especificar qué páginas de inicio de
sesión exportar u ONLY pages used by URLs selected above para exportar
sólo esas páginas que son válidas para las direcciones URL de inicio de
sesión seleccionadas arriba.

„ En Authentication servers, seleccione ALL auth servers para exportar

todos los servidores de autenticación o SELECTED auth servers para
especificar qué servidores de autenticación exportará.

806 „ Importación y exportación de archivos de configuración XML

 Capítulo 28: Archivado del sistema

6. Seleccione la casilla de verificación Endpoint Security para exportar los ajustes

del Host Checker y Cache Cleaner.

„ En Host Checker, elija Host Checker options para exportar ajustes de la

ficha Endpoint Security Host Checker, como los ajustes de actualización en
tiempo real y los valores de intervalo y de tiempo de espera. El archivo de
datos de firma de antivirus exportado y asociado con la opción de
supervisión de versión de la firma de virus está encriptado.

„ Seleccione ALL policies para exportar todas las directivas del Host Checker
o elija SELECTED policies para especificar qué directivas del Host Checker
se exportarán. Los archivos de paquete JEDI están encriptados. Las
directivas de terceros se exportan como la directiva principal más el
paquete JEDI y las subdirectivas. No puede separar estos paquetes para
exportarlos.

„ Seleccione Remote IMV para exportar todos los ajustes de los servidores
IMV y las reglas IMV remotas.

„ Seleccione ESAP para exportar todos los ajustes ESAP. Los paquetes ESAP
están encriptados cuando se exportan.

„ Seleccione Cache Cleaner settings para exportar las opciones de Cache

Cleaner definidas en la ficha Endpoint Security Cache Cleaner, incluyendo
la frecuencia de actualización, los ajustes de caché del explorador y los
ajustes de carpeta y archivo.

7. Seleccione la casilla de verificación Authentication Realms para exportar los

territorios de autenticación de administrador y usuario.

Dentro de cada grupo,

„ escoja ALL resource realms para exportar todos los territorios dentro de
ese grupo.

„ Escoja SELECTED realms, seleccione los territorios de la lista Available

Realms y haga clic en Add para exportar esos territorios de autenticación
seleccionados.

8. Seleccione la casilla de verificación Roles para exportar los roles de

administrador y usuario.

„ Escoja ALL roles para exportar todos los roles dentro de ese grupo.

„ Escoja SELECTED roles, seleccione los roles de la lista Available Roles

y haga clic en Add para exportar esos roles seleccionadas.

9. Seleccione la casilla de verificación Resource Profiles para exportar los ajustes

del perfil de recursos, incluyendo la lista de directivas de recursos, los
marcadores y los roles asociados.

Seleccione Hosted Java Applets para exportar todos los applets que se han
actualizado en el sistema. No es posible seleccionar applets de Java individuales
para exportar.

Importación y exportación de archivos de configuración XML „ 807

 Guía de administración de Secure Access de Juniper Networks

Dentro de cada grupo,

„ Escoja ALL resource profiles para exportar todos los perfiles de recursos
dentro de ese grupo.

„ Escoja SELECTED resource profiles, seleccione los perfiles de la lista

Available Profiles y haga clic en Add para exportar esos perfiles
seleccionados.

10. Seleccione la casilla de verificación Resource Policies para exportar directivas

de recursos. A continuación, seleccione las casillas de verificación que
correspondan a los tipos de directivas de recursos que desea exportar.

11. Seleccione la casilla de verificación Local User Accounts para exportar las
cuentas de usuario locales.

„ Escoja From ALL local auth servers para exportar todas las cuentas de
usuario locales desde todos los servidores de autenticación locales.

„ Escoja From SELECTED local auth servers, seleccione los servidores de

autenticación de la lista Available Servers y haga clic en Add para exportar
los usuarios locales desde esos servidores de autenticación.

12. Seleccione la casilla de verificación Maintenance Settings que exportará.

„ System Options: exporta los ajustes de la ficha System Mainteinace

Options.

„ Push Config Targets: exporta los destinos seleccionados y si este dispositivo

puede aceptar configuraciones de envío.

„ Archiving: exporta ajustes de archivado, como el servidor de archivado,

el directorio de destino, el nombre de usuario y la contraseña y los
componentes que se archivarán.

„ Snapshot: exporta las opciones de imagen instantánea del sistema,

incluyendo los ajustes de imágenes instantáneas automáticas y si desea
incluir la configuración del sistema y los registros de depuración.

13. Haga clic en Export para guardar la información en un archivo XML.

Reinicios del sistema

Aunque se han realizado todos los intentos para reducir el número de reinicios,
algunos cambios todavía requieren el reinicio del servidor. La siguiente tabla
muestra el comportamiento del sistema cuando se cambian ciertas opciones. Los
reinicios ocurren después de cambiar y guardar estos ajustes y cuando importa una
configuración XML que contiene valores distintos.

808 „ Importación y exportación de archivos de configuración XML


Tabla 43: Comportamiento del sistema cuando se editan opciones
Ventana
System > Status > Overview
Authentication > Auth Servers > NIS
Server
System > Log/Monitoring > SNMP
Authentication > Signing In > Sign-in
Policies
System > Configuration > NCP
Users > Resource Policies >
Files > Options
Maintenance > System > Options
System > Configuration > Security
Auth Servers
Users > Resource Policies > Email
Client
Maintenance > System > Options
System > Configuration >
Certificates > Trusted Client CAs >
nombre de certificado > CRL Checking
Options
System > Network > Internal Port
System > Network > Management
System > Network > Port 1/External
Port
System > Network > Routes
System > Network > Hosts
Authentication > Auth Servers > ACE
System > Configuration > License
Importación y exportación de archivos de configuración XML
Capítulo 28: Archivado del sistema
Comportamiento del sistema
Todos los procesos actualizan sus ajustes de zona
horaria cuando se actualiza la zona horaria en la fecha
y hora del sistema.
Reinicia servicios Linux YP
Se reinicia el servidor SNMP
Se reinicia el servidor Web
Se reinicia el servidor Web
dsstartws se reinicia cuando cambia la codificación y el
servidor de exploración se reinicia.
Se reinicia el servidor Web
Al cambiar las opciones siguientes se reinicia el
servidor Web con los nuevos ajustes de SSL:
„ Allows SSL and TLS version
„ Allowed Encryption Strength
„ Encryption Strength Option
„ SSL Handshake Timeout
Al crear un servidor de autenticación nete o cambiar
una opción de nete se reiniciará el servidor nete
Activa o desactiva dspopd, dsimapd y dssmtpd
dependiendo del estado de la “compatibilidad del
estado de correo electrónico” y los ajustes de servidor
de correo correspondientes
Reinicia dscrld y dsstartws. Inicia rwcached si la opción
está actualmente desactivada.
Vuelve a buscar los CDP (puntos de distribución CRL)
Reinicia los servicios de red que en respuesta reinician
el servidor Web
Reinicia los servicios de red que en respuesta reinician
el servidor Web
Reinicia los servicios de red que en respuesta reinician
el servidor Web
Reinicia los servicios de red que en respuesta reinician
el servidor Web
Reinicia los servicios de red que en respuesta reinician
el servidor Web
Extrae los contenidos del archivo ACE y escribe los
contenidos en el directorio de instalación
Reinicia varios servicios
„ 809
 Guía de administración de Secure Access de Juniper Networks

Casos de uso de XML Import/Export

Los siguientes casos de uso muestran ejemplos comunes de cómo puede usar la
característica XML Import/Export. Cada caso de uso consiste en una breve
descripción y un procedimiento para realizar el caso de uso. Estos casos de uso se
abrevian y no cubren todas las complejidades y los detalles de realizar un grupo
completo de procedimientos. Los casos de uso se incluyen solamente como
ilustración de usos posibles para la característica XML Import/Export.

Caso de uso: Agregar varios usuarios nuevos a un IVE

Acaba de agregar un dispositivo IVE nuevo a su red y desea agregar sus dos mil
usuarios al sistema. No desea agregarlos de a uno en la consola de administración,
sino que le gustaría realizar una importación masiva y obligar a los usuarios
a cambiar sus contraseñas la primera vez que inicien sesión en el sistema. Puede
exportar las cuentas de usuario, extraer el XML pertinente que define a los usuarios,
replicar cada elemento según sea necesario y luego importarlos al IVE.

En este procedimiento, sólo verá ejemplos para User 1, User 2 y User 2000. Se
supone que todos los otros usuarios están incluidos en su archivo de importación.
Debe configurar las contraseñas a instancias numeradas de la contraseña de
palabra, como password1, password2, etc. Todos los usuarios en este ejemplo se
asignan al mismo servidor de autenticación, aunque puede especificar cualquier
combinación de servidores de autenticación que sean válidos en su sistema.

Para agregar nuevos usuarios múltiples a un IVE:

1. En la consola de administración, vaya a Maintenance > Import/Export >

Export XML.

2. Siga las instrucciones para exportar cuentas de usuario locales como se

describe en “Estrategias para trabajar con instancias XML” en la página 800.

3. Guarde el archivo exportado como users.xml.

4. Abra el archivo users.xml.

5. Copie y pegue el elemento contenedor User hasta que haya agregado la

cantidad necesaria de usuarios. Aunque el ejemplo muestra sólo tres usuarios
nuevos, puede agregar cientos de usuarios nuevos al archivo.

6. Actualice los datos adecuados en cada elemento contenedor User, como se

muestra en el siguiente ejemplo:

NOTA:

„ El formato del siguiente ejemplo se ha modificado del original para mejorar la

lectura. El código XML real puede verse distinto.

„ Debe cambiar la contraseña a password-cleartext, de lo contrario, el IVE

supone una encriptación predeterminada.

810 „ Importación y exportación de archivos de configuración XML

 Capítulo 28: Archivado del sistema

<configuration xmlns="http://xml.juniper.net/ive-sa/6.2R1"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<authentication>
<auth-servers>
<auth-server>
<local>
<users>
<user>
<username>user1</username>
<fullname>User1</fullname>
<password-cleartext>password1
</password-cleartext>
<one-time-use>false</one-time-use>
<enabled>true</enabled>
<change-password-at-signin>true
</change-password-at-signin>
</user>
<user>
<username>user2</username>
<fullname>User2</fullname>
<password-cleartext>password2
</password-cleartext>
<one-time-use>false</one-time-use>
<enabled>true</enabled>
<change-password-at-signin>true
</change-password-at-signin>
</user>
<name>System Local</name>
</auth-server>
</auth-servers>
</authentication>
</configuration>

7. Guarde el archivo users.xml.

8. En la consola de administración, vaya a Maintenance > Import/Export >

XML Import/Export > Import.

9. Haga clic en Browse y busque su archivo users.xml.

10. Haga clic en Import.

Caso de uso: Actualización de directivas

Desea cambiar todas las directivas de reescritura ActiveX desde una acción de
rewrite-url-response-static-dynamic a otra acción, pero no desea escribir cada
directiva de forma separada en la consola de administración. Para ello, puede
exportar un archivo de instancia, realizar sus cambios y luego volver a importar el
archivo al IVE.

Para actualizar directivas en un IVE:

En la consola de administración, vaya a Maintenance > Import/Export > XML

Import/Export > Export.

Importación y exportación de archivos de configuración XML „ 811

 Guía de administración de Secure Access de Juniper Networks

1. Siga las instrucciones para exportar directivas de recursos como se describe en

“Estrategias para trabajar con instancias XML” en la página 800.

2. Guarde el archivo exportado como policy.xml.

3. Abra el archivo exportado.

4. Abra el archivo de esquema policy.xsd en su sistema usando un editor de texto

o un editor de XML. En el archivo de esquema, busque el valor de acción
rewrite-url-response-static-dynamic. La definición de esquema incluye el valor de
acción de la directiva actual, además de otros valores posibles, como se
muestra en el siguiente ejemplo:

<xsd:simpleType>
<xsd:restriction base="xsd:token">
<xsd:enumeration value="rewrite-url-response-static">
<xsd:annotation>
<xsd:appinfo>
<dmi:enum-info>
<title>Rewrite URL and response (Static HTML
only)</title>
</dmi:enum-info>
</xsd:appinfo>
</xsd:annotation>
</xsd:enumeration>
<xsd:enumeration value="rewrite-url-response-static-dynamic">
...
<xsd:enumeration value="rewrite-url-static">
...
<xsd:enumeration value="rewrite-url-static-dynamic">
...
<xsd:enumeration value="rewrite-hostname-static">
...
<xsd:enumeration value="rewrite-hostname-static-dynamic">
...
<xsd:enumeration value="rewrite-url-hostname">
...
<xsd:enumeration value="rewrite-data">
...
<xsd:enumeration value="no-rewrite">
</xsd:restriction>
</xsd:simpleType>

5. En el archivo exportado policy.xml, busque y reemplace rewrite-url-response-

static-dynamic con el valor de acción de, por ejemplo, rewrite-url-static-dynamic.

NOTA: El siguiente ejemplo muestra sólo un fragmento del archivo policy.xml real.
Además, el formato se ha modificado del original para mejorar la lectura. El código
XML real puede tener un aspecto distinto.

812 „ Importación y exportación de archivos de configuración XML

 Capítulo 28: Archivado del sistema

<activex-param>
<classid>5BDBA960-6534-11D3-97C7-00500422B550</classid>
<description>iNotes Discussion </description>
<params>
<param>
<parameter>FullUrl</parameter>
<!-- Change the following data -->
<action>rewrite-url-response-static-dynamic</action>
</param>
</params>
</activex-param>

6. Guarde el archivo policy.xml.

7. En la consola de administración, vaya a Maintenance > Import/Export >

XML Import/Export > Import.

8. Haga clic en Browse y busque su archivo policy.xml.

9. Haga clic en Import.

Caso de uso: Uso de XML Import/Export en un entorno de clústeres

Puede usar la característica XML Import/Export en un entorno de clústeres. Sin
embargo, debe adherirse a ciertas reglas y debe seguir un procedimiento especial
para completar la operación correctamente.

„ La instancia XML que desea importar debe contener el mismo grupo de nodos
que el clúster original. La firma usada para sincronizar el clúster cuando los
nodos se rehabilitan se deriva de las direcciones IP de los nodos del clúster, por
lo que los nodos restantes no pueden reintegrarse al clúster si la configuración
importada ofrece una firma diferente.

„ No modifique el nombre del nodo, la dirección IP ni la máscara de red IP en el

archivo de instancia.

„ No cambie ningún ajuste de red en el archivo de instancia que cause que el

nodo primario sea inaccesible. Por ejemplo, no debe cambiar la configuración
de la puerta de enlace predeterminada para un clúster de sitios múltiples.

„ En la importación, el archivo de instancia sobrescribe los ajustes de red de la

configuración del clúster específicos de cada nodo restante. Si cambia estos
ajustes de red específicos del nodo, asegúrese de no dejar fuera de alcance los
nodos restantes.

„ No modifique los ajustes de puertos virtuales existentes ni agregue ajustes de

puertos virtuales nuevos en el archivo de instancia.

„ Cuando realice una operación de importación en un clúster, todos los nodos del
clúster se deben habilitar y ejecutar. Si intenta importar una configuración en
un clúster en el que un nodo no se está ejecutando, la operación de
importación puede detenerse o los resultados de importación pueden ser
impredecibles.

Importación y exportación de archivos de configuración XML „ 813

 Guía de administración de Secure Access de Juniper Networks

Importación de un sistema con el puerto de administración

Si importa una configuración de un sistema que no admite un puerto de
administración a un sistema que tiene habilitado un puerto de administración y lo
importa todo, incluidas las licencias, parecerá que se ha eliminado el puerto de
administración en el sistema objetivo. En realidad, el puerto de administración
sigue estando operativo y reaparecerá junto con su configuración original cuando
vuelva a aplicar la licencia del puerto de administración para el sistema objetivo. Si
importa al destino pero especifica la opción Import everything except network
settings and licenses, el puerto de administración y su configuración se mantienen
en el sistema de destino y el puerto queda operativo.

Uso de los atributos de operación

Las operaciones de edición de datos se determinan por los atributos de operación
del elemento en los datos XML importados. Los atributos de operación definen la
posición o la acción de los datos XML dentro del esquema. Si no especifica un
atributo de operación, los datos modificados se fusionan de forma predeterminada.

El atributo de operación se aplica a todos los objetos hijos a menos que un nuevo
atributo de operación se defina en los objetos hijos.

Los datos XML con un atributo de operación tienen el siguiente formato:

<object1 xc:operation="operator for object1 and its children unless new

operator is defined">
….
<object2>
…
<object3 xc:operation="operator for object3">
…
</object3>
…
</object2>
…
</object1>

Los siguientes son los atributos de operación admitidos:

„ Merge: Los datos de configuración identificados por el elemento que contiene

este atributo se fusionan con la configuración en el nivel correspondiente en el
almacén de datos de configuración identificado por el parámetro de destino.
Éste es el comportamiento predeterminado.

„ Replace: Los datos de configuración identificados por el elemento que contiene

este atributo reemplazan cualquier configuración relacionada en el almacén de
datos de configuración identificado por el parámetro de destino. Sólo afecta a la
configuración que está presente en el parámetro de configuración.

„ Create: Los datos de configuración identificados por el elemento que contiene

este atributo se agregan a la configuración solamente si los datos de
configuración no existen aún en el dispositivo.

814 „ Importación y exportación de archivos de configuración XML

 Capítulo 28: Archivado del sistema

„ Delete: Los datos de configuración identificados por el elemento que contiene

este atributo se eliminan del almacén de datos de configuración identificado
por el parámetro de destino.

„ Insert before: Cambia la posición de un elemento de configuración en un

grupo ordenado.

„ Insert after: Cambia la posición de un elemento de configuración en un grupo

ordenado.

„ Rename: Cambia el nombre de uno o más identificadores de objetos de

configuración.

Si fusiona una lista de objetos con una lista existente de objetos en el almacén de
configuración, se podrían obtener resultados inesperados en la lista de objetos
fusionada. Durante una operación de fusión, no se mantiene el orden de los objetos
en la lista nueva. Si importa una lista de objetos y desea mantener el orden de la
lista nueva, debe usar el atributo de operación replace. También puede usar las
opciones insert before o insert after para asegurarse de producir la jerarquía que
desea.

Los atributos de operación se aplican a los elementos de forma recurrente, a menos

que también se definan nuevos operadores dentro de los elementos más bajos. Hay
limitaciones en el operador legal que se puede usar en elementos hijos sin conflicto
con el operador padre. La Tabla 44 muestra las relaciones del operador legal entre
los elementos padre e hijo.

Tabla 44: Relaciones de atributos de operación legal

Hijo > Create Merge Replace Delete Insert Insert Rename
Padre V before before
Ninguno OK OK OK OK OK OK OK
Create OK OK Error Error OK OK Error
Merge OK OK OK OK OK OK OK
Replace Error OK OK Error OK OK Error
Delete Error OK Error OK Error Error Error
Insert OK OK OK OK OK OK OK
before
Insert OK OK OK OK OK OK OK
after
Rename OK OK OK OK OK OK OK

A continuación se encuentran dos ejemplos de la operación de importación:

Ejemplo 1: Establezca la MTU en 1500 en una interfaz con nombre “Ethernet0/0”

en la configuración que se ejecuta.

<interface>
<name>Ethernet0/0</name>
<mtu>1500</mtu>
</interface>

Importación y exportación de archivos de configuración XML „ 815

 Guía de administración de Secure Access de Juniper Networks

Ejemplo 2: Agregue una interfaz con nombre “Ethernet0/0” en la configuración que

se ejecuta, reemplazando cualquier interfaz previa con ese nombre.

<interface xc:operation="replace">
<name>Ethernet0/0</name>
<mtu>1500</mtu>
<address>
<name>192.0.2.4</name>
<prefix-length>24</prefix-length>
</address>
</interface>

Reglas de importación generales

Los modos de importación predeterminados tienen atributos equivalentes en el
objeto de raíz del árbol de configuración:

„ Standard Import siempre es una operación de fusión

„ Quick Import es una operación de creación

„ Full Import es una operación de reemplazo.

Configuraciones de envío de un IVE a otro

Los dispositivos IVE le permiten copiar todos o algunos de los ajustes de
configuración de un IVE a otro usando la característica Push Configuration. Esta
característica proporciona administración de configuración simple a través de una
empresa sin necesidad de integrar los dispositivos IVE en un clúster. Con la
característica Push Configuration, puede decidir exactamente qué ajustes quiere
o no quiere copiar a lo largo de la empresa. La interfaz de selección de los ajustes es
similar a la característica XML Import/Export.

Puede enviar la configuración a un IVE único o a varios IVE. Por ejemplo, si instala
varios IVE nuevos, puede enviar su configuración inicial. También puede enviar la
configuración a un IVE que sea miembro de un clúster si el IVE de destino no es un
miembro del mismo clúster como origen. Los IVE de destino tienen la opción de
aceptar o no los ajustes de configuración enviados. Para obtener instrucciones,
consulte “Definición de los IVE de destino” en la página 818. Si un envío de
configuración a un IVE de destino presenta un error, Push Configuration continúa
con el siguiente destino hasta que todos los destinos identificados estén
actualizados. La página de resultados muestra el estado y los problemas
encontrados durante el proceso.

NOTA: Cuando importe la configuración del servidor de autenticación AD con un

archivo XML o a través de Push Config, es necesario cambiar el nombre Computer
Object de forma manual después de la importación. Podrían presentarse
problemas inesperados si dos sistemas que usan el mismo nombre Computer
Object se unen al dominio AD.

816 „ Configuraciones de envío de un IVE a otro

 Capítulo 28: Archivado del sistema

Tenga en cuenta lo siguiente cuando envíe configuraciones:

„ Después de que el IVE actualiza la configuración en un IVE de destino, el

dispositivo IVE de destino reinicia sus servicios. Es posible que ocurran
interrupciones breves mientras se reinicia el servicio. Le recomendamos
realizar envíos a los IVE de destino cuando están inactivos o cuando puedan
soportar breves interrupciones.

„ Los IVE de destino no muestran mensajes de advertencia cuando reciben las

configuraciones enviadas. Push Configuration actualiza el archivo de registro
Administrator Access con los resultados del envío de configuración.

„ El IVE de destino cierra la sesión de los administradores automáticamente

durante el proceso de envío de configuración.

„ Los IVE de origen y destino deben tener el mismo número y versión de

compilación.

„ Si el IVE de destino o de origen tiene una licencia IVS, debe enviar todos los
ajustes de configuración. No puede seleccionar qué ajustes enviar.

„ El IVE de origen envía datos sólo a través del puerto interno o el Puerto de
administración (en SA 6000 de Juniper Networks, si está configurado). El IVE de
destino puede recibir datos a través de los puertos interno, externo o de
administración (en SA 6000 de Juniper Networks, si está configurado).

„ Puede enviar hasta 8 destinos por operación de envío de configuración; es

posible ejecutar hasta 25 operaciones de envío simultáneamente. El número
máximo de destinos a los que el IVE puede enviar configuraciones en cualquier
momento es 200.

„ El IVE de origen guarda y muestra hasta 25 resultados de configuración de

envío en la ficha Results. Si se muestran actualmente 25 resultados, el IVE
elimina los datos del resultado más antiguo cuando la configuración de envíos
se ejecuta nuevamente.

„ No puede enviar las siguientes configuraciones: licencias, clústeres, redes

y zona horaria.

Para que Push Configuration funcione, la cuenta del administrador del IVE de origen
debe iniciar sesión en el IVE de destino sin interacción humana. Por ejemplo, no
puede tener credenciales dinámicas o roles múltiples que no estén fusionados, ya
que ambos requieren interacción manual.

Antes de usar Push Configuration, debe configurar su las siguientes condiciones

específicas de su sistema:

„ Debe asignar al rol .Administrators y así crear un “superadministrador” con

privilegios de administración completos. Use los ajustes de la ficha
Authentication > Auth Servers > [Servidor de administrador] > Users para
agregarse a usted mismo al rol .Administrators.

Configuraciones de envío de un IVE a otro „ 817

 Guía de administración de Secure Access de Juniper Networks

„ La cuenta de administrador del IVE de destino debe usar autenticación de

contraseña estática o tokens de dos factores que no usen autenticación del tipo
respuesta al desafío. Por ejemplo, no se admiten los certificados, Soft ID ni
Defender Authentication. Use los ajustes de la ficha Administrators > Admin
Realms > [Territorio de administrador] > General para seleccionar el servidor
de autenticación adecuado para el territorio de administración.

„ No debe configurar la cuenta de administrador de una forma que requiera que

el administrador seleccione un rol para iniciar sesión en el IVE de destino. Por
ejemplo, no debe asignar un usuario único a roles múltiples, incluyendo el rol
de administrador de configuración de envío, y después no fusionar
permisivamente esos roles. Recomendamos que cree una cuenta
exclusivamente para administradores de configuración de envío para garantizar
que el administrador no necesita elegir un rol durante el proceso de inicio de
sesión y para distinguir claramente las acciones de los administradores de
envío de configuración en los archivos de registro. Use los ajustes de la ficha
Administrators > Admin Realms > [Territorio de administrador] > Role
Mapping para configurar las reglas de asignación de roles adecuados.

Definición de los IVE de destino

Si el IVE de destino es parte de un clúster, puede realizar envíos a cualquier
miembro del clúster si el destino no es un miembro del clúster de origen. Debe
habilitar el ajuste Allow this IVE to be a target en todos los miembros del clúster.
Este ajuste es importante cuando especifica la dirección IP virtual (VIP) en la
dirección URL de inicio de sesión de un destino, ya que asegura que el envío sea
correcto independiente de qué nodo almacena el VIP.

Tenga en cuenta lo siguiente acerca de los IVE de destino.

„ Los nombres y las direcciones URL de inicio de sesión de destino no se pueden

editar después de crearlos.

„ No puede editar o eliminar un IVE de destino mientras se están enviando datos

de configuración al IVE de destino.

„ Cuando elimine un IVE de destino, con él se eliminarán también todos los

resultados del envío de configuración.

Para definir los IVE de destino:

1. Cree cuentas de administrador en ambos IVE. Para obtener instrucciones,

consulte “Creación de las roles de administrador” en la página 901. (Consulte
las restricciones en “Configuraciones de envío de un IVE a otro” en la
página 816).

2. En la consola de administración, elija Maintenance > Push Config > Targets.

3. Si no desea que este IVE acepte los ajustes de configuración enviados,

desmarque la casilla de verificación Allow this IVE to be a target.

818 „ Configuraciones de envío de un IVE a otro

 Capítulo 28: Archivado del sistema

4. Para crear un nuevo IVE de destino, haga clic en New Target. En la página New
Target:

a. En el campo Name, escriba un nombre para el IVE de destino.

b. En el campo Sign-in URL, introduzca la dirección URL de inicio de sesión

definida en la página Authentication > Signing In > Sign-In Policies.

c. Introduzca el nombre de usuario, la contraseña y el territorio de

autenticación de una cuenta de administrador en el IVE de destino que
proporciona privilegios de administración totales.

d. Haga clic en Save Changes.

5. Para eliminar un IVE de destino:

a. Seleccione la casilla de verificación situada junto a cada IVE de destino que

desee eliminar.

b. Haga clic en Delete y después confirme que desea eliminar el IVE.

6. Haga clic en Save Changes.

Envío de ajustes de configuración

Para enviar los roles, los recursos, los ajustes de inicio de sesión, los servidores de
autenticación y los usuarios locales seleccionados desde un IVE a otro:

1. En la consola de administración, elija Maintenance > Push Config.

2. Si no ha configurado el IVE de destino, haga clic en la ficha Targets y siga las

instrucciones en “Definición de los IVE de destino” en la página 818.

3. Seleccione una de las siguientes opciones de la lista What to push:

„ Entire configuration para enviar todos los ajustes de configuración,

excepto las siguientes:

‰ Configuraciones de red

‰ Licencias

‰ Configuraciones del clúster

‰ Certificados

‰ Ajustes SNMP

‰ Ajustes del servidor syslog

Configuraciones de envío de un IVE a otro „ 819

 Guía de administración de Secure Access de Juniper Networks

‰ Destinos de configuración configurados en el IVE de origen

NOTA: Los marcadores y preferencias de usuarios desde el IVE de origen se envían

a todos los IVE de destino con esta opción. Se reescriben todos los marcadores
y las preferencias ya configuradas en el IVE de destino.

„ Selected configuration para elegir los ajustes específicos que se enviarán.

NOTA: No se puede copiar ajustes de red a otro IVE usando la característica Push
Configuration. Puede usar la característica XML Import/Export para exportar
ajustes de red seleccionados y luego para importar esos ajustes a otro IVE. Para
obtener más información, consulte “Importación y exportación de archivos de
configuración XML” en la página 791.

Consulte “Exportación de datos de configuración XML” en la página 804

para obtener información acerca de las opciones y los ajustes que puede
enviar.

4. Seleccione los IVE de destino desde la lista Available Targets y haga clic en Add
para moverlos a la lista Selected Targets.

5. Seleccione la casilla de verificación Overwrite duplicate settings si desea

sobrescribir los ajustes en el IVE de destino que tienen el mismo nombre que
los ajustes en el IVE de origen.

NOTA:

„ Si Overwrite duplicate settings está en off y si el nombre de cualquier ajuste

en el archivo importado coincide con el nombre de un ajuste correspondiente
en el IVE de destino, entonces Push Configuration no copia los valores para
ese ajuste en el IVE de destino. Push Configuration sólo copia nuevos objetos
al IVE de destino.

„ Si Overwrite duplicate settings está en on, Push Configuration copia todos

los objetos nuevos y actualizados en el IVE de destino.

6. Haga clic en Push Configuration para copiar los ajustes seleccionados a los IVE
de destino. El IVE muestra el estado de envío en la ficha Results.

NOTA: Cuando haga clic en Push Configuration, no podrá detener el proceso ni

cambiar el IVE de destino hasta que finalice el proceso de configuración de envío
completamente.

Si hay errores durante el proceso de envío, la operación de importación se

detendrá y la configuración volverá al estado anterior. Los mensajes de error se
muestran en la página Results.

7. Corrija los problemas descritos en los mensajes de error y realice nuevamente

el envío al IVE de destino que presentó el error.

820 „ Configuraciones de envío de un IVE a otro

 Capítulo 28: Archivado del sistema

Archivado de Secure Meetings

El IVE le permite archivar instancias de Secure Meeting. Puede:

„ Configurar un proceso de archivado recurrente.

„ Realizar un archivado único.

„ Archivar las reuniones eliminadas en un archivo XML para eliminarlas

o borrarlas después. Se crea un archivo para cada archivo realizado.

„ Definir el número de días que permanece una instancia de SecureMeeting

en el IVE antes de archivarse (las instancias con más de x días se
archivarán).

„ Definir qué nodo de un clúster realizará el archivado.

El proceso de archivado elimina las reuniones independientes completadas, las

instancias de reunión recurrentes finalizadas y las instancias de MySecureMeeting
finalizadas. Se eliminarán las reuniones recurrentes y sus reuniones padres si sus
fechas de finalización ya han pasado. Sin embargo, la reunión padre no se archiva
debido a que la información de ésta ya se encuentra capturada en las instancias
recurrentes. El proceso de archivado no elimina reuniones en curso o programadas
para el futuro.

NOTA: De forma predeterminada, el archivado de Secure Meetings está

desactivado. También de forma predeterminada, se eliminan las instancias
MySecureMeetings anteriores a 90 días. Si la característica de archivado de Secure
Meeting está desactivada, la eliminación automática de MySecureMeetings no se
guardará en el archivo de archivado.

En una configuración de clúster, sólo un nodo realiza la tarea de archivado y sólo se

archivan los archivos almacenados en ese nodo. Para descargar o eliminar los
archivos archivados debe iniciar sesión en el nodo de archivado usando la dirección
IP del nodo en lugar de la dirección IP virtual.

Para IVS, debe configurar los ajustes en cada IVS que desee archivar
SecureMeetings.

A continuación se muestra un ejemplo de un fragmento de un archivo XML creado

en el proceso de archivado de Secure Meeting.

<meetings>
<meeting>
<id>20993310</id>
<creator><![CDATA[gary (Users)]]></creator>
<name><![CDATA[Support Meeting (20993310)]]></name>
<agenda><![CDATA[]]></agenda>
<teleconference_info><![CDATA[]]></teleconference_info>
<date><![CDATA[4:11 PM May 15, 2007 (GMT-08:00) Pacific Time (US &
Canada); Tijuana]]></date>
<duration>1 hour</duration>

Archivado de Secure Meetings „ 821

 Guía de administración de Secure Access de Juniper Networks

<meeting_type>support</meeting_type>
<invitees>
<invitee><![CDATA[gary (System Local) Conductor]]></invitee>
...
</invitees>
<attendees>
<attendee>
<name><![CDATA[gary]]></name>
<join_time>04:11 PM</join_time>
<duration>50 minutes </duration>
</attendee>
...
</attendees>
</meeting>
...
</meetings>

Para archivar SecureMeetings:

1. En la consola de administración, elija Maintenance > Archiving > Secure

Meetings.

2. Para programar un proceso de archivado recurrente, seleccione la opción

Perform automatic clean up every y especifique la frecuencia con la que se
debe ejecutar el proceso de archivado.

3. En el campo Delete meetings older than, escriba la antigüedad (en días) que
deben tener las reuniones antes de archivarlas. Las reuniones anteriores a este
momento se archivarán y se eliminarán del sistema.

4. Para archivar Secure Meetings en una configuración de clúster, seleccione la

opción Archive meeting records on node y luego seleccione el nodo que
realiza el archivado.

5. Haga clic en Clean Up Now para realizar el proceso de archivado de forma

inmediata. Las reuniones anteriores al momento especificado se archivarán
y se eliminarán del sistema.

6. Haga clic en Save Changes para guardar sus ediciones.

Cuando finalice el proceso de archivado, los archivos guardados aparecerán en una

lista en la tabla Secure Meeting archive.

„ Para ver o descargar un archivo de archivado, haga clic en su nombre.

„ Para eliminar un archivo, seleccione la casilla de verificación situada junto a su

nombre y haga clic en Delete.

822 „ Archivado de Secure Meetings

Capítulo 29
Registro y supervisión

El IVE proporciona capacidades de registro y supervisión para ayudarle a realizar un

seguimiento de los eventos y actividades del usuario. Este capítulo describe las
diversas características de registro y supervisión incluidas con el IVE.

Esta sección contiene la siguiente información acerca de las características de

registro y supervisión:

„ “Licencia: Disponibilidad de registro y supervisión” en la página 823

„ “Información general de registro y supervisión” en la página 824

„ “Configuración de las características de supervisión de registro” en la

página 828

„ “Configuración de eventos, acceso de usuario, acceso de administrador y

sensor IDP” en la página 828

„ “Supervisión del IVE como un agente de SNMP” en la página 833

„ “Visualización de estadísticas del sistema” en la página 841

„ “Habilitación de registros del lado cliente” en la página 841

„ “Visualización del estado general” en la página 845

„ “Supervisión de usuarios activos” en la página 848

„ “Visualización y cancelación de reuniones programadas.” en la página 850

Licencia: Disponibilidad de registro y supervisión

Las capacidades de registro y supervisión están disponibles en todos los productos
Secure Access; no es necesaria una licencia especial para usarlos. Sin embargo, las
siguientes herramientas avanzadas de registro y supervisión no se encuentran
disponibles en el dispositivo SA 700:

„ Registro de sensores

„ Filtros de registro personalizados y dinámicos

Licencia: Disponibilidad de registro y supervisión „ 823

 Guía de administración de Secure Access de Juniper Networks

„ Gráficos del panel de capacidad del sistema y eventos críticos

„ Registro y supervisión de Secure Meeting

Información general de registro y supervisión

Los archivos de registro del IVE son archivos de texto almacenados en un
dispositivo IVE que realiza seguimiento de los eventos del sistema. Un dispositivo
IVE produce los siguientes tipos de archivos de registro:

„ Events log: Este archivo de registro contiene una variedad de eventos del
sistema, como tiempos de espera de sesión (incluyendo tiempos de espera de
sesión de duración máxima y de inactividad), errores y advertencias del
sistema, solicitudes de comprobación de conectividad del servidor
y notificaciones de reinicio de servicio del IVE. (El proceso de guardián del IVE
revisa periódicamente el servidor del IVE y se reinicia si el IVE no responde.)

„ User Access log: Este archivo de registro contiene información sobre el

momento en que los usuarios acceden al dispositivo, incluyendo el número
de usuarios simultáneos en cada intervalo de una hora (registrado cada hora),
inicios y cierres de sesión de usuarios, solicitudes de archivos de usuario
y solicitudes Web.

„ Administrator Access log: Este archivo de registro contiene información de

administración, incluyendo cambios del administrador en los ajustes de
usuario, sistema y red, como cambios en tiempos de espera de sesión,
la opción de habilitar/inhabilitar la exploración URL y los marcadores creados
por el usuario, y la información del equipo y el servidor. También crea una
entrada de registro siempre que un administrador inicia o cierra sesión,
o cambia licencias en dispositivo.

„ Sensors log: Este archivo de registro contiene mensajes de alerta de ataque

e informativos generados por un dispositivo IDP asociado que supervisa el
tráfico del cliente en busca de posibles intrusiones en la red.

„ Client upload log: Este archivo de registro contiene información de registro

sobre el inicio, conexión y término de la sesión que se puede usar para
diagnosticar y solucionar problemas que puedan tener los usuarios en relación
con el IVE.

Las páginas System > Log/Monitoring permiten especificar qué eventos se

registran, el tamaño máximo del archivo para el registro del sistema y si los eventos
se registran en el servidor syslog además del registrarse de forma local. Las páginas
System > Log/Monitoring también permiten ver el número de eventos
especificado, guardar los archivos de registro en una red y borrar los registros.

824 „ Información general de registro y supervisión

 Capítulo 29: Registro y supervisión

Cuando uno de los registros alcanza el tamaño máximo del archivo de registro
configurado (200 MB de forma predeterminada), los datos actuales se sustituyen
por un archivo de registro de la copia de seguridad. Entonces se crea un archivo
nuevo y vacío para todos los mensajes de registro subsiguientes (nuevos). Con el
visualizador de registros, el administrador puede ver los 5000 mensajes de registro
más recientes (límite de visualización del visualizador). Si el archivo de registro
actual contiene menos de 5000 mensajes de registro, se muestran los mensajes
más antiguos del archivo de registro de la copia de seguridad, hasta completar los
5000 mensajes de registro. Esto hace que los archivos de registro aparezcan como
uno, aunque se hayan almacenado por separado, de acuerdo con el tamaño
máximo del archivo de registro configurado.

NOTA: Cuando decide guardar los mensajes de registro o usar la función de

archivado del FTP en la página Maintenance > Archiving, el archivo de registro
de la copia de seguridad se adjunta al archivo de registro actual, y luego se
descarga como un solo archivo de registro. Si los archivos de registro no se
archivan ni guardan para el momento en que se vuelvan a sustituir, se perderán
los mensajes de registro más antiguos (guardados en el archivo de registro de la
copia de seguridad).

Además, puede usar una herramienta de administración de red como

HP OpenView para supervisar un dispositivo IVE como un agente de SNMP. La
plataforma del IVE admite SNMP v2, implementa una MIB (base de información de
administración) privada y define sus propias capturas. Para permitir que la estación
de administración de red procese estas capturas, debe descargar el archivo MIB
Juniper Networks y especificar la información correspondiente para recibir las
capturas. Puede configurar algunas de las capturas para que se ajusten a sus
necesidades. Para obtener más información sobre los ajustes de los umbrales
de capturas, consulte “Supervisión del IVE como un agente de SNMP” en la
página 833.

NOTA: Para supervisar las estadísticas vitales del sistema, como el uso de CPU,
cargue el archivo MIB UC-Davis en la aplicación del administrador de SNMP. Puede
obtener el archivo MIB de: http://net-snmp.sourceforge.net/docs/mibs/UCD-SNMP-
MIB.txt.

Niveles de gravedad del archivo de registro

Los archivos de registro de eventos, acceso de usuario y acceso de administrador
clasifican los eventos según estas pautas:

„ Critical (severity level 10): Cuando el IVE no puede responder a las solicitudes
del usuario o del administrador o pierde la funcionalidad en la mayoría de los
subsistemas, escribe un evento crítico en el registro.

„ Major (severity levels 8-9): Cuando el IVE pierde la funcionalidad en uno o más
subsistemas, pero los usuarios aún pueden acceder al dispositivo mediante
otros mecanismos de acceso, el IVE escribe un evento grave en el registro.

Información general de registro y supervisión „ 825

 Guía de administración de Secure Access de Juniper Networks

„ Minor (severity levels 5-7): Cuando el IVE encuentra un error que no

corresponde a un error importante de un subsistema, escribe un evento leve en
el registro. Por lo general, los eventos leves corresponden a errores individuales
de solicitud.

„ Info (severity levels 1-4): Cuando el IVE muestra un mensaje de notificación,

cuando un usuario realiza una solicitud o cuando un administrador realiza una
modificación, el IVE escribe un evento informativo en el registro.

Archivos de registro personalizado del filtro

El paquete de Central Manager permite filtrar y dar formato a los datos de los
archivos de registro de eventos, acceso de usuario y acceso de administrador.

Cuando filtra los archivos de registro, el dispositivo IVE sólo guarda estos mensajes
especificados dentro de la consulta del filtro. Por ejemplo, puede crear una consulta
que sólo registre las entradas de un rango particular de direcciones IP o de usuarios
que inician sesión en un territorio específico. Para crear una consulta, use el
lenguaje de expresión personalizada del IVE.

Cuando da formato a los archivos de registro, el dispositivo IVE simplemente

cambia la “apariencia” de los mensajes de registro basándose en sus
especificaciones. Los formatos de registro no afectan a los datos que el dispositivo
guarda; los formatos sólo afectan a la forma en que el dispositivo muestra los datos.
Un dispositivo IVE incluye formatos de registro estándar, WELF y W3C, pero
también puede optar por crear su propio formato personalizado. Para crear un
formato personalizado, use los campos de registro.

Para obtener instrucciones sobre la configuración, consulte “Configuración de las

características de supervisión de registro” en la página 828.

Filtros de registro dinámicos

El paquete de Central Manager proporciona a los administradores la capacidad de
cambiar rápidamente la vista del registro haciendo clic en cualquier vínculo de
variable de registro de datos en el registro que se visualiza actualmente. Por
ejemplo, si desea ver temporalmente el registro de acceso de usuarios basándose
en una dirección IP en especial, cree un “filtro rápido” haciendo clic en cualquier
repetición de esa dirección IP en el registro actual y el IVE de inmediato actualiza el
registro para mostrar todas las entradas que contienen la dirección IP especificada.
Además, hacer clic en vínculos de variables de registro de datos adicionales
expande el filtro rápido y actualiza la vista actual del registro.

NOTA: Al igual que con los filtros de registro personalizados, los filtros de registro
dinámicos sólo cambian la vista actual del registro, no los datos que el IVE guarda.

Aunque los filtros rápidos actúan como agentes de filtro temporales, el IVE le da la
posibilidad de guardar las cadenas de consultas temporales como filtros
personalizados nuevos.

826 „ Información general de registro y supervisión

 Capítulo 29: Registro y supervisión

Para obtener instrucciones sobre la configuración, consulte “Filtros de registro

dinámicos” en la página 826. Para obtener más información sobre Central Manager,
consulte “Uso de las características de administración central” en la página 717.

Visualización y eliminación de sesiones de usuario

La página de configuración de la mayoría de los servidores de autenticación del IVE
contiene una ficha Users que puede usar para ver y eliminar las sesiones de usuario
activas del IVE. Los tipos de servidor de autenticación que no incluyen esta
ficha son:

„ Anonymous server: El IVE no puede mostrar datos de sesiones individuales

sobre los usuarios que inician sesión mediante un servidor anónimo porque no
recopila nombres de usuario ni otras credenciales de estos usuarios.

„ Local authentication server: El IVE muestra la ficha Local Users en lugar de la

ficha Users para los servidores de autenticación locales, lo que permite agregar
y eliminar cuentas de usuario en lugar de sesiones de usuario.

Para todos los otros tipos de servidores de autenticación, puede ver y eliminar
sesiones de usuario activas siguiendo estas instrucciones.

Para ver o eliminar una sesión de usuario activa:

1. En la consola de administración, elija Authentication > Auth. Servers.

2. Haga clic en el vínculo correspondiente en la lista

Authentication/Authorization Servers.

3. Seleccione la ficha Users.

4. Realice alguna de las siguientes tareas:

„ Introduzca un nombre de usuario en el campo Show users named y haga

clic en Update para buscar un usuario específico.

O bien, puede usar un carácter * como comodín, donde * representa

cualquier número de cero o más caracteres. Por ejemplo, si desea buscar
todos los nombres de usuario que contienen las letras jo, introduzca *jo*
en Show users named field. La búsqueda distingue mayúsculas de
minúsculas. Para volver a mostrar la lista completa de cuentas, introduzca
un carácter * o elimine el contenido del campo y haga clic en Update.

„ Introduzca un número en el campo Show N users y haga clic en Update

para controlar el número de usuarios que aparece en la página.

„ Haga clic en la casilla de verificación que se encuentra al lado de los

usuarios individuales y haga clic en Delete para terminar sus sesiones en
el IVE.

Información general de registro y supervisión „ 827

 Guía de administración de Secure Access de Juniper Networks

NOTA: Puede buscar varias estadísticas de acceso de cualquier cuenta de usuario

en la ficha Users de la columna Last Access Statistics. Estas columnas aparecen
en cualquiera de las fichas Users, en cualquier ubicación en que aparezcan en la
consola de administración. Las estadísticas incluyen la fecha y hora del último
inicio de sesión correcto de un usuario, además del tipo de explorador y versión.

Configuración de las características de supervisión de registro

Las características de supervisión de registro del IVE permiten supervisar eventos,
accesos de usuario y accesos de administrador, que es posible filtrar y guardar para
su posterior revisión. Además, el IVE permite que use SNMP para supervisar sus
actividades y proporciona estadísticas, registro del lado cliente para aplicaciones
como Host Checker, Cache Cleaner, Secure Meeting, WSAM, JSAM, Terminal
Services y Network Connect.

Para obtener más información, consulte los siguientes temas:

„ “Configuración de eventos, acceso de usuario, acceso de administrador y

sensor IDP” en la página 828

„ “Supervisión del IVE como un agente de SNMP” en la página 833

„ “Visualización de estadísticas del sistema” en la página 841

„ “Habilitación de registros del lado cliente” en la página 841

„ “Visualización del estado general” en la página 845

„ “Supervisión de usuarios activos” en la página 848

„ “Visualización y cancelación de reuniones programadas.” en la página 850

Para obtener información sobre las capacidades de registro y supervisión del IVE,
consulte “Registro y supervisión” en la página 823.

Configuración de eventos, acceso de usuario, acceso de

administrador y sensor IDP
Use las páginas System > Log/Monitoring > Events, User Access, Admin Access
y Sensor para guardar archivos de registro, crear consultas de registro dinámico,
especificar qué eventos se guardan en los archivos de registro y crear filtros y
formatos personalizados.

828 „ Configuración de las características de supervisión de registro

 Capítulo 29: Registro y supervisión

NOTA: Los registros de eventos, acceso de usuario y acceso de administrador son

tres archivos distintos. Aunque las instrucciones de configuración básica de cada
uno es la misma, modificar los ajustes de uno no afecta a los ajustes del otro. Para
obtener más información sobre el contenido de cada archivo, consulte “Registro y
supervisión” en la página 823.

Para guardar, ver o borrar el archivo de registro de eventos:

1. En la consola de administración, elija System > Log/Monitoring.

2. Seleccione Events, User Access, Admin Access o Sensors y luego elija Log.

3. (Sólo Central Management) En la lista View by filter, elija el filtro personalizado

que el IVE debe usar para filtrar datos.

4. Introduzca un número en el campo Show y haga clic en Update si desea

cambiar el número de entradas de registro que el IVE muestra de una vez.

5. Haga clic en Save Log As, diríjase a la ubicación de red deseada, introduzca un
nombre de archivo y haga clic en Save para guardar manualmente el archivo de
registro.

NOTA: Para guardar todos los archivos de registro (Events Log, User Access Log,
Admin Access Log y Sensors Log) haga clic en Save All Logs y el IVE le solicitará
una ubicación en la que guardar los archivos de registro en un archivo
comprimido. Puede acceder al botón Save All Logs desde cualquiera de las fichas
de registro correspondientes.

6. Haga clic en Clear Log para borrar el registro local y el archivo log.old.

NOTA: Cuando borra el registro local, los eventos grabados por el servidor syslog
no se ven afectados. Los eventos posteriores se graban en un nuevo archivo de
registro local.

Creación, restablecimiento o guardado de una consulta de registro dinámico

Para crear, restablecer o guardar una consulta de filtro de registro dinámico:

1. Elija System > Log/Monitoring en la consola de administración.

2. Seleccione la ficha Events, User Access, Admin Access o Sensors y luego

elija Log.

3. Haga clic en cualquier vínculo de variable de registro de datos en el registro

actual. El registro se actualiza inmediatamente según la variable elegida.

Configuración de eventos, acceso de usuario, acceso de administrador y sensor IDP „ 829

 Guía de administración de Secure Access de Juniper Networks

4. Continúe agregando variables del mismo modo (opcional). Cada vínculo de

variable del registro de datos que seleccione agrega una variable adicional al
campo de texto Edit Query y el registro se actualiza con cada variable
agregada.

5. Haga clic en el botón Reset Query para borrar el campo de texto Edit Query
y restablecer el registro en la vista determinada por el filtro especificado en el
campo View by filter (opcional).

6. Haga clic en el botón Save Query para guardar la consulta de registro dinámico
como un filtro personalizado (opcional). La ficha Filters aparece con el campo
Query llenado previamente con las variables que seleccionó del registro.
A continuación:

a. Introduzca un nombre para el filtro.

b. Seleccione Make default para que el filtro nuevo sea el predeterminado

(opcional).

c. Configure las fechas de inicio y término del filtro:

‰ En la sección Start Date, haga clic en Earliest Date para escribir todos
los registros de la primera fecha disponible almacenada en el archivo
de registro. O bien, introduzca manualmente una fecha de inicio.

‰ En la sección End Date, haga clic en Latest Date para escribir todos los
registros hasta la última fecha disponible almacenada en el archivo de
registro. O bien, introduzca manualmente una fecha de término.

7. Elija un formato en la sección Export Format. Para obtener más información

sobre los formatos disponibles, consulte “Archivos de registro personalizado del
filtro” en la página 826.

8. Seleccione el botón Save para guardar el filtro nuevo.

Especificación de los eventos que se guardarán en el archivo de registro

Use las opciones de la ficha Settings para especificar lo que el IVE escribirá en el
archivo de registro, qué servidores syslog usará para almacenar los archivos de
registro y el tamaño máximo del archivo.

NOTA: También puede usar la página Archiving para guardar automáticamente los
registros en una ubicación accesible mediante FTP. Para obtener más información,
consulte “Archivado de archivos de configuración binarios del IVE” en la
página 782.

Para especificar los ajustes de registro de eventos:

1. En la consola de administración, elija System > Log/Monitoring.

2. Seleccione la ficha Events, User Access, Admin Access o Sensors y luego elija
Settings.

830 „ Configuración de eventos, acceso de usuario, acceso de administrador y sensor IDP

 Capítulo 29: Registro y supervisión

3. En el campo Maximum Log Size, especifique el tamaño máximo del archivo

para el archivo de registro local (el límite es de 500 MB). El registro del sistema
muestra los datos hasta la cantidad especificada.

NOTA: Maximum Log Size es un ajuste interno que principalmente corresponde al

tamaño de los registros con formato Standard. Si decide usar un formato más
explicativo como WELF, sus archivos de registro podrían exceder el límite que
especificó aquí.

4. En Select Events to Log, seleccione la casilla de verificación para cada tipo de

evento que desee capturar en el archivo de registro local.

NOTA: Si desactiva la casilla de verificación Statistics en la ficha Events Log, el IVE

no escribe estadísticas en el archivo de registro, pero continúa mostrándolas en la
ficha System > Log/Monitoring > Statistics. Para obtener más información,
consulte “Visualización de estadísticas del sistema” en la página 841.

5. En Syslog Servers, introduzca información sobre los servidores syslog en donde

desea almacenar sus archivos de registro (opcional):

a. Introduzca el nombre o dirección IP del servidor syslog.

b. Introduzca una utilidad para el servidor. El IVE proporciona 8 utilidades

(LOCAL0-LOCAL7) que puede asignar a utilidades de su servidor syslog.

c. (Sólo Central Manager) Elija qué filtro desea aplicar al archivo de registro.

d. Haga clic en Add.

e. Repita el procedimiento en varios servidores si así lo desea, usando

formatos y filtros diferentes para servidores y utilidades diferentes.

NOTA: Asegúrese de que el servidor syslog acepte mensajes con los siguientes
ajustes: facility = LOG_USER y level = LOG_INFO.

6. Haga clic en Save Changes.

Creación, edición o eliminación de filtros

Use los controles de la ficha Filters para crear filtros de registro personalizados,
o para editar o eliminar el siguiente conjunto de filtros de registro predefinidos.

„ Standard (predeterminado): Este formato de filtro de registro registra la

fecha, hora, nodo, dirección IP de origen, usuario, territorio y el ID de
evento y mensaje del IVE.

„ WELF: Este filtro WebTrends Enhanced Log Format (WELF) personalizado

combina el formato WELF estándar con la información sobre el territorio,
los roles y los mensajes del IVE.

Configuración de eventos, acceso de usuario, acceso de administrador y sensor IDP „ 831

 Guía de administración de Secure Access de Juniper Networks

„ WELF-SRC-2.0-Access Report: Este filtro agrega consultas de acceso a

nuestro filtro personalizado WELF. Puede usar este filtro fácilmente con
SRC de NetIQ para generar informes sobre métodos de acceso de usuario.

„ W3C: El formato de archivo de registro extendido de World Wide Web

Consortium es un formato ASCII personalizable con una variedad de
campos distintos. Visite http://www.w3.org para obtener más información
sobre este formato. Sólo el registro User Access ofrece este filtro como
opción.

Creación de filtros y formatos personalizados para sus archivos de registro

Use las opciones de la ficha Filters para especificar los datos que se escribirán en
sus archivos de registro, así como también su formato. Esta opción sólo está
disponible con el paquete de Central Manager

1. En la consola de administración, seleccione System > Log/Monitoring.

2. Seleccione la ficha Events, User Access, Admin Access, or Sensors y luego elija
Filters.

3. Siga uno de estos pasos:

„ Para modificar un filtro existente, haga clic en su nombre.

„ Para crear un filtro nuevo, haga clic en New Filter.

4. Introduzca un nombre para el filtro.

NOTA: Si selecciona un formato y luego crea un nombre nuevo para éste en el

campo Filter Name, el IVE no crea un formato de filtro personalizado nuevo que
se base en el formato existente, sino que sobrescribe el formato existente con los
cambios que efectuó.

5. Haga clic en Make Default para definir el filtro seleccionado como

predeterminado para el tipo de archivo de registro. Puede configurar filtros
predeterminados diferentes para los registro de eventos, acceso de usuario
y acceso de administrador.

6. Use las opciones de la sección Query para controlar qué subconjunto de datos
escribe el IVE en el registro:

a. En la sección Start Date, haga clic en Earliest Date para escribir todos los
registros de la primera fecha disponible almacenada en el archivo de
registro. O bien, introduzca manualmente una fecha de inicio.

b. En la sección End Date, haga clic en Latest Date para escribir todos los
registros hasta la última fecha disponible almacenada en el archivo de
registro. O bien, introduzca manualmente una fecha de término.

832 „ Configuración de eventos, acceso de usuario, acceso de administrador y sensor IDP

 Capítulo 29: Registro y supervisión

c. En la sección Query, use el lenguaje de expresión personalizada del IVE

para controlar qué subconjunto de datos escribe el IVE en el registro. Para
obtener instrucciones, consulte “Escritura de expresiones personalizadas”
en la página 1041.

NOTA: Cualquier cadena (incluyendo un carácter comodín *) que introduzca

manualmente en una consulta debe estar encerrada con comillas dobles. Por
ejemplo, la consulta protocol="UDP" AND sourceip=172.27.0.0/16 AND port=* se
debe presentar de la siguiente forma protocol="UDP" AND sourceip=172.27.0.0/16
AND port=”*” o el componente de registro devolverá un error.

7. Use una de las opciones de la sección Export Format para controlar el formato
de los datos en el registro:

„ Seleccione la opción Standard, WELF o W3C para dar formato a las

entradas del registro usando uno de estos formatos estandarizados. Para
obtener más información, consulte “Filtros de registro dinámicos” en la
página 826.

„ Seleccione la opción Custom e introduzca el formato que desea usar en el

campo Format. Cuando introduzca un formato, encierre las variables con
símbolos de porcentaje (por ejemplo %user%). Todos los otros caracteres de
este campo se tratan como literales.

8. Haga clic en Save.

Supervisión del IVE como un agente de SNMP

Puede usar una herramienta de administración de red como HP OpenView para
supervisar el IVE como un agente de SNMP. El IVE admite SNMP (Simple Network
Management Protocol) v2, implementa una MIB (base de información de
administración) privada y define sus propias capturas. Para permitir que la estación
de administración de red procese estas capturas, debe descargar el archivo MIB
Juniper Networks y especificar la información correspondiente para recibir las
capturas.

NOTA:

„ Para supervisar las estadísticas vitales del sistema del IVE, como el uso de
CPU, cargue el archivo MIB UC-Davis en la aplicación del administrador de
SNMP. Puede obtener el archivo MIB de:
http://net-snmp.sourceforge.net/docs/mibs/UCD-SNMP-MIB.txt.

„ El IVE admite objetos MIB estándar, incluyendo el objeto (sysUpTime) de

tiempo en servicio del sistema.

„ El objeto (sysUpTime) de tiempo en servicio del sistema devuelve el tiempo

transcurrido (en milésimas de segundo) desde que se inició el agente de
SNMP.

Supervisión del IVE como un agente de SNMP „ 833

 Guía de administración de Secure Access de Juniper Networks

Para especificar los ajustes de SNMP:

1. En la consola de administración, elija System > Log/Monitoring > SNMP.

2. Haga clic en el vínculo Juniper Networks MIB file para obtener acceso al
archivo MIB y guarde el archivo del explorador en una ubicación de red. Para
obtener descripciones de los objetos Get y Trap en el archivo MIB, consulte
“Supervisión del IVE como un agente de SNMP” en la página 833.

3. En Agent Properties introduzca información en los siguientes campos y haga

clic en Save Changes:

„ Introduzca la información en los campos System Name, System Location

y System Contact que describen el agente del IVE (opcional).

„ Introduzca una cadena en el campo Community (obligatorio).

NOTA:

„ Para hacer una consulta en el IVE, la estación de administración de red debe

enviar la cadena Community al IVE.

„ Para detener el sistema de SNMP, borre el campo Community.

4. En Trap Thresholds, configure los valores para las siguientes capturas

(opcional):

„ Check Frequency

„ Log Capacity

„ Users

„ Memory

„ Swap Memory

„ Disk

„ Meeting Users

„ CPU

Para obtener más información acerca de los umbrales de capturas, consulte

“Supervisión del IVE como un agente de SNMP” en la página 833.

5. En Optional traps, seleccione una o ambas de las siguientes opciones

(opcional):

„ Critical Log Events

„ Major Log Events

834 „ Supervisión del IVE como un agente de SNMP

 Capítulo 29: Registro y supervisión

Para obtener más información sobre estos tipos de evento, consulte

“Información general de registro y supervisión” en la página 824.

6. En SNMP Servers, especifique los servidores a los que desea que el IVE envíe
las capturas que genera, introduciendo la información en los siguientes campos
y luego haga clic en Add:

„ El nombre de host del servidor o la dirección IP

Supervisión del IVE como un agente de SNMP „ 835

 Guía de administración de Secure Access de Juniper Networks

„ El puerto en que el servidor escucha (normalmente puerto 162)

„ La cadena de comunidad que requiere la estación de administración de red

(si corresponde)

7. Haga clic en Save Changes.

8. En su estación de administración de red:

a. Descargue el archivo MIB Juniper Networks.

b. Especifique la cadena de comunidad que se requiere al consultar al IVE

(consulte el paso 3).

c. Configure el software de administración de red para recibir las capturas

del IVE.

Tabla 45: Objetos de configuración

Objeto Descripción
logFullPercent Devuelve el porcentaje del tamaño de archivo disponible
llenado por el registro actual como un parámetro de la
captura logNearlyFull.
signedInWebUsers Devuelve el número de usuarios que iniciaron sesión en
el IVE mediante un explorador de Web.
signedInMailUsers Devuelve el número de usuarios que iniciaron sesión en
el Email Client.
blockedIP Devuelve la dirección IP, bloqueada debido a intentos
consecutivos fallidos de inicio de sesión, enviados por la
iveToomanyFailedLoginAttempts trap. El sistema agrega la
dirección IP bloqueada a la tabla blockedIPList.
authServerName Devuelve el nombre de un servidor de autenticación
externo enviado por la captura
externalAuthServerUnreachable.
productName Devuelve el nombre del producto con licencia del IVE.
productVersion Devuelve la versión de software del sistema al IVE.
fileName Devuelve el nombre de archivo enviado por la captura
archiveFileTransferFailed.
meetingUserCount Devuelve el número de usuarios simultáneos en la
reunión enviados por la captura meetingUserLimit.
iveCpuUtil Devuelve el porcentaje de CPU usado durante el intervalo
entre dos asignaciones de SNMP. Este valor se calcula
dividiendo la cantidad de CPU usada por la cantidad de
CPU disponible durante la asignación actual y previa de
SNMP. Si no se dispone de una asignación previa, el
cálculo se basa en el intervalo entre la asignación actual
y el reinicio del sistema.
iveMemoryUtil Devuelve el porcentaje de memoria utilizada por el IVE
en el momento de una asignación de SNMP. El sistema
calcula este valor dividiendo el número de páginas de
memoria usada por el número de páginas de memoria
disponible.

836 „ Supervisión del IVE como un agente de SNMP

 Capítulo 29: Registro y supervisión

Tabla 45: Objetos de configuración (continuación)

Objeto Descripción
iveConcurrentUsers Devuelve el número total de usuarios registrados en el
nodo del IVE.
clusterConcurrentUsers Devuelve el número total de usuarios registrados en el
clúster.
iveTotalHits Devuelve el número total de coincidencias con el IVE
desde el último reinicio. Incluye los valores totales de
iveFileHits, iveAppletHits, meetingHits e iveWebHits.
iveFileHits Devuelve el número total de coincidencias de archivos
con el IVE desde el último reinicio. El servidor Web lo
incrementa con cada GET/POST correspondiente a una
solicitud de explorador de archivos.
iveWebHits Devuelve el número total de coincidencias por medio de
la interfaz Web desde el último reinicio. El servidor Web
lo incrementa con cada solicitud http recibida por el IVE,
excluyendo coincidencias de archivos, applet y reuniones.
iveAppletHits Devuelve el número total de coincidencias de applet
con el IVE desde el último reinicio. El servidor Web lo
incrementa con cada solicitud GET para un applet
de Java.
ivetermHits Devuelve el número total de coincidencias de terminal
con el IVE desde el último reinicio.
iveSAMHits Devuelve el número total de coincidencias de Secure
Application Manager con el IVE desde el último reinicio.
iveNCHits Devuelve el número total de coincidencias de Network
Connect con el IVE desde el último reinicio.
meetingHits Devuelve el número total de coincidencias de reuniones
con el IVE desde el último reinicio. El servidor Web lo
incrementa con cada solicitud http recibida por el IVE en
una URL relacionada con la reunión.
meetingCount Devuelve el número de reuniones simultáneas enviadas
por la captura meetingLimit.
logName Devuelve el nombre del registro
(administrador/usuario/evento) para las capturas
logNearlyFull y iveLogFull.
iveSwapUtil Devuelve el porcentaje de páginas de memoria de
intercambio utilizado por el IVE en el momento de una
asignación de SNMP. El sistema calcula este valor
dividiendo el número de páginas de memoria de
intercambio usado por el número de páginas de memoria
de intercambio disponible.
diskFullPercent Devuelve el porcentaje de espacio en disco usado en el
IVE para la captura iveDiskNearlyFull. El sistema calcula
este valor dividiendo el número de bloques de espacio en
disco usados por el número de bloques total de espacio
en disco.
blockedIPList Devuelve una tabla con las últimas 10 direcciones IP
bloqueadas. El MIB blockedIP agrega direcciones IP
bloqueadas a esta tabla
ipEntry Una entrada en la tabla blockedListIP que contiene una
dirección IP bloqueada y su índice (consulte IPEntry).

Supervisión del IVE como un agente de SNMP „ 837

 Guía de administración de Secure Access de Juniper Networks

Tabla 45: Objetos de configuración (continuación)

Objeto Descripción
IPEntry El índice (ipIndex) y la dirección IP (ipValue) para una
entrada en la tabla blockedIPList.
ipIndex Devuelve el índice para la tabla blockedIPList.
ipValue Una entrada de dirección IP bloqueada en la tabla
blockedIPList.
logID Devuelve el ID exclusivo del mensaje de registro enviado
por la captura logMessageTrap.
logType Devuelve una cadena enviada por la captura
logMessageTrap que establece si un mensaje de registro
es grave o crítico.
logDescription Devuelve una cadena enviada por la captura
logMessageTrap que establece si un mensaje de registro
es grave o crítico.
ivsName Devuelve el nombre de un sistema virtual.
ocspResponderURL Devuelve el nombre de un respondedor OCSP.
fanDescription Devuelve el estado de los ventiladores del IVE.
psDescription Devuelve el estado de las fuentes de alimentación
del IVE.
raidDescription Devuelve el estado del dispositivo RAID del IVE.

NOTA: Las opciones para enviar capturas de SNMP para eventos graves y críticos
se inhabilitan de forma predeterminada por motivos de seguridad.

Tabla 46: Objetos de estado/error

Objeto Descripción
iveLogNearlyFull El archivo de registro (sistema, acceso de usuario
o acceso de administrador) especificado por el parámetro
logName está casi lleno. Cuando se envía esta captura,
también se envía el parámetro logFullPercent (%de
archivo de registro lleno). Puede configurar esta captura
para que se envíe en cualquier porcentaje. Para inhabilitar
la captura, configure iveLogNearlyFull en 0%. El valor
predeterminado de la captura es 90%.
iveLogFull El archivo de registro (sistema, acceso de usuario
o acceso de administrador) especificado por el parámetro
logName está completamente lleno.
iveMaxConcurrentUsersSignedIn Número máximo o permitido de usuarios simultáneos
que iniciaron sesión actualmente. Puede configurar esta
captura para que se envíe en cualquier porcentaje. Para
inhabilitar la captura, configure
iveMaxConcurrentUsersSignedIn en 0%. El valor
predeterminado de la captura es 100%.

838 „ Supervisión del IVE como un agente de SNMP

 Capítulo 29: Registro y supervisión

Tabla 46: Objetos de estado/error (continuación)

Objeto Descripción
iveTooManyFailedLoginAttempts Un usuario con una dirección IP específica tiene muchos
intentos de inicio de sesión fallidos. Se activan cuando un
usuario no logra autenticarse de acuerdo con los ajustes
de las Lockout options en la ficha Security Options.
(Consulte “Configuración de las opciones de bloqueo” en
la página 736.)
Cuando el sistema activa esta captura, también activa el
parámetro blockedIP (IP de origen de los intentos de
inicio de sesión).
externalAuthServerUnreachable Un servidor de autenticación externo no responde a las
solicitudes de autenticación.
Cuando el sistema envía esta captura, también envía el
parámetro authServerName (% de archivo de registro
completo) (nombre del servidor inalcanzable).
iveStart El IVE se acaba de encender.
iveShutdown El IVE se acaba de apagar.
iveReboot El IVE se acaba de reiniciar.
archiveServerUnreachable El IVE no puede alcanzar el servidor FTP o de archivo SCP
configurado.
archiveServerLoginFailed El IVE no puede registrarse en el servidor FTP o SCP
Archive configurado.
archiveFileTransferFailed El IVE no puede transferir correctamente el archivo al
servidor FTP o SCP Archive configurado. Cuando el
sistema envía esta captura, también envía el parámetro
fileName.
meetingUserLimit Proporciona una notificación de que el recuento de
usuarios excede el límite de licencias. Cuando el sistema
envía esta captura, también envía el parámetro
meetingUserCount.
iveRestart Notifica que el IVE se ha reiniciado de acuerdo con la
instrucción del administrador.
meetingLimit Proporciona una notificación de que el recuento de
reuniones concurrentes excede el límite de licencias.
Cuando el sistema envía esta captura, también envía el
parámetro meetingCount. Puede configurar esta captura
para que se envíe en cualquier porcentaje. Para inhabilitar
la captura, configure meetingLimit en 0%. El valor
predeterminado de la captura es 100%.
iveDiskNearlyFull Proporciona una notificación de que el disco duro del IVE
está casi lleno. Cuando el sistema envía esta captura,
también envía el parámetro diskFullPercent. Puede
configurar esta captura para que se envíe en cualquier
porcentaje. Para inhabilitar la captura, configure
iveDiskNearlyFull en 0%. Este valor predeterminado de la
captura es 80%.
iveDiskFull Proporciona una notificación de que el disco duro del IVE
está lleno.
logMessageTrap La captura generada desde un mensaje de registro.
Cuando el sistema envía esta captura, también envía los
parámetros logID, logType y logDescription.

Supervisión del IVE como un agente de SNMP „ 839

 Guía de administración de Secure Access de Juniper Networks
Tabla 46: Objetos de estado/error (continuación)
Objeto
memUtilNotify
cpuUtilNotify
swapUtilNotify
iveMaxConcurrentUsersVirtualSystem
ocspResponderUnreachable
iveFanNotify
ivePowerSupplyNotify
iveRaidNotify
iveNetExternalInterfaceDownTrap
(nicEvent)
iveNetInternalInterfaceDownTrap
(nicEvent)
iveClusterDisableNodeTrap
(clusterName,nodeList)
iveClusterChangedVIPTrap(vipType,
currentVIP, newVIP)
iveNetManagementInterfaceDownTrap
(nicEvent)
iveClusterDelete(nodeName)
840 „ Supervisión del IVE como un agente de SNMP
Descripción
Proporciona una notificación de que el sistema ha
alcanzado el umbral configurado para el uso de memoria.
Para inhabilitar la captura, configure memUtilNotify en 0.
De forma predeterminada el umbral es 0%.
Proporciona una notificación de que el sistema ha
alcanzado el umbral configurado para el uso de CPU. Para
inhabilitar la captura, configure cpuUtilNotify en 0. De
forma predeterminada el umbral es 0%.
Proporciona una notificación de que el sistema ha
alcanzado el umbral configurado para el uso de memoria
de archivo de intercambio. Para inhabilitar la captura,
configure swapUtilNotify en 0. De forma predeterminada
el umbral es 0%.
Proporciona una notificación de que el número máximo
de usuarios simultáneos del sistema virtual ha iniciado
sesión en IVS.
Proporciona una notificación de que el respondedor
OCSP no responde.
Se ha notificado que ha cambiado el estado de los
ventiladores.
Notifica que ha cambiado el estado de las fuentes de
alimentación.
Notifica que ha cambiado el estado del dispositivo RAID.
Proporciona el tipo de evento que causó el fallo de la
interfaz externa. El parámetro nicEvent puede contener
los valores “externos” para un evento externo
y “administración” para una acción administrativa.
Proporciona el tipo de evento que causó el fallo de la
interfaz interna. El parámetro nicEvent puede contener
los valores “externos” para un evento externo
y “administración” para una acción administrativa.
Proporciona el nombre de un clúster que contiene nodos
inhabilitados y una cadena que contiene los nombres de
todos los nodos inhabilitados. Los nombres de nodos se
separan con un espacio en blanco en la cadena.
Proporciona el estado de una IP virtual para el clúster.
vipType indica si la VIP cambiada fue externa o interna.
currentVIP contiene la VIP antes del cambio y newVIP
contiene la VIP después del cambio.
Proporciona el tipo de evento que causó el fallo del puerto
de administración. El parámetro nicEvent puede contener
los valores “externos” para un evento externo
y “administración” para una acción administrativa.
Proporciona el nombre del nodo en que se inició el
evento de eliminación del clúster.
 Capítulo 29: Registro y supervisión

Visualización de estadísticas del sistema

Cada hora, el IVE registra los siguientes datos:

„ Carga máxima de usuarios Web

„ Carga máxima de usuarios de correo

„ Número de URL a las que se obtuvo acceso

„ Número de archivos a los que se obtuvo acceso

La página Statistics muestra esa información de los últimos siete días. El IVE
escribe esa información en el registro del sistema una vez a la semana. Tenga en
cuenta que al actualizar el IVE se borran todas las estadísticas. Sin embargo, si
configura el sistema para que registre las estadísticas por hora, las estadísticas
antiguas aún estarán disponibles en el archivo de registro después de una
actualización.

Para ver las estadísticas del sistema:

1. En la consola de administración, elija System > Log/Monitoring > Statistics.

2. Desplácese por la página para ver las cuatro categorías de datos.

Habilitación de registros del lado cliente

El IVE incluye las siguientes opciones para habilitar y visualizar los registros del lado
cliente:

„ Registro de actividad para características individuales: Puede usar las

opciones de la página System > Log/Monitoring > Client Logs > Settings de
la consola de administración para habilitar el registro del lado cliente de
aplicaciones individuales cliente del IVE como Host Checker y Network
Connect, para configurar los tamaños límite y habilitar las alertas de registro.
Debe habilitar los registros del lado cliente en esta página para usar otras
opciones del lado cliente descritas aquí. Para obtener más información,
consulte “Habilitación de registros y opciones globales del lado cliente” en la
página 842.

„ Cargar archivos de registro en el IVE: Puede usar las opciones de la página

Users > User Roles > Seleccionar rol > General > Session Options de la
consola de administración para configurar el IVE para cargar archivos de
registro en la consola de administración cuando un usuario final la inicie. Para
obtener más información, consulte “Habilitación de cargas de registro del lado
cliente” en la página 843.

Visualización de estadísticas del sistema „ 841

 Guía de administración de Secure Access de Juniper Networks

„ Visualización de registros cargados: Puede usar las opciones de la página

System > Log/Monitoring > Client Logs > Uploaded Logs de la consola de
administración para ver los registros que los usuarios finales envían al IVE. Para
obtener más información, consulte “Visualización de registros cargados del
lado cliente” en la página 844.

Habilitación de registros y opciones globales del lado cliente

Los registros del lado cliente son útiles cuando funcionan con el equipo de soporte
de Juniper Networks para depurar problemas con una característica del lado cliente
del IVE. Cuando habilita el registro de una característica, el IVE escribe un registro
en cualquier equipo que use la característica. (Estos ajustes son globales, lo que
significa que el IVE escribe un archivo de registro en todos los clientes que usan la
característica habilitada). El IVE anexa el archivo de registro cada vez que se invoca
la característica durante las sesiones posteriores del usuario. Una vez que el IVE ha
escrito un archivo de registro en un equipo del usuario, no lo elimina. Si los usuarios
desean eliminar los archivos de registro, deben hacerlo manualmente de sus
equipos.

Puede habilitar los registros del lado cliente para las características Host Checker,
Cache Cleaner, Secure Meeting, WSAM, JSAM y Java Applet Rewriter, Network
Connect y Terminal Services. Para obtener información sobre el lugar en el que el
IVE instala los archivos de registro de cada una de estas características, consulte el
Client-side Changes Guide en Juniper Networks Customer Support Center.

NOTA: El IVE sólo registra información para la característica de Network Connect si

habilita los registros mediante la consola de administración, usando el
procedimiento que sigue y el usuario final habilita el registro mediante la ventana
de estado de Connect del usuario final.

Cuando use el IVE como un dispositivo de sistema virtual instantáneo (IVS), tenga
las siguientes pautas en mente:

„ Las opciones disponibles en las fichas de la página System >

Log/Monitoring > Client Logs en un IVE que tiene uno o más sistemas
IVS sólo lo puede configurar el administrador de raíz. Este derecho incluye la
asignación de espacio en disco y los ajustes de alerta del IVE, que se comparten
entre todos los sistemas IVS en el IVE.

„ Cada administrador de IVS tiene derecho a habilitar el registro del lado cliente
para los roles asociados con los roles de usuario del sistema del IVS.

„ Los administradores IVS sólo pueden manipular (guardar, eliminar) archivos de

registro con sus respectivos sistemas IVS.

„ Los administradores raíz pueden guardar y eliminar archivos de registro de

todos los sistemas IVS.

„ Un administrador de IVS puede configurar el sistema para recibir User Access

Event cuando se carga su registro de IVS.

Para obtener más información, consulte “Sistema IVS” en la página 915.

842 „ Habilitación de registros del lado cliente

 Capítulo 29: Registro y supervisión

Para especificar los ajustes globales de registro del lado cliente:

1. En la consola de administración, seleccione System > Log/Monitoring >

Client Logs > Settings.

2. Seleccione las características deseadas para las cuales el IVE escribe los
registros del lado cliente.

3. En Upload Logs, configure lo siguiente:

a. Especifique la cantidad de espacio en disco (en megabytes) que desee

asignar para los archivos actualizados de registro del cliente cargados en el
campo Uploaded logs disk space. Puede asignar de 0 a 200 MB.

b. Habilite o inhabilite la opción Alert when log uploaded para especificar si

desea o no que el IVE muestre un mensaje de alerta cuando un usuario
final envía un archivo de registro al IVE. (Para obtener más información,
consulte “Habilitación de cargas de registro del lado cliente” en la
página 843.)

4. Haga clic en Save Changes para guardar estos ajustes globales.

NOTA: Para los sistemas IVE 5.x nuevos, todas las opciones están inhabilitadas de
forma predeterminada. Si actualiza el IVE de una configuración 3.x, todas las
opciones de registro están habilitadas de forma predeterminada.

Habilitación de cargas de registro del lado cliente

Si habilita el registro del lado cliente para las características del IVE (según se
describe en “Habilitación de registros y opciones globales del lado cliente” en la
página 842), también puede habilitar la carga automática de estos registros en el
nivel de rol. Al hacerlo, los usuarios finales del IVE y los asistentes de Secure
Meeting que pertenecen a los roles habilitados pueden elegir enviar sus archivos de
registro al IVE a voluntad. Posteriormente, podrá ver los archivos cargados
mediante la página System > Log/Monitoring > Client Logs > Uploaded Logs de
la consola de administración (según se describe en “Visualización de registros
cargados del lado cliente” en la página 844).

Cuando carga archivos de registro en un IVE que es nodo de un clúster, tenga las
siguientes pautas en mente:

„ Puede usar la columna Log Node de la ficha System > Log/Monitoring >
Client Logs > Uploaded Logs para ver la ubicación de los archivos de registro
existentes recopilados por los nodos del clúster. Esto es específico para una
configuración de clúster y no se aplica a una sola implementación del IVE.

„ El usuario carga los registros en el nodo de clúster al que está conectado.

„ Puede ver las entradas de registro cargadas en todos los nodos de un clúster.
Puede guardar y descomprimir los archivos de registro cargados de los nodos
respectivos en el clúster en que el usuario cargó los registros.

Habilitación de registros del lado cliente „ 843

 Guía de administración de Secure Access de Juniper Networks

„ Sólo puede manipular (guardar, eliminar) archivos de registro cargados en el

nodo de clúster del IVE en que se hayan cargado.

„ Cuando se elimina un nodo de un clúster, el IVE elimina los registros de ese

nodo de la Lista de registros cargados en el clúster y del nodo.

Para obtener más información, consulte “Creación de clústeres” en la página 869.

Para permitir que los usuarios finales carguen registros en el IVE:

1. Diríjase a Users > User Roles > Seleccionar rol > General > Session Options
de la consola de administración.

2. En la sección Upload logs, seleccione la casilla de verificación Enable Upload

Logs.

3. Haga clic en Save Changes.

Visualización de registros cargados del lado cliente

Si permite que los usuarios finales envíen archivos de registro al IVE (según se
describe en “Habilitación de cargas de registro del lado cliente” en la página 843),
puede ver los registros cargados mediante la página System > Log/Monitoring >
Client Logs > Uploaded Logs de la consola de administración. Esta página
muestra una lista de archivos de registro cargados de clientes, incluyendo
información como el nombre del archivo, la fecha, el usuario o territorio asociado,
el tipo de componente de acceso de cliente y el nodo de registro.

NOTA: El IVE no conserva los registros cargados cuando actualiza el IVE. Para
conservar los registros, puede archivarlos usando las opciones de la página
Maintenance > Archiving > Archiving Servers de la consola de administración.
(Para obtener más información, consulte “Creación de copias de seguridad locales
de los archivos de configuración del IVE” en la página 784.) También puede
configurar las capturas de SNMP relacionadas con el registro para capturar los
eventos de registro durante la carga de registros usando las opciones de la página
System > Log/Monitoring > SNMP de la consola de administración. (Para
obtener más información, consulte “Supervisión del IVE como un agente de
SNMP” en la página 833.)

Para ver los detalles de carga de registro del cliente:

1. En la consola de administración, seleccione System > Log/Monitoring >

Client Logs > Uploaded Logs.

2. (Opcional) Actualice los detalles cargados del registro del cliente haciendo clic
en el botón Refresh Logs.

3. (Opcional) Vea o guarde un registro cargado haciendo clic en este vínculo

respectivo.

4. (Opcional) Elimine un registro cargado haciendo clic en el icono de papelera

que se encuentra al lado derecho de la columna de registro. Tenga en cuenta
que una vez que elimine un registro de un nodo, éste se pierde.

844 „ Habilitación de registros del lado cliente

 Capítulo 29: Registro y supervisión

Visualización del estado general

Cuando inicia sesión en la consola de administración, el IVE muestra la página
System > Status, en la que aparece la ficha Overview. Esta ficha resume los
detalles sobre el servidor del IVE y los usuarios del sistema. Cuando realiza cambios
en las otras páginas de la consola de administración, el IVE actualiza la información
correspondiente de la ficha Overview.

NOTA: Esta ficha es la página principal de todos los administradores, incluyendo

administradores delegados sin acceso de lectura o escritura a las fichas System >
Status.

Visualización del uso de la capacidad del sistema

El panel de Central Manager para los dispositivos de Secure Access proporciona
gráficos de uso de la capacidad del sistema que permiten ver y comprender
fácilmente la capacidad del sistema que usa de forma regular.

Para usar esta información para los informes de datos en cualquier parte, expórtela
como un archivo XML usando las opciones de la página Maintenance >
Import/Export > Configuration.

Estos gráficos se muestran en la ficha System > Status > Overview cuando abre la
consola de administración y le otorgan una vista fácil:

„ Concurrent Users: Este gráfico muestra el número de usuarios que han

iniciado sesión en el IVE. En entornos de clúster, el gráfico incluye dos líneas.
La primera línea muestra el número de usuarios locales que iniciaron sesión en
el nodo seleccionado de la lista desplegable y la segunda línea muestra el
número de usuarios simultáneos en todo el clúster.

„ Concurrent Meetings: Este gráfico muestra el número de reuniones

actualmente en curso. En entornos de clúster, el gráfico incluye dos líneas. La
primera línea muestra el número de reuniones en curso en el nodo
seleccionado de la lista desplegable y la segunda línea muestra el número de
reuniones en curso en todo el clúster.

NOTA: El IVE promedia los números que aparecen en el gráfico de reuniones

simultáneas, es decir, puede mostrar números fraccionados en la pantalla.
También tenga en cuenta que el IVE en ocasiones muestra los números en
milésimas (representados por una “m”). Por ejemplo, para representar que hay un
promedio de 0,5 reuniones en curso simultáneamente durante un momento
determinado, el IVE muestra “500 m” en el gráfico de reuniones simultáneas.

„ Hits Per Second: Este gráfico muestra el número de coincidencias que procesa
actualmente el IVE. En entornos de clúster, puede elegir un IVE de la lista
desplegable para determinar los datos de qué nodo aparecerán en el gráfico. El
gráfico incluye cuatro líneas: número de coincidencias, número de
coincidencias Web, número de coincidencias de archivo y número de
coincidencias de cliente/servidor.

Visualización del estado general „ 845

 Guía de administración de Secure Access de Juniper Networks

„ CPU and Virtual (Swap) Memory Utilization: Este gráfico muestra el

porcentaje de CPU y memoria disponible actualmente en uso. En entornos de
clúster, puede elegir un IVE de la lista desplegable para determinar los datos de
qué nodo aparecerán en el gráfico.

„ Throughput: Este gráfico muestra la cantidad de datos (en KB) que se están
procesando en ese momento. En entornos de clúster, puede elegir un IVE de la
lista desplegable para determinar los datos de qué nodo aparecerán en el
gráfico. El gráfico incluye cuatro líneas: entrada externa, salida externa,
entrada interna, salida interna.

También puede usar la ventana Page Settings para configurar qué gráficos muestra
el IVE en el panel y el período de tiempo que el IVE realiza seguimiento.

Para descargar los datos del gráfico en un archivo XML:

1. En la consola de administración, elija System > Status > Overview.

2. Haga clic en el vínculo Download que corresponda al gráfico que desea

descargar.

3. Haga clic en Save, especifique el directorio en que desea guardar el archivo

XML y haga clic en Save.

Especificación del rango de tiempo y los datos que aparecen en los gráficos
También puede especificar el rango de tiempo y otros datos para que aparezcan en
los gráficos.

Para especificar el rango de tiempo y los datos que aparecen en los gráficos:

1. En la consola de administración, elija System > Status > Overview.

2. Haga clic en Page Settings.

3. Seleccione qué gráficos de uso desea mostrar.

4. Seleccione el rango de tiempo que desea representar en los gráficos. Los

intervalos del gráfico varían de una hora a un año.

5. Indique la frecuencia con que desea actualizar los gráficos.

6. Haga clic en Save Changes.

Configuración de la apariencia del gráfico

También puede especificar el grosor y el color de las líneas para cambiar la
apariencia de los gráficos en la página Status.

Para especificar el grosor y el color de las líneas que aparecen en los gráficos:

1. En la consola de administración, elija System > Status > Overview.

2. Haga clic en el vínculo Edit que corresponda al gráfico que desea modificar.

846 „ Visualización del estado general

 Capítulo 29: Registro y supervisión

3. Use los ajustes del cuadro de diálogo Graph Settings para editar el color de
fondo, los colores de la línea del gráfico, el color del texto, el color de la línea
y el grosor de la línea que aparecen en el gráfico.

4. Haga clic en Save Changes.

Visualización de eventos críticos del sistema

El panel de Central Manager permite configurar fácilmente la visualización de los 10
últimos eventos críticos del sistema. Con la ventana de Event Monitor, puede
obtener acceso rápidamente y abordar cualquier problema crítico del sistema.
Una vez que haya abierto la ventana Event Monitor, puede mantenerla abierta
y supervisar continuamente los eventos del sistema mientras navega a través de la
consola de administración para realizar las tareas de mantenimiento
y configuración estándar.

Para revisar rápidamente los eventos críticos del sistema:

1. En la consola de administración, elija System > Status > Overview.

2. Haga clic en Critical Events. La ventana de Event Monitor muestra la gravedad

y el mensaje de cualquier evento crítico grabado en el archivo de registro del
sistema.

3. Haga clic en Refresh para ver los eventos más actualizados (opcional).

4. Haga clic en See All para navegar a la ficha System > Log/Monitoring >
Events > Log, donde se muestran todos los eventos, de informativos a críticos
(opcional). Para obtener más información, consulte “Configuración de las
características de supervisión de registro” en la página 828.

Descarga del paquete de servicio actual

Puede descargar el paquete de servicio actualmente instalado en el IVE para copia
de seguridad e instalarlo en otro IVE.

Para descargar el paquete de servicio actual.

1. En la consola de administración, elija System > Status > Overview.

2. Haga clic en Download Package (versiones de Central Manager) o en el vínculo

al lado de System Software Pkg Version.

3. Haga clic en Save.

4. Especifique un nombre y una ubicación para el paquete de servicio.

5. Haga clic en Save.

Visualización del estado general „ 847

 Guía de administración de Secure Access de Juniper Networks

Edición de la fecha y hora del sistema

Debe configurar la hora del servidor para registrar correctamente los eventos del
sistema y las transferencias de archivos del usuario. Puede usar un servidor del
protocolo de hora de la red (NTP) para sincronizar el IVE con una serie de equipos,
o bien puede configurar la hora del IVE de forma manual.

Parta editar la fecha y hora del sistema:

1. En la consola de administración, elija System > Status > Overview.

2. En la sección System Date & Time, haga clic en Edit.

3. Selecciona un huso horario en el menú Time Zone. El IVE ajusta

automáticamente la hora del horario de verano.

4. Configure la hora del sistema usando uno de estos métodos:

„ Use NTP server: Seleccione la opción Use NTP Server, introduzca la

dirección IP o nombre del servidor y especifique un intervalo de
actualizaciones.

„ Set Time Manually: Seleccione la opción Set Time Manually e introduzca

los valores de fecha y hora. También puede hacer clic en Get from Browser
para rellenar los campos Date y Time.

5. Haga clic en Save Changes.

Supervisión de usuarios activos

Puede supervisar usuarios que iniciaron sesión en el IVE. Cada nombre de usuario,
territorio de autenticación, rol y hora de inicio de sesión aparecen en la página
Active Users.

NOTA:

„ Los usuarios que no pertenecen al IVE y que iniciaron sesión en una reunión
segura aparecen en la lista como miembros del rol “Secure Meeting User
Role”.

„ El IVE muestra “N/A” en las columnas Realm y Role para los usuarios que no
pertenecen al IVE y que iniciaron sesión en el IVE para asistir a Secure
Meeting.

Para supervisar los usuarios que han iniciado sesión en el IVE.

1. En la consola de administración, elija System > Status > Active Users.

848 „ Supervisión de usuarios activos

 Capítulo 29: Registro y supervisión

2. Realice estas tareas (opcional):

„ Cerrar la sesión de usuarios del IVE:

‰ Para forzar el cierre de sesión de uno o más usuarios finales

o administradores, seleccione la casilla de verificación junto a los
nombres correspondientes y haga clic en Delete Session.

‰ Para forzar el cierre de sesión de todos los usuarios finales que tengan
una sesión iniciada, haga clic en Delete All Sessions.

NOTA: Si desea cerrar la sesión de los administradores, debe elegirlos por

separado y usar el botón Delete Session.

„ Realizar una evaluación dinámica de directivas de todos los usuarios

que iniciaron sesión:

‰ Para evaluar manualmente todas las directivas de autenticación, las

reglas de asignación de roles, las restricciones de roles, los roles de
usuario y las directivas de recursos de todos los usuarios que iniciaron
sesión actualmente, haga clic en Refresh Roles. Use este botón si
desea efectuar cambios en la directiva de autenticación, las reglas de
asignación de roles, las restricciones de roles o las directivas de
recursos y si desea actualizar de inmediato los roles de todos los
usuarios. Para obtener más información, consulte “Evaluación
dinámica de directivas” en la página 57.

„ Configurar los datos que se mostrarán y su orden:

‰ Para mostrar un usuario específico, introduzca su nombre de usuario

en el campo Show Users Named y haga clic en Update. Si no sabe el
nombre de usuario exacto, use el carácter de comodín *. Por ejemplo,
si tiene un usuario llamado “Pedro Pérez”, pero no recuerda si su
nombre de usuario es “Pepe” o “Pedro”, introduzca Pe* en el campo
Show Users Named. El IVE devuelve una lista de todos los usuarios
cuyos nombres de usuario comienzan con las letras “p” y “e”.

‰ Para controlar la cantidad de usuarios y administradores que aparecen

en la página Active Users, introduzca un número en el campo Show N
users y haga clic en Update.

‰ Para ordenar la tabla de usuarios y administradores que iniciaron

sesión actualmente, haga clic en un encabezado de columna.

‰ Para actualizar el contenido de la página, haga clic en Update.

Supervisión de usuarios activos „ 849

 Guía de administración de Secure Access de Juniper Networks

„ Vínculo a fichas relacionadas:

‰ Para editar el territorio de autenticación de un usuario, haga clic en el

vínculo Realm justo al lado de su nombre y siga las instrucciones de
“Creación de un territorio de autenticación” en la página 196.

‰ Para editar el rol de un usuario, haga clic en el vínculo Role junto a su

nombre y siga las instrucciones de la sección “Creación de las roles de
administrador” en la página 901 (si es un administrador)
o “Configuración de los roles de usuario” en la página 72 (si es un
usuario final).

Visualización y cancelación de reuniones programadas.

Puede ver todas las reuniones programadas actualmente en el IVE o cancelarlas.
(Para obtener una descripción de la opción Secure Meeting, consulte “Secure
Meeting” en la página 619.)

Para ver y cancelar reuniones programadas:

1. En la consola de administración, elija System > Status > Meeting Schedule.

El IVE muestra información en tiempo real de todas las reuniones en curso
o programadas, incluyendo:

„ Time and Status: Muestra la hora y duración que tiene programada la

reunión, así como su estado actual.

„ Meeting Details: Muestra el nombre, ID y requisito de contraseña de la

reunión. Esta columna también incluye un vínculo a Details que se puede
usar para ver información sobre la reunión y unirse a ésta.

„ Meeting Role: Muestra el rol del creador de la reunión. Si el creador había

iniciado sesión en varios roles al crear la reunión (es decir, pertenece
a varios roles y el dispositivo se configuró para una fusión permisiva),
Secure Meeting elige un rol usando las pautas descritas en “Pautas de
fusión permisiva para Secure Meeting” en la página 638.

„ Attendee Roles: Muestra los roles de los asistentes que iniciaron sesión en
la reunión, el número de asistentes que inició sesión en cada rol y el límite
de asistentes a la reunión para cada rol. Tenga en cuenta que los asistentes
que no pertenecen al IVE aparecen debajo del rol de usuario del creador de
la reunión. Para obtener información sobre cómo se asignan los asistentes
a los roles y cómo configurar los límites por rol, consulte “Definición de los
ajustes de rol: Secure Meeting” en la página 633.

850 „ Visualización y cancelación de reuniones programadas.

 Capítulo 29: Registro y supervisión

2. Use cualquiera de los siguientes métodos para cambiar a la vista de reunión

(opcional):

„ Seleccione un marco de tiempo (Daily, Weekly, In Progress, Scheduled) en

la lista desplegable para controlar las reuniones que se mostrarán.

„ Haga clic en cualquiera de los encabezados de columna subrayados para

controlar el orden en que se clasificarán las reuniones que aparecen
actualmente.

3. Haga clic en el vínculo Details debajo de una reunión para ver información
sobre la reunión y unirse a ésta (opcional).

4. Elija MySecureMeeting URLs en el menú desplegable View para ver las URL
personales que hayan creado sus usuarios.

5. Haga clic en el icono de eliminación en la columna derecha para cancelar una

reunión o eliminar MySecure Meeting URL (opcional).

NOTA: La cancelación de una reunión la elimina permanentemente del IVE. No se

puede restaurar una reunión después de cancelarla.

Visualización y cancelación de reuniones programadas. „ 851

 Guía de administración de Secure Access de Juniper Networks

852 „ Visualización y cancelación de reuniones programadas.

Capítulo 30
Resolución de problemas

El IVE proporciona varias utilidades de resolución de problemas que le permiten

supervisar el estado del sistema, incluyendo los clústeres, si es que los usa. Esta
sección proporciona una vista general de varias tareas de resolución de problemas
que están disponibles usando el IVE:

„ “Licencia: Disponibilidad de la resolución de problemas” en la página 851

„ “Simulación o seguimiento de eventos” en la página 852

„ “Grabación de sesiones” en la página 856

„ “Creación de imágenes instantáneas del estado del sistema IVE” en la

página 857

„ “Creación de archivos de volcado TCP” en la página 859

„ “Prueba de la conectividad de red del IVE” en la página 861

„ “Ejecución de las herramientas de depuración de forma remota” en la

página 862

„ “Creación de registros de depuración” en la página 863

„ “Supervisión de los nodos del clúster” en la página 864

„ “Configuración de la supervisión de la comunicación del grupo en un clúster”

en la página 865

„ “Configuración de la supervisión de la conectividad de red en un clúster” en la

página 866

Licencia: Disponibilidad de la resolución de problemas

Las capacidades de resolución de problemas están disponibles en todos los
productos Secure Access y no necesita una licencia especial para usarlos. Sin
embargo, tenga en cuenta que las siguientes características avanzadas no están
disponibles en el dispositivo SA 700:

„ Grabación de sesiones

„ Supervisión y configuración de clústeres

Licencia: Disponibilidad de la resolución de problemas „ 851

 Guía de administración de Secure Access de Juniper Networks

Simulación o seguimiento de eventos

Puede simular y seguir los eventos del IVE que presenta problemas para descubrir
por qué no le permite realizar una tarea deseada. Para esto, use las configuraciones
de la página Maintenance > Troubleshooting > User Sessions > Policy Tracing
de la consola de administración. Esta página lo guiará a través de los territorios,
roles y directivas que actualmente están configurados en el IVE y que imprimen
mensajes de registro en los distintos pasos del proceso de autenticación,
autorización y acceso.

Los eventos en cuestión están relacionados con la autenticación, autorización

y acceso para un usuario en especial. Dependen completamente de lo que pasa
durante la sesión del usuario. Esto se aplica tanto para la simulación como para el
seguimiento de directivas.

NOTA: Entre los eventos que se capturan no se encuentran otros eventos

relacionados con el sistema. El IVE simplemente usa los eventos como un
mecanismo de filtro para reducir la cantidad de registros y resaltar el problema.

Simulación de eventos que causan un problema

El IVE le permite resolver problemas simulando los eventos que los causaron.
Usando la página Maintenance > Troubleshooting > User Sessions> Simulation
puede crear sesiones de usuario virtuales sin tener que solicitar a los usuarios
finales reales que inicien sesión en el IVE y recreen sus problemas. Además, puede
usar la ficha Simulation para probar las nuevas directivas de autenticación
y autorización antes de usarlas en un entorno de producción.

Para usar el simulador, debe especificar los eventos que desea simular (por ejemplo
puede crear una sesión virtual en la que “John Doe” inicie sesión en el territorio
“Usuarios” a las 6:00 a.m. con el navegador Internet Explorer). Después, debe
especificar los eventos que desea grabar y registrar en la simulación. Puede
registrar tres tipos principales de eventos en el registro de simulación:

„ Autenticación previa: Entre los eventos del IVE que se capturan no se incluirá
ningún otro evento relacionado con el sistema. Los eventos simplemente se
usan como un mecanismo de filtro para reducir la cantidad de registros
y resaltar el problema.

„ Asignación de roles: Entre los eventos del IVE que se capturan no se incluirá
ningún otro evento relacionado con el sistema. Los eventos simplemente se
usan como un mecanismo de filtro para reducir la cantidad de registros
y resaltar el problema.

„ Directivas de recursos: Entre los eventos del IVE que se capturan no se incluirá
ningún otro evento relacionado con el sistema. Los eventos simplemente se
usan como un mecanismo de filtro para reducir la cantidad de registros y
resaltar el problema.

852 „ Simulación o seguimiento de eventos

 Capítulo 30: Resolución de problemas

Para simular una sesión del usuario:

1. En la consola de administración, elija Maintenance > Troubleshooting >

User Sessions > Simulation.

2. En el campo Query Name, escriba un nombre para la consulta.

3. En el campo Username, escriba las credenciales del usuario del IVE cuya
experiencia desea simular. Tenga en cuenta que puede usar un carácter
comodín (*) en lugar de un nombre de usuario. Por ejemplo, si sus usuarios
inician sesión en un servidor anónimo, puede usar el carácter comodín (*) ya
que usted no conoce el nombre de usuario interno que el IVE asignará al
usuario.

4. En el menú desplegable Realm, seleccione el territorio del usuario del IVE cuya
experiencia desea simular.

5. Si desea determinar si el IVE aplica un tipo específico de directiva de recursos

a una sesión de usuario, introduzca el recurso específico que desea simular en
el campo Resource y seleccione un tipo de directiva desde la lista desplegable
Resource. Después:

„ Si desea determinar si un usuario puede iniciar sesión de forma correcta en

el IVE, seleccione la casilla de verificación Pre-Authentication.

„ Si desea determinar si se puede asignar un usuario a un rol de forma

correcta, seleccione la casilla de verificación Role Mapping. Tenga en
cuenta que esta opción controla que los resultados de la asignación de roles
se registren en el registro del simulador, pero no controla que el IVE ejecute
las reglas de asignación de roles. El IVE siempre ejecuta reglas de
asignación de roles, incluso si esta casilla de verificación no está
seleccionada.

„ Especifique los tipos de directivas que desea registrar usando las casillas de
verificación de la sección Events to Log.

Por ejemplo, si desea probar si un usuario puede tener acceso al sitio Web de
Yahoo, escriba “http://www.yahoo.com” en el campo Resource, seleccione
Web en la lista desplegable y seleccione la casilla de verificación Access en la
sección Events to Log.

Simulación o seguimiento de eventos „ 853

 Guía de administración de Secure Access de Juniper Networks

6. En la sección Variables, use una combinación de texto y variables para crear

una expresión personalizada que refleje los mismos valores que en la sesión
real del usuario que está recibiendo el problema. Por ejemplo, si desea crear
una sesión en la que los usuarios inician sesión en el IVE a las 6:00 a. m.,
introduzca “time = 6:00 AM” en el campo Variables. Para obtener
instrucciones completas acerca de cómo crear una expresión personalizada,
consulte “Escritura de expresiones personalizadas” en la página 1041. También
puede ver la sintaxis para una variable determinada al hacer clic en la flecha
que se encuentra junto a ella en el Variables Dictionary.

NOTA: Si no crea una expresión personalizada que incluya la dirección IP virtual

del usuario, el IVE usará en su lugar su dirección IP actual. También tenga en
cuenta que si usa la variable de roles para especificar el rol del usuario virtual (por
ejemplo, role=”Users”), el IVE ignorará los resultados de las reglas de asignación
de roles y asignará el usuario virtual a los roles que usted especifique.

7. Elija una de las siguientes opciones:

„ Run Simulation: Ejecuta la simulación especificada y crea un archivo de

registro en la pantalla.

„ Save Query: Guarda la consulta.

„ Save Query and Run Simulation: Ejecuta la simulación especificada

y también la guarda para usarla después.

8. Después de ejecutar la simulación, elija Save Log As para guardar los resultados
de la simulación en un archivo de texto.

Rastreo de eventos usando el seguimiento de directivas

El IVE le permite resolver problemas siguiendo los eventos cuando un usuario inicia
sesión en un territorio. La página Maintenance > Troubleshooting > User
Sessions > Policy Tracing permite grabar un archivo de seguimiento de directivas
para un usuario individual; el IVE muestra las entradas del registro donde aparecen
las acciones del usuario e indica las razones por las que se permite o se restringe el
acceso a las distintas características, como acceso a la Web o a un servidor de
archivos.

Por ejemplo, puede crear un territorio de “Human Resources” y crear dos reglas de
asignación de roles para ese territorio:

„ All Employees: Dentro de este rol, solamente se habilita el navegador Web. El

rol se asigna a los usuarios mediante la regla: if username = *, map to “All
Employees.” En otras palabras, a cualquier usuario que pueda iniciar sesión en
el territorio automáticamente se le asignará al rol “All Employees”.

„ Human Resources Staff: Dentro de este rol, se habilitan las funcionalidades de

Web, archivos y reuniones. El rol se asigna a los usuarios mediante la regla: if
LDAP group=human resources, map to “Human Resources Staff.” En otras
palabras, un usuario debe pertenecer al grupo “humanresources” en el servidor
de autenticación LDAP para poder asignarlo a ese rol.

854 „ Simulación o seguimiento de eventos

 Capítulo 30: Resolución de problemas

Quizás usted considera que John debe ser miembro de ambos roles, pero cuando
inicia sesión en el IVE él no puede tener acceso a la navegación de archivos o a la
funcionalidad de Secure Meeting habilitada en el rol “Human Resources Staff”.
Cuando activa el seguimiento de directivas para determinar las razones por las que
John no puede tener acceso a todas las funcionalidades esperadas, es posible que
vea entradas del registro similares a las que se muestran en la Figura 46.

NOTA: Los registros del acceso de los usuarios sólo se comunican para las
directivas que están seleccionadas bajo Events to Log.

Figura 46: Maintenance > Troubleshooting > User Session > Policy Tracing> Policy Trace
File

Al revisar el archivo de seguimiento, puede determinar el problema en la entrada

PTR10218:

joe(human resources realm)-No match on rule ‘group.humanresources’

Esta entrada muestra que el IVE no asignó a Joe al rol “Human Resource Staff”
porque no es miembro del grupo “humanresources” en el servidor LDAP.

Use esta ficha si sus usuarios tienen problemas para obtener acceso a las
funcionalidades que esperan usar en sus roles. Los eventos registrados en el archivo
de seguimiento de directivas le pueden ayudar a diagnosticar estos problemas.

Para crear un archivo de seguimiento de directivas:

1. En la consola de administración, elija Maintenance > Troubleshooting >

User Sessions > Policy Tracing.

2. En el campo User, escriba las credenciales de IVE del usuario al que desea
hacer seguimiento. Tenga en cuenta que puede usar un carácter comodín (*) en
lugar de un nombre de usuario. Por ejemplo, si sus usuarios inician sesión en
un servidor anónimo, puede usar el carácter comodín (*) ya que usted no
conoce el nombre de usuario interno que el IVE asignará al usuario.

Simulación o seguimiento de eventos „ 855

 Guía de administración de Secure Access de Juniper Networks

3. En el campo Realm, seleccione el territorio del usuario. Tenga en cuenta que el

IVE no le permitirá seleccionar un territorio que asigne a un servidor de
autenticación anónimo.

4. Bajo Events to log, seleccione los tipos de eventos que desee escribir en el
archivo de registro de seguimiento de directivas.

5. Haga clic en Start Recording. Solicítele al usuario que inicie sesión en el IVE
después de que usted comience a grabar.

6. Haga clic View Log para ver las entradas del registro.

7. Haga clic en Stop Recording cuando haya obtenido la información necesaria.

8. Revise los mensajes en el archivo de registro para determinar cuál es la causa

del comportamiento inesperado. Si no puede determinar y solucionar el
problema, haga clic en Save Log As para guardar una copia del archivo de
registro en una ubicación de la red. Luego, envíe el archivo a Soporte técnico de
Juniper Networks para su revisión.

9. Haga clic en Clear Log para borrar los contenidos del archivo de registro o haga
clic en Delete Trace para eliminar los contenidos de un archivo de registro
y luego eliminar las entradas predeterminadas de los campos nombre de
usuario y territorio.

Grabación de sesiones
Cuando un sitio Web no se vea correctamente a través del IVE, la ficha
Maintenance > Troubleshooting > User Sessions > Session Recording le
permitirá grabar un archivo de seguimiento que muestre las acciones de un usuario.
Además, puede usar esta ficha para conectarse a través del IVE a una aplicación de
cliente/servidor que no se comporta según lo esperado.

Cuando comience a grabar un archivo de seguimiento, el IVE desconecta al usuario

especificado y luego comienza a grabar todas las acciones del usuario después de
que éste inicia sesión nuevamente y se autentica. Tenga en cuenta que después de
que el usuario se autentica, el IVE le notifica que sus acciones se están grabando.

Para grabar un archivo de seguimiento:

1. En la consola de administración, elija Maintenance > Troubleshooting >

User Sessions > Session Recording.

2. Escriba las credenciales del usuario cuya sesión desea grabar.

3. Seleccione la casilla de verificación Web (DSRecord) para grabar la sesión Web

del usuario y luego seleccione la casilla de verificación Ignore browser cache si
desea pasar por alto las copias presentes en el cache del sitio Web que presenta
el problema. Si no selecciona estas casillas, el IVE no las graba como parte del
archivo de seguimiento (opcional).

856 „ Grabación de sesiones

 Capítulo 30: Resolución de problemas

4. Seleccione la casilla de verificación Client/Server (JCP+NCP) para grabar las

sesiones de cliente/servidor de los protocolos de comunicación de Java y de
red.

5. Haga clic en Start Recording. El IVE desconecta al usuario.

6. Indique al usuario que inicie sesión nuevamente y navegue al sitio Web que
produce el problema o a la aplicación de cliente/servidor a través del IVE.

7. Haga clic en Stop Recording.

8. Descargue los archivos de seguimiento desde la sección Current Trace File:

a. Haga clic en el vínculo DSRecord Log para descargar el archivo de

seguimiento de la Web.

b. Haga clic en los vínculos JCP o NCP Client-Side Log para descargar el
archivo de seguimiento de la aplicación cliente/servidor.

9. Envíe en un correo electrónico el archivo a Soporte técnico de Juniper Networks

para su revisión.

10. Seleccione el botón Delete para borrar los archivos de seguimiento que acaba
de crear (opcional).

Creación de imágenes instantáneas del estado del sistema IVE

La ficha Maintenance > Troubleshooting > System Snapshot le permite crear
una imagen instantánea del estado del sistema IVE. Cuando usa esta opción, el IVE
ejecuta distintas utilidades para reunir información acerca del estado del sistema
IVE, como la cantidad de memoria en uso, el rendimiento de la paginación, la
cantidad de procesos en ejecución, el tiempo de funcionamiento del sistema, la
cantidad de descriptores de archivos abiertos, los puertos en uso y los mensajes de
registro de Secure Access FIPS.

Puede incluir o excluir la configuración de sistema y los registros de depuración. No

obstante, los registros de depuración son especialmente importantes en caso de un
problema. Necesitará establecer el registro de depuración a un determinado nivel
y agregar la lista de eventos como se lo señale el representante de Soporte. Recree
el problema o el evento y luego tome una imagen instantánea y envíela a Soporte.
El registro de depuración está encriptado, por lo que no podrá verlo.

Creación de imágenes instantáneas del estado del sistema IVE „ 857

 Guía de administración de Secure Access de Juniper Networks

NOTA:

„ El IVE almacena hasta diez imágenes instantáneas, que se empaquetan en un

archivo de “volcado” que puede descargar a un equipo de la red y luego
enviarlo por correo electrónico a Soporte de Juniper Networks. Si toma más
de diez imágenes instantáneas, el IVE sobrescribirá la imagen más antigua
con la imagen nueva. Si el IVE se queda sin espacio en el disco, no
almacenará la imagen instantánea nueva y registrará un mensaje en el
registro de eventos. Le recomendamos que descargue periódicamente las
imágenes instantáneas a un equipo de la red para evitar perderlas.

„ En un clúster, las imágenes instantáneas se toman sólo por nodos

individuales. Esto significa que los ajustes para las imágenes instantáneas que
especifique no se sincronizan en todos los nodos del clúster.

Para tomar una imagen instantánea del estado del sistema IVE:

1. En la consola de administración, elija Maintenance > Troubleshooting >

System Snapshot.

2. Seleccione la casilla de verificación Include system config para incluir la

información de configuración del sistema en la imagen instantánea (opcional).

3. Seleccione la casilla de verificación Include debug log para incluir el archivo de

registro creado a través de la ficha Debug Log en la imagen instantánea de su
sistema. Para obtener más información, consulte “Creación de registros de
depuración” en la página 863.

4. Haga clic en Take Snapshot para tomar una imagen instantánea de forma
manual inmediatamente.

5. Para tomar una imagen instantánea de forma automática en intervalos

regulares:

a. Seleccione Schedule automatic snapshots. Aparecerán elementos de

configuración adicionales.

b. Especifique la frecuencia con la que desea tomar una imagen instantánea

(en horas).

c. Especifique el tamaño máximo para el archivo de cada imagen instantánea

(en MB).

NOTA: Si el tamaño de la imagen instantánea excede el tamaño máximo que

especificó para el archivo, la imagen instantánea producirá un error y el IVE
registrará un mensaje en el registro de eventos.

d. (Opcional) Si desea dejar de tomar las imágenes instantáneas en un

momento específico, indique una fecha y hora. De lo contrario, las
imágenes instantáneas continuarán de forma periódica hasta que las
detenga manualmente.

858 „ Creación de imágenes instantáneas del estado del sistema IVE

 Capítulo 30: Resolución de problemas

e. Si desea inhabilitar los registros de depuración en el momento de

detención que especifique, seleccione Disable debug logs at stop time.

6. Haga clic en Save Changes.

7. Cuando el IVE termine de tomar la imagen instantánea, haga clic en el vínculo

de la imagen instantánea ubicado bajo Snapshot, haga clic en Save, diríjase a la
carpeta donde desea guardar el archivo de la imagen instantánea y luego haga
clic en Save.

8. Envíe en un correo electrónico el archivo a Soporte técnico de Juniper Networks

para su revisión.

9. Cuando finalice, seleccione las imágenes instantáneas que aparecen bajo

Snapshot y luego haga clic en Delete para eliminar la imagen instantánea.

NOTA: También puede tomar una imagen instantánea del sistema desde la consola
serie. Este método es útil si no puede entrar a la consola de administración
y necesita guardar la configuración del sistema. Para obtener más información,
consulte “Tareas comunes de recuperación” en la página 993.

Creación de archivos de volcado TCP

La ficha Maintenance > Troubleshooting > Tools > TCP Dump le permite
rastrear encabezados de paquetes de la red y guardar los resultados en un archivo
de “volcado” que puede descargar a un equipo de la red para luego enviarlo por
correo electrónico a Soporte de Juniper Networks.

Este característica usa la pila de protocolos de red TCP/IP para capturar paquetes en
la capa TCP. Captura toda la comunicación que pasa a través del IVE. Sin embargo,
ciertos protocolos encriptados de niveles más altos no se pueden desencriptar. Esta
característica es útil para resolver problemas comunes del cliente. Un archivo de
volcado TCP ayuda al equipo de Soporte de Juniper Networks a observar los
protocolos de comunicación que se usan entre el IVE y cualquier otro servidor de
intranet, además de observar la forma en la que la intranet responde a las
solicitudes del IVE.

En la consola de administración, puede seleccionar la interfaz de la que quiere

capturar los paquetes. Independientemente de que elija la interna o la externa,
puede seleccionar el modo promiscuo, el que aumenta el nivel de los detalles en el
archivo de volcado y le permite especificar un filtro.

Para rastrear los encabezados de los paquetes de la red:

1. En la consola de administración, elija Maintenance > Troubleshooting >

Tools > TCP Dump.

2. Seleccione el puerto del IVE en el que desea rastrear los encabezados de los
paquetes de la red.

Creación de archivos de volcado TCP „ 859

 Guía de administración de Secure Access de Juniper Networks

3. Si está usando una licencia IVS, puede seleccionar también un puerto de VLAN
para rastrar los encabezados de paquetes la intranet de un suscriptor. Para
obtener más información, consulte “Resolución de problemas de las VLAN” en
la página 962.

4. Desactive la opción de Promiscuous mode para rastrear sólo los paquetes

correspondientes al IVE.

5. Cree un filtro personalizado usando las expresiones de filtro TCPDump

(opcional). Esta opción proporciona la capacidad de filtrar los paquetes de red
detectados para que el archivo de volcado resultante contenga sólo la
información que usted necesita. Consulte la Tabla 47 más adelante para ver los
ejemplos.

6. Haga clic en Start Sniffing.

7. Haga clic en Stop Sniffing para detener el proceso de detección y crear un

archivo encriptado.

8. Haga clic en Download para descargar el archivo a un equipo de la red.

9. Envíe en un correo electrónico el archivo a Soporte técnico de Juniper Networks

para su revisión.

Tabla 47: Ejemplos de expresiones de filtro TCPDump

Ejemplo Resultado
tcp port 80 Detecta paquetes en el puerto TCP 80.
port 80 Detecta paquetes en el puerto TCP o UDP 80.
ip Detecta el protocolo IP.
tcp Detecta el protocolo TCP.
dst #.#.#.# Detecta la dirección IP de destino especificada,
donde #.#.#.# es una dirección IP válida.
src #.#.#.# Detecta la dirección IP de origen especificada,
donde #.#.#.# es una dirección IP válida.
port 80 or port 443 Detecta el puerto 80 o el puerto 443.
src #.#.#.# and dst #.#.#.# Detecta las direcciones IP de origen y destino o los
hosts especificados, donde cada #.#.#.# representa
una dirección IP válida.
tcp port 80 or port 443 and dst #.#.#.# and Este ejemplo muestra cómo especificar múltiples
src #.#.#.# parámetros para crear un filtro que detecte el
puerto TCP 80, el puerto TCP o UDP 443 y los
puertos de destino y origen, donde cada #.#.#.#
representa una dirección IP válida.
Para obtener más información acerca de las expresiones de filtro de TCPDump, visite este sitio
Web: http://www.tcpdump.org/tcpdump_man.html

Para obtener más información acerca del uso de TCP Dump, consulte “Creación de
archivos de volcado TCP” en la página 859.

860 „ Creación de archivos de volcado TCP

 Capítulo 30: Resolución de problemas

Prueba de la conectividad de red del IVE

La ficha Maintenance > Troubleshooting > Tools > Commands le permite
ejecutar comandos UNIX como arp, ping, traceroute y NSlookup para probar la
conectividad de la red del IVE. Puede usar estas herramientas de conectividad para
ver la ruta que sigue la red desde el IVE a un servidor especificado. Si puede
ejecutar el comando ping o traceroute al IVE y el IVE puede hacer lo mismo con el
servidor de destino, cualquier usuario remoto debería poder tener acceso al
servidor a través del IVE.

Protocolo de resolución de direcciones (ARP)

Use el comando arp para asignar las direcciones IP de la red a las direcciones del
hardware. El protocolo de resolución de direcciones (ARP) le permite resolver
direcciones de hardware.

Para resolver direcciones de un servidor en su red, el proceso de un cliente en el IVE

envía la información acerca de su identificador único a un proceso del servidor
ejecutado en un servidor en la intranet. El proceso del servidor después devuelve la
dirección solicitada al proceso del cliente.

Ping
Use el comando ping para verificar que el IVE se puede conectar a otros sistemas de
la red. En caso de que exista un error en la red entre los nodos locales y remotos, no
recibirá una respuesta desde el dispositivo al que ejecutó el comando ping. En ese
caso, póngase en contacto con el administrador de la LAN para obtener ayuda.

El comando ping envía paquetes a un servidor y devuelve su respuesta, que

generalmente es un conjunto de estadísticas como la dirección IP del servidor de
destino, el tiempo que se tardó en enviar los paquetes y en recibir la respuesta
y otros datos. Puede ejecutar el comando ping en direcciones unicast o multicast
y debe incluir el nombre del servidor de destino en la solicitud.

Traceroute
Use el comando traceroute para descubrir la ruta que sigue un paquete desde el IVE
a otro host. Traceroute envía un paquete a un servidor de destino y recibe una
respuesta ICMP TIME_EXCEEDED desde cada puerta de enlace a lo largo de su ruta.
Las respuestas TIME_EXCEEDED y otros datos se registran y se muestran en el
resultado, indicando la ruta de la ida y vuelta del paquete.

Para ejecutar un comando UNIX para probar la conectividad de red del IVE:

1. En la consola de administración, elija Maintenance > Troubleshooting >

Tools > Commands.

2. Desde la lista Command, seleccione el comando que desea ejecutar.

3. En el campo Target Server, escriba la dirección IP del servidor de destino.

Prueba de la conectividad de red del IVE „ 861

 Guía de administración de Secure Access de Juniper Networks

4. Si está utilizando una licencia IVS, puede seleccionar un puerto de la VLAN para
probar la conectividad con la intranet de un suscriptor. Para obtener más
información, consulte “Resolución de problemas de las VLAN” en la
página 962.

5. Introduzca otros argumentos u opciones.

6. Haga clic en OK para ejecutar el comando.

NSlookup
Use NSlookup para obtener información detallada acerca del servidor de nombres
en la red. Puede enviar una consulta acerca de distintos tipos de información, como
la dirección IP del servidor, la dirección IP del alias, el registro del inicio de la
autoridad, el registro del intercambio de correo, la información del usuario, la
información de los servicios conocidos, además de información de otro tipo.

Para ejecutar NSLookup para probar la conectividad del servidor de nombres:

1. En la consola de administración, elija Maintenance > Troubleshooting >

Tools > Commands.

2. En la lista Command, elija NSLookup.

3. Seleccione Query Type en el menú desplegable.

4. Introduzca la consulta, que consiste en un nombre de host, una dirección IP

y otra información, dependiendo del tipo de consulta que elija.

5. Introduzca el nombre del servidor DNS o la dirección IP.

6. Si está utilizando una licencia IVS, puede seleccionar un puerto de la VLAN para
probar la conectividad con la intranet de un suscriptor. Para obtener más
información, consulte “Resolución de problemas de las VLAN” en la
página 962.

7. Introduzca otras opciones.

8. Haga clic en OK para ejecutar el comando.

Ejecución de las herramientas de depuración de forma remota

El equipo de Soporte de Juniper Networks puede ejecutar herramientas de
depuración en su IVE de producción si se configura esta opción en la página
Maintenance > Troubleshooting > Remote Debugging. Para habilitar esta
opción, debe trabajar con Soporte de Juniper Networks para obtener el código
de depuración y el host al que desea que se conecte el IVE.

Para habilitar la depuración remota:

1. Póngase en contacto con Soporte de Juniper Networks para acordar las

condiciones de la sesión de depuración.

862 „ Ejecución de las herramientas de depuración de forma remota

 Capítulo 30: Resolución de problemas

2. En la consola de administración, elija Maintenance > Troubleshooting >

Remote Debugging.

3. Escriba el código de depuración proporcionado por Soporte de

Juniper Networks.

4. Escriba el nombre del host proporcionado por Soporte de Juniper Networks.

5. Haga clic en Enable Debugging para permitir que el equipo de Soporte de

Juniper Networks pueda entrar al IVE.

6. Notifique a Soporte de Juniper Networks que puede tener acceso al IVE.

7. Haga clic en Disable Debugging cuando Soporte de Juniper Networks le

notifique que la sesión de depuración remota ha finalizado.

Creación de registros de depuración

Si tiene un problema, un representante de Soporte Juniper Networks podría
solicitarle que cree registros de depuración para ayudarle a depurar los problemas
internos del IVE. Cuando habilita la creación de registros, el IVE graba ciertos
eventos y mensajes dependiendo de los códigos de eventos que se introduzcan en
la consola de administración en la ficha Maintenance > Troubleshooting >
Monitoring > Debug Log. Usando el registro de depuración resultante, el equipo
de soporte puede identificar el flujo del código para buscar discrepancias. Los
representantes de soporte le darán toda la información que necesita para crear el
archivo de registro, incluyendo el nivel de registro de detalles de la depuración y los
códigos de los eventos.

NOTA: La ejecución de los registros de depuración puede afectar a la estabilidad

y al rendimiento de su sistema. Sólo debe generar registros de depuración cuando
así se lo indique el representante de Soporte de Juniper Networks.

Para habilitar el registro de depuración:

1. En la consola de administración, elija Maintenance > Troubleshooting >

Monitoring > Debug Log.

2. Seleccione la casilla de verificación Debug Logging On.

3. Introduzca el tamaño del archivo, el nivel de detalle y el código del evento

indicado por Soporte de Juniper Networks.

NOTA: Si configura el nivel de detalle en 0, sólo se mostrarán los mensajes de la

categoría Critical; no se desactivan completamente los registros.

4. Haga clic en Save Changes.

5. Haga clic en la ficha Maintenance > Troubleshooting > System Snapshot.

6. Seleccione la casilla de verificación Include debug log.

Creación de registros de depuración „ 863

 Guía de administración de Secure Access de Juniper Networks

7. Haga clic en Take snapshot para crear un archivo que contenga el registro de
depuración.

8. Haga clic en Download.

9. Adjunte en un mensaje de correo electrónico el archivo de la imagen

instantánea y envíelo a Soporte de Juniper Networks.

Supervisión de los nodos del clúster

Si tiene problemas con un clúster, un representante de Soporte de Juniper Networks
puede pedirle que cree una imagen instantánea que incluya las estadísticas de la
supervisión de los nodos para ayudarle a depurar el problema en el clúster. Cuando
se habilita el supervisor de nodos en la ficha Maintenance > Troubleshooting >
Monitoring > Node Monitor, el IVE captura determinadas estadísticas específicas
para los nodos del clúster de su sistema. Con las imágenes instantáneas resultantes,
el equipo de soporte podrá identificar datos importantes, como las estadísticas de la
red y las estadísticas del uso de la CPU.

Para habilitar la supervisión de nodos:

1. Introduzca el tamaño máximo para el registro del supervisor de nodos.

2. Introduzca el intervalo (en segundos) en el que quiere que se capturen las

estadísticas de los nodos.

3. Seleccione la casilla de verificación Node monitoring enabled para iniciar la

supervisión de los nodos del clúster.

4. Para Maximum node monitor log size, indique el tamaño máximo (en MB) del
archivo de registro. Los valores válidos son entre 1 y 30.

5. Especifique el intervalo (en segundos) que define la frecuencia en que se

supervisan los nodos.

6. Seleccione los comandos que usará para supervisar el nodo.

Si selecciona dsstatdump, introduzca también sus parámetros.

7. Haga clic en Save Changes.

8. Si desea incluir los resultados de la supervisión del nodo en la imagen

instantánea del sistema, elija Maintenance > Troubleshooting > System
Snapshot y seleccione la casilla de verificación Include debug log.

9. Tome una imagen instantánea del sistema para recuperar los resultados. Para
obtener más información, consulte “Creación de imágenes instantáneas del
estado del sistema IVE” en la página 857.

864 „ Supervisión de los nodos del clúster

 Capítulo 30: Resolución de problemas

Configuración de la supervisión de la comunicación del grupo en un

clúster
Si tiene problemas con un clúster, un representante de Soporte de Juniper Networks
puede pedirle que cree una imagen instantánea que incluya las estadísticas de la
comunicación del grupo para ayudarlo a depurar el problema en el clúster. Cuando
habilite el supervisor de comunicación del grupo en la ficha Maintenance >
Troubleshooting > Monitoring > Cluster > Group Communication, el IVE graba
las estadísticas relacionadas a todos los nodos del clúster de su sistema. Debido
a que el nodo local se comunica con otros nodos en el clúster, el IVE captura
estadísticas relacionadas a la comunicación dentro del clúster. La ficha
Maintenance > Troubleshooting > Monitoring > Cluster > Group
Communication aparece sólo cuando se habilita la creación de clústeres en su
sistema. En un IVE independiente, no tendrá acceso a la ficha Maintenance >
Troubleshooting > Monitoring > Cluster > Group Communication.

También podrá habilitar el servidor de resolución de problemas de la red del clúster

en la página Maintenance > Troubleshooting > Monitoring > Cluster >
Network Connectivity. Para obtener más información, consulte “Configuración de
la supervisión de la conectividad de red en un clúster” en la página 866.

NOTA:

„ Al realizar supervisiones de nodo excesivas, es posible que se vean afectados

la estabilidad y el rendimiento del sistema. Sólo debe realizar supervisiones
completas cuando así se lo indique el representante de Soporte de
Juniper Networks.

„ Al realizar sincronizaciones de registros a través de los nodos del clúster,

pueden resultar afectados el rendimiento y la estabilidad del sistema.

Para habilitar la supervisión de la comunicación del grupo:

1. Introduzca el tamaño máximo para el registro de estadísticas.

2. Introduzca el intervalo, en segundos, en el que quiere que se registren los

eventos.

3. Si desea supervisar todos los clústeres desde el nodo local actual, seleccione la
casilla de verificación Monitor all cluster nodes from this node. Si no marca
esta opción, el supervisor de comunicaciones del grupo reúne las estadísticas
sólo para el nodo local.

NOTA: Si selecciona la opción Monitor all cluster nodes from this node, los nodos
del clúster deben poder comunicarse a través del puerto UDP 6543.

4. Seleccione la casilla de verificación Enable group communication monitoring

para iniciar la herramienta de supervisión.

5. Haga clic en Save Changes.

Configuración de la supervisión de la comunicación del grupo en un clúster „ 865

 Guía de administración de Secure Access de Juniper Networks

6. Si desea incluir los resultados de la supervisión del nodo en la imagen

instantánea del sistema, elija Maintenance > Troubleshooting > System
Snapshot y seleccione la casilla de verificación Include debug log.

7. Tome una imagen instantánea del sistema para recuperar los resultados. Para
obtener más información, consulte “Creación de imágenes instantáneas del
estado del sistema IVE” en la página 857.

Configuración de la supervisión de la conectividad de red en un

clúster
Si tiene un problema con un clúster, el representante de Soporte de
Juniper Networks podría pedirle que habilite el servidor de resolución de problemas
del nodo del clúster. Cuando habilite el servidor en la ficha Maintenance >
Troubleshooting > Cluster > Network Connectivity, el IVE intentará establecer
la conectividad entre el nodo en el que reside el servidor y otro nodo que usted
especifique. Mientras los nodos se comunican, el IVE muestra las estadísticas de
conectividad de la red en la página. La ficha Maintenance > Troubleshooting >
Cluster > Network Connectivity aparece sólo cuando habilita la creación de
clústeres en su sistema. En un IVE independiente, no tendrá acceso a la ficha
Maintenance > Troubleshooting > Cluster > Network Connectivity.

Use la página Network Connectivity para habilitar el servidor de resolución de

problemas del nodo del clúster y para seleccionar un nodo en el que desea realizar
las tareas de resolución de problemas. La herramienta de resolución de problemas
le permite determinar la conectividad de red entre los nodos del clúster.

El componente del servidor de esta herramienta se ejecuta en el nodo hacia el que

se está probando la conectividad. El componente del cliente se ejecuta en el nodo
desde el que se está probando la conectividad. El escenario básico para probar la
conectividad es el siguiente:

„ El administrador inicia el componente del servidor en el nodo pasivo.

„ Seguidamente, el administrador prueba la conectividad hacia el nodo del

servidor desde el nodo activo iniciando el componente del cliente en el nodo
activo y contactando con el nodo pasivo que ejecuta el componente del
servidor.

NOTA: El componente del servidor debe ejecutarse en nodos que estén

configurados como independientes, o bien, que estén en un clúster pero
inhabilitados. Los servicios de clúster no se pueden ejecutar en el mismo nodo que
tiene el componente del servidor.

1. Seleccione la casilla de verificación Enable cluster network troubleshooting

server para habilitar el componente del servidor.

2. Haga clic en Save Changes.

866 „ Configuración de la supervisión de la conectividad de red en un clúster

 Capítulo 30: Resolución de problemas

3. En otro equipo, seleccione Maintenance > Troubleshooting > Cluster >

Network Connectivity.

4. Realice uno de los siguientes pasos:

„ Seleccione un nodo desde el menú desplegable.

„ Escriba la dirección IP del nodo del servidor.

5. Haga clic en Go para comenzar a resolver problemas en el equipo donde se

está ejecutando el componente del servidor.

6. Para ver los resultados, haga clic en el vínculo Details que aparece en la página
por debajo de los campos.

Configuración de la supervisión de la conectividad de red en un clúster „ 867

 Guía de administración de Secure Access de Juniper Networks

868 „ Configuración de la supervisión de la conectividad de red en un clúster

Capítulo 31
Creación de clústeres

Puede adquirir una licencia de creación de clústeres para implementar dos o más
dispositivos con Secure Access o Secure Access FIPS como un clúster. Estos
dispositivos admiten configuraciones activo/pasivo o activo/activo a través de una
LAN para proporcionar alta disponibilidad y mayor escalabilidad, además de
capacidades de equilibrio de carga.

Un clúster de un IVE se define especificando tres datos:

„ un nombre para el clúster

„ una contraseña que compartirán los miembros del clúster

„ un nombre para identificar al equipo en el clúster

Al introducir esta información podrá inicializar el primer miembro del clúster.

Después deberá especificar cuáles IVE desea agregar al clúster. Una vez identificado
el IVE como miembro válido, podrá agregarlo al clúster a través de la:

„ Consola de administración: Si un IVE configurado está trabajando como un

equipo independiente, puede agregarlo al clúster a través de su consola de
administración.

„ Consola serie: Si un IVE está en su estado de fábrica, puede agregarlo al clúster

a través de la consola serie introduciendo información mínima durante la
instalación inicial.

Cuando un IVE se integra en un clúster, éste inicializa su estado con el miembro

existente que usted especifique. El nuevo miembro envía un mensaje al miembro
existente solicitando la sincronización. El miembro existente envía el estado del
sistema al miembro nuevo, sobrescribiendo todos los datos de sistema en ese
equipo. Después de esto, los miembros del clúster sincronizan los datos cuando hay
un cambio en el estado de algún miembro. La comunicación entre los miembros
del clúster está encriptada para evitar ataques desde dentro de la pared de fuego
corporativa. Cada IVE usa la contraseña común para desencriptar la comunicación
de otro miembro del clúster. Por razones de seguridad, la contraseña del clúster no
se sincroniza a través de los IVE.

Tenga en cuenta si el nuevo nodo cuenta con una licencia Central Manager y está
ejecutando un paquete de actualización antiguo, recibirá el paquete de
actualización más reciente.

„ 869
 Guía de administración de Secure Access de Juniper Networks

Este capítulo contiene las siguientes secciones:

„ “Licencia: Disponibilidad para creación de clústeres” en la página 870

„ “Resumen de tareas: Implementación de un clúster” en la página 870

„ “Creación y configuración de un clúster” en la página 872

„ “Configuración de las propiedades del clúster” en la página 877

„ “Administración y configuración de clústeres” en la página 885

Licencia: Disponibilidad para creación de clústeres

La característica de creación de clústeres no está disponible en el dispositivo
SA 700.

Puede ejecutar un IVE en un clúster si cuenta con una licencia IVS. Para obtener
más información, consulte “Creación de clústeres en un IVE virtualizado” en la
página 946.

NOTA: Todos los IVE de un clúster deben tener la misma licencia para clústeres. No
se puede agregar una licencia ADD y una CL en el mismo equipo al mismo
tiempo. Para que un nodo pueda integrarse en un clúster, deberá agregar una
licencia CL al nodo.

Resumen de tareas: Implementación de un clúster

Para crear un cluster de IVE:

1. Asegúrese de que todos los nodos de IVE correspondientes tienen la misma

plataforma de hardware (por ejemplo, Secure Access 6000 en todos los
equipos).

2. Verifique que todos los nodos de IVE correspondientes tengan la configuración

inicial (por ejemplo, se ha especificado el nombre del host IVE y se han
asignado las direcciones IP interna y externa) y que estén ejecutando la misma
versión del paquete de actualización.

3. Desde la consola de administración, haga clic en la página System >

Configuration > Licensing, habilite la característica de creación de clústeres
en el servidor primario introduciendo una licencia independiente y todas las
licencias de características correspondientes.

4. En la página System > Clustering > Create Cluster, inicialice el clúster de IVE
definiendo el nombre del clúster y agregando el IVE primero o primario al
clúster. Para obtener instrucciones, consulte “Definición e inicialización de un
clúster” en la página 873.

870 „ Licencia: Disponibilidad para creación de clústeres

 Capítulo 31: Creación de clústeres

5. En la página System > Clustering > Status, agregue los nombres y las
direcciones IP de los futuros IVE del clúster al IVE primario. Para obtener
instrucciones, consulte “Integración en un clúster existente” en la página 874.

6. En la página System > Clustering > Join Cluster, agregue al clúster los IVE
adicionales según sea necesario. Para obtener más instrucciones, consulte
“Adición de un IVE a un clúster a través de su consola de administración” en la
página 875 o, en el caso de un IVE preconfigurado o con la configuración de
fábrica, “Integración de un IVE en un clúster a través de su consola serie” en la
página 894.

7. Si está ejecutando Network Connect en un clúster de varios sitios donde los

nodos residen en subredes diferentes:

a. Configure la directiva del conjunto de direcciones IP en la página Users >

Resource Policies > Network Connect > Network Connect Connection
Profiles > New Profile que muestra las diferentes direcciones de red que
usa cada nodo en el clúster.

b. Para cada nodo en el clúster, use las configuraciones de la página

System > Network > Network Connect de la consola de administración
para especificar un filtro IP que admita sólo las direcciones de red que
están disponibles para ese nodo.

c. Cree una ruta estática en el enrutador de la puerta de enlace que indique la

dirección IP del puerto interno de cada nodo del clúster. Cada dirección IP
especificada en el enrutador debe estar en la misma subred que el nodo del
clúster correspondiente.

8. Si se trata de crear un clúster de dispositivos Secure Access FIPS, actualice de

forma manual la palabra de seguridad en cada uno de los equipos, como se
explicó en “Implementación de un clúster en un entorno Secure Access FIPS”
en la página 1015.

„ Cuando ejecute Network Connect en un clúster activo/activo, debe dividir el

conjunto de direcciones IP entre todos los nodos para asegurar el
enrutamiento adecuado desde el servidor al usuario final de NC. Tanto si el
conjunto de direcciones IP se proporcionan de forma estática en el IVE como
si se proporcionan de forma dinámica a través de DHCP, este paso es
obligatorio. Consulte “Creación de perfiles de conexión de Network Connect”
en la página 675 para obtener más información.

„ La configuración del conjunto de direcciones IP del cliente se sincroniza entre

todos los nodos de un clúster; sin embargo, los administradores pueden
configurar cada IVE para que use un grupo menor del conjunto de direcciones
IP global. Configure el conjunto de direcciones IP en la ficha Network
Settings > Network Connect, usando una coincidencia de filtro de IP.

NOTA: Le recomendamos que primero implemente un clúster en un entorno de

pruebas y después avance a un entorno de producción cuando haya probado la
autenticación de territorio, los roles de usuario y las configuraciones de las
directivas de recursos, además de todas las aplicaciones a las que pueda acceder
el usuario final.

Resumen de tareas: Implementación de un clúster „ 871

 Guía de administración de Secure Access de Juniper Networks

Creación y configuración de un clúster

Si un IVE no es parte de un clúster, la página Clustering incluirá la ficha Create. La
ficha Create le permite crear configuraciones para los nodos del clúster, incluso si
no tiene dispositivos físicos disponibles para integrar en el clúster.

Después de agregar una licencia para clústeres al IVE, la página Clustering mostrará
la ficha Join. La ficha Join le permite integrar un IVE inicializado a un clúster
existente, como se explica en “Integración en un clúster existente” en la
página 874.

Después de crear el clúster, la página Clustering mostrará las fichas Status

y Properties en lugar de las fichas Join y Create iniciales. Use la ficha Status para
especificar el IVE que se agregará al clúster, administrar las configuraciones de la
red para los nodos del clúster y actualizar el paquete se actualización del clúster. La
ficha Properties le permite especificar, entre otras, las configuraciones activo/pasivo
y activo/activo, además de permitirle eliminar un clúster.

NOTA:

„ La ficha Create sólo aparece en un IVE que no tiene una clave de licencia para
clústeres. Sólo podrá crear un clúster si ha introducido una clave de licencia
para clústeres.

„ Se necesita la clave de licencia para clústeres o licencia CL para ejecutar la

función secundaria del nodo de integrarse al clúster.

„ Todos los nodos de un clúster deben tener la misma clave de licencia que el
IVE del clúster primario para que el clúster pueda funcionar. No se puede
agregar una licencia ADD y una CL en el mismo equipo al mismo tiempo. Para
que un nodo pueda integrarse en un clúster, deberá agregar una licencia CL al
nodo.

Esta sección contiene la siguiente información acerca de la creación de clústeres:

„ “Definición e inicialización de un clúster” en la página 873

„ “Integración en un clúster existente” en la página 874

„ “Implementación de un clúster en un entorno Secure Access FIPS” en la

página 1015

NOTA: Para obtener información acerca de cómo configurar un clúster en:

„ una red del proveedor de servicios que opera con una licencia IVS, consulte
“Creación de clústeres en un IVE virtualizado” en la página 946.

„ un entorno Secure Access FIPS, consulte “Implementación de un clúster en un

entorno Secure Access FIPS” en la página 1015

872 „ Creación y configuración de un clúster

 Capítulo 31: Creación de clústeres

Definición e inicialización de un clúster

Si actualmente ejecuta IVE independientes que quiere agrupar en un clúster, le
recomendamos que configure el sistema y los ajustes de usuario en un equipo antes
de crear el clúster. Después de eso, use el mismo equipo para crear el clúster. Este
equipo se integrará en el clúster como parte del proceso de creación. Cuando otros
IVE se integren al clúster, este equipo transmitirá su configuración al nuevo
miembro del clúster.

Para definir e inicializar un clúster:

1. Configure un IVE con la licencia correspondiente y con los datos de sistema,

licencia, usuario y aplicación, como se explica en “Resumen de tareas:
Implementación de un clúster” en la página 870.

2. Desde la consola de administración, seleccione System > Clustering > Create

e introduzca un nombre y una contraseña para el clúster y un nombre para este
equipo, como por ejemplo Server-1.

NOTA: Deberá introducir la contraseña nuevamente cuando configure IVE

adicionales que se integrarán al clúster. Todos los equipos en el clúster usan esta
contraseña para comunicarse.

3. Haga clic en Create Cluster. Cuando se le indique, confirme la creación del

clúster haciendo clic en Create. Después de que el IVE inicialice el clúster, la
página Clustering mostrará las fichas Status y Properties. Use la ficha Status
para especificar los miembros adicionales del clúster antes de intentar agregar
otro IVE al clúster nuevo. Para obtener más información, consulte
“Especificación de un IVE para su integración en un clúster” en la página 875.

Figura 47: System > Clustering > Create: creación de un clúster

Creación y configuración de un clúster „ 873

 Guía de administración de Secure Access de Juniper Networks

Integración en un clúster existente

El método que usará para agregar un IVE a un clúster depende de si el IVE ya está
configurado o si aún no ha sido inicializado (todavía en estado de fábrica). Si se
trata de un IVE en estado de fábrica, recomendamos que use el procedimiento de la
consola serie debido a que requiere la mínima información de su parte para que el
equipo se integre al clúster. Consulte “Integración de un IVE en un clúster a través
de su consola serie” en la página 894.

NOTA:

„ Si cuenta con SA Central Manager de Juniper Networks, puede crear un clúster

usando el IVE que se ejecute con la última versión del sistema operativo
y luego agregar los nodos usando la funcionalidad “upgrade and join”
(actualizar e integrar). Cuando agregue un nodo a un clúster usando esta
característica, el primer nodo del IVE actualizará los nodos que se integren
con el paquete de actualización más reciente. Esta funcionalidad sólo se
puede usar cuando todos los IVE ejecutan la versión 4.0 o posterior del
sistema operativo.

„ Si desea agregar un IVE que actualmente trabaja como un equipo

independiente a un clúster a través de su consola de administración y no tiene
Central Manager, el IVE debe ejecutar la misma versión del paquete de
actualización o una más reciente y en la misma plataforma de hardware que
los otros miembros.

„ Si agrega a un clúster un IVE que ejecuta un paquete de actualización anterior,

el IVE detectará automáticamente la discrepancia entre versiones, obtendrá el
paquete más reciente desde el clúster y luego se incorporará a éste. Si el nodo
nuevo no cuenta con una licencia, se agregará con el estado del clúster
configurado como Enabled, Unqualified (habilitado, no calificado) hasta que
aplique una licencia CL válida usando el ID de equipo del nodo nuevo.
Consulte “Introducción o actualización de licencias de IVE” en la página 727.

„ Los ajustes específicos para el nodo existente se eliminan cuando un nodo IVE
se integra en un clúster. Entre estas configuraciones se incluyen la dirección
de la interfaz de red, las tablas de rutas, los puertos virtuales, el caché ARP, la
interfaz VLAN, las configuraciones SNMP, etc. El administrador debe
reconfigurar de forma manual estos ajustes para el nuevo nodo que se integra.
Usted no podrá usar la característica de configuración de sistema Import
(importar) para importar estas configuraciones y ajustes en un nodo IVE que
se ha integrado al clúster. Consulte “Importación de un archivo de
configuración del sistema” en la página 788.

En un entorno Secure Access FIPS, debe usar la consola de administración para

agregar un IVE a un clúster. Debe tener acceso físico a:

„ los módulos criptográficos instalados en los paneles frontales de los dispositivos

IVE de los miembros del clúster

„ un lector de tarjeta inteligente

„ una tarjeta de administrador que se haya inicializado previamente con el

entorno de seguridad del miembro activo del clúster

874 „ Creación y configuración de un clúster

 Capítulo 31: Creación de clústeres

Especificación de un IVE para su integración en un clúster

Antes de que un IVE se pueda integrar a un clúster, debe especificar su identidad de
red en un miembro activo del clúster.

Para especificar un IVE que desea integrar a un clúster existente:

1. Desde la consola de administración de un miembro activo del clúster,

seleccione la ficha System > Clustering > Cluster Status.

2. Haga clic en Add Members (agregar miembros) para especificar el IVE que
integrará en el clúster:

a. Introduzca un nombre para el miembro.

b. Introduzca la dirección IP interna del equipo.

c. Introduzca la dirección IP externa del equipo si fuese necesario. Tenga en

cuenta que la dirección IP externa no aparecerá si no ha habilitado el
puerto externo en la ficha System > Network > External Port.

d. Cambie las configuraciones de la máscara de red y de la puerta de enlace

para el nodo si fuese necesario.

e. Haga clic en Add Node. Cuando se le solicite que confirme la incorporación

del miembro nuevo, haga clic en Add (agregar).

f. Repita este procedimiento para cada IVE que desee agregar al clúster.

Adición de un IVE a un clúster a través de su consola de administración

Para poder agregar un IVE a un clúster (ya sea a través de la Web o de la consola
serie), deberá comunicar su identidad al clúster. Para especificar el IVE que desea
agregar a un clúster, consulte “Especificación de un IVE para su integración en un
clúster” en la página 875. Tenga en cuenta que si un IVE tiene una clave de licencia
para clústeres, sólo tiene la ficha Clustering > Join.

Para agregar un IVE a un clúster a través de su consola de administración:

1. desde un miembro del clúster, seleccione la ficha System > Clustering >
Cluster Status y especifique el IVE que desea agregar al clúster. Consulte
“Especificación de un IVE para su integración en un clúster” en la página 875.

2. Desde la consola de administración del IVE que desea agregar al clúster:

a. Escoja la ficha System > Configuration > Licensing e introduzca la clave

de licencia correcta (que contiene el tipo de equipo, las iniciales CL que
indican que es para clúster y el número de licencias de usuario, por
ejemplo, SA6000-CL-1000U) para habilitar la característica de creación de
clústeres.

b. Seleccione la ficha System > Clustering > Join e introduzca:

‰ el nombre del clúster al que se integrará

‰ la contraseña del clúster que especificó cuando definió el clúster

‰ la dirección IP de un miembro activo del clúster

Creación y configuración de un clúster „ 875

 Guía de administración de Secure Access de Juniper Networks

c. Haga clic en Join Cluster. Cuando se le indique, confirme la integración del

clúster haciendo clic en Join. Después de que el IVE se integre al clúster,
deberá iniciar sesión nuevamente.

3. (Sólo en entornos Secure Access FIPS) Inicialice el nodo con el entorno de

seguridad del miembro activo del clúster, como se explica en “Implementación
de un clúster en un entorno Secure Access FIPS” en la página 1015.

Mientras el nuevo nodo sincroniza su estado con el miembro existente del clúster,
los estados de todos los nodos indican “Enabled,” “Enabled, Transitioning,”
o “Enabled, Unreachable.”

Figura 48: System > Clustering > Status: Una vez terminada la transición del nodo

Cuando el nuevo nodo finaliza la integración en el clúster, su página Clustering

muestra las fichas Status y Properties. La información de estado del miembro
original del clúster, por ejemplo, los datos del sistema, usuario y licencia, se
encontrará también en el miembro nuevo del clúster. En este ejemplo, las
características de la interfaz de usuario del miembro original se reflejan en el
nuevo nodo.

Readición de un nodo a un clúster

En algunas operaciones de mantenimiento puede ser necesario quitar un nodo de
un clúster y luego volver a agregarlo e integrarlo en el clúster.

Cuando un nodo de IVE se integra en un clúster, todos los ajustes específicos del
nodo (por ejemplo, direcciones de interfaz de red, tablas de rutas, puertos virtuales,
caché ARP, interfaz VLAN, configuraciones, SNMP) se sobrescriben con los ajustes
equivalentes que se reciben desde el clúster.

876 „ Creación y configuración de un clúster

 Capítulo 31: Creación de clústeres

Para incluir los ajustes específicos correctos en el nodo al que se acaba de integrar:

1. Agregue el nodo al clúster.

2. Desde cualquiera de los nodos existentes en el clúster, configure de forma

manual los ajustes específicos para el nodo recientemente agregado.

3. Integre el nodo al clúster.

Cuando el nodo se integre en el clúster, recibirá los ajustes específicos

recientemente configurados en el clúster para ese nodo.

NOTA: Los ajustes específicos para el nodo se deben configurar de forma manual,
ya que las opciones de importación binaria no son útiles. La única opción de
importación binaria a un clúster recomendada es “Import everything except
network settings and licences” (importar todo excepto las configuraciones de red
y las licencias) desde la página Maintenance > Import/Export > Configuration
que reestablece la configuración en todo el clúster (directivas de inicio de sesión,
territorios, roles, recursos, etc.) desde un archivo binario de respaldo. Debido
a que esta opción omite las configuraciones específicas para el nodo, usted deberá
ejecutar el paso 2 como un paso manual para agregar al nodo recientemente
integrado el conjunto de ajustes específicos para el nodo correctos.

Configuración de las propiedades del clúster

Esta sección contiene la siguiente información acerca de las propiedades de los
clústeres:

„ “Implementación de dos nodos en un clúster activo/pasivo” en la página 877

„ “Implementación de dos o más unidades en un clúster activo/activo” en la

página 879

„ “Sincronización del estado del clúster” en la página 881

„ “Configuración de las propiedades del clúster” en la página 883

Implementación de dos nodos en un clúster activo/pasivo

Puede implementar distintos IVE como un par en un clúster en modo activo/pasivo.
En este modo, un IVE sirve de forma activa los requisitos del usuario, mientras que
el otro IVE se ejecuta de forma pasiva en segundo plano para sincronizar los datos
de estado, como el estado del sistema, el perfil de usuario y los mensajes de
registro. Las solicitudes del usuario a la VIP (dirección IP virtual) del clúster se
transfieren al IVE activo. Si el IVE activo se desconecta, el IVE pasivo comienza
automáticamente a responder a las solicitudes del usuario. No es necesario que los
usuarios inicien sesión nuevamente; sin embargo, es posible que alguna
información de sesión de IVE, como contraseñas o cookies, introducida poco antes
de la desconexión del equipo, no se haya sincronizado con el IVE actual, en cuyo
caso los usuarios deberían iniciar sesión nuevamente en los servidores Web de
back/end.

Configuración de las propiedades del clúster „ 877

 Guía de administración de Secure Access de Juniper Networks

Es posible que deba conmutar en caso de error la VIP del clúster a otro nodo de
forma manual. Puede realizar esta conmutación manual usando el botón Fail-Over
VIP (conmutar VIP en caso de error) en la página Clustering Status (estado de los
clústeres). Consulte “Conmutación de la VIP a otro nodo en caso de error” en la
página 878.

La Figura 49 en la página 878 ilustra la configuración de un clúster IVE

activo/pasivo usando dos IVE que tienen los puertos externos habilitados. Tenga en
cuenta que este modo no aumenta el rendimiento o la capacidad del usuario, pero
proporciona redundancia para controlar fallos inesperados del sistema.

Las solicitudes del usuario se dirigen a la VIP del clúster, que a su vez los enruta al
equipo que esté activo en ese momento.

Figura 49: Par de clústeres activo/pasivo

Conmutación de la VIP a otro nodo en caso de error

En un clúster activo/pasivo, es posible que deba conmutar la VIP en caso de error
a otro nodo sin importar cuál nodo está usando actualmente.

Para conmutar la VIP en caso de error:

1. Seleccione System > Clustering > Cluster Status desde la consola de

administración.

2. Haga clic en el botón Fail-Over VIP para moverla al otro nodo. El botón Fail-
Over VIP es un botón conmutador, por lo que puede moverse de un nodo
a otro, sin importar cuál es el líder.

La conmutación ocurre de forma inmediata.

878 „ Configuración de las propiedades del clúster

 Capítulo 31: Creación de clústeres

Implementación de dos o más unidades en un clúster activo/activo

En modo activo/activo, todos los equipos del clúster administran de forma activa las
solicitudes del usuario enviadas por un equilibrador de carga externo o un DNS de
operación por turnos. El equilibrador de carga almacena la VIP del clúster y enruta
las solicitudes del usuario a un IVE definido en el grupo de su clúster basado en el
enrutamiento de la dirección IP de origen. Si un IVE se desconecta, el equilibrador
de carga ajusta la carga en los IVE activos. No es necesario que los usuarios inicien
sesión nuevamente; sin embargo, es posible que alguna información de sesión de
IVE, como contraseñas o cookies, introducida poco antes de la desconexión del
equipo, no se haya sincronizado con el IVE actual, en cuyo caso los usuarios
deberían iniciar sesión nuevamente en los servidores Web de back/end.

NOTA: Cuando escoja y configure un equilibrador de carga para su clúster, le

recomendamos que verifique que el equilibrador de carga:

„ Admite IPsec

„ Recibe tráfico en varios puertos

„ Se puede configurar para administrar el tráfico usando las direcciones IP de

origen destino asignadas (no el puerto de destino)

El clúster del IVE no realiza por sí mismo ninguna operación de conmutación por
error o de equilibrio de carga de forma automática, pero sí sincroniza los datos de
estado (datos de sistema, usuario y registro) entre los miembros del clúster. Cuando
un IVE desconectado vuelve a estar en línea, el equilibrador de carga ajusta la carga
nuevamente para distribuirla entre los miembros activos. Este modo proporciona
mayor rendimiento y prestaciones durante la carga máxima, pero no aumenta la
capacidad de ampliación más allá del número total de usuarios con licencia.

NOTA: El IVE sincroniza los datos de estado de todos los nodos si agrega o elimina
la entrada del host usando las páginas Network Settings. Si agrega o elimina la
entrada del host usando la ficha Clustering para un miembro del clúster, los datos
de estado sólo afectarán al nodo y el IVE no sincronizará los datos en todo el
clúster.

El IVE almacena una página en HTML que proporciona el estado de los servicios
para cada IVE en un clúster. Los equilibradores de carga externos pueden revisar
este recurso para determinar cómo distribuir la carga de forma eficiente entre todos
los nodos del clúster.

Para realizar la comprobación de estado capa 7 en un nodo:

„ En un navegador, introduzca la URL:

https://<IVE-Hostname>/dana-na/healthcheck/healthcheck.cgi

Configuración de las propiedades del clúster „ 879

 Guía de administración de Secure Access de Juniper Networks

„ En un equilibrador de carga externo, configure la directiva de comprobación

de estado que envía la siguiente solicitud a los nodos del clúster:

GET /dana-na/healthcheck/healthcheck.cgi HTTP/1.1\r\nHost: localhost\r\n\r\n

El nodo puede devolver dos valores distintos:

„ “Security gateway is accessible” cadena: Este valor significa que el nodo

está activo.

„ 500: Este valor muestra que ocurrió un error y que los IVE del clúster
dejaron de reenviar las solicitudes de usuario al nodo.

La Figura 50 en la página 880 ilustra la configuración de un clúster de IVE

activo/activo en el que los IVE han habilitado los puertos externos.

Esta configuración de clúster activo/activo se implementa detrás de un equilibrador

de carga externo. Puede implementar un par de clústeres o un clúster de unidades
múltiples en modo activo/activo. Las solicitudes de usuario de IVE se transmiten
a la VIP del clúster definida en el equilibrador de carga, que las enruta al equipo
correcto.

Figura 50: activo/activo Configuración

880 „ Configuración de las propiedades del clúster

 Capítulo 31: Creación de clústeres

Sincronización del estado del clúster

La sincronización de estado de IVE ocurre sólo por medio de las tarjetas de interfaz
de red internas (NIC) y se requiere que cada miembro del clúster posea la
contraseña del clúster para comunicarse con los otros miembros. Los miembros del
clúster sincronizan datos cuando hay un cambio en el estado de algún miembro.
Los datos de estado del clúster de IVE son persistentes (almacenados de forma
persistente en el IVE) o transitorios (almacenados en el IVE sólo para la sesión de
usuario). Los datos de estado del IVE se dividen en dos categorías superiores:

„ System state: Este estado es persistente y no cambia con frecuencia.

„ Configuraciones de red

„ Configuraciones del servidor de autenticación

„ Configuraciones del grupo de autorización, por ejemplo, los datos de la lista

de control de acceso, de marcadores, de mensajería y de aplicaciones

„ User profile: Estos datos pueden ser persistentes o transitorios, dependiendo

de si ha habilitado el almacenamiento persistente de cookies y de contraseña.
Si no ha habilitado estas características, entonces los datos serán transitorios
y corresponden a la siguiente categoría.

„ User bookmarks: persistente

„ Persistent user cookies: si la característica de cookies persistentes está

habilitada, el IVE almacena las cookies de usuario para los sitios Web que
emiten cookies persistentes

„ Persistent user passwords: si la característica de almacenamiento de

contraseña está habilitada, el usuario puede elegir si desea almacenar sus
credenciales para las aplicaciones y los sitios Web

„ User session: Este estado es temporal y dinámico. Los datos de sesión del
usuario son:

„ las cookies de la sesión IVE del usuario

„ la información de perfil transitoria del usuario, la que incluye las cookies

y las contraseñas almacenadas sólo para la sesión del usuario

„ Monitoring state: Esta información persistente consiste en mensajes de

registro.

Al implementar un clúster en modo activo/pasivo o activo/activo, el IVE es

responsable de sincronizar los datos entre los miembros del clúster. El IVE
sincroniza todos los datos del sistema, los datos de perfil de usuario y las
cookies de la sesión del usuario de IVE de forma inmediata, por lo que si un
miembro del clúster se desconecta, el usuario no necesita volver a iniciar sesión
en el IVE nuevamente. La latencia es inferior cuando el IVE sincroniza el perfil
de sesión de usuario y los datos de estado de supervisión, por lo que si un
miembro se desconecta es posible que deba iniciar sesión en alguna aplicación
Web del servidor. También es posible que los administradores no tengan acceso
a los registros del equipo que presentó el fallo.

Configuración de las propiedades del clúster „ 881

 Guía de administración de Secure Access de Juniper Networks

Si observa que ocurre mucha latencia en uno o más nodos, es posible que
necesite cambiar los ajustes del tiempo de espera de los clústeres (Clustering
Timeouts). Consulte “Configuración de las propiedades del clúster” en la
página 883.

Cuando agregue un IVE a un clúster, el líder del clúster no envía mensajes de

registro al nuevo miembro. Los mensajes de registro tampoco se sincronizan
entre los miembros del clúster cuando un miembro reinicia sus servicios o
cuando un equipo desconectado vuelve a estar en línea. Sin embargo, cuando
todos los equipos están en línea, los mensajes de registro se vuelven a
sincronizar.

NOTA: Si está ejecutando un clúster activo/activo, no debe permitir que el clúster

conmute a modo activo/pasivo a menos que los clústeres activo/activo
y activo/pasivo tengan ajustes de tiempos de espera compatibles.

También puede configurar los ajustes de sincronización para mejorar el

rendimiento:

„ Specify the synchronization protocol: Cuando ejecute tres o más IVE en un

clúster de varias unidades múltiples o varios sitios, puede optar por usar el
protocolo de sincronización (Unicast, Multicast o Broadcast) que mejor se
acomode a la topología de su red.

NOTA: Consulte “Especificación de los ajustes activo/pasivo, activo/activo y otros

ajustes del clúster.” en la página 883 para obtener una descripción de las
configuraciones de sincronización.

„ Synchronize log messages: Los mensajes de registro pueden ocasionar una

gran carga en la red y afectar al rendimiento del clúster. De forma
predeterminada, esta opción está inhabilitada.

„ Synchronize user sessions: Esta opción sincroniza toda la información de

sesión del usuario (por ejemplo, el acceso a los servicios de intranet) entre
todos los IVE en el clúster.

882 „ Configuración de las propiedades del clúster

 Capítulo 31: Creación de clústeres

„ Synchronize last access time for user sessions: Esta opción le permite
transmitir la información de acceso del usuario dentro del clúster. Si esta
opción es el único elemento de sincronización entre los nodos del clúster,
puede reducir significativamente el impacto de la CPU entre los IVE del clúster.

NOTA:

„ Si configura el clúster como activo/pasivo, las opciones Synchronize user

sessions y Synchronize last access time for user sessions se activan de
forma automática.

„ Si selecciona las casillas de verificación Synchronize log messages

y Synchronize user sessions, se replicará todo en los nodos del clúster,
incluso la información de redes. Aunque la información de redes, como los
ajustes syslog y SNMP, se puede configurar por nodo o por clúster, cuando
estas dos opciones están seleccionadas se sincroniza toda la información de
redes.

„ Si las configuraciones entre los nodos del clúster son distintas debido
a cambios hechos en un nodo cuando otro estaba inhabilitado o no
disponible, el IVE se encarga de volver a fusionar las configuraciones de forma
automática para 16 actualizaciones como máximo. Si necesita realizar más de
esa cantidad de actualizaciones permitidas, deberá intervenir y refusionar las
configuraciones de forma manual. En algunos casos, el IVE podría ser incapaz
de refusionar las configuraciones si no hay información de configuración
común entre dos nodos para crear comunicación entre ellos.

Por ejemplo, un clúster de dos nodos que se desconectan debido a un corte en

la red. Si la dirección IP de la red interna de uno de los nodos cambia durante
la separación, las dos partes no podrán volver a unirse incluso después de
rehabilitar la red. En ese caso, deberá refusionar de forma manual las
configuraciones.

Configuración de las propiedades del clúster

Seleccione la página System > Clustering > Cluster Properties para especificar
los ajustes activo/pasivo, activo/activo y otros ajustes del clúster. También puede
usar esta página para eliminar un clúster.

Especificación de los ajustes activo/pasivo, activo/activo y otros ajustes del

clúster.
Use la página Properties (propiedades) para cambiar el nombre de un clúster,
especificar en qué configuración se ejecutará el clúster (activo/pasivo
o activo/activo), especificar los ajustes de sincronización y de comprobación de
estado de la red o para eliminar un clúster.

Para modificar las propiedades del clúster:

1. Desde la consola de administración de un miembro activo del clúster,

seleccione la página System > Clustering > Cluster Properties.

2. Edite el nombre del clúster en el campo Cluster Name para cambiar el nombre
del clúster (opcional).

Configuración de las propiedades del clúster „ 883

 Guía de administración de Secure Access de Juniper Networks

3. En Configuration Settings, seleccione una de las siguientes opciones:

„ Active/Passive para ejecutar un par de clústeres en modo activo/pasivo.

Luego, especifique una VIP (dirección IP virtual) interna y una VIP externa
si el puerto externo está habilitado.

NOTA: Para ejecutar un clúster de dos unidades en modo activo/pasivo, los IVE
deben residir en la misma subred.

„ Active/Active ejecuta un clúster de dos o más nodos en modo activo/activo

usando un equilibrador de carga externo.

NOTA: Para cambiar un clúster activo/pasivo de dos unidades a un clúster

activo/activo de más de dos nodos, primero cambie la configuración del clúster de
dos unidades a activo/activo y luego agregue los nodos adicionales.

4. En Synchronization Settings (configuraciones de sincronización), especifique

uno o más tipos de datos que sincronizará usando las siguientes opciones:

„ Synchronize log messages: transmite todos los mensajes de registro entre

todos los IVE del clúster.

„ Synchronize user sessions: sincroniza toda la información de sesión del

usuario (por ejemplo, el acceso a los servicios de intranet) entre todos los
IVE en el clúster.

„ Synchronize last access time for user sessions: transmite la información

del último acceso del usuario a través del clúster.

NOTA:

„ Si selecciona tanto la casilla de verificación Synchronize log messages como

Synchronize user sessions, se replicará todo en los nodos de los clústeres,
incluso la información de redes. Aunque la información de redes, como los
ajustes syslog y SNMP, se puede configurar por nodo o por clúster, cuando
estas dos opciones están seleccionadas se sincroniza toda la información de
redes.

„ Si está usando un equilibrador de carga junto con el IVE, le recomendamos

que quite la marca de la casilla de verificación Synchronize last access time
for user sessions.

„ Al desactivar esa opción, se puede mejorar significativamente el desarrollo de

la sincronización del clúster; si desactiva esta opción mientras los usuarios
están conectados al IVE, el sistema podría informar al cliente de que su sesión
caducará pronto. Estas advertencias se generan de forma automática debido
a las discrepancias entre las marcas de hora; las sesiones de usuarios no se
desconectarán automáticamente.

884 „ Configuración de las propiedades del clúster

 Capítulo 31: Creación de clústeres

5. En los ajustes Network Healthcheck (comprobación del estado de la red),

especifique el número de fallos de ping del ARP que se permiten antes de que
la interfaz interna del IVE se inhabilite; también puede elegir si desea o no que
la interfaz externa del IVE se inhabilite si la interfaz interna falla.

6. Seleccione la casilla de verificación Advanced Settings para especificar los

tiempos de espera para el sistema del clúster subyacente. No cambie ningún
valor de estos ajustes a menos que el Soporte técnico de Juniper Networks le
indique lo contrario.

7. Haga clic en Save Changes.

Administración y configuración de clústeres

Esta sección contiene las siguientes instrucciones para administrar y configurar los
clústeres:

„ “Administración de los ajustes de red para los nodos del clúster” en la

página 886

„ “Actualización de nodos en clúster” en la página 886

„ “Actualización del paquete de servicio del clúster” en la página 887

„ “Eliminación de un clúster” en la página 888

„ “Reinicio o rearranque de nodos en clúster” en la página 889

„ “Procedimientos de la consola de administración” en la página 889

„ “Supervisión de clústeres” en la página 891

„ “Resolución de problemas de clústeres” en la página 892

„ “Procedimientos de la consola serie” en la página 894

Adición de nodos múltiples al clúster

Puede agregar múltiples nodos al clúster de una sola vez. Puede configurar todos
los nodos antes de guardar y permitir la configuración de nodos múltiples.

Para agregar múltiples nodos al clúster:

1. Seleccione System > Clustering > Cluster Status.

2. Haga clic en Add Members.

3. Introduzca el nombre del nodo y la dirección IP interna.

4. Modifique o agregue la máscara de red interna predeterminada y las

direcciones de la puerta de enlace internas predeterminadas, si fuera necesario.

5. Haga clic en Add.

Administración y configuración de clústeres „ 885

 Guía de administración de Secure Access de Juniper Networks

6. Repita el proceso hasta que haya agregado todos los nodos.

7. Haga clic en Save Changes para guardar las configuraciones de los nodos.

El IVE habilita automáticamente los clústeres agregados, incluso si no están al

alcance.

Administración de los ajustes de red para los nodos del clúster

Para modificar los ajustes de red de un clúster o de cada nodo individual en un
clúster, haga clic en System > Network. Puede hacer sus cambios en las páginas
Network Settings. Después de crear un clúster, estas páginas proporcionarán una
lista desplegable donde podrá seleccionar el clúster completo o un nodo específico
que desea modificar. Cuando guarda los cambios en la página Network, se guardan
los ajustes para el clúster o el nodo del clúster especificado. Si cambia los ajustes de
red para un clúster completo, se transmitirán a cada nodo del clúster.

NOTA: Para acceder a la página Network específica para el nodo, haga clic en el
nombre del nodo en la columna Member Name (nombre del miembro) en
System > Clustering > Cluster Status.

Figura 51: Páginas System > Network

Actualización de nodos en clúster

SA Central Manager de Juniper Networks le ofrece la posibilidad de actualizar
fácilmente cada nodo de un clúster. Simplemente instale un paquete de
actualización más reciente en un nodo y cuando la instalación finalice y el nodo se
reinicie, transmitirá el paquete de actualización a todos los nodos del clúster.

Si no ha adquirido SA Central Manager de Juniper Networks, puede actualizar de

todas formas los nodos en el clúster, pero el proceso requiere que inhabilite los
nodos, los actualice de forma individual y luego los habilite nuevamente dentro del
clúster.

886 „ Administración y configuración de clústeres

 Capítulo 31: Creación de clústeres

Para obtener más información acerca de cómo inhabilitar nodos para descargar el
paquete de actualización, consulte “Actualización del paquete de servicio del
clúster” en la página 887.

NOTA: Si importa un archivo de configuración en XML a un clúster, todos los

miembros de un clúster se inhabilitarán y todas las sesiones de usuario final se
cancelarán durante el proceso de importación. Después de que el proceso de
importación finaliza, los miembros del clúster se habilitan automáticamente pero
los usuarios deben iniciar sesión nuevamente. Consulte “Importación de datos de
configuración XML” en la página 802.

Actualización del paquete de servicio del clúster

Si cuenta con SA Central Manager de Juniper Networks, simplemente debe instalar
un paquete de actualización más reciente en uno de los nodos del clúster. Cuando el
proceso de instalación finalice y el nodo del clúster se reinicie, éste comunicará
a los otros nodos que también deben actualizarse. Consulte “Actualización o cambio
a una versión anterior del IVE” en la página 721 para obtener más información
acerca de la instalación de un paquete de actualización.

Si no cuenta con SA Central Manager de Juniper Networks, deberá seguir los

siguientes procedimientos para actualizar los nodos en el clúster. Además, los
procedimientos para actualizar los nodos en un clúster activo/activo difieren de los
procesos para actualizar los nodos en un clúster activo/pasivo.

Para actualizar los nodos en un clúster activo/activo:

1. inhabilite todos los nodos:

a. Inicie sesión en la consola de administración de uno de los nodos que

desea actualizar.

b. Elija System > Clustering > Status, seleccione la casilla de verificación

junto a los nombres de todos los nodos y luego haga clic en Disable.

NOTA: Si se inhabilitan todos los nodos en un clúster, el clúster completo quedará

inutilizable y sólo los administradores podrán iniciar sesión.

2. Actualice todos los nodos de forma individual siguiendo las instrucciones de la

sección “Actualización o cambio a una versión anterior del IVE” en la
página 721.

3. Habilite todos los nodos:

a. Busque la página System > Clustering > Status en la consola de

administración de uno de los nodos.

b. Seleccione la casilla de verificación junto a los nombres de todos los nodos

y luego haga clic en Enable.

Administración y configuración de clústeres „ 887

 Guía de administración de Secure Access de Juniper Networks

Para actualizar los nodos en un clúster activo/pasivo:

1. Inhabilite el nodo pasivo:

a. Inicie sesión en la consola de administración del nodo pasivo que desea

actualizar.

b. Elija System > Clustering > Status, seleccione la casilla de verificación

junto a los nombres de uno o más nodos y luego haga clic en Disable.

NOTA: Al inhabilitar sólo el nodo pasivo se habilitará el nodo activo para que
continúe prestando servicio a los usuarios.

2. Actualice el nodo pasivo siguiendo las instrucciones de la sección “Actualización

o cambio a una versión anterior del IVE” en la página 721.

3. Repita los pasos 1 y 2 para otros nodos pasivos.

4. Inhabilite el nodo activo eligiendo la opción System > Clustering > Status,
seleccione la casilla de verificación junto al nombre del nodo activo y luego
haga clic en Disable.

5. Habilite un nodo pasivo:

a. Busque la página System > Clustering > Status en la consola de

administración de uno de los nodos.

b. Seleccione la casilla de verificación junto a los nombres de todos los nodos

pasivos y luego haga clic en Enable.

6. Actualice el nodo activo siguiendo las instrucciones de la sección “Actualización

o cambio a una versión anterior del IVE” en la página 721.

7. Habilite el nodo activo:

a. Busque la página System > Clustering > Status en la consola de

administración de uno de los nodos.

b. Seleccione la casilla de verificación junto al nombre del nodo activo y luego

haga clic en Enable.

Eliminación de un clúster
Si elimina un clúster, todos los nodos comenzarán a ejecutarse como sistemas IVE
independientes.

Para eliminar un clúster:

1. Desde la consola de administración de un miembro activo del clúster,

seleccione la página System > Clustering > Cluster Status page.

2. Seleccione la casilla de verificación junto a cada nodo del clúster que desee
eliminar.

888 „ Administración y configuración de clústeres

 Capítulo 31: Creación de clústeres

3. Haga clic en el botón Remove Cluster.

4. Cuando se le indique, haga clic en Remove.

Cuando la operación finalice, todos los nodos del clúster comenzarán

a ejecutarse como sistemas IVE independientes.

Reinicio o rearranque de nodos en clúster

Cuando cree un clúster de dos o más IVE, los IVE del clúster actuarán como una
entidad lógica. Como tal, cuando reinicie o rearranque uno de los IVE en clúster
usando la consola serie o la consola de administración, todos los IVE del clúster se
reiniciarán o rearrancarán.

Si desea reiniciar o rearrancar sólo un IVE en un clúster, use primero los controles
de la página System > Clustering > Status para inhabilitar el IVE que desea
reiniciar o rearrancar dentro del clúster. A continuación, use los controles de la
página Maintenance > System > Platform, o los elementos de menú Reboot this
IVE, Shutdown this IVE, or Restart Services in this IVE de la consola serie en
System Operations para reiniciar o rearrancar el IVE. Después de que el IVE se
reinicie o rearranque, habilite el IVE dentro de un clúster nuevamente.

Procedimientos de la consola de administración

La Tabla 48 describe la información que se muestra en la ficha Status y las distintas
tareas de administración que puede realizar, incluyendo la inhabilitación,
habilitación y eliminación de un nodo IVE desde el clúster.

Tabla 48: Información de la página de estado del clúster

Elemento de la interfaz
de usuario Descripción
Etiquetas de información La pantalla muestra el nombre, tipo, configuración y VIP interna
de estado y externa de un clúster activo/pasivo.
Botón Add Members Haga clic en este botón para especificar un IVE que se integrará en
(agregar miembros) el clúster: Debe realizar este paso para los sistemas IVE que desee
agregar al clúster. Al hacer clic en este botón, puede agregar nodos
múltiples al mismo tiempo.
Botón Enable (habilitar) Haga clic en este botón para agregar un nodo que se había
inhabilitado anteriormente. Cuando agrega un nodo, toda la
información se sincroniza en ese nodo.
Botón Disable (inhabilitar) Haga clic en este botón para inhabilitar un nodo dentro del clúster. El
nodo mantiene conciencia del clúster, pero no participa en las
sincronizaciones de estado ni recibe solicitudes de usuarios a menos
que los miembros inicien sesión directamente en el nodo.
Botón Remove (eliminar) Haga clic en este botón para eliminar del clúster el o los nodos
seleccionados. Cuando los haya eliminado, el nodo se ejecutará en
modo independiente.
Botón Fail-Over VIP Haga clic en este botón para conmutar la VIP en caso de error a otro
(actualizar) nodo en el clúster activo/pasivo. Sólo está disponible si el clúster
está configurado como activo/pasivo.
Columna Member Name Muestra una lista de todos los nodos que pertenecen al clúster.
(nombre del miembro) Puede hacer clic en el nombre de un nodo para modificar su nombre
y configuraciones de red.

Administración y configuración de clústeres „ 889

 Guía de administración de Secure Access de Juniper Networks

Tabla 48: Información de la página de estado del clúster(continuación)

Elemento de la interfaz
de usuario Descripción
Columna Internal Address Muestra la dirección IP interna del miembro del clúster usando la
(dirección interna) notación Classless Inter Domain Routing (CIDR).
Columna External Address Muestra la dirección IP externa del miembro del clúster usando la
(dirección externa) notación CIDR. Tenga en cuenta que esta columna sólo muestra la
dirección IP externa del líder del clúster a menos que usted
especifique una dirección diferente para el nodo en la página de
configuraciones de red individual, a la que puede acceder haciendo
clic en su nombre en la columna Member Name. Si cambia la
dirección IP externa en la página Network > Network Settings, el
cambio afectará a todos los nodos del clúster.
Columna Status Muestra el estado actual del nodo:
„ Green light/enabled (luz verde/habilitado): el nodo está
administrando las solicitudes del usuario y participando en la
sincronización del clúster.
„ Yellow light/transitioning (luz amarilla/en transición): el nodo se
está integrando al clúster.
„ Red light/disabled (luz roja/inhabilitado): el nodo no está
administrando las solicitudes del usuario ni participando en la
sincronización del clúster.
„ Red light/enabled, unreachable (luz roja/habilitado, fuera de
alcance): el nodo está habilitado, pero debido a un problema con
la red no se puede acceder a él.
Nota: El estado de un nodo es “independiente” cuando está
implementado fuera de un clúster o después de que se eliminó de
un clúster.
Columna Notes Muestra el estado de la conexión entre el nodo y el clúster:
„ OK (bien): el nodo está participando activamente en el clúster.
„ Transitioning (en transición): el nodo está conmutando desde un
estado independiente a un estado habilitado.
„ Unreachable (fuera de alcance): el nodo no tiene conciencia del
clúster. Un miembro del clúster puede estar “fuera de alcance”
incluso si está en línea y se puede ejecutar el comando ping con
él. Las razones pueden ser: su contraseña es incorrecta, no conoce
todos los nodos del clúster, está configurado con un modo de
configuración de grupo diferente, está ejecutando una versión
distinta del paquete de actualización o el equipo está apagado.
Columna Sync Rank Especifica el orden de la sincronización para los nodos cuando se
vuelven a integrar a un clúster. Acepta jerarquías de sincronización
desde 0 (la más baja) hasta 255 (la más alta). La jerarquía más alta
tiene la preferencia. Cuando dos nodos tienen jerarquías de
sincronización idénticas, el código alfanumérico del nombre de
miembro se usa para determinar la preferencia.
Nota: Esta opción sólo está disponible con una licencia Central
Manager.
Botón Update (actualizar) Actualiza la jerarquía de sincronización después de que se cambia la
precedencia de los nodos en la columna Sync Rank.

890 „ Administración y configuración de clústeres

 Capítulo 31: Creación de clústeres

Supervisión de clústeres
Puede supervisar los clústeres usando las herramientas de registro estándar que
proporciona el IVE. En particular, puede usar varias capturas SNMP específicas del
clúster para supervisar los eventos que ocurren en los nodos de su clúster, como:

„ La interfaz externa que no funciona

„ La interfaz interna que no funciona

„ El nodo está inhabilitado

„ La dirección IP virtual (VIP) cambió

„ El nodo del clúster fue eliminado (clúster detenido)

NOTA: Generalmente, es mejor configurar las capturas SNMP en todo el clúster

para que todos los nodos del clúster puedan enviar las capturas generadas al
objetivo correcto. Es especialmente importante establecer este ajuste en todo el
clúster cuando también se usa un equilibrador de carga, ya que es posible que no
sepa cuál nodo es responsable de una operación específica. En ese caso, el
equilibrador de carga puede determinar de forma independiente qué nodo del
clúster puede controlar una sesión administrativa.

Puede usar las capturas SNMP que se incluyen en la MIB estándar de

Juniper Networks para supervisar estos eventos. Entre estas capturas se incluyen:

„ iveNetExternalInterfaceDownTrap: Proporciona el tipo de evento que produjo el

error en la interfaz externa.

„ iveNetInternalInterfaceDownTrap: Proporciona el tipo de evento que produjo el

error en la interfaz interna.

„ iveClusterDisableNodeTrap: Proporciona el nombre del clúster en el que se han

inhabilitado los nodos, junto con una lista separada con espacios con los
nombres de los nodos inhabilitados.

„ iveClusterChangedVIPTrap: Proporciona el tipo de VIP, externa o interna, y su

valor antes y después del cambio.

„ iveClusterDelete: Proporciona el nombre del nodo del clúster en el que se inició

el evento de eliminación del clúster.

Estas capturas siempre están disponibles y habilitadas en el MIB. No es posible

inhabilitarlas. Para obtener más información sobre capturas específicas, consulte
“Objetos de estado/error” en la página 838.

Administración y configuración de clústeres „ 891

 Guía de administración de Secure Access de Juniper Networks

Resolución de problemas de clústeres

Cuando tenga problemas de comunicación en el clúster, el representante de
Soporte de Juniper Network puede darle las instrucciones para que use las
herramientas de resolución de problemas del nodo del clúster.

Para usar las herramientas de resolución de problemas del nodo del clúster:

desde la consola de administración, seleccione Maintenance >

Troubleshooting > Monitoring > Node Monitor, en Maintenance >
Troubleshooting > Clustering Network Connectivity y en Maintenance >
Troubleshooting > Clustering Group Communication. Consulte “Supervisión de
los nodos del clúster” en la página 864.

Puede usar una característica incorporada en la página Status del clúster para
identificar el estado de cada nodo del clúster. Coloque el puntero del ratón sobre el
icono Status y el sistema mostrará una herramienta que contiene un número
hexadecimal. El número hexadecimal es una imagen instantánea del estado del
IVE. Es una máscara de bits que indica un número de estados, como se muestra en
la Tabla 49.

Tabla 49: Estado del clúster

Valor Significado
0x000001 IVE en modo independiente.
0x000002 IVE en estado de clúster inhabilitado.
0x000004 IVE en estado de clúster habilitado.
0x000008 IVE fuera de alcance (debido a que está desconectado, tiene la contraseña
incorrecta, tiene una definición de clúster distinta, es de versión distinta
o tiene algún problema similar).
0x00002000 El nodo es propietario de las VIP (encendidas) o no lo es (apagadas).
0x000100 IVE en estado de sincronización desde otro IVE (después de la
sincronización inicial).
0x000200 IVE en transición desde un estado a otro.
0x00020000 Los subsistemas de comunicación del grupo de los nodos local y remoto
están desconectados entre sí.
0x00040000 Interfaz de administración (mgt0) aparece desconectada.
0x00080000 La puerta de enlace de administración no está al alcance para la ejecución
del ping ARP.
0x000800 IVE int0 aparece desconectada (no hay portador).
0x001000 IVE int1 aparece desconectada (no hay portador).
0x002000 IVE está sincronizando su estado con otro IVE que se está integrando.
0x004000 Está ocurriendo la sincronización inicial como master o slave.
0x008000 Este IVE es el líder del clúster.
0x010000 El demonio de difusión se está ejecutando y el servidor del caché está
conectado a él.
0x020000 La puerta de enlace de int0 está fuera de alcance para ejecuciones de
comandos ping ARP (consulte el archivo de registro).
0x040000 La puerta de enlace de int1 está fuera de alcance para ejecuciones de
comandos ping ARP (consulte el archivo de registro).

892 „ Administración y configuración de clústeres

 Capítulo 31: Creación de clústeres

Tabla 49: Estado del clúster

Valor Significado
0x080000 Se está realizando la elección del líder.
0x100000 El proceso del ciclo de vida del servidor (dsmon) está ocupado.
0x200000 El sistema desarrolla actividades posteriores al estado de sincronización.
0x30004 „ El demonio de difusión se está ejecutando y el servidor de caché está
conectado a él.
„ La puerta de enlace de int0 está fuera de alcance para ejecuciones de
comandos ping ARP (consulte el archivo de registro).
„ IVE en estado de clúster habilitado.

0x38004 „ El demonio de difusión se está ejecutando y el servidor de caché está

conectado a él.
„ La puerta de enlace de int0 está fuera de alcance para ejecuciones de
comandos ping ARP (consulte el archivo de registro).
„ Este IVE es el líder del clúster.
„ IVE en estado de clúster habilitado.

Cada código, como se ve en el IVE, puede relacionarse específicamente a un

estado. Sin embargo, cada código puede representar una combinación de estados,
por lo que el código real no aparece en la Tabla 49. En vez de eso, el código que ve
en el IVE es la suma de varios números hexadecimales que se muestran en la
Tabla 49. Necesitará deducir los códigos, como se muestra en el siguiente ejemplo:

„ 0x38004: El dígito más a la derecha (4) en este número hexadecimal

corresponde a:

„ 0x000004 El IVE está en estado de clúster habilitado.

„ 0x38004: El dígito en la cuarta posición desde la derecha (8) corresponde a:

„ 0x008000 este IVE es el líder del clúster.

„ 0x38004: el dígito situado en el extremo izquierdo (3) de este número

hexadecimal no existe en la tabla, lo que indica que corresponde a la suma de
otros dos dígitos; en este caso, 1 y 2, como se muestra en los siguientes
códigos:

„ 0x020000: La puerta de enlace de int0 está fuera de alcance para

ejecuciones de comandos ping ARP (consulte el archivo de registro).

„ 0x010000: El demonio de difusión se está ejecutando y el servidor del

caché está conectado a él.

Administración y configuración de clústeres „ 893

 Guía de administración de Secure Access de Juniper Networks

Procedimientos de la consola serie

Puede agregar un IVE a un clúster a través de su consola serie, excepto cuando se
ejecuta en un entorno Secure Access FIPS, que requiere que agregue cada IVE
a través de su consola de administración.

Si está agregando a un clúster un IVE configurado en fábrica, le recomendamos que

use la consola serie, que permite integrar un clúster existente durante el proceso de
inicialización introduciendo mínima información. Cuando un IVE se integra en un
clúster, recibe las configuraciones de estado del clúster, que sobrescriben todas las
configuraciones de un equipo que tiene una configuración existente y proporciona
a los nuevos equipos la información preliminar necesaria.

También puede usar la consola serie de un IVE para inhabilitar un IVE dentro de un
clúster. Si un IVE está en estado de sincronización, no podrá acceder a su consola
de administración. Por lo tanto, si, por ejemplo, necesita actualizar o reiniciar el
IVE, deberá primero inhabilitar el IVE del clúster a través de su consola serie.

Integración de un IVE en un clúster a través de su consola serie

Para poder integrar un IVE configurado en fábrica a un clúster, deberá comunicar su
identidad al clúster. Para obtener instrucciones, consulte “Especificación de un IVE
para su integración en un clúster” en la página 875.

NOTA:

„ Si desea agregar un IVE que actualmente se ejecuta como un equipo

independiente a un clúster a través de su consola de administración, éste
debe estar ejecutándose en la misma versión (o en una más reciente) del
paquete de actualización, y en la misma plataforma de hardware que los otros
miembros.

„ Si agrega a un clúster un IVE que ejecuta un paquete de actualización anterior,

el IVE detectará automáticamente la discrepancia entre versiones, obtendrá el
paquete más reciente desde el clúster y luego se integrará en el clúster.

Para agregar un IVE a un clúster a través de su consola serie:

1. desde la consola de administración de un miembro existente del clúster,

seleccione la ficha System > Clustering > Cluster Status y especifique el IVE
que desea agregar al clúster. Consulte “Especificación de un IVE para su
integración en un clúster” en la página 875.

2. Conecte la consola serie del equipo que desea agregar al clúster. Consulte “IVE
Consola serie” en la página 987.

894 „ Procedimientos de la consola serie

 Capítulo 31: Creación de clústeres

3. Reinicie el equipo y vea su consola serie. Después de que el software del

sistema se inicie, un mensaje indicará que el equipo se inicia como un IVE
independiente y que debe presionar la tecla Tab para ver las opciones de la
creación de clústeres. Presione la tecla Tab tan pronto como vea este mensaje.

NOTA: El período para presionar la tecla Tab es de cinco segundos. Si el equipo se

comienza a iniciarse en el modo independiente, espere a que termine y luego
vuelva a reiniciarlo.

Figura 52: Consola serie: opción Join Cluster

4. Introduzca el número para ordenarle al IVE que se integre a un clúster

existente.

5. Introduzca la información requerida, incluyendo:

„ La dirección IP interna de un miembro activo del clúster

„ La contraseña del clúster, que es la contraseña que introdujo cuando

definió el clúster

„ El nombre del equipo que desea agregar (en este ejemplo, el nombre del
equipo es ive-2)

„ La dirección IP interna del equipo que desea agregar

„ La máscara de red del equipo que desea agregar

„ La puerta de enlace del equipo que desea agregar

Procedimientos de la consola serie „ 895

 Guía de administración de Secure Access de Juniper Networks

Al hacer clic en System > Clustering > Cluster Status > Add Cluster
Member, el miembro activo del clúster verifica la contraseña del clúster, y que
el nombre y dirección IP del nuevo equipo concuerde con lo que especificó en
la consola de administración. Si las credenciales son válidas, el miembro activo
copia todos sus datos de estado al nuevo miembro del clúster, incluyendo la
clave de licencia, el certificado y los datos de usuario y de sistema.

Figura 53: Consola serie: Especificación de un nuevo miembro del clúster

Figura 54: Consola serie: Confirmación de la integración en el clúster

896 „ Procedimientos de la consola serie

 Capítulo 31: Creación de clústeres

6. Introduzca el número para ordenarle al IVE que continúe la operación de

integración en el clúster. Cuando vea el mensaje que confirma que el equipo se
ha integrado al clúster, haga clic en la ficha System > Clustering > Cluster
Status en la consola de administración de cualquier miembro activo del clúster
para confirmar que el valor de Status del miembro nuevo está en verde, lo que
indica que el IVE es un nodo habilitado en el clúster.

Inhabilitación de un IVE en clúster por medio de su consola serie

Para inhabilitar un IVE dentro de un clúster por medio de su consola serie:

1. Conecte la consola serie del equipo que desea inhabilitar dentro del clúster.
Para obtener más información, consulte “IVE Consola serie” en la página 987.

2. Introduzca el número correspondiente a la opción correspondiente de System

Operations (operaciones del sistema) del IVE.

Figura 55: Consola serie: opción System Operations

3. Introduzca el número correspondiente a la opción Disable Node (inhabilitar

nodo).

Figura 56: Consola serie: opción Disable Node

4. Introduzca y cuando la consola serie le pregunte si está seguro de que desea

inhabilitar el nodo.

Procedimientos de la consola serie „ 897

 Guía de administración de Secure Access de Juniper Networks

5. Verifique que el IVE se ha inhabilitado dentro del clúster seleccionando

System > Clustering > Status en la consola de administración de cualquier
miembro activo del clúster para confirmar que el valor de Status del miembro
inhabilitado está en rojo.

Cambio de la dirección IP de un nodo del clúster

Para cambiar la dirección IP de un nodo del clúster:

1. Seleccione System > Clustering > Cluster status.

2. Seleccione la casilla de verificación junto al nombre del nodo cuya dirección IP

desea cambiar.

3. Haga clic en Remove.

4. Después de que se elimine el nodo, inicie sesión en el nodo y cambie su

dirección IP.

5. Haga clic en Save Changes.

6. Vuelva a integrar el nodo en el clúster.

NOTA: Si intenta cambiar la dirección IP de un nodo mientras aún pertenece a un

clúster, puede experimentar resultados inesperados.

898 „ Procedimientos de la consola serie

Capítulo 32
Delegación de los roles de
administrador

El sistema de administración de accesos del IVE le permite delegar varias tareas de

administración del IVE a distintos administradores mediante los roles de
administrador del sistema y de la seguridad. Los roles de administrador del sistema
y de la seguridad son entidades definidas que especifican las funciones de
administración y propiedades de sesión del IVE para los administradores que están
asignados a esos roles. Se puede personalizar un rol de administrador
seleccionando los conjuntos de características, roles de usuario, territorios de
autenticación, directivas de recursos y perfiles de recursos del IVE que las personas
con rol de administrador pueden ver y administrar. Cabe mencionar que los
administradores de sistema sólo pueden administrar roles de usuario, territorios
y directivas de recursos; solo los administradores de seguridad pueden administrar
los componentes de administración.

Por ejemplo, puede crear un rol de administrador del sistema llamado

“Administradores de ayuda técnica” y asignarlo a los usuarios responsables de las
llamadas de asistencia de nivel 1, tales como ayudar a un usuario a comprender por
qué no puede tener acceso a una aplicación web o a una página del IVE. Para
ayudar a solucionar problemas, puede configurar los ajustes del rol
“Administradores de ayuda técnica” de la siguiente manera:

„ Conceda acceso de escritura a la página System > Log/Monitoring a los

administradores de ayuda técnica para que así puedan ver y filtrar los registros
del IVE y llevar la cuenta de los sucesos importantes en los historiales de sesión
de cada usuario. Otorgue también acceso a la página Maintenance >
Troubleshooting para que puedan hacer un seguimiento de los problemas en
los sistemas de cada usuario.

„ Conceda acceso de lectura a las páginas Users > User Roles a los
administradores de ayuda técnica para que puedan comprender qué
marcadores, recursos compartidos y aplicaciones están disponibles para los
roles de cada usuario. Otorgue también acceso a las páginas Resource Policy
o Resource Profile para que puedan ver las directivas que impidan el acceso de
los usuarios a sus marcadores, recursos compartidos y aplicaciones.

„ 899
 Guía de administración de Secure Access de Juniper Networks

„ Niegue el acceso a las páginas restantes de System y Maintenance a los

administradores de ayuda técnica, ya que se usan principalmente para
configurar los ajustes del sistema completo (como, por ejemplo, instalar
licencias y paquetes de servicio) y no para solucionar problemas particulares de
los usuarios.

NOTA: Además de los roles de administrador delegado que se pueden crear, el

IVE cuenta con dos tipos básicos de administrador: super administradores (rol
.Administrators), que pueden realizar cualquier tarea de administración mediante
la consola de administración; y los administradores de sólo lectura (rol .Read-only
Administrators), que pueden ver (pero no cambiar) toda la configuración del IVE
mediante la consola de administración.

También puede crear un rol de administrador de la seguridad llamado “Help Desk

Manager” y asignarle usuarios que sean responsables de gestionar a los
administradores de ayuda técnica. Podría configurar ajustes para el rol “Help Desk
Manager” para permitir que este usuario cree y elimine roles de administrador por
cuenta propia. El Help Desk Manager podría crear roles de administrador que
dividan las responsabilidades por área funcional en el IVE. Por ejemplo, un rol de
administrador podría ser responsable de la supervisión de registros. Otro podría ser
responsable de los problemas con Network Connect.

Esta sección contiene la siguiente información sobre la administración delegada:

„ “Licencia: Disponibilidad de roles de administrador delegado” en la página 900

„ “Creación y configuración de roles de administrador” en la página 900

„ “Especificación de tareas de administración para delegar” en la página 903

„ “Definición de ajustes generales del rol de administrador de sistema” en la

página 909

Licencia: Disponibilidad de roles de administrador delegado

El rol de administrador delegado no está disponible en el dispositivo SA 700. Sin
embargo, tenga en cuenta que todos los dispositivos Secure Access permiten
configurar los ajustes generales de roles, las opciones de administración de acceso
y las opciones de sesión a quienes comparten el rol .Administrators para los roles
.Administrators y .Read-Only Administrators.

Creación y configuración de roles de administrador

Cuando se navega a Administrators > Admin Roles, se puede encontrar la página
Administrators. Desde esta página, se pueden ajustar las opciones de la sesión
predeterminada y de la interfaz de usuario para los roles de administrador
delegado.

900 „ Licencia: Disponibilidad de roles de administrador delegado

 Capítulo 32: Delegación de los roles de administrador

Esta sección contiene la siguiente información sobre la creación y configuración de

roles de administrador delegado:

„ “Creación de las roles de administrador” en la página 901

„ “Modificación de los roles de administrador” en la página 902

„ “Eliminación de los roles de administrador” en la página 902

NOTA: Para crear cuentas de administración particulares, debe agregar los usuarios
mediante el servidor de autenticación correspondiente (no el rol). Por ejemplo,
para crear una cuenta de administración en particular, puede usar los ajustes de la
página Authentication > Auth. Servers > Administrators > Users de la consola
de administración. Para obtener instrucciones detalladas para crear usuarios en el
servidor de Administrators y en otros servidores de autenticación, consulte
“Creación de cuentas de usuario en un servidor local de autenticación” en la
página 140. Para obtener instrucciones para crear usuarios en los servidores de
terceros, consulte la documentación que trae el producto correspondiente.

Creación de las roles de administrador

Para crear un rol de administrador:

1. En la consola de administración, elija Administrators > Admin Roles.

2. Siga uno de estos pasos:

„ Haga clic en New Role para crear un rol de administrador nuevo con los
ajustes predeterminados.

„ Marque la casilla de verificación situada junto al rol de administrador actual

y haga clic en Duplicate para copiarlo con sus permisos personalizados.
Tenga en cuenta que no se pueden duplicar los roles de sistema
predeterminados (.Administrators y .Read-Only Administrators).

3. Introduzca valores para Name (obligatorio) y Description (opcional) para el rol

nuevo y haga clic en Save Changes.

4. Modifique los ajustes para el rol según las instrucciones que aparecen en:

„ “Administración de los ajustes y opciones generales de los roles” en la

página 910

„ “Delegación de la administración de usuarios y roles” en la página 904

„ “Delegación de la administración del territorio de usuarios” en la

página 905

„ “Delegación de la gestión administrativa” en la página 906

„ “Delegación de la administración de las directivas de recursos” en la

página 907

Creación y configuración de roles de administrador „ 901

 Guía de administración de Secure Access de Juniper Networks

„ “Delegación de la administración de los perfiles de recursos” en la

página 908

„ “Eliminación del acceso a los sistemas IVS” en la página 913

Modificación de los roles de administrador

Para modificar un rol de administrador:

1. En la consola de administración, elija Administrators > Admin Roles.

2. Haga clic en el nombre del rol de administrador que desea modificar.

3. Modifique los ajustes para el rol según las instrucciones que aparecen en:

„ “Administración de los ajustes y opciones generales de los roles” en la

página 910

„ “Delegación de la administración de usuarios y roles” en la página 904

„ “Delegación de la administración del territorio de usuarios” en la

página 905

„ “Delegación de la gestión administrativa” en la página 906

„ “Delegación de la administración de las directivas de recursos” en la

página 907

„ “Delegación de la administración de los perfiles de recursos” en la

página 908

„ “Eliminación del acceso a los sistemas IVS” en la página 913

NOTA: Si selecciona uno de los roles de administrador predeterminados del IVE

(.Administrators o .Read-Only Administrators), sólo puede modificar los ajustes
de la ficha General (ya que los roles de administrador predeterminados del IVE
siempre tienen acceso a las funciones definidas mediante las fichas System,
Users, Administrators, Resource Policies, Resource Profiles e IVS).

Eliminación de los roles de administrador

Para eliminar un rol de administrador:

1. En la consola de administración, elija Administrators > Admin Roles.

2. Haga clic en la casilla de verificación al lado del rol de administrador que desea
eliminar y haga clic en Delete.

3. Haga clic en Delete para confirmar que desea eliminar el rol seleccionado.

NOTA: No se puede eliminar los roles .Administrators y .Read Only

Administrators ya que son roles predeterminados del IVE.

902 „ Creación y configuración de roles de administrador

 Capítulo 32: Delegación de los roles de administrador

Especificación de tareas de administración para delegar

Esta sección contiene la siguiente información sobre la delegación de tareas de
administración a varios roles de administrador delegado:

„ “Delegación de tareas de administración de sistema” en la página 903

„ “Delegación de la administración de usuarios y roles” en la página 904

„ “Delegación de la administración del territorio de usuarios” en la página 905

„ “Delegación de la gestión administrativa” en la página 906

„ “Delegación de la administración de las directivas de recursos” en la

página 907

„ “Delegación de la administración de los perfiles de recursos” en la página 908

„ “Eliminación del acceso a los sistemas IVS” en la página 913

Delegación de tareas de administración de sistema

Use la ficha Administrators > Admin Roles > Seleccionar rol > System para
delegar las distintas tareas de administración del sistema IVE a los distintos roles de
administrador. Cuando delegue privilegios, tenga en cuenta lo siguiente:

„ El IVE permite a todos los administradores acceso de lectura (al menos) a la

página de inicio de la consola de administración (System > Status >
Overview), sin importar el nivel de privilegios que elija.

„ El IVE no concede acceso de escritura a los administradores delegados en las

páginas donde se pueden cambiar sus propios privilegios. Solo los roles de
administrador que trae el sistema (.Administrators y .Read-Only
Administrators) pueden tener acceso a estas páginas:

„ Maintenance > Import/Export (En esta página, los roles de .Read-Only

Administrators pueden exportar ajustes, pero no importarlos.)

„ Maintenance > Push Config

„ Maintenance > Archiving > Local Backups

„ El acceso de delegación a la página de programación de reuniones se controla

mediante la opción Meetings de la página Administrators > Admin Roles >
Seleccionar rol > Resource Policies.

Especificación de tareas de administración para delegar „ 903

 Guía de administración de Secure Access de Juniper Networks

Delegación de la administración de usuarios y roles

Use la ficha Administrators > Admin Roles > Seleccionar rol > Users > Roles
para especificar los roles de usuario que puede gestionar el rol de administrador.
Cuando delegue privilegios de administración de roles, tenga en cuenta lo siguiente:

„ Los administradores delegados sólo pueden administrar roles de usuario.

„ Los administradores delegados no pueden crear roles de usuario nuevos, copiar

roles ya creados o eliminar roles.

„ Si permite a un administrador delegado leer o escribir en cualquier

característica de un rol de usuario, el IVE también concede al administrador
delegado acceso de lectura a la página Users > User Roles > Seleccionar rol >
General > Overview para ese rol.

„ Si concede acceso de escritura a una directiva de recursos a un administrador

delegado mediante la página Administrators > Admin Roles > Seleccionar rol
de administrador > Resource Policies, éste puede crear una directiva de
recursos que se aplique a cualquier rol de usuario, aunque usted no le haya
concedido acceso de lectura al rol.

Para definir los privilegios de administración de roles para un rol de administrador:

1. En la consola de administración, elija Administrators > Admin Roles.

2. Seleccione el rol de administrador que desea modificar.

3. Seleccione la ficha Users > Roles.

4. Bajo Delegate user roles, especifique si el administrador puede administrar

todos los roles o solo algunos. Si solo desea permitir que el rol de administrador
gestione algunos roles de usuario, selecciónelos de la lista Available roles
y haga clic en Add.

5. Especifique las páginas de roles de usuario que puede gestionar el

administrador delegado seleccionando una de las siguientes opciones:

„ Write All: Especifica que los que comparten el rol de administrador

pueden modificar todas las páginas de roles de usuario.

„ Custom Settings: Le permite escoger privilegios de administrador (Deny,

Read o Write) para las páginas de un rol de usuario particular.

6. Bajo Delegate as read-only roles, seleccione los roles de usuario que desea
permitir que el administrador vea, pero sin que pueda administrarlos.

NOTA: Si especifica acceso de escritura y sólo lectura para una característica, el IVE
le concede el acceso más permisivo. Por ejemplo, si elige Administrators can
manage ALL roles bajo Delegated user roles, y selecciona el rol “Users” en la
sección Delegate as read-only roles, el IVE concede al rol de administrador
delegado privilegios de administración completos del rol “Users”.

7. Haga clic en Save Changes.

904 „ Especificación de tareas de administración para delegar

 Capítulo 32: Delegación de los roles de administrador

Delegación de la administración del territorio de usuarios

Use la ficha Administrators > Admin Roles > Seleccionar rol > Users >
Authentication Realms para especificar los territorios de autenticación que puede
administrar el rol de administrador. Cuando delegue privilegios de administración
de territorios, tenga en cuenta lo siguiente:

„ Los administradores de sistema sólo pueden administrar territorios de usuario.

„ Los administradores de sistema no pueden crear territorios de usuario nuevos,

copiar territorios ya creados o eliminar territorios.

„ Si permite a un administrador de sistema leer o escribir en cualquier página de

un territorio de usuario, el IVE también concede al administrador de sistema
acceso de lectura a la página Users > User Realms > Seleccionar territorio >
General para ese rol.

Para definir los privilegios de administración de territorios para un rol de

administrador:

1. En la consola de administración, elija Administrators > Admin Roles.

2. Seleccione el rol de administrador que desea modificar.

3. Seleccione la ficha Users > Authentication Realms.

4. Bajo Delegate user realms, especifique si el administrador puede gestionar

todos los territorios de autenticación de usuarios o solo algunos. Si solo desea
permitir que el rol de administrador gestione algunos territorios, selecciónelos
de la lista Available realms y haga clic en Add.

5. Especifique las páginas de territorios de autenticación que puede gestionar el

administrador delegado seleccionando una de las siguientes opciones:

„ Write All: Especifica que los que comparten el rol de administrador

pueden modificar todas las páginas de territorios de autenticación de
usuarios.

„ Custom Settings: Le permite escoger privilegios de administrador (Deny,

Read o Write) para las páginas de un territorio de autenticación de usuario
particular.

6. Bajo Delegate as read-only realms, seleccione los territorios de autenticación

de usuario seleccione los roles de usuario que desea permitir que el
administrador vea, pero sin que pueda administrarlos.

NOTA: Si especifica acceso de escritura y sólo lectura para una página de territorios
de autenticación, el IVE le concede el acceso más permisivo. Por ejemplo, si elige
Administrators can manage ALL realms bajo Delegated user realms,
y selecciona el rol “Users” en la sección Delegate as read-only realms, el IVE
concede al rol de administrador delegado privilegios de administración completos
del territorio “Users”.

7. Haga clic en Save Changes.

Especificación de tareas de administración para delegar „ 905

 Guía de administración de Secure Access de Juniper Networks

Delegación de la gestión administrativa

Use la ficha Administrators > Admin Roles > Seleccionar roles > Administrators
para especificar los roles y territorios de administradores de sistema que puede
administrar el rol de administrador de la seguridad. Cuando delegue privilegios de
administración de seguridad, tenga en cuenta lo siguiente:

„ El rol de administrador de la seguridad ofrece control sobre todos los roles y

territorios de administración.

„ Se puede dar control de administrador de la seguridad exclusivamente respecto

a los roles o los territorios de administrador, o ambos.

„ Se puede restringir o conceder permiso al administrador de la seguridad para

agregar o eliminar roles y territorios de administrador.

Para definir privilegios de administrador de la seguridad:

1. En la consola de administración, seleccione Administrators > Admin Roles >

Seleccionar rol > Administrators.

2. Seleccione la casilla de verificación Manage ALL admin roles.

3. Si desea permitir que el administrador de la seguridad agregue y elimine roles

de administrador, marque la casilla de verificación Allow Add/Delete admin
roles. Esto permite que el administrador de la seguridad cree roles de
administrador, aunque no comparta el rol .Administrators.

4. Indique el nivel de acceso que desea que el administrador de la seguridad fije

para los administradores del sistema en cada conjunto principal de páginas de
la consola de administración (General, System tasks, Users, Administrators,
Resource Policies, Resource Profiles e IVS) seleccionando alguna de las
siguientes opciones:

„ Deny All: Especifica que los que comparten el rol de administrador de la

seguridad no pueden ver ni modificar ningún ajuste de la categoría.

„ Read All: Especifica que los que comparten el rol de administrador de la

seguridad pueden ver, pero no modificar, todos los ajustes de la categoría.

„ Write All: Especifica que los que comparten el rol de administrador de la

seguridad pueden modificar todos los ajustes de la categoría.

„ Custom Settings: Le permite escoger privilegios de administrador de la

seguridad (Deny, Read o Write) para las características particulares de una
categoría.

5. Seleccione la casilla de verificación Manage ALL admin realms.

6. Si desea permitir que el administrador de la seguridad agregue y elimine

territorios de administrador, marque la casilla de verificación Allow Add/Delete
admin realms. Esto permite que el administrador de la seguridad cree
y elimine territorios de administrador, aunque no comparta el rol
.Administrators.

906 „ Especificación de tareas de administración para delegar

 Capítulo 32: Delegación de los roles de administrador

7. Indique el nivel de acceso a los territorios que desea que el administrador de la

seguridad fije para los administradores del sistema en cada conjunto principal
de páginas de la consola de administración (General, Authentication Policy
y Role Mapping) seleccionando alguna de las siguientes opciones:

„ Deny All: Especifica que los que comparten el rol de administrador de la

seguridad no pueden ver ni modificar ningún ajuste de la categoría.

„ Read All: Especifica que los que comparten el rol de administrador de la

seguridad pueden ver, pero no modificar, todos los ajustes de la categoría.

„ Write All: Especifica que los que comparten el rol de administrador de la

seguridad pueden modificar todos los ajustes de la categoría.

„ Custom Settings: Le permite escoger privilegios de administrador de la

seguridad (Deny, Read o Write) para las características particulares de una
categoría.

NOTA: Todos los administradores que pueden gestionar roles y territorios de

administrador tienen al menos acceso de sólo lectura a las opciones Name
y Description del rol de administrador y del territorio, según se muestra en la
página General.

8. Haga clic en Save Changes.

Delegación de la administración de las directivas de recursos

Use la ficha Administrators > Admin Roles > Resource Policies para especificar
las directivas de recursos que puede administrar el rol de administrador. Al delegar
privilegios de administración de directivas de recursos, tenga en cuenta que los
administradores de sistema delegados no pueden modificar las siguientes
características de las directivas de recursos:

„ La directiva en sí (es decir, la dirección IP o el nombre de host)

„ El orden en que el IVE evalúa las directivas de recursos

Para delegar privilegios de administrador para directivas de recursos:

1. En la consola de administración, elija Administrators > Admin Roles.

2. Seleccione el rol de administrador que desea modificar.

3. Seleccione la ficha Resource Policies.

4. Indique el nivel de acceso que desea que el rol de administrador tenga para
cada uno de los menús Resource Policies seleccionando alguna de las
siguientes opciones:

„ Deny All: Especifica que los que comparten el rol de administrador no

pueden ver ni modificar ninguna directiva de recursos.

Especificación de tareas de administración para delegar „ 907

 Guía de administración de Secure Access de Juniper Networks

„ Read All: Especifica que los que comparten el rol de administrador pueden
ver, pero no modificar, todas las directivas de recursos.

„ Write All: Especifica que los que comparten el rol de administrador

pueden modificar todas las directivas de recursos.

„ Custom Settings: Le permite escoger privilegios de administrador (Deny,

Read o Write) para cada tipo de directiva de recursos o para directivas de
recursos particulares.

5. Si desea fijar niveles de acceso personalizados para una directiva particular:

a. Seleccione Custom Settings (arriba).

b. Haga clic en el enlace Additional Access Policies al lado de la categoría

correspondiente. (Por ejemplo, si desea controlar el acceso a una directiva
de recursos que controle el acceso a www.google.com, seleccione el enlace
Additional Access Policies al lado de Web.)

c. Elija el nivel de acceso para la directiva (Deny, Read o Write).

d. Bajo Access Policies, seleccione la directiva de recursos para la que desea

que haya un nivel de acceso personalizado y haga clic en Add.

6. Haga clic en Save Changes.

Delegación de la administración de los perfiles de recursos

Use la ficha Administrators > Admin Roles > Resource Profiles para especificar
los perfiles de recursos que puede administrar el rol de administrador. Al delegar
privilegios de administración de perfiles de recursos, tenga en cuenta que los
administradores de sistema delegados no pueden modificar las siguientes
características de los perfiles de recursos:

„ El recurso propiamente tal (es decir, la dirección IP o el nombre de host)

„ El orden en que el IVE evalúa las directivas de recursos.

Para delegar privilegios de administrador para perfiles de recursos:

1. En la consola de administración, elija Administrators > Admin Roles.

2. Seleccione el rol de administrador que desea modificar.

3. Seleccione la ficha Resource Profiles.

4. Indique el nivel de acceso que desea que el rol de administrador tenga para
cada uno de los menús Resource Profiles seleccionando alguna de las
siguientes opciones:

„ Deny All: Especifica que los que comparten el rol de administrador no

pueden ver ni modificar ningún perfil de recursos.

„ Read All: Especifica que los que comparten el rol de administrador pueden
ver, pero no modificar, todos los perfiles de recursos.

908 „ Especificación de tareas de administración para delegar

 Capítulo 32: Delegación de los roles de administrador

„ Write All: Especifica que los que comparten el rol de administrador

pueden modificar todos los perfiles de recursos.

„ Custom Settings: Le permite escoger privilegios de administrador (Deny,

Read o Write) para cada tipo de perfil de recursos o para perfiles de
recursos particulares.

5. Si desea fijar niveles de acceso personalizados para un perfil particular:

a. Seleccione Custom Settings (arriba).

b. Haga clic en el enlace Additional Access Profiles al lado de la categoría

correspondiente. (Por ejemplo, si desea controlar el acceso a una directiva
de recursos que controle el acceso a www.google.com, seleccione el enlace
Additional Access Profiles al lado de Web.)

c. Haga clic en el enlace Additional Access Policies al lado de la categoría

correspondiente.

d. Elija el nivel de acceso para el perfil (Deny, Read o Write).

e. Bajo Access Profiles, seleccione el perfil de recursos para el que desea que
haya un nivel de acceso personalizado y haga clic en Add.

6. Haga clic en Save Changes.

Definición de ajustes generales del rol de administrador de sistema

Esta sección contiene la siguiente información sobre la configuración de opciones
generales de los roles de administrador de sistema:

„ “Definición de opciones predeterminadas para los roles de administrador” en

la página 909

„ “Administración de los ajustes y opciones generales de los roles” en la

página 910

„ “Especificación de opciones de administración de acceso para el rol” en la

página 910

„ “Especificación de opciones generales de sesión” en la página 911

„ “Especificación de las opciones de la interfaz de usuario” en la página 912

Definición de opciones predeterminadas para los roles de administrador

Para definir las opciones predeterminadas de todos los roles de administrador
delegado:

1. En la consola de administración, elija Administrators > Admin Roles.

2. Haga clic en Default Options.

Definición de ajustes generales del rol de administrador de sistema „ 909

 Guía de administración de Secure Access de Juniper Networks

3. Modifique los ajustes en las fichas Session Options y UI Options según las
instrucciones que aparecen en “Administración de los ajustes y opciones
generales de los roles” en la página 910 y haga clic en Save Changes. Estas se
convierten en las opciones predeterminadas de los nuevos roles de
administrador delegado.

Administración de los ajustes y opciones generales de los roles

Para administrar los ajustes y opciones generales de los roles:

1. En la consola de administración, elija Administrators > Admin Roles >

Seleccionar rol > General > Overview.

2. Cree una etiqueta para el rol de administrador delegado usando los campos
Name y Description (opcional).

3. Bajo Options, marque:

„ Session Options para aplicar los ajustes configurados en la ficha

General > Session Options al rol.

„ UI Options para aplicar los ajustes configurados en la ficha General >

UI Options al rol.

4. Haga clic en Save Changes para aplicar los ajustes al rol.

Especificación de opciones de administración de acceso para el rol

Use la ficha Administrators > Admin Roles > General > Restrictions para
especificar las opciones de administración de acceso para el rol. El IVE no asigna
administradores a este rol a menos que cumplan con las restricciones
especificadas. Para obtener más información, consulte “Marco de administración
de acceso” en la página 49.

Para especificar opciones de administración de acceso para el rol:

1. En la consola de administración, elija Administrators > Admin Roles >

Seleccionar rol > General> Restrictions.

2. Haga clic en la ficha que corresponde a la opción que desea configurar para el
rol y configúrela según las instrucciones de las siguientes secciones:

„ “Especificación de las restricciones de acceso de la dirección IP de origen”

en la página 60

„ “Especificación de las restricciones de acceso para exploradores” en la

página 62

„ “Especificación de las restricciones de acceso para certificados” en la

página 65

„ “Especificación de las restricciones de acceso para Host Checker” en la

página 67

910 „ Definición de ajustes generales del rol de administrador de sistema

 Capítulo 32: Delegación de los roles de administrador

Puede configurar la cantidad que desee de opciones de administración de

acceso para el rol. Si un administrador no cumple todas las restricciones, el IVE
no asigna al administrador delegado a ese rol.

3. Haga clic en Save Changes para aplicar los ajustes al rol.

Especificación de opciones generales de sesión

Para especificar opciones generales de sesión:

1. En la consola de administración, elija Administrators > Admin Roles >

Seleccionar rol > General > Session Options.

2. Bajo Session Lifetime, especifique valores para:

„ Idle Timeout: Especifica los minutos que puede permanecer inactiva la

sesión de administrador antes de que se termine. El mínimo son cinco
minutos. El límite predeterminado son diez minutos, lo que significa que si
la sesión de un administrador pasa diez minutos inactiva, el IVE termina la
sesión y registra el suceso en el registro de sistema (a menos de que usted
haya habilitado las advertencias de tiempo de espera de sesión descritas
a continuación).

„ Max. Session Length: Especifica los minutos que una sesión activa de
administrador puede permanecer así antes de que se termine. El mínimo
son seis minutos. El límite máximo para una sesión de administrador son
sesenta minutos, tras lo cual el IVE termina la sesión y registra el suceso en
el registro de sistema.

3. En Roaming session, especifique:

„ Enabled: Para habilitar sesiones de usuario itinerante para los usuarios

asignados a este grupo. Una sesión de usuario itinerante funciona a través
de las direcciones IP fuente, lo que permite a los administradores móviles
(usuarios de equipos portátiles) que tienen direcciones IP dinámicas iniciar
sesión en el IVE desde una ubicación y seguir trabajando desde otra.
Inhabilite esta característica para evitar que los usuarios tengan acceso a
una sesión establecida anteriormente desde una nueva dirección IP fuente.
Así ayuda a la protección contra un ataque que simule la sesión del usuario,
siempre que el hacker haya podido obtener una cookie válida de sesión del
usuario.

„ Limit to subnet: Para limitar la sesión itinerante a la subred local

especificada en el campo Netmask. Los administradores pueden iniciar
sesión desde una dirección IP y seguir usando sus sesiones desde otra
dirección IP siempre y cuando la nueva dirección IP se encuentre dentro de
la misma subred.

„ Disabled: Para inhabilitar las sesiones itinerantes para los administradores

asignados a este rol. Los administradores que inicien sesión desde una
dirección IP no pueden continuar una sesión activa del IVE desde otra
dirección IP; las sesiones de administrador están vinculadas a la dirección
IP fuente del comienzo.

4. Haga clic en Save Changes para aplicar los ajustes al rol.

Definición de ajustes generales del rol de administrador de sistema „ 911

 Guía de administración de Secure Access de Juniper Networks

Especificación de las opciones de la interfaz de usuario

Use la ficha Administrators > Admin Roles > Seleccionar rol > General >
UI Options para personalizar los ajustes de la consola de administración para los
administradores asignados a este rol, incluidos los colores de la consola, los
logotipos y los menús de navegación jerárquica. (Para obtener información sobre
cómo personalizar el logotipo y los colores de la página de inicio de sesión de la
consola de administración, consulte “Configuración de las páginas de inicio de
sesión estándares” en la página 221.)

Los menús de navegación jerárquica son menús dinámicos que aparecen cuando se
pasa el ratón por encima de uno de los menús del panel izquierdo de la consola de
administración. Por ejemplo, si habilita los menús de navegación jerárquica y pasa
el mouse sobre el menú Authentication > Signing In de la consola de
administración, aparecen los menús Sign-In Policies y Sign-In Pages. Puede usar
estos menús para navegar rápidamente en el sistema sin tener que hacer clic en
toda la jerarquía de menús.

NOTA:

„ Para obtener información sobre los entornos en los que se admiten los
menús jerárquicos, consulte la página Supported Platforms Guide del sitio
Juniper Networks Customer Support Center.

„ Si actualizó el sistema desde la versión 4.0, debe limpiar la memoria caché

del navegador o iniciar otro para poder usar los menús jerárquicos.

„ Si definió más de 10 territorios de autenticación o roles bajo Administrators

o Users, la consola de administración solo muestra en los menús de
navegación jerárquica los 10 últimos roles o territorios a los que se tuvo
acceso. Tenga en cuenta que el IVE no muestra los 10 últimos roles
y territorios a los que haya tenido acceso el administrador actual, sino que
aquellos a los que hayan tenido acceso todos los administradores que hayan
iniciado sesión en el IVE actual.

Para personalizar la página de bienvenida del IVE para los usuarios de roles:

1. En la consola de administración, seleccione Administrators > Admin Roles >

Seleccionar rol.

2. Seleccione la casilla de verificación UI Options en la ficha General > Overview

para habilitar los ajustes para el rol.

3. Elija General > UI Options para personalizar los ajustes para el rol.

4. En la sección Header, especifique un archivo de imagen con el logotipo

personalizado para el encabezado y un color de encabezado diferente.

5. En la sección Navigation Menus, indique si desea mostrar los menús de

navegación jerárquica. Las opciones son:

„ Auto-enabled: El IVE determina si el administrador inició sesión desde una

plataforma admitida y habilita o inhabilita los menús jerárquicos, según
corresponda.

912 „ Definición de ajustes generales del rol de administrador de sistema

 Capítulo 32: Delegación de los roles de administrador

„ Enabled: El IVE habilita los menús jerárquicos, sin importar la plataforma.

Si el administrador inició sesión desde una plataforma no admitida, es
posible que no pueda usar los menús jerárquicos, aunque estén habilitados.

„ Disabled: El IVE inhabilita los menús jerárquicos para todos los que
comparten el rol.

6. En la sección Other, seleccione la casilla de verificación Show copyright notice

and “Secured by Juniper Networks” label in footers para mostrar el logotipo
de Juniper.

NOTA: Si no desea que los roles de usuario vean el aviso de copyright, también
puede desmarcar la opción en Default Settings para los roles de usuario, en
general. De esa manera, todos los roles que se creen después no tendrán
permitido mostrar el aviso en la interfaz del usuario final.

7. Haga clic en Save Changes. Los cambios surten efecto de inmediato, pero
puede ser necesario actualizar las sesiones de explorador del usuario actual
para verlos. O haga clic en Restore Factory Defaults para restablecer la
apariencia de la consola de administración según los ajustes predeterminados.

Eliminación del acceso a los sistemas IVS

Si está ejecutando una licencia IVS, también puede delegar acceso y
responsabilidades de administrador a sistemas IVS específicos. Se puede delegar
acceso de lectura/escritura o de solo escritura a todos los sistemas IVS o a algunos.
Para obtener más información, consulte “Delegación del acceso administrativo a los
sistemas IVS” en la página 958.

Definición de ajustes generales del rol de administrador de sistema „ 913

 Guía de administración de Secure Access de Juniper Networks

914 „ Definición de ajustes generales del rol de administrador de sistema

Capítulo 33
Sistema IVS

El sistema IVS (Instant Virtual System) da a los proveedores de servicio

administrado (MSP) la oportunidad de ofrecer servicios de acceso remoto seguro,
recuperación ante desastres y extranet administrada a pequeñas y medianas
empresas (PYMES) de manera rentable. Para cumplir esta oportunidad, los MSP
pueden entregar soluciones de seguridad administradas desde el equipo que está
situado en las instalaciones de la empresa suscriptora (basado en un enrutador
fronterizo de las instalaciones del cliente) o dentro de la red del MSP (basado en
un enrutador fronterizo portador o basado en la red). Las soluciones de seguridad
administradas basadas en la red centralizan el equipo de puerta de enlace de
seguridad en la red del MSP. Un IVE virtualizado permite que el MSP proporcione
servicios de VPN SSL basados en red administrados a clientes múltiples desde
el mismo equipo. Es posible que el modelo de negocios básico funcione de la
siguiente manera:

„ El MSP administra el equipo VPN SSL en el sitio del MSP.

„ Las pequeñas y medianas empresas se suscriben a servicios mensuales desde

el MSP.

„ El MSP es responsable de la administración del equipo, pero delega la

administración del portal a un administrador de IVS designado por cada
empresa suscriptora.

„ El sistema virtual admite y aplica una separación de la arquitectura y la

administración entre las empresas suscriptoras, lo que proporciona una
vista completamente segura e individualizada para cada suscriptor.

Este sistema proporciona varios beneficios a los proveedores de servicio:

„ Ampliar la cuota de mercado: La capacidad de proporcionar funciones de VPN

SSL seguras a un máximo de 240 empresas suscriptoras desde un IVE ofrecen
al MSP economías de escala y la oportunidad de ampliar la cuota de mercado
con servicios dirigidos a las pequeñas y medianas empresas.

„ Simplificar la administración: Cada administrador suscriptor puede

administrar la instancia IVS de su empresa sin visibilidad de la interfaz
administrativa de otra empresa suscriptora. El administrador raíz del MSP
puede administrar todas las empresas alojadas y supervisar o configurar
fácilmente los sistemas de la empresa alojada.

„ 915
 Guía de administración de Secure Access de Juniper Networks

„ Mejorar la seguridad de los suscriptores: Cada empresa suscriptora está

completamente separada de las demás. En lo que concierne al administrador
suscriptor o a los usuarios suscriptores, ellos operan en un sistema VPN SSL
completamente independiente y protegido.

„ Optimizar la administración de tráfico: El tráfico proveniente de los usuarios

finales o de servidores de intranet corporativa se mantiene dentro de la VLAN
de cada empresa. Los usuarios finales suscriptores nunca ven los servicios
situados en la intranet de otro suscriptor.

NOTA: No es posible obtener acceso a los instaladores de cliente independientes

directamente desde la interfaz de usuario de administración de un IVS. Como
solución, el administrador raíz puede hacer que el siguiente vínculo esté
disponible a los administradores de IVS si éstos necesitan descargar los
instaladores independientes:

https://miive/dana-admin/sysinfo/installers.cgi

donde miive es el nombre de host de su IVE.

Para obtener más información, consulte los siguientes temas:

„ “Licencia: Disponibilidad de IVS” en la página 916

„ “Arquitectura del IVE virtualizado” en la página 918

„ “Creación de clústeres en un IVE virtualizado” en la página 946

„ “Casos de uso del IVS” en la página 963

Licencia: Disponibilidad de IVS

„ Debe tener una licencia IVS para crear sistemas IVS. (Tenga en cuenta de que
las licencias IVS no están disponibles para los dispositivos SA 700 o SA 2000.)

„ Debe tener una licencia IVS y una licencia Network Connect para proporcionar
soporte DHCP centralizado a sus suscriptores.

Implementación de un IVS
Para cada empresa suscriptora, el IVE virtualizado proporciona un portal seguro
para que los usuarios finales de la empresa (socios, clientes o empleados móviles)
obtengan acceso a sus recursos internos. Los servidores de autenticación que
residen en las instalaciones del suscriptor o en la red del MSP autentican los
usuarios finales que inician sesión en el IVS. Una vez autenticados, los usuarios
finales establecen sesiones seguras a través del IVS a los servidores back-end
de su empresa respectiva.

916 „ Licencia: Disponibilidad de IVS

 Capítulo 33: Sistema IVS

Figura 57: Escenario de implementación MSP

Los siguientes elementos de lista numerados corresponden a los objetos

etiquetados en la Figura 57

1. Los usuarios finales inician sesión en las intranets de distintas empresas

suscriptoras en direcciones IP especificadas.

2. Los usuarios finales inician sesión sobre una conexión a Internet usando
un explorador web activado por SSL estándar.

3. Todo el tráfico se dirige a la red del proveedor de servicio administrado (MSP).

El MSP es el cliente que mantiene la licencia del hardware y software del IVE
virtualizado.

4. Todo el tráfico se dirige al IVE virtualizado. Todos los mensajes se evalúan en

función de su dirección IP de inicio de sesión y el IVE virtualizado le asigna una
etiqueta VLAN que contiene un ID de VLAN correspondiente a una empresa
suscriptora. El IVE admite hasta 240 sistemas IVS, donde cada uno representa
un IVE de empresa suscriptora único. El suscriptor es cualquier empresa que se
suscribe a los servicios VPN SSL alojados desde el MSP.

NOTA: El número de VLAN admitidas depende del número de sistemas IVS.

El número de sistemas IVS más el número de VLAN debe ser menor o igual
que 240.

5. El enrutador fronterizo portador (CE) de MSP u otro dispositivo de capa 2 actúa

como un punto terminal de la VLAN, y enruta el tráfico sobre un túnel seguro
a un enrutador fronterizo de las instalaciones del cliente (CPE). En función del
ID de la VLAN, el enrutador dirige el tráfico a la intranet suscriptora adecuada.
Durante esta parte del proceso, el enrutador CE elimina la etiqueta de la VLAN
que contiene el ID de la VLAN, porque una vez que el mensaje se destine
correctamente a la intranet adecuada, el ID y la etiqueta ya no serán
necesarios. El término “intranet suscriptora” es intercambiable con el término
“intranet de la empresa”.

6. El enrutador CE envía mensajes sobre la red troncal del proveedor de servicios

a los enrutadores fronterizos de las instalaciones de los clientes adecuados
mediante túneles encriptados, como túneles IPsec, GRE, PPP y MPLS. El tráfico
sin etiqueta se envía sobre estos túneles a la intranet del cliente.

Implementación de un IVS „ 917

 Guía de administración de Secure Access de Juniper Networks

7. Los enrutadores CPE situados dentro de la intranet del cliente en las

instalaciones del cliente pueden actuar como el punto terminal de una
VLAN y enrutan el tráfico desde el túnel seguro conectado al enrutador
CE a la intranet del cliente.

8. El tráfico del usuario final alcanza los recursos troncales de la empresa

suscriptora. El IVE procesa cualquier mensaje devuelto a los usuarios finales
desde las intranets suscriptoras siguiendo un conjunto de pasos similar.

En una implementación MSP típica, los cortafuegos se presentan frente al IVE en la

DMZ del MSP, detrás del IVE en la red del MSP o en la DMZ de la intranet del cliente,
o ambos. Tenga en cuenta que es posible que exista un cortafuegos virtualizado
detrás del IVE (por ejemplo, un clúster de Vsys), en cuyo caso debe tener la
capacidad de aceptar tráfico etiquetado por VLAN desde el IVE reenviarlo a la VLAN
de cliente adecuada (y viceversa). Además, la mayoría de todas las
implementaciones, si no todas, tienen servidores de nombre de dominio (DNS
o “Domain Name Server”) o servidores de aplicaciones situados en la red del MSP
o en la intranet del cliente.

En la implementación de un IVE virtualizado, el front-end se considera la interfaz

externa y es la interfaz que apunta a Internet o al usuario final. El back-end se
considera la interfaz interna y es la interfaz que apunta a la intranet de la empresa
suscriptora.

El IVE etiqueta el tráfico entrante enviado por los usuarios finales destinado a un
servidor en la intranet suscriptora o en la red del MSP, con etiquetas de VLAN que
contienen el ID de la VLAN. El tráfico entrante puede llegar a través de la interfaz
interna o la interfaz externa del dispositivo IVE.

El tráfico saliente, que es el tráfico transmitido a través del backend del IVE y está
destinado a los servidores situados en la red del MSP o la intranet suscriptora,
puede tener su origen en el mismo IVE. Por ejemplo, el tráfico destinado
a servidores de autenticación, DNS o de aplicaciones es tráfico saliente,
porque es un tráfico reenviado por el IVE, como el tráfico de Network Connect.

Si el tráfico llega como tráfico entrante a una dirección IP designada para un

sistema IVS que utiliza una VLAN, cuando llega el tráfico se etiqueta con etiqueta
VLAN. Cuando se identifica y dirige al destino backend adecuado, el dispositivo
terminal VLAN retira la etiqueta VLAN de la trama Ethernet y reenvía el tráfico al
destino backend.

Arquitectura del IVE virtualizado

La estructura del IVE virtualizado consta de un sistema raíz y cualquier sistema
IVS suscriptor que el administrador raíz del MSP crea posteriormente. Los
administradores del IVS suscriptor sólo pueden administrar recursos en sus
sistemas IVS en particular. El administrador raíz puede administrar recursos
en todos los sistemas IVS en el dispositivo.

La licencia IVS convierte el sistema IVE en un sistema raíz que es funcionalmente

idéntico al IVE, con la capacidad agregada de proporcionar sistemas virtuales.
El sistema raíz consta de datos globales a nivel del sistema y un IVS raíz
predeterminado único, que abarca el subsistema de administración de accesos.

918 „ Implementación de un IVS

 Capítulo 33: Sistema IVS

Figura 58: Arquitectura del IVS

El administrador raíz es el superadministrador del sistema raíz. A menudo,

el administrador raíz es el mismo administrador de IVE. El administrador raíz tiene
el control administrativo sobre el sistema raíz y todos los sistemas IVS suscriptores.
El administrador raíz puede proporcionar sistemas IVS en el sistema raíz, crear
administradores de IVS, editar la configuración del IVS. El administrador raíz puede
sobrescribir los cambios de la configuración hechos por un administrador de IVS.

NOTA: Las instrucciones para configurar el sistema IVS y el sistema raíz están
T dirigidas al administrador raíz. Cuando en estas secciones se utiliza el pronombre
usted, se refiere al administrador raíz. Si una persona con un rol distinto al de
administración raíz puede realizar una tarea, el texto hace una referencia clara
al rol en la descripción de la tarea.

Como se muestra en la Figura 58:

1. El administrador de IVE aplica una licencia IVS a un dispositivo IVE que

contiene una licencia de Secure Access.

2. El sistema resultante contiene los datos globales raíz y un IVS raíz; a todos los
efectos, un IVE virtualizado.

3. Desde el IVS raíz, el administrador raíz puede crear sistemas IVS suscriptores
múltiples, cada IVS completamente por separado de cualquier otro IVS.

El sistema raíz contiene un superconjunto de todas las capacidades del sistema.

Usted, como administrador raíz, define todos los ajustes globales de red y los
ajustes del administrador raíz en el sistema raíz. Para cada suscriptor, proporciona
uno o más sistemas IVS y los administra desde el sistema raíz.

El IVS suscriptor contiene una instancia única de la estructura de administración de

accesos. Cuando crea un IVS para cada empresa suscriptora, también puede crear
una cuenta de administrador de IVS (administrador de IVS). El administrador de IVS
tiene el control administrativo completo sobre el IVS. El administrador de IVS utiliza
una consola de administración que contiene un subconjunto de las capacidades del
administrador raíz.

Implementación de un IVS „ 919

 Guía de administración de Secure Access de Juniper Networks

Inicio de sesión en el sistema raíz o el IVS

Puede configurar direcciones URL de inicio de sesión usando métodos diferentes:

„ Prefijo de dirección URL de inicio de sesión por IVS

„ Puertos virtuales

„ Puertos de VLAN

Puede usar ambos métodos en el mismo IVS.

Inicio de sesión usando el prefijo de dirección URL de inicio de sesión

Esta característica permite que los usuarios finales obtengan acceso a un IVS
utilizando un nombre de host único y un prefijo de dirección URL de inicio de
sesión específico para el IVS. A través de este método, los administradores
pueden asegurarse de que los usuarios puedan obtener acceso a varios sistemas
IVS mediante una dirección IP única en el IVE.

Adicionalmente, el uso de direcciones URL basadas en ruta dan como resultado:

„ Ahorros en los costos de certificado: Sólo necesita suministrar un certificado

para dispositivos.

„ Menos entradas de DNS: Sólo necesita una entrada de DNS en todos los
sistemas IVS alojados en un IVE único.

Los administradores y usuarios finales pueden iniciar sesión en un sistema IVS

usando direcciones URL de inicio de sesión similares a la siguiente (asumiendo
que la dirección URL del proveedor de servicio administrado es www.msp.com):

„ Dirección URL de inicio de sesión de la empresa A: www.msp.com/companyA

„ Dirección URL de inicio de sesión de la empresa B: www.msp.com/companyB

„ Dirección URL de inicio de sesión del administrador de IVS de la empresa A:

www.msp.com/companyA/admin

„ Dirección URL de inicio de sesión del administrador de IVS de la empresa B:

www.msp.com/companyB/admin

Puede continuar restringiendo el acceso implementando direcciones URL de inicio

de sesión adicionales que estén segregadas según ciertos criterios, como se muestra
a continuación:

„ www.msp.com/companyA/sales

„ www.msp.com/companyA/finance

„ www.msp.com/companyA/hr

920 „ Inicio de sesión en el sistema raíz o el IVS

 Capítulo 33: Sistema IVS

Si no especifica un prefijo de dirección URL, el IVE establece por defecto el inicio

de sesión en puertos virtuales. Si especifica un prefijo de dirección URL de inicio
de sesión basado en rutas, se aplican las siguientes reglas:

„ No puede especificar una ruta de múltiples niveles para el prefijo de dirección

URL, utilizando el carácter /.

„ Los usuarios y administradores pueden iniciar sesión en un IVS en el puerto

interno, el puerto externo, la interfaz VLAN o el puerto virtual que todavía no
esté asignado a un IVS utilizando el prefijo de dirección URL seleccionado,
en otras palabras, donde el nombre de host es el nombre del DNS asignado
a una de las direcciones IP de la interfaz.

Por ejemplo, suponga que los puertos de su IVE están asignados a nombres de DNS
específicos de la siguiente manera:

„ Internal Port = MSP-internal

„ External Port = MSP-external

„ VLAN Port 10 = MSP-vlan10

„ Virtual Port X = MSP-virtualx

Ahora, considere que el puerto 10 de la VLAN y el puerto virtual X no están

asignados a un IVS. Si aloja el IVS de la empresa A, y el prefijo de dirección URL de
inicio de sesión de la empresa A está especificado como la empresa A en el perfil
del IVS, los usuarios finales pueden iniciar sesión en el IVS de la empresa A con
cualquiera de las siguientes direcciones URL:

„ MSP-internal/companyA

„ MSP-external/companyA

„ MSP-vlan10/companyA

„ MSP-virtualx/companyA

La característica de dirección URL basada en ruta conlleva algunas restricciones:

„ Un usuario final o administrador puede iniciar sesión sólo a un IVS desde una
interfaz de navegador determinada. Si trata de iniciar sesión en otro IVS desde
una nueva ventana del navegador en la misma interfaz, se rechaza el intento
de inicio de sesión. Debe crear una nueva instancia de navegador para iniciar
sesión a sistemas IVS múltiples.

„ No puede establecer sesiones simultáneas múltiples, con todas las sesiones

usando Host Checker, desde el mismo punto final a diferentes sistemas IVE.
No puede establecer sesiones simultáneas múltiples desde el mismo punto final
a sistemas IVS múltiples, independientemente del método de inicio de sesión.

„ Si configura un IVS con un prefijo de dirección URL de inicio de sesión basado

en ruta, no puede usar las cookies de sesión persistentes (DSID) y mantener
la capacidad de iniciar sesión en sistemas IVS múltiples desde el mismo
explorador con el prefijo de dirección URL. La limitación no se aplica a los
usuarios que inician sesión en el IVS con una dirección IP de inicio de sesión,
porque el sistema crea en ese caso un DSID distinto por IVS de destino.

Inicio de sesión en el sistema raíz o el IVS „ 921

 Guía de administración de Secure Access de Juniper Networks

„ Se admite el proxy pass-through basado en los números de puerto. Sin

embargo, no puede especificar una directiva de proxy pass-through cuando
se utilizan hosts virtuales, a menos que la entrada de DNS del host virtual se
asigne a la dirección IP de inicio de sesión en IVS. Si la entrada de DNS del
host virtual apunta al IVE, cuando el usuario inicia sesión lo hará en la página
de inicio de sesión del IVS raíz.

„ Cuando se utiliza Secure Meeting, si un usuario todavía no inicia sesión en su

IVS y habilita la opción require IVE users, todos los correos electrónicos de
invitación a las reuniones contendrán un vínculo a la página de inicio de sesión
en un IVS raíz.

„ Si un usuario de IVS crea marcadores de páginas utilizando reescritura web,

cierra la sesión y vuelve a abrir el navegador y selecciona el marcador, verá
la página de inicio de sesión en un IVS raíz.

Inicio de sesión en puertos virtuales

Es posible que tenga razones para configurar puertos virtuales para iniciar sesión.
Los puertos virtuales proporcionan una importante segregación del tráfico. Si elige
utilizar puertos virtuales, tenga en cuenta que:

„ Debe proporcionar certificados múltiples: Necesita proporcionar un

certificado para dispositivos por dirección del puerto virtual.

„ Debe configurar múltiples entradas de DNS: Necesita suministrar entradas

de DNS para cada sistema IVS alojado en un IVE único.

„ Si varios IVS comparten el mismo puerto virtual para el inicio de sesión, los
ajustes de seguridad de cada IVS (se permite la versión SSL/TLS o intensidad de
la encriptación) pueden asociarse al puerto virtual. Una vez que los ajustes de
seguridad de un IVS están asociados con el puerto virtual, estos ajustes son
eficaces para los inicios de sesión (es decir, sesiones de SSL) en ese puerto
virtual. Para garantizar la selección/asociación determinista de los ajustes de
seguridad a los puertos virtuales, los IVS que comparten el mismo puerto virtual
para iniciar sesión deben tener los mismos ajustes de seguridad.

„ Si hay un IVS que está configurado para tener diferentes ajustes de seguridad
relativos al sistema raíz, los ajustes de seguridad del sistema raíz surten efecto
para iniciar sesión en el IVS a través del prefijo de dirección URL de inicio de
sesión, mientras que los ajustes de seguridad del IVS surten efecto para iniciar
sesión en el IVS a través del inicio de sesión en puertos virtuales. En el caso de
un IVS con encriptación intensa (como AES) en un IVE con un sistema raíz que
tenga ajustes de encriptación más débil, se produce la siguiente situación:
Se produce un error al iniciar sesión en el IVS a través del inicio de sesión en
puertos virtuales desde un navegador IE6, porque los ajustes de seguridad
vigente para la sesión de SSL son AES, no admitidos por IE6. Sin embargo,
si el mismo usuario inicia sesión en el mismo IVS desde el mismo navegador
IE6 a través del prefijo de dirección URL de inicio de sesión puede realizarse de
manera correcta si los ajustes de seguridad del navegador son compatibles con
los ajustes de seguridad más débil del sistema raíz.

922 „ Inicio de sesión en el sistema raíz o el IVS

 Capítulo 33: Sistema IVS

La dirección IP de destino de la petición de inicio de sesión dirige el inicio de sesión

al sistema raíz o al IVS. Para iniciar sesión en el sistema raíz o un IVS, los usuarios
van a una dirección URL basada en el nombre de host. Usted asigna la dirección
URL, a través de un DNS externo, a la dirección IP o a un alias de IP de la interfaz
externa del sistema IVE.

Por ejemplo, imagínese un MSP con nombre de host msp.com, que proporciona
servicios de puerta de enlace VPN SSL a dos suscriptores: s1 y s2.

„ Dirección URL de inicio de sesión del administrador raíz: http://www.msp.com

„ Dirección URL de inicio de sesión de s1: http://www.s1.com

„ Dirección URL de inicio de sesión de s2: http://www.s2.com

El DNS externo debe asignar estas direcciones URL a direcciones IP únicas, que
deben corresponder a direcciones IP o alias alojados en el IVE, normalmente un
puerto virtual definido ya sea en el puerto interno como en el externo.

Para resumir el inicio de sesión, los usuarios de IVS pueden iniciar sesión en:

„ Un puerto virtual configurado en la interfaz externa del IVE.

„ Un puerto virtual configurado en la interfaz interna del IVE (sin etiqueta).

„ Una interfaz de VLAN configurada en la interfaz interna (con etiqueta).

Los usuarios del sistema raíz también pueden iniciar sesión directamente por
medio de la interfaz interna o la interfaz externa. Para ver más información acerca
del inicio de sesión, consulte “Configuración de directivas de inicio de sesión” en la
página 214 y “Configuración las páginas de inicio de sesión” en la página 220.

Inicio de sesión en una interfaz de VLAN

Además de las capacidades de inicio de sesión proporcionadas por medio de la
interfaz externa (o la interfaz interna, si está configurada) por el administrador raíz,
los usuarios finales pueden iniciar sesión por medio de cualquier interfaz de VLAN
que el administrador raíz asigne a sus IVS. En otras palabras, el administrador del
IVS puede proporcionar la dirección IP del puerto de la VLAN a los usuarios finales
para que inicien sesión.

NOTA: No puede asignar un certificado para dispositivos explícito a ninguna

dirección IP asignada a una VLAN. Cuando se inicia sesión sobre una interfaz de
VLAN, el sistema elige el certificado para dispositivos que ya está asignado al IVS.
Si no hay un certificado que esté asociado al IVS, el sistema asigna el certificado
desde la parte superior de la lista de certificados para dispositivos del IVE. Esta
lista se puede reordenar cuando se agrega o elimina un certificado, con lo que es
posible que surja un certificado inesperado durante la configuración. Una vez que
un IVS está en estado de producción, esto no debe significa un problema, porque
la VIP del IVS se asigna a un certificado específico.

Inicio de sesión en el sistema raíz o el IVS „ 923

 Guía de administración de Secure Access de Juniper Networks

Navegación al IVS
Sólo los administradores raíz pueden navegar a un IVS desde el sistema raíz. En el
IVE virtualizado, la navegación de la consola de administración para el sistema raíz
incluye un menú desplegable adicional que enumera los sistemas IVS configurados,
en todos los encabezados de página. Puede navegar a un IVS y administrarlo si
selecciona un IVS en el menú desplegable. Los administradores de IVS deben iniciar
sesión directamente al IVS a través de una página de inicio de sesión administrativo
estándar.

El administrador raíz crea la cuenta de administrador de IVS inicial. Un

administrador de IVS puede crear cuentas adicionales de administrador de IVS,
utilizando el procedimiento estándar para crear cuentas de administrador, como se
describe en “Creación y configuración de roles de administrador” en la página 900.

Determinación del perfil del suscriptor

Para configurar el sistema para que dirija correctamente el tráfico entrante al IVS
suscriptor correcto, y el tráfico saliente a la VLAN adecuada, el administrador raíz
del MSP necesita compilar un perfil para cada empresa suscriptora.

Hoja de trabajo de la configuración de IVS

Cuando crea un sistema virtual nuevo, debe crear varios otros objetos del sistema
y especificar varios datos, que incluyen direcciones IP, ID de VLAN, puertos
virtuales y ajustes de DNS. Puede utilizar esta hoja de trabajo para planear y realizar
un seguimiento de los datos del sistema durante la creación de cada IVS. La hoja
de trabajo presenta datos en el orden general en que se debería definir el IVS.

Según la topología específica de las redes de los suscriptores, es posible que

deba recopilar información adicional, o puede que no utilice toda la información
que aparece en el formulario.

Fecha: Creado por:

Suscriptor:
Número de cuenta:
Comentario:

VLAN del suscriptor (System > Network > VLANs)

Ajustes de la VLAN
Nombre del puerto de la
VLAN:
ID de la VLAN (1-4094):

Información del puerto de la VLAN

Dirección IP:

Máscara de red:

Puerta de enlace
predeterminada:

924 „ Determinación del perfil del suscriptor

 Capítulo 33: Sistema IVS

Configuración del puerto virtual de inicio de sesión del suscriptor:

(System > Network > Port 1 > Virtual Ports > New Virtual Port)
Nombre del puerto virtual
externo (para iniciar
sesión):
Dirección IP:

Nombre del puerto virtual

interno (opcional).
Dirección IP:

Instalación de certificado para dispositivos para el nombre de host del IVS

Nombre del host del IVS:

Puerto interno:

Puerto externo:

IVS del suscriptor (System > Virtual Systems > New Virtual System)
Nombre (suscriptor):

Descripción:

Administrador
Nombre de usuario:

Contraseña (de al menos

6 caracteres):
Propiedades
Máximo de usuarios
simultáneos:
VLAN predeterminada:

Puertos virtuales
seleccionados:
(interfaz interna)
Puertos virtuales
seleccionados:
(interfaz externa)
Conjunto de IP de
Network Connect:
Rutas estáticas (System > Network > Routes > New Routes)
Red/IP de destino:

Máscara de red:

Puerta de enlace:

Interfaz:

Métrica:

Determinación del perfil del suscriptor „ 925

 Guía de administración de Secure Access de Juniper Networks

Ajustes de DNS (Subscriber IVS > System > Network > Overview)
Nombre de host:

DNS principal:

DNS secundario:

Dominios de DNS:

WINS:

Administración del sistema raíz

Una vez que aplique la licencia IVS al IVE, aparece la nueva ficha Virtual Systems
en la interfaz de usuario del administrador. Después de que aplica la licencia IVS,
puede ver de manera explícita el sistema raíz en el menú desplegable que aparece
en el área del encabezado de la consola de administración.

La configuración del sistema requiere una serie de procedimientos básicos. Una vez
que el hardware esté conectado:

1. Inicie el sistema.

2. Aplique la licencia IVS a través de la página Maintenance > System >

Upgrade/Downgrade de la consola de administración.

3. Configure el sistema raíz desde la consola de administración, tal como se

describe en “Aprovisionamiento de un IVS” en la página 927.

Independientemente de la cantidad de administradores suscriptores que define

en los sistemas IVS del suscriptor, siempre debe mantener el control sobre todo
el sistema y tener visibilidad de los ajustes de todos los sistemas IVS.

Configuración del administrador raíz

La configuración del administrador raíz es similar a la tarea de crear un
administrador nuevo en un IVE independiente. Puede crear una cuenta de
administrador en la página Authentication > Auth. Servers > Administrators >
Users de la consola de administración, o usando la consola serie como se describe
en “Conexión a la consola serie de un dispositivo IVE” en la página 987.

Si actualiza desde una versión del IVE anterior a la versión 5.1 del software
o posterior, el sistema considera que cualquier administrador del sistema raíz
que asigna al rol .Administrators es un administrador raíz para el IVE. Si vuelve
a instalar completamente el dispositivo IVE o instala un hardware completamente
nuevo, cree un administrador principal durante los pasos iniciales de la
configuración, en la consola serie. Para obtener más información acerca de la
configuración del sistema desde la consola serie, consulte “Conexión a la consola
serie de un dispositivo IVE” en la página 987.

926 „ Determinación del perfil del suscriptor

 Capítulo 33: Sistema IVS

Aprovisionamiento de un IVS
En esta sección se describen las tareas que forma parte del aprovisionamiento
de un IVS, que incluyen:

„ “Comprensión del proceso de aprovisionamiento” en la página 928

„ “Configuración de los puertos de inicio de sesión” en la página 930

„ “Configuración de una red de área local virtual (VLAN)” en la página 932

„ “Carga del servidor de certificados” en la página 936

„ “Creación de un sistema virtual (perfil de IVS)” en la página 937

„ “Configuración de alias de IP de origen basados en roles” en la página 942

„ “Configuración de reglas de enrutamiento de directivas en el IVS” en la

página 944

„ “Creación de clústeres en un IVE virtualizado” en la página 946

„ “Configuración del DNS para el IVS” en la página 948

„ “Configuración de Network Connect para uso en un IVE virtualizado” en la

página 950

„ “Configuración de servidores de autenticación” en la página 956

„ “Acceso a los instaladores independientes” en la página 959

„ “Realización de la exportación y la importación de los archivos

de configuración del IVS” en la página 959

„ “Supervisión de los suscriptores” en la página 961

„ “Resolución de problemas de las VLAN” en la página 962

Aprovisionamiento de un IVS „ 927

 Guía de administración de Secure Access de Juniper Networks

Comprensión del proceso de aprovisionamiento

La Figura 59 ilustra las tareas básicas necesarias para proporcionar un IVS.

Figura 59: Proceso básico de aprovisionamiento de un IVS

928 „ Comprensión del proceso de aprovisionamiento

 Capítulo 33: Sistema IVS

El aprovisionamiento de un IVS consta de los siguientes pasos, tal como se ilustra

en la Figura 59:

1. Configure uno o más clústeres, si es necesario, a través de la página System >

Clustering > Create Cluster.

2. Configure y habilite el puerto externo. El puerto externo está inhabilitado

de forma predeterminada. Debe habilitar el puerto y configurarlo para
proporcionar capacidades de inicio de sesión desde el exterior de la red.

3. Cree al menos un puerto de VLAN para cada empresa suscriptora. Debe definir
un ID único para cada VLAN. Una empresa suscriptora puede tener varias VLAN
en el IVE.

4. Configure al menos un puerto virtual en el puerto externo para habilitar el inicio

de sesión de los usuarios finales. También puede configurar puertos virtuales en
el puerto interno, para iniciar sesión desde detrás del cortafuegos, si es
necesario.

5. Cargue un servidor de certificados por empresa suscriptora.

6. Si desea utilizar puertos virtuales, por ejemplo, para admitir el origen de IP,
debe crearlos en este punto del proceso.

7. Cree un perfil de IVS para cada empresa suscriptora. El perfil de IVS establece
la conexión entre la empresa, la VLAN y los puertos virtuales disponibles.

8. Configure rutas estáticas a los servidores backend. Si intenta proporcionar

acceso compartido a los recursos de la red del MSP, agregue rutas estáticas a las
tablas de rutas de la VLAN que apunten a esos recursos.

9. Configure los ajustes de DNS para que todo tráfico destinado a los recursos
en la red del MSP primero pase por el servidor DNS del MSP.

10. Inicie sesión como administrador de IVS.

11. Configure directivas de recursos, territorios, roles y usuarios para el IVS.

Cuando crea el IVS, aparece el nombre del IVS en el menú desplegable que está en
el encabezado de la consola de administración. Puede realizar operaciones en cada
IVS seleccionando el nombre del IVS en el menú desplegable y haciendo clic en el
botón Go.

Resumen de tareas: Aprovisionamiento de un IVS

Para proporcionar un sistema IVS, debe:

1. Crear un clúster si es necesario. Para obtener instrucciones, consulte “Creación

de clústeres” en la página 869.

2. Configurar un puerto externo, que consta de la habilitación del puerto y la

configuración de puertos virtuales para permitir que los usuarios finales
inicien sesión desde el exterior de la red del MSP. Para obtener instrucciones,
consulte “Configuración de los puertos de inicio de sesión” en la página 930.

Comprensión del proceso de aprovisionamiento „ 929

 Guía de administración de Secure Access de Juniper Networks

3. Configurar una VLAN, que incluye la definición del puerto de la VLAN

y especifica un ID de la VLAN. Para obtener instrucciones, consulte
“Configuración de una red de área local virtual (VLAN)” en la página 932.

4. Cargar el servidor de certificados, lo que permite que el MSP y las empresas

suscriptoras certifiquen el tráfico. Para obtener instrucciones, consulte “Carga
del servidor de certificados” en la página 936.

5. Configurar puertos virtuales en la VLAN para el origen de IP para los clústeres.

Para obtener instrucciones, consulte “Configuración de un puerto virtual para
iniciar sesión en el puerto interno” en la página 932.

6. Crear el perfil de IVS, que define el entorno de la empresa suscriptora en el IVE

virtualizado. Para obtener instrucciones, consulte “Configuración inicial de IVS
mediante una copia del sistema raíz o de otro IVS” en la página 940.

7. Configurar rutas estáticas para admitir los servidores backend, los usuarios de
Network Connect y para proporcionar servicios compartidos en la red del MSP.
Para obtener instrucciones, consulte “Adición de rutas estáticas a la tabla de
rutas de VLAN” en la página 935.

8. Configurar los ajustes del DNS, para hacer que el tráfico pase por el servidor
DNS del MSP. Si ejecuta Network Connect, debe configurar el DNS. Para
obtener instrucciones, consulte “Configuración del DNS para el IVS” en la
página 948.

9. Configurar Network Connect si es necesario. Para obtener instrucciones,

consulte “Configuración de Network Connect para uso en un IVE virtualizado”
en la página 950.

Configuración de los puertos de inicio de sesión

Es necesario configurar puertos virtuales a través de los cuales los usuarios finales
puedan iniciar sesión en la intranet de la empresa suscriptora. Un puerto virtual
activa un alias de IP o un puerto físico y comparte todos los ajustes de red de dicho
puerto. Para obtener más información acerca de los puertos virtuales en general,
consulte “Configuración de puertos virtuales” en la página 711.

Esta sección contiene los siguientes temas:

„ “Configuración del puerto externo” en la página 931

„ “Configuración de un puerto virtual para iniciar sesión en el puerto externo”

en la página 931

„ “Configuración de un puerto virtual para iniciar sesión en el puerto interno”

en la página 932

930 „ Configuración de los puertos de inicio de sesión

 Capítulo 33: Sistema IVS

Configuración del puerto externo

Necesita habilitar y configurar el puerto externo para permitir que los usuarios
finales del IVS inicien sesión desde el exterior de la red.

Para habilitar y configurar el puerto externo:

1. Asegúrese de estar en el contexto raíz. Si el menú desplegable del IVS situado

en la barra de encabezado de la consola de administración muestra algo
distinto de Root, seleccione Root en el menú y haga clic en Go.

2. Seleccione System > Network > Port 1 > Settings.

3. Seleccione Enabled.

4. Introduzca una dirección IP válida para el puerto externo.

5. Introduzca una máscara de red válida para la dirección IP.

6. Introduzca la dirección de la puerta de enlace predeterminada.

7. Haga clic en Save Changes.

El sistema habilita el puerto.

Configuración de un puerto virtual para iniciar sesión en el puerto externo

Necesita configurar un puerto virtual para permitir que los usuarios finales del
IVS inicien sesión desde el exterior de la red por medio del puerto externo.
Por ejemplo, si los usuarios inician sesión por Internet, utilizan el puerto virtual
definido en el puerto externo.

Para configurar el puerto virtual para iniciar sesión:

1. Asegúrese de estar en el contexto raíz. Si el menú desplegable del IVS situado

en la barra de encabezado de la consola de administración muestra algo
distinto de Root, seleccione Root en el menú y haga clic en Go.

2. Seleccione System > Network > Port 1 > Virtual Ports.

3. Haga clic en New Port.

4. Introduzca un nombre único para el puerto virtual.

5. Introduzca una dirección IP válida que proporcione el administrador de red

de la empresa suscriptora.

6. Haga clic en Save Changes.

El sistema agrega el puerto, muestra la ficha Virtual Ports y reinicia los servicios
de red. Este puerto virtual está disponible para uso durante el proceso descrito en
“Creación de un sistema virtual (perfil de IVS)” en la página 937. Defina todos los
puertos virtuales que necesite para iniciar sesión.

Configuración de los puertos de inicio de sesión „ 931

 Guía de administración de Secure Access de Juniper Networks

Configuración de un puerto virtual para iniciar sesión en el puerto interno

Necesita habilitar y configurar el puerto interno para permitir que los usuarios
finales del IVS inicien sesión desde el interior de la red.

Para configurar el puerto virtual para iniciar sesión:

1. Asegúrese de estar en el contexto raíz. Si el menú desplegable del IVS situado

en la barra de encabezado de la consola de administración muestra algo
distinto de Root, seleccione Root en el menú y haga clic en Go.

2. Seleccione System > Network > Internal Port > Virtual Ports.

3. Haga clic en New Port.

4. Introduzca un nombre único para el puerto virtual.

5. Introduzca una dirección IP válida que el administrador de red de la empresa

suscriptora proporciona.

6. Haga clic en Save Changes.

El sistema agrega el puerto, muestra la ficha Virtual Ports y reinicia los servicios
de red. Puede asignar este puerto virtual a un perfil de IVS tal como se describe en
“Creación de un sistema virtual (perfil de IVS)” en la página 937. Defina todos los
puertos virtuales que necesite para iniciar sesión.

Resumen de tareas: Configuración de los puertos de inicio de sesión

del IVS
Para configurar los puertos de inicio de sesión del IVS, debe:

1. Configurar el puerto externo. Para obtener instrucciones, consulte

“Configuración del puerto externo” en la página 931.

2. Configurar un puerto virtual para iniciar sesión en el puerto externo. Para

obtener instrucciones, consulte “Configuración de un puerto virtual para iniciar
sesión en el puerto externo” en la página 931.

3. Configurar un puerto virtual para iniciar sesión en el puerto interno (opcional).

Para obtener instrucciones, consulte “Configuración de un puerto virtual para
iniciar sesión en el puerto interno” en la página 932.

Configuración de una red de área local virtual (VLAN)

Al definir al menos una red de área local virtual (VLAN, Virtual Local Area Network)
en cada IVS suscriptor, el MSP puede aprovechar el etiquetado VLAN, mediante
el cual el IVE virtualizado etiqueta el tráfico con ID de VLAN 802.1Q antes de
transmitir el tráfico a través del backend. La infraestructura portadora utiliza la
etiqueta VLAN para dirigir los paquetes a la intranet suscriptora adecuada.

932 „ Configuración de una red de área local virtual (VLAN)

 Capítulo 33: Sistema IVS

El etiquetado VLAN proporciona la separación del tráfico que el IVE transmite sobre
el backend, destinado a las intranets suscriptoras. El tráfico que proviene a través
del front-end, es decir, el tráfico entrante, no tiene etiquetas VLAN. El IVS agrega la
etiqueta a un mensaje después de su llegada a través de uno de los puertos del IVE.

Cada VLAN se asigna a un ID de VLAN, que forma parte de una etiqueta compatible
con la norma IEEE 802.1Q que se agrega a cada trama Ethernet saliente. El ID de la
VLAN sólo identifica cada suscriptor y todo el tráfico del suscriptor. Este etiquetado
permite que el sistema dirija todo el tráfico a la VLAN correcta y que aplique las
directivas respectivas a ese tráfico.

El punto terminal de la VLAN es cualquier dispositivo en el que se identifique el

tráfico etiquetado de VLAN, se le quite la etiqueta de VLAN y se reenvíe al túnel
correcto al backend. El punto terminal de la VLAN puede ser un enrutador CE,
un enrutador CPE, el switch L2, un cortafuegos u otro dispositivo capaz de realizar
el enrutamiento de la VLAN.

Debe definir un puerto de VLAN para cada VLAN. El administrador raíz asigna el ID
de la VLAN específica al definir el puerto de la VLAN.

Para cada VLAN que configure, el IVE virtualizado proporciona una interfaz única
y lógica de VLAN, o un puerto, en la interfaz interna. No existe relación entre la
dirección IP del puerto interno y la dirección IP de cualquier puerto de VLAN.
Cada puerto de VLAN tiene su propia tabla de rutas.

Cada definición de puerto de VLAN consta de:

„ Port Name. El nombre del puerto tiene que ser exclusivo en todos los puertos
de la VLAN que define en el IVE virtualizado o en clúster.

„ VLAN ID. Un número entero entre 1 y 4095 que identifica únicamente a la

VLAN del suscriptor/cliente.

„ IP Address/Netmask. Debe ser una dirección IP o una máscara de red desde

la misma red que el punto terminal de la VLAN, porque el IVE virtualizado se
conecta al punto terminal de la VLAN en una conexión de red de capa 2. Las
direcciones IP de las VLAN deben ser únicas. No puede configurar una VLAN
para que tenga la misma red que el puerto interno. Por ejemplo, si el puerto
interno es 10.64.4.30/16 y configura una VLAN como 10.64.3.30/16,
probablemente obtenga errores y resultados inesperados.

„ Default gateway. La dirección IP del enrutador predeterminado, normalmente

el enrutador CE o CPE. La puerta de enlace predeterminada podría actuar como
el punto terminal de la VLAN, o podría residir detrás del punto terminal de la
VLAN.

„ Other network settings. Heredados desde el puerto interno.

NOTA: Si no especifica una VLAN para la empresa suscriptora, debe configurar el

IVS para que transmita el tráfico sobre la interfaz interna, seleccionándolo como la
VLAN predeterminada.

Configuración de una red de área local virtual (VLAN) „ 933

 Guía de administración de Secure Access de Juniper Networks

Configuración de VLAN en el IVE virtualizado

La relación entre una VLAN y un IVS determinado permite que el sistema raíz
separe y dirija el tráfico a distintos suscriptores, tal como se describe en “Licencia:
Disponibilidad de IVS” en la página 916. Puede definir VLAN múltiples para un IVS
suscriptor.

Configuración de un puerto de VLAN

Antes de crear un nuevo sistema virtual, cree un puerto de VLAN para identificar
el tráfico del suscriptor específico.

Para crear un puerto de VLAN, realice los siguientes pasos:

1. Asegúrese de estar en el contexto raíz. Si el menú desplegable del IVS situado

en la barra de encabezado de la consola de administración muestra algo
distinto de Root, seleccione Root en el menú y haga clic en Go.

2. Seleccione System > Network > VLANs para abrir la ficha VLAN Network
Settings.

3. Haga clic en New Port.

4. En VLAN settings, introduzca un nombre para el puerto de VLAN.

5. Introduzca un ID de VLAN.

NOTA: El ID de VLAN debe estar entre 1 y 4095 y debe ser único en el sistema.
El sistema raíz utiliza tráfico sin etiqueta y no se puede cambiar.

6. Introduzca la dirección IP para la VLAN.

7. Introduzca una máscara de red para la VLAN.

8. Introduzca una puerta de enlace para la VLAN.

9. Haga clic en Save Changes.

Asignación de una VLAN al IVS raíz

A fin de asignar una VLAN a un rol, primero debe asignar la VLAN al IVS raíz.
Si no ha asignado una VLAN al IVS raíz, la VLAN no está disponible en el menú
desplegable de VLAN en Users > User Roles > Seleccionar rol > VLAN/Source
IP page.

Para asignar una VLAN al IVS raíz

1. Seleccione System > Virtual Systems > Root.

2. En Properties, seleccione la VLAN en la lista Available VLANs.

3. Haga clic en Add -> para mover el nombre de la VLAN a la lista Selected
VLANs.

4. Haga clic en Save Changes.

934 „ Configuración de una red de área local virtual (VLAN)

 Capítulo 33: Sistema IVS

Adición de rutas estáticas a la tabla de rutas de VLAN

Cuando crea un nuevo puerto de VLAN, el sistema crea dos rutas estáticas de forma
predeterminada:

„ La ruta predeterminada para la VLAN, que apunta a la puerta de enlace

predeterminada.

„ La ruta de interfaz a la red conectada directamente.

Además, puede agregar rutas estáticas a los servidores compartidos en la red

del MSP.

Para agregar rutas estáticas a una tabla de rutas de VLAN:

1. Asegúrese de estar en el contexto raíz. Si el menú desplegable del IVS situado

en la barra de encabezado de la consola de administración muestra algo
distinto de Root, seleccione Root en el menú y haga clic en Go.

2. Seleccione System > Network > VLANs.

3. Haga clic en New Port o seleccione una VLAN existente para la que desee
agregar una ruta estática.

4. En la parte inferior de la página del puerto de VLAN, haga clic en el vínculo

Static Routes.

5. En el menú desplegable, seleccione la VLAN para la que desea crear rutas

estáticas, si todavía no está seleccionada.

6. Haga clic en New Route.

7. En la página New Route, introduzca la dirección IP/red de destino.

8. Introduzca la máscara de red de destino.

9. Introduzca la puerta de enlace de destino.

10. Seleccione la interfaz en el menú desplegable Interface.

11. Introduzca la métrica.

Esta métrica es un número entre 0 y 15, y normalmente representa el número

de saltos que puede dar el tráfico entre los hosts. Puede establecer la métrica de
cada ruta para especificar la prioridad. Mientras menor sea el número, mayor
será la prioridad. Por lo tanto, el dispositivo elige una ruta con una métrica de
1 que otra ruta que tenga una métrica de 2. Un enrutador que utiliza métricas
compara una métrica de ruta dinámica con la métrica de ruta estática y elige la
ruta que tenga la métrica inferior.

Configuración de una red de área local virtual (VLAN) „ 935

 Guía de administración de Secure Access de Juniper Networks

12. Por ejemplo, si desea agregar rutas estáticas a servicios compartidos, debe
llevar a cabo uno de los siguientes pasos:

„ Haga clic en Add to [VLAN] route table, donde [VLAN] es el nombre de una
VLAN disponible, para agregar la ruta a una VLAN seleccionada. Esta acción
agrega la ruta estática a la tabla de rutas de la VLAN de una empresa
suscriptora en particular y excluye el acceso desde todas las demás VLAN,
incluso desde los usuarios de la red del MSP.

„ Haga clic en Add to all VLAN route tables para agregar la ruta a todas las
VLAN definidas en el sistema. Por ejemplo, seleccione esta opción si el
administrador raíz desea compartir algunos servicios entre todos los
usuarios finales de todas las empresas suscriptoras.

NOTA: También puede utilizar rutas estáticas si desea configurar los servicios
compartidos en la red del MSP. Para conseguir esto:

1. Agregue una ruta estática al recurso compartido en su propia tabla de rutas

de VLAN, si el sistema raíz tiene una VLAN, o en la tabla de rutas del IVE
principal, si el sistema raíz utiliza la interfaz interna.

2. Haga clic en Add to all VLAN route tables, que llena todas las tablas de rutas
de VLAN con la ruta estática. Cuando agrega la ruta estática a todas las tablas
de rutas de VLAN, todos los perfiles de IVS pueden obtener acceso a los
servicios compartidos.

Eliminación de una VLAN

No puede eliminar una VLAN que esté asociada con un IVS. Primero, debe eliminar
el IVS o eliminar la relación entre el IVS y el puerto de VLAN.

Para eliminar una VLAN:

1. Seleccione System > Network > VLANs.

2. Seleccione la casilla de verificación situada junto al nombre de la VLAN que

desea eliminar.

3. Haga clic en Delete.

Carga del servidor de certificados

En el sistema raíz, puede cargar certificados utilizando el procedimiento descrito
en “Importación de certificados en el IVE” en la página 751.

Debe asociar los puertos virtuales que definió como puertos de inicio de sesión
para usuarios finales de IVS con el certificado para dispositivos. Puede especificar
puertos virtuales en la página Certificate Details, tal como se describe en
“Asociación de un certificado con un puerto virtual” en la página 757.

936 „ Carga del servidor de certificados

 Capítulo 33: Sistema IVS

En un IVS, sólo puede importar CA de cliente fiable y CA de servidor fiable, tal como
se describe en “Uso de CA de cliente de confianza” en la página 758 y en “Uso de
CA del servidor de confianza” en la página 774.

NOTA: No puede compartir certificados entre los sistemas IVS. Debe tener una IP
y un certificado únicos para cada IVS.

Sólo puede configurar el IVS raíz para volver a firmar los applets/controles del IVE
en la consola de administración. Las consolas de administración para los sistemas
IVS suscriptores no muestran la opción de firma nueva. Debe tomar nota de la
siguiente información:

„ Todos los usuarios finales raíz y suscriptores ven los mismos applets/controles:
o bien todos los controles Juniper predeterminados, o bien todos los controles
firmados por el IVS raíz.

„ Si no desea que los sistemas IVS suscriptores vean los controles firmados por el
certificado del IVS raíz, no debe volver a firmar los controles. Si vuelve a firmar
los controles, los sistemas IVS suscriptores obtienen acceso a ellos.

Creación de un sistema virtual (perfil de IVS)

Después de crear un puerto de VLAN, continúe la tarea de crear el nuevo sistema
virtual (perfil de IVS) para la empresa suscriptora.

Esta sección contiene los siguientes temas:

„ “Definición del perfil de IVS” en la página 937

„ “Configuración inicial de IVS mediante una copia del sistema raíz o de otro IVS”
en la página 940

El perfil de IVS define el IVS suscriptor y todos los elementos necesarios para
alcanzar la intranet del suscriptor, como los ajustes de DNS y los servidores de
autenticación.

Definición del perfil de IVS

Para definir el perfil de IVS:

1. Asegúrese de estar en el contexto raíz. Si el menú desplegable del IVS situado

en la barra de encabezado de la consola de administración muestra algo
distinto de Root, seleccione Root en el menú y haga clic en Go.

2. Seleccione System > Virtual Systems.

3. Haga clic en New Virtual System para mostrar la página IVS - Instant Virtual
System.

4. Introduzca el nombre de la empresa suscriptora.

5. Introduzca una descripción (opcional).

Creación de un sistema virtual (perfil de IVS) „ 937

 Guía de administración de Secure Access de Juniper Networks

6. Seleccione Enabled si todavía no está seleccionado.

NOTA: Si alguna vez necesita prohibir que un suscriptor y los usuarios finales del
suscriptor obtengan acceso al IVS a causa de problemas de facturación u otro tipo
de problemas, inhabilite aquí su cuenta. Al inhabilitar la cuenta, puede resolver
cualquier problema del cliente y luego habilitar el acceso sin tener que eliminar
la cuenta del suscriptor y perder todos los datos de la configuración.

7. En Initial Configuration, seleccione la configuración para inicializar el IVS.

„ Default Configuration: Llena el IVS con valores predeterminados

generados por el sistema.

„ Root: Copia la configuración del sistema raíz al IVS nuevo o a cualquiera

de los IVS existentes en el sistema.

„ IVS name: Copia la configuración del IVS seleccionado al IVS nuevo.

8. En Administrator, cree un nombre de usuario y una contraseña para el

administrador de IVS.

NOTA: El nombre de usuario y la contraseña del administrador de IVS están

disponibles en el perfil de IVS la primera vez que crea el IVS. Si posteriormente
edita el IVS, estos campos no estarán disponibles por motivos de seguridad.
No obstante, si necesita obtener acceso al nombre de usuario y contraseña del
administrador de IVS, puede hacerlo a través de la página de configuración del
IVS, yendo al servidor de autenticación de los administradores.

9. En User Allocation, puede establecer un límite para el número de los usuarios

simultáneos en el IVS. Especifique los valores de límite para estas opciones:

„ Minimum Guaranteed Users: Puede especificar cualquier número de

usuarios entre cero (0) y el número máximo de usuarios simultáneos
definido por la licencia de usuarios del IVE.

„ Burstable Maximum Users (opcional): Puede especificar cualquier número

de usuarios simultáneos desde el número mínimo que especifique hasta el
número máximo de usuarios con licencia. Si se deja en blanco, el valor
Minimum Guaranteed Users establece el límite para el número de
usuarios simultáneos en el IVS.

NOTA: Si posteriormente reduce el ajuste del Burstable Maximum Users, también

debe editar los límites de territorio. Los límites de territorio no se actualizan de
manera automática cuando cambia los ajustes de Burstable Maximum Users.

938 „ Creación de un sistema virtual (perfil de IVS)

 Capítulo 33: Sistema IVS

10. En Properties, especifique las propiedades del inicio de sesión, ajustes de

puerto y VLAN para el IVS.

a. Seleccione una VLAN en la lista Available y haga clic en Add -> para
mover el nombre de la VLAN a la lista Selected VLANs. Puede agregar
varias VLAN a un IVS. Puede seleccionar el puerto interno como una VLAN
incluso si agregó otras VLAN a la lista Selected VLANs. A diferencia de otras
interfaces de VLAN, puede agregar el puerto interno a varios perfiles de
IVS. Si no definió una VLAN, debe seleccionar la interfaz interna.

b. Para especificar la VLAN predeterminada para el IVS, seleccione el nombre

de la VLAN en la lista Selected VLANs y haga clic en Set Default VLAN.
El IVS marca el nombre de la VLAN con un asterisco (*). El IVE virtualizado
utiliza la VLAN predeterminada para proporcionar acceso de servidor de
autenticación. El IVE consulta la tabla de rutas de la VLAN predeterminada
para consultar la ruta a los servidores de autenticación de un IVS
determinado.

Debe especificar una VLAN predeterminada para cada IVS. El significado

de la VLAN predeterminada para un IVS dado es que cuando un usuario
final intenta iniciar sesión en un territorio en particular dentro de ese IVS,
éste envía el tráfico al servidor de autenticación para ese territorio sobre
la interfaz de la VLAN predeterminada.

NOTA: Debe especificar el puerto interno como la VLAN predeterminada para el

IVS raíz.

c. Si desea definir un prefijo de dirección URL de inicio de sesión en el que

los usuarios finales pueden iniciar sesión, en lugar de un puerto virtual,
agregue el prefijo al campo Sign-in URL Prefix. El prefijo es el equivalente
al primer nodo de la dirección URL, por ejemplo, companyA en la siguiente
dirección URL.

http://www.mycompany.com/companyA

Para obtener más información acerca del uso de prefijos, consulte “Inicio
de sesión usando el prefijo de dirección URL de inicio de sesión” en la
página 920.

d. Si definió puertos virtuales para la interfaz interna o la interfaz externa,

puede seleccionarlos en las listas Available y hacer clic en Add -> para
moverlos a las listas Selected Virtual Ports de sus interfaces respectivas.
Para obtener más información acerca de los puertos virtuales, consulte
“Configuración de puertos virtuales” en la página 711.

e. Introduzca la dirección o el rango de direcciones IP disponibles para los

clientes de Network Connect (usuarios finales). Si intenta configurar un
servidor DNS en el IVS, para un servidor situado en la intranet suscriptora,
aquí debe agregar los valores del conjunto de direcciones IP de Network
Connect disponibles. Para obtener más información, consulte
“Especificación de filtros IP” en la página 690.

Creación de un sistema virtual (perfil de IVS) „ 939

 Guía de administración de Secure Access de Juniper Networks

11. Haga clic en Save Changes.

Para obtener más información sobre la manera de iniciar sesión en el IVS como
administrador de IVS, consulte “Inicio de sesión en el IVS directamente como
administrador de IVS” en la página 941.

Configuración inicial de IVS mediante una copia del sistema raíz o de otro IVS
Cuando crea un perfil de IVS nuevo, tiene la opción de copiar la configuración de
un sistema raíz o un IVS existente para “inicializar” el IVS nuevo. El IVS resultante
combina la información que especifica en el perfil de IVS nuevo junto con la
configuración copiada del sistema raíz o del IVS existente. Los ajustes del perfil
de IVS sobrescriben los ajustes copiados.

Tenga en cuenta que la copia es una operación única, y no existe una relación
continuada entre el origen de la copia y el destino de ésta. Los cambios posteriores
de la configuración del origen de la copia no se reflejan en el destino de la copia,
ni viceversa.

Advertencias
Después de realizar una copia de la configuración de un IVS, es necesario realizar
una reconfiguración manual en el destino.

„ Los ajustes de DNS siempre se dejan en blanco, independientemente de si se

copió o no la configuración desde otro IVS.

„ Cuando copie de un IVS existente, debe comprobar todas las referencias

a VLAN y puertos virtuales. Por ejemplo, es posible que necesite actualizar
la asociación de roles a interfaces de VLAN o puertos virtuales.

„ Cuando copia desde un IVS existente, debe comprobar todos los perfiles
de conexión NC y reconfigurarlos, según sea necesario, para satisfacer los
requisitos del rango de IP de NC en el perfil de IVS.

„ Cuando copia de un sistema raíz, debe configurar manualmente las

asignaciones de los roles de administrador y el rol de territorio de
administrador. Estos ajustes no se copian del sistema raíz.

„ Según las restricciones de la licencia del nuevo IVS, es posible restablecer

algunos límites de territorio de usuario y administrador. Compruebe los
territorios de usuario y administrador y configúrelos según sea necesario.

La operación de copia puede producir que se llene el IVS de destino con ajustes
que no sean adecuados. Cuando se configura un IVS copiando la configuración
del sistema raíz o de otro IVS, se copia toda la configuración del origen al destino,
incluidas las ACL, directivas de recursos, perfiles de recursos, archivos PAC y más,
que frecuentemente hacen referencia a los servidores de backend específicos por
nombre, dirección URL o dirección IP. En el caso común, estos recursos suelen ser
específicos de la intranet de la empresa o departamento (es decir, privados para un
IVS en particular) y no se deben exponer a los usuarios finales de otros IVS.

Es responsabilidad del administrador raíz revisar manualmente toda la

configuración del IVS de destino y eliminar las referencias a cualquier recurso
de la red backend y direcciones IP que no se aplican al IVS de destino.

940 „ Creación de un sistema virtual (perfil de IVS)

 Capítulo 33: Sistema IVS

Casos de uso para la configuración inicial de IVS mediante una copia

„ Un IVS se crea a partir de un IVS de “plantilla”

Ejemplo de este caso de uso es el aprovisionamiento de sistemas virtuales.

Es posible que un proveedor de servicios desee proporcionar tres categorías
de suscriptores: Gold, Silver y Bronze. El administrador crea tres IVS (llamados
Gold, Silver y Bronze) y configura de manera manual los servidores de
autenticación, los roles, las directivas de recursos, etc. adecuados a la categoría
del suscriptor. Estos IVS no se utilizan realmente en la producción, sino como
ejemplos de “plantillas” de configuración que se pueden aplicar a IVS de
suscriptores reales. Cuando se proporciona un nuevo IVS de suscriptor,
el administrador “clona” la plantilla copiando la configuración inicial para
el nuevo IVS desde los IVS “plantilla” Gold, Silver o Bronze.

Es responsabilidad del administrador raíz manipular cuidadosamente los IVS

de plantilla para que sólo contengan los ajustes que se deben compartir entre
IVS múltiples, como los servidores de autenticación centralizados, directivas de
Host Checker, etc. Los IVS de plantilla no deben contener referencias a recursos
privados que no se deben exponer ni estar al alcance de los IVS de suscriptores
reales.

„ Una implementación de IVE se convierte en una implementación de IVS.

Este caso de uso es para copiar la configuración desde el sistema raíz. Cuando
una implementación de un IVE independiente existente se convierte en una
implementación de un IVS aplicando una licencia IVS y creando IVS múltiples,
los nuevos IVS pueden configurarse copiando la configuración del sistema raíz
o de otros IVS, siguiendo luego los pasos mencionados en las advertencias
anteriores.

Inicio de sesión en el IVS directamente como administrador de IVS

Iniciar sesión en el IVS directamente como administrador de IVS es diferente
de elegir el IVS desde el menú desplegable del sistema virtual en la consola web
de interfaz del administrador. Si en su función de administrador raíz desea iniciar
sesión de la misma manera en que todos los administradores de IVS deben iniciar
sesión en el IVS, realice los siguientes pasos:

1. Cierre la sesión del IVE raíz.

2. Introduzca la dirección URL de inicio de sesión en la barra de direcciones de

un navegador válido, usando el nombre de host o la dirección IP. Por ejemplo:

https://www.company.com/admin

o bien

https://10.9.0.1/admin

Inicio de sesión en el IVS directamente como administrador de IVS „ 941

 Guía de administración de Secure Access de Juniper Networks

Este ejemplo supone que asignó la dirección IP 10.9.0.1 como un puerto virtual
para el inicio de sesión. El formato depende de si definió o no una entrada
de DNS para el nombre de host de inicio de sesión. Cuando inicie sesión,
el administrador puede introducir el nombre de host o la dirección IP que
definió como el puerto virtual para el inicio de sesión. Si el administrador
inicia sesión desde el interior de la red, debe utilizar la dirección IP que
configuró para iniciar sesión sobre el puerto interno. Si el administrador inicia
sesión desde el exterior de la red, debe utiliza la dirección IP que configuró para
iniciar sesión sobre el puerto externo.

3. Presione Enter.

4. Introduzca el nombre de usuario del administrador de IVS.

5. Introduzca la contraseña de IVS.

6. Haga clic en el botón Sign in.

Suponiendo que las credenciales sean válidas, aparece la página System Status
para el IVS.

Cuando el administrador raíz o el administrador de IVS salga del IVS, el dispositivo

interrumpe la conexión inmediatamente.

Configuración de alias de IP de origen basados en roles

Si la empresa suscriptora emplea cortafuegos/dispositivos de evaluación de
directivas en su red con el fin de separar el tráfico en función de la dirección IP
de origen cuando se entra a la intranet desde el IVS, usted, como administrador
raíz, debe configurar el IVS para que genere tráfico con direcciones IP de origen
distintas. La característica de alias de IP de origen basados en roles, también
conocida como origen de VIP, proporciona la capacidad de asignar funciones de
usuario final a las VLAN y direcciones IP de origen específicas (la dirección IP de
cualquiera de los puertos virtuales alojados en la interfaz de VLAN). Todo el tráfico
que genera el IVS sobre el back-end a nombre de usuario final conlleva la dirección
IP de origen configurada para el rol del usuario final.

Por ejemplo, suponga que el tráfico a una intranet suscriptora en particular necesita
diferenciarse según su origen para clientes, socios o empleados. Existen dos
maneras de conseguir esto:

„ Proporcionar tres VLAN diferentes para el suscriptor, crear tres roles

correspondientes a los clientes, socios y empleados y asignar cada rol
a una VLAN distinta.

„ Proporcionar una VLAN única para el suscriptor, configurar tres puertos

virtuales con direcciones IP únicas y asignar roles de clientes, socios
y empleados a la misma VLAN, pero a distintas direcciones IP de origen.

Esta sección contiene los siguientes temas:

„ “Asociación de roles con VLAN y la dirección IP de origen” en la página 943

„ “Configuración de puertos virtuales para una VLAN” en la página 943

942 „ Configuración de alias de IP de origen basados en roles

 Capítulo 33: Sistema IVS

Asociación de roles con VLAN y la dirección IP de origen

Puede utilizar alias de IP de origen basados en roles haya definido o no una VLAN.
En el caso de una configuración sin VLAN, defina un puerto virtual y luego asigne
ese puerto a la IP de origen de un rol. Para obtener más información, consulte
“Configuración de puertos virtuales” en la página 711.

Cuando utiliza una VLAN, puede establecer la dirección IP de origen de un rol en

la dirección IP del puerto de VLAN o en un alias de IP configurado en un puerto
de VLAN.

Configuración de puertos virtuales para una VLAN

Para configurar puertos virtuales para una VLAN, realice los siguientes pasos:

1. Asegúrese de estar en el contexto raíz. Si el menú desplegable del IVS situado

en la barra de encabezado de la consola de administración muestra algo
distinto de Root, seleccione Root en el menú y haga clic en Go.

2. Seleccione System > Network > VLANs.

3. Haga clic en el nombre de la VLAN a la que desea agregar puertos virtuales.

4. Seleccione la ficha Virtual Ports.

5. Haga clic en New Port.

6. Introduzca un nombre para el nuevo puerto virtual.

7. Introduzca una dirección IP válida.

Si define el puerto para que proporcione capacidades de separación de

subredes y tráfico al suscriptor, necesita obtener la dirección IP desde el
suscriptor. Defina el puerto virtual con la dirección IP que valida el dispositivo
de evaluación de directivas del suscriptor a fin de separar el tráfico a diferentes
ubicaciones en la intranet suscriptora. Puede especificar la IP del puerto virtual
o cualquier IP de una VLAN definida en el IVS.

8. Haga clic en Save Changes.

El IVE virtualizado reinicia varios servicios en el dispositivo.

El administrador de IVS podrá crear usuarios y asignarlos a roles asociados con las
direcciones IP de origen que se definieron.

Asociación de roles con direcciones IP de origen en un IVS

Suponiendo que el administrador raíz ya configuró una VLAN, los puertos virtuales
para la VLAN y el IVS, el administrador de IVS puede asociar roles con los puertos
virtuales de la siguiente manera:

1. Inicie sesión en el IVS como administrador de IVS.

2. Seleccione Users > User Roles.

3. Haga clic en New Role.

Configuración de alias de IP de origen basados en roles „ 943

 Guía de administración de Secure Access de Juniper Networks

4. Asigne un nombre al rol.

5. Seleccione la casilla de verificación Source IP.

6. Seleccione cualquier otra opción y las funciones a las que desea pueda acceder
un usuario con este rol (opcional).

7. Haga clic en Save Changes.

La página se actualiza y ahora aparece un conjunto de fichas.

8. Seleccione la ficha VLAN/Source IP.

9. Seleccione la VLAN, si el administrador raíz definió más de una VLAN para

este IVS.

10. Seleccione la IP de origen en el menú desplegable Select Source IP.

11. Haga clic en Save Changes.

12. Repita el proceso para cada rol nuevo.

Cuando crea nuevos usuarios, el administrador de IVS puede asignar cada usuario
a uno de los roles, lo que determina la dirección IP de origen a la que cada usuario
puede obtener acceso.

Configuración de reglas de enrutamiento de directivas en el IVS

El IVE virtualizado utiliza una estructura de enrutamiento de directivas que depende
de reglas, tablas de rutas y entradas de rutas configuradas en el sistema.

Cuando crea una VLAN, el sistema proporciona una nueva tabla de rutas para esa
VLAN. Existen tablas de rutas de VLAN además de la tabla de rutas principal para
el IVE. Solamente el administrador raíz puede administrar las tablas de rutas de
VLAN. Los administradores de IVS no pueden ver ni obtener acceso a las tablas
de rutas.

Cada tabla de rutas de VLAN contiene las siguientes entradas de rutas:

„ Entradas de rutas creadas automáticamente

„ Entradas de rutas creadas manualmente

Entradas de rutas creadas automáticamente

„ Default route 0.0.0.0. Apunta a la puerta de enlace predeterminada
configurada para la interfaz de VLAN. El IVE crea esta ruta de manera interna
cuando crea la interfaz de VLAN. Los usuarios finales pueden alcanzar la
mayoría de los recursos de su empresa a través de la ruta predeterminada.

„ Interface route. Ruta de red correspondiente a la dirección IP de la interfaz

de VLAN.

944 „ Configuración de reglas de enrutamiento de directivas en el IVS

 Capítulo 33: Sistema IVS

Entradas de rutas creadas manualmente

„ Rutas estáticas a servidores dentro de la misma VLAN a las que se puede
obtener acceso a través de enrutadores distintos a la puerta de enlace
predeterminada.

„ Rutas estáticas a direcciones IP de servidor en otros puertos de VLAN dentro de

la misma intranet de la empresa suscriptora o en puertos de VLAN dentro de la
red de MSP. Por ejemplo, puede definir rutas estáticas en una tabla de rutas de
VLAN a servidores DNS o de autenticación en la intranet de una empresa
suscriptora o en la red de MSP.

„ Rutas estáticas a direcciones IP de servidor a las que se puede obtener acceso

a través de la interfaz interna. Se requieren normalmente si la red de MSP está
conectada a la interfaz interna.

Esta sección contiene los siguientes temas:

„ “Reglas de enrutamiento” en la página 945

„ “Superposición de espacios de dirección IP” en la página 946

„ “Definición de directivas de recursos” en la página 946

Reglas de enrutamiento
Se incorporaron varias reglas en el sistema para habilitar el enrutamiento correcto
del tráfico a las intranets suscriptoras adecuadas. Por ejemplo, existen reglas para
asignar:

„ La dirección del grupo de IP de Network Connect para cada sesión de usuario

final de Network Connect a una tabla de rutas de VLAN correspondiente.

Para crear esta regla, el sistema determina el rol de un usuario final cuando el
usuario establece una sesión de Network Connect. Entonces el sistema puede
buscar el rol para la VLAN asociada.

„ Una dirección IP de origen configurada a una tabla de rutas de VLAN

correspondiente.

El sistema crea esta regla cada vez que se configura un puerto virtual o un alias
de IP de origen en un puerto de VLAN.

NOTA:

„ No existen reglas explícitas que controlen el flujo del tráfico entre las redes
del MSP o del suscriptor y los usuarios finales. El tráfico que llega al IVE sobre
el backend tiene definida una dirección IP de destino en la dirección IP
configurada de una de las interfaces de red, ya sea la interfaz externa,
la interfaz de VLAN o una interfaz del túnel de Network Connect.
Una aplicación del IVE maneja automáticamente el procesamiento.

„ No puede obtener acceso a la tabla de reglas. Esta sección incluye una

descripción de la tabla de reglas y de la manera de crear las reglas,
a fin de ayudarle a comprender el funcionamiento del sistema.

Configuración de reglas de enrutamiento de directivas en el IVS „ 945

 Guía de administración de Secure Access de Juniper Networks

Para obtener detalles acerca del acceso al servidor de autenticación, consulte

“Reglas que rigen el acceso a los servidores de autenticación” en la página 956.

Para ver un ejemplo de la manera en que se puede aplicar el enrutamiento de

directivas, consulte “Caso de uso de la resolución de las reglas del enrutamiento de
directivas para IVS” en la página 964.

Superposición de espacios de dirección IP

El IVE virtualizado admite la superposición de direcciones IP en las intranets
suscriptoras y la superposición de direcciones IP de origen para Network Connect.
En este momento, el IVE virtualizado no admite interfaces de VLAN múltiples con
direcciones IP idénticas.

El IVE admite la superposición de direcciones IP entre las redes de los clientes que
están conectadas a las VLAN en diferentes sistemas IVS, porque los sistemas IVS no
comparten las tablas de rutas.

Suponga que la empresa 1 y la empresa 2 tienen redes internas que utilizan las
direcciones IP 10.64.0.0/16. Como estas direcciones son idénticas para la red
de cada empresa, y como cada empresa tiene un IVS completamente separado,
identificado por un ID de la VLAN único, el MSP puede admitirlas, incluso si,
técnicamente, se superponen.

Definición de directivas de recursos

Tanto el administrador raíz como el administrador de IVS pueden crear directivas
para los usuarios finales. Para obtener más información sobre las directivas de
recursos, consulte “Componentes de las directivas de recursos” en la página 103.

También puede personalizar las directivas que serán visibles a los administradores
de IVS. Sin embargo, debe personalizar cada IVS de manera independiente.
Además, si se encuentra en el contexto de IVS raíz y personaliza la consola de
administración, sólo personaliza la apariencia de la consola para usted u otros
administradores que pueden ver la consola de IVS raíz. Para personalizar cualquier
consola de administración de IVS, se debe encontrar en el contexto del IVS.
Para obtener más información, consulte “Información general de los elementos
personalizables de la consola de administración” en la página 996.

Creación de clústeres en un IVE virtualizado

Puede crear clústeres para todo el IVE, incluidos todos los sistemas IVS. No puede
crear clústeres para un sistema IVS individual. Las reglas y condiciones de clústeres
de una red de IVE estándar también se pueden aplicar a clústeres a una red de IVS,
con las siguientes excepciones:

„ Réplicas de puertos virtuales: Cualquier puerto virtual que defina en el nodo

activo se replica al nodo pasivo. El nombre y dirección del puerto final es el
mismo en los nodos activo y pasivo.

„ IP de origen del puerto virtual: Dado un usuario final que se asigna a un rol
en particular, y una conexión backend desde cualquier nodo a nombre de ese
usuario final, la IP de origen de la conexión backend es la misma que la IP
de origen del puerto virtual configurado para el rol del usuario final.

946 „ Creación de clústeres en un IVE virtualizado

 Capítulo 33: Sistema IVS

„ Réplicas de puertos de VLAN: Cuando crea o elimina un puerto de VLAN en un

nodo de clúster activo, el sistema IVE agrega o elimina de manera automática
el puerto de VLAN en el nodo pasivo.

„ Definición de la VLAN: Para cada puerto de VLAN dado, la ranura,

el nombre lógico, el ID de la VLAN, la máscara de red y la puerta de
enlace predeterminada son los mismos en todos los nodos del clúster.

„ Dirección IP del puerto de VLAN: La dirección IP de cada puerto de VLAN

es específica del nodo. Los puertos de VLAN correspondientes en un clúster
activo/pasivo están configurados en la misma red de IP. Sólo puede configurar
una combinación de máscara de red/dirección IP para un puerto de VLAN en el
nodo inactivo si la red resultante corresponde al puerto de VLAN en el nodo del
clúster activo. Las direcciones IP de las VLAN deben ser únicas. No puede
configurar una VLAN para que tenga la misma red que el puerto interno.
Por ejemplo, si el puerto interno es 10.64.4.30/16 y configura una VLAN como
10.64.3.30/16, pueden producirse errores y comportamientos inesperados.

„ Enrutamiento de directivas: Puede configurar los ajustes de rutas por nodo

y por interfaz, ya sea física o de VLAN; pero cuando se editan, estos ajustes
de rutas se sincronizan en todo el clúster.

„ Perfiles de IVS: Los perfiles de IVS se replican, y no se particionan, en todos los

nodos del clúster.

„ Network Connect: Si implementa el IVE virtualizado como un clúster

activo/pasivo, se propaga el perfil de conexión de Network Connect que
configuró el administrador raíz o el administrador de IVS dentro de cada IVS
al nodo inactivo.

„ Network Connect en clúster activo/activo: En un clúster activo/activo,

el conjunto de direcciones IP de Network Connect para cada IVS se divide
en nodos de clúster individuales a través de los ajustes a nivel de roles.

„ Alias de IP de origen basados en roles: Asociar un rol a un nombre de puerto

virtual abarca todo el clúster, pero la asociación de un nombre de puerto virtual
a una dirección IP es específica para el nodo. De esta forma, diferentes nodos
de clúster pueden emitir tráfico de IP de backend desde diferentes direcciones
IP de origen, incluso si los usuarios finales respectivos se asignan al mismo rol.

„ Comportamiento de conmutación por error: En caso de una conmutación por

error, no desaparece la interfaz de VLAN. Los nodos activos y pasivos deben
contener la interfaz de VLAN.

NOTA: Cuando utiliza Network Connect, siempre debe definir puertos virtuales
para cada puerto de VLAN que cree. Si definió un conjunto de direcciones IP de
Network Connect y se está ejecutando en el modo de clúster activo/pasivo, debe
configurar los enrutadores para que dirijan el tráfico a uno de los puertos virtuales
de la VLAN como la puerta de enlace de salto siguiente. De lo contrario, es posible
que las sesiones de Network Connect no se recuperen correctamente de una
conmutación por error.

Para obtener más información sobre los clústeres, consulte “Creación de clústeres”
en la página 869.

Creación de clústeres en un IVE virtualizado „ 947

 Guía de administración de Secure Access de Juniper Networks

Configuración del DNS para el IVS

Esta sección contiene los siguientes temas:

„ “Acceso a un servidor de DNS en la red del MSP” en la página 948

„ “Acceso a un servidor de DNS en la intranet de una empresa suscriptora” en la

página 948

Acceso a un servidor de DNS en la red del MSP

En el sistema raíz, puede configurar el acceso para que cualquier tráfico destinado a
los recursos de la red del MSP pase a través del servidor de DNS en la red del MSP.

Para acceder a un servidor de DNS en la red del MSP:

1. En la consola de administración, elija System > Network > Overview.

2. En la resolución de nombre del DNS, proporcione la dirección de DNS principal,

la dirección de DNS secundaria y los dominios del DNS.

Cuando agrega las direcciones del DNS, cada una se agrega al archivo
resolv.conf en el IVE, en un directorio de servidor de nombre.

3. Si utiliza WINS, proporcione la dirección del servidor WINS.

4. Haga clic en Save Changes.

5. Siga las instrucciones que aparecen en “Configuración del perfil de conexión de

Network Connect” en la página 950.

Puede proporcionar los servicios de DNS a usuarios que no sean de Network

Connect especificando un servidor DNS/WINS global en la red del MSP. El servidor
DNS/WINS global aloja DNS para todas las empresas suscriptoras involucradas.
Como alternativa, puede configurar un archivo HOSTS en el IVE con entradas de
DNS para todas las empresas suscriptoras involucradas.

Cuando configura un servidor DNS/WINS global de esta manera, proporciona

servicios de DNS a cualquier entidad solicitante, incluidos los usuarios de Network
Connect de las empresas suscriptoras involucradas que no tienen servidores de
DNS en sus intranets.

Acceso a un servidor de DNS en la intranet de una empresa suscriptora

En cada sistema IVS, puede configurar el acceso para que cualquier tráfico
destinado a los recursos en la red del suscriptor de IVS pase a través del servidor
de DNS en la red interna de la empresa.

948 „ Configuración del DNS para el IVS

 Capítulo 33: Sistema IVS

Acceso a un servidor de DNS en una intranet suscriptora

Para acceder a un servidor de DNS en una intranet suscriptora:

1. Si no agregó un conjunto de direcciones IP de Network Connect válido al perfil

de IVS cuando creó el sistema virtual, modifique el perfil de IVS para incluir las
direcciones IP de Network Connect. Para obtener más información, consulte
“Aprovisionamiento de un IVS” en la página 927.

2. En la consola de administración, seleccione el nombre del IVS suscriptor en el

menú desplegable de la barra de encabezado de la consola.

3. Haga clic en Go.

4. En la página de la consola de administración del IVS suscriptor, seleccione

System > Network > Overview.

5. En la resolución de nombre del DNS, proporcione la dirección de DNS principal,

la dirección de DNS secundaria y los dominios del DNS.

6. Si utiliza WINS, proporcione la dirección del servidor WINS.

7. Haga clic en Save Changes.

8. Configure los perfiles de conexión de Network Connect, tal como se describe

en “Configuración del perfil de conexión de Network Connect” en la
página 950.

NOTA: Debe realizar esta tarea para cada IVS.

Configuración de los perfiles de conexión de Network Connect

Para configurar los perfiles de conexión de Network Connect:

1. Seleccione Users > Resource Policies > Network Connect > Network
Connect Connection Profiles.

2. Haga clic en New Profile.

3. Proporcione un nombre para el valor de Connection Profile.

4. En el campo IP Address Pool, introduzca el rango de las direcciones IP

disponibles para el uso de los usuarios de Network Connect.

5. Seleccione cualquier otro ajuste de conexión, o utilice los valores

predeterminados.

6. Elija un rol al cual aplicar los ajustes, si es necesario. De forma predeterminada,

si no elige un rol, la directiva se aplica a todos los roles.

7. Haga clic en Save Changes.

8. Haga clic en la ficha DNS.

Configuración del DNS para el IVS „ 949

 Guía de administración de Secure Access de Juniper Networks

9. Seleccione la casilla de verificación Use Custom Settings.

10. Agregue las direcciones IP del DNS principal, del DNS secundario (opcional),
del nombre de dominio del DNS y del servidor WINS.

11. Seleccione el orden de la búsqueda del DNS. Si introduce ajustes

personalizados para el IVS, el sistema raíz busca de forma predeterminada
primero el servidor DNS suscriptor, luego el servidor DNS del MSP.

12. Haga clic en Save Changes.

Configuración de Network Connect para uso en un IVE virtualizado

Como administrador raíz, debe trabajar en conjunto con el administrador de IVS
para configurar Network Connect a fin de que los usuarios finales puedan enviar
y recibir el tráfico desde la intranet suscriptora.

NOTA: Si desea utilizar Network Connect en el IVS de una empresa suscriptora

(en lugar de hacerlo sólo desde el Network Connect que se ejecuta en la red del
MSP), debe configurar un servidor DNS en el IVS.

Para que los clientes puedan establecer sesiones de Network Connect a un IVS,
es necesario establecer ajustes de DNS para el IVS. De lo contrario, la sesión de
Network Connect no se inicializa correctamente y aparece un mensaje de error.

Configuración del perfil de conexión de Network Connect

Configure el perfil de conexión de Network Connect utilizando las direcciones IP
desde el rango especificado en el conjunto de IP de Network Connect en el perfil
de IVS.

1. Seleccione Users > Resource Policies > Network Connect > Network
Connect Connection Profiles.

2. Haga clic en New Profile.

3. Introduzca las direcciones IP en el cuadro de texto IP Address Pool, una

dirección por línea. El texto de ayuda de la consola de administración muestra
ejemplos de los rangos válidos.

4. Cambie los ajustes de transporte, encriptación y comprensión de los valores

predeterminados, si fuese necesario.

5. Agregue el rol adecuado de la lista Available roles a la lista Selected roles.

6. Haga clic en Save changes.

950 „ Configuración de Network Connect para uso en un IVE virtualizado

 Capítulo 33: Sistema IVS

Configuración de Network Connect en enrutadores backend

Tanto el administrador raíz como el administrador de IVS deben configurar rutas
estáticas en el backend para asegurarse de que se pueden alcanzar todos los
usuarios finales de Network Connect desde la intranet suscriptora y, si fuese
necesario, desde la red del MSP.

Si desea que los usuarios de Network Connect puedan obtener acceso al servidor
DNS de la red del MSP, configure una ruta estática en la tabla de rutas de cada
servidor de aplicaciones o de cada servidor DNS a la dirección del conjunto de IP de
Network Connect del usuario final. Establezca la puerta de enlace de salto siguiente
en la dirección IP de la interfaz interna del sistema raíz. La Figura 60 ilustra esta
operación.

Figura 60: Definición de una ruta estática en servidores de aplicaciones o servidores

DNS de la red del MSP

1. Los usuarios finales inician sesión a través de una conexión a Internet, con una
dirección IP del conjunto de direcciones IP de Network Connect, para alcanzar
el servidor DNS en la red del MSP.

2. El administrador raíz especifica una ruta estática en la tabla de rutas del

servidor DNS para que apunte a una dirección IP del conjunto de direcciones
IP de Network Connect. La empresa suscriptora debe definir el conjunto de
direcciones IP de Network Connect en su intranet.

3. El servidor DNS reside en la red del MSP y sirve a todos los usuarios finales
de todas las empresas suscriptoras.

4. La tabla de rutas del servidor DNS contiene una ruta estática en el conjunto
de direcciones IP de Network Connect y la dirección IP de la puerta de enlace
de salto siguiente.

5. La interfaz interna del dispositivo IVE es la dirección de la puerta de enlace

de salto siguiente del servidor DNS.

6. Los enrutadores CPE de los suscriptores realizan el enrutamiento adecuado

del tráfico a las intranets de las empresas suscriptoras.

Configuración de Network Connect para uso en un IVE virtualizado „ 951

 Guía de administración de Secure Access de Juniper Networks

7. Cada empresa suscriptora que intenta que sus usuarios pasen a través de los
servidores de aplicaciones o servidores DNS del MSP debe definir un conjunto
de direcciones IP de Network Connect correspondiente.

Como aparece en la Figura 61, el administrador de IVS puede configurar el

enrutador CPE del suscriptor con una ruta estática a la dirección IP del usuario final,
teniendo la puerta de enlace de salto siguiente establecida en la dirección IP del
enrutador CE correspondiente en la red del MSP.

NOTA: De manera alternativa, el suscriptor puede configurar una ruta

predeterminada en el enrutador CPE para apuntar al enrutador CE del MSP como
la puerta de enlace de salto siguiente. En este caso, no necesita agregar rutas
estáticas individuales a las direcciones del conjunto de IP de Network Connect.

Figura 61: Ajuste de una ruta estática en una dirección IP de usuario final de Network
Connect en el enrutador CPE

1. Los usuarios finales inician sesión a través de una conexión a Internet con una
dirección IP acordada por el MSP y la empresa suscriptora.

2. Especifique una ruta estática en la tabla de rutas del enrutador CPE de la

empresa suscriptora para que apunte a las direcciones IP de inicio de sesión del
usuario final.

3. También debe especificar la puerta de enlace de salto siguiente en la tabla de

rutas del enrutador CPE.

4. Utilice la dirección IP del enrutador CE del MSP como la IP de salto siguiente

en la tabla de rutas del enrutador CPE.

5. El enrutador CPE reside en la intranet de la empresa suscriptora. Con esta

configuración, cada empresa suscriptora debe especificar la ruta estática a su
propia dirección de inicio de sesión del usuario final y debe especificar la IP del
enrutador CE del MSP como la puerta de enlace de salto siguiente en la tabla de
rutas de CPE.

952 „ Configuración de Network Connect para uso en un IVE virtualizado

 Capítulo 33: Sistema IVS

6. Una vez que el punto terminal de la VLAN del MSP (en este ejemplo, un
enrutador CE) determina la intranet suscriptora prevista, el punto terminal
dirige el tráfico al enrutador CPE adecuado, que envía el tráfico al recurso
correspondiente en la intranet suscriptora.

Como aparece en la Figura 62, puede configurar una ruta estática en el enrutador
CE para que apunte a la dirección IP del usuario final, teniendo la puerta de enlace
de salto siguiente establecida en la dirección IP del puerto de VLAN del suscriptor.

NOTA:

„ De manera alternativa, puede configurar una ruta predeterminada en el

enrutador CE, teniendo la puerta de enlace de salto siguiente establecida en
la dirección IP del puerto de VLAN del suscriptor. En este caso, no necesita
agregar rutas estáticas individuales a las direcciones del conjunto de IP de
Network Connect.

„ También puede asignar una red completa a un conjunto de direcciones IP

de Network Connect.

Figura 62: Ajuste de una ruta estática en una dirección IP de usuario final de Network
Connect en el enrutador CE

1. Los usuarios finales inician sesión a través de una conexión a Internet con una
dirección IP acordada por el MSP y la empresa suscriptora.

2. Especifique una ruta estática en la tabla de rutas del punto terminal de la VLAN
del MSP (en este ejemplo, un enrutador CE) para que apunte a las direcciones
IP de inicio de sesión del usuario final para cada empresa suscriptora.

3. También debe especificar la puerta de enlace de salto siguiente en la tabla

de rutas del enrutador CE.

4. En la tabla de rutas de CE, especifique todas las direcciones IP de inicio de

sesión del usuario final como rutas estáticas, y todas las direcciones IP del
puerto de VLAN correspondientes como se definen en el IVE virtualizado.

Configuración de Network Connect para uso en un IVE virtualizado „ 953

 Guía de administración de Secure Access de Juniper Networks

5. Defina al menos un ID de VLAN único para cada empresa suscriptora. Utilice

las direcciones IP de cada VLAN como las direcciones de la puerta de enlace de
salto siguiente en la tabla de rutas del enrutador CE.

6. Los enrutadores CPE de los suscriptores realizan el enrutamiento adecuado del

tráfico a las intranets de las empresas suscriptoras.

7. Cada empresa suscriptora debe proporcionar páginas de inicio de sesión para

las direcciones IP definidas como rutas estáticas para el inicio de sesión de
cada usuario final.

Una vez que el punto terminal de la VLAN del MSP (en este ejemplo, un enrutador
CE) determina la intranet suscriptora prevista, el punto terminal dirige el tráfico al
enrutador CPE adecuado, que envía el tráfico al recurso adecuado en la intranet
suscriptora.

Configuración de un servidor DHCP centralizado

Puede configurar uno o más servidores DHCP centralizados si desea proporcionar
a los usuarios de IVS de Network Connect direcciones IP dinámicas, sin que sea
necesario que cada suscriptor admita un servidor DHCP específico para el IVS.

El servidor DHCP mantiene conjuntos de direcciones IP por separado para cada

IVS, utilizando la propiedad IVS name que se define en el perfil de IVS, para
identificar únicamente los conjuntos específicos del IVS.

Una vez que reciba una petición de un IVS, el servidor DHCP selecciona una
dirección IP según el nombre del IVS y la dirección IP del nodo desde donde se
origina la petición, que se entrega en el campo giaddr de la petición. Con esta
combinación de puntos de datos, el servidor DHCP selecciona una dirección IP
disponible en el conjunto adecuado y devuelve la dirección en la oferta de DHCP.

Para configurar que el sistema admita un servidor DHCP centralizado

1. Configure la entrada del servidor DHCP en el perfil de conexión de Network

Connect, para cada rol de Network Connect que adquirirá direcciones IP
a través de DHCP.

954 „ Configuración de un servidor DHCP centralizado

 Capítulo 33: Sistema IVS

NOTA: Las siguientes notas se aplican al uso de un servidor DHCP centralizado

en la configuración de un IVS:

„ Puede configurar la misma dirección IP del servidor DHCP para los roles
de Network Connect en varios sistemas IVS.

„ Dentro de un rol de Network Connect, si configura un conjunto de IP NC

y un servidor DHCP para el mismo rol, tiene prioridad el servidor DHCP.

„ La asignación de direcciones IP de DHCP puede coexistir con la asignación

de direcciones IP a través de los conjuntos de IP de NC dentro de un IVS.

„ Puede emplear varios servidores múltiples en la red del proveedor de

servicios, con grupos distintos de sistemas IVS que apunten a distintos
servidores centrales.

2. Configure el servidor DHCP configurando en él clases y subclases para hacer la

distinción entre las peticiones de diferentes sistemas IVS y para proporcionar
direcciones IP desde conjuntos de direcciones IP específicos para el IVS.

Para configurar la entrada del servidor DHCP en el perfil de conexión de Network

Connect

1. En el contexto raíz, seleccione Users > Resource Policies > Network

Connect.

2. Haga clic en la ficha NC Connection Profiles.

3. Haga clic en New Profile.

4. Introduzca un nombre para el perfil.

5. En IP address assignment, seleccione el botón de opción DHCP Server.

6. Introduzca el nombre del servidor DHCP o la dirección IP.

7. En Roles, seleccione los roles aplicables en la lista Available roles y haga clic
en Add para moverlas a la lista Selected roles.

8. Haga clic en Save Changes.

9. Repita el procedimiento para cada IVS que debe utilizar el servidor DHCP,
asegurándose de introducir el mismo nombre del servidor DHCP o la misma
dirección IP que introdujo para el sistema raíz.

Configuración de un servidor DHCP centralizado „ 955

 Guía de administración de Secure Access de Juniper Networks

Configuración de servidores de autenticación

Puede configurar servidores de autenticación, como RADIUS y Active Directory,
en la red del MSP y en las intranets de la empresa suscriptora. El servidor de
autenticación autentica de manera diferente el tráfico entrante, dependiendo de si
el tráfico se autentica cuando entra a la red del MSP o cuando alcanza la intranet del
cliente.

NOTA: Si conecta un servidor de autenticación al puerto interno, debe establecer

la VLAN predeterminada como el puerto interno cuando configura el IVS.

Los siguientes servidores de autenticación se admiten en un IVS suscriptor:

„ Autenticación local

„ Servidor LDAP

„ Servidor RADIUS

„ Active Directory/Windows NT

„ Servidor anónimo

„ Servidor de certificados

Los siguientes servidores de autenticación se admiten en el sistema raíz:

„ Autenticación local

„ Servidor LDAP

„ Servidor NIS

„ Servidor ACE

„ Servidor RADIUS

„ Active Directory/Windows NT

„ Servidor anónimo

„ Servidor SiteMinder

„ Servidor de certificados

Reglas que rigen el acceso a los servidores de autenticación

Las siguientes reglas se aplican al acceso de los servidores de autenticación de la
red del MSP o en la red de la empresa suscriptora. Cada perfil de IVS debe incluir
ajustes para:

„ La VLAN predeterminada, que también puede ser el puerto interno si se

proporcionó como la VLAN predeterminada.

956 „ Configuración de servidores de autenticación

 Capítulo 33: Sistema IVS

„ La IP de la interfaz de VLAN predeterminada es la dirección IP de origen que

se utiliza para ponerse en contacto con el servidor de autenticación.

„ Las rutas estáticas de la VLAN que apuntan a los servidores de autenticación

adecuados, que pueden residir en la red del MSP (con un ID de la VLAN
asignado o sin etiqueta en el puerto interno) o en la red de la empresa
suscriptora.

Configuración de la autenticación en un servidor RADIUS

Debe configurar el servidor RADIUS en cada IVS. Si también tiene un servidor
RADIUS en la red del MSP, todos los servidores RADIUS del IVS pueden apuntar
a la misma dirección IP del RADIUS del MSP.

Para configurar el servidor RADIUS:

1. Seleccione el contexto:

„ Si está en un contexto de IVS y desea definir un servidor RADIUS en la red

del MSP, seleccione Root en el menú desplegable del contexto en la barra
de encabezado de la consola de administración y haga clic en Go.

„ Si está en un contexto raíz y desea definir un servidor RADIUS en una

intranet suscriptora, seleccione el nombre del IVS en el menú desplegable
del contexto en la barra de encabezado de la consola de administración
y haga clic en Go.

2. Consulte las instrucciones que aparecen en “Configuración de una instancia de

servidor de RADIUS” en la página 145.

NOTA: En la versión actual, la autenticación ACE no está disponible para sistemas

UVS individuales. Si desea utilizar la autenticación basada en token del factor
RSA 2, debe utiliza RADIUS desde el IVS para acceder a RSA ACE.

Configuración de la autenticación en Active Directory

Debe configurar el servidor AD/NT en cada IVS. Si también tiene un servidor AD/NT
en la red del MSP, todos los servidores AD/NT del IVS pueden apuntar a la misma
dirección IP del AD/NT del MSP.

Para configurar el servidor Active Directory:

1. Seleccione el contexto:

„ Si está en un contexto de IVS y desea definir un servidor AD/NT en la red

del MSP, seleccione Root en el menú desplegable del contexto en la barra
de encabezado de la consola de administración y haga clic en Go.

„ Si está en un contexto raíz y desea definir un servidor AD/NT en una

intranet suscriptora, seleccione el nombre del IVS en el menú desplegable
del contexto en la barra de encabezado de la consola de administración
y haga clic en Go.

Configuración de servidores de autenticación „ 957

 Guía de administración de Secure Access de Juniper Networks

2. Consulte las instrucciones que aparecen en “Configuración de una instancia de

Active Directory o dominio NT” en la página 120.

Delegación del acceso administrativo a los sistemas IVS

Como administrador raíz, puede delegar el acceso administrativo y las
responsabilidades a sistemas IVS específicos. Se puede delegar acceso de
lectura/escritura o de solo escritura a todos los sistemas IVS o a algunos.

Para delegar el acceso administrativo a los sistemas IVS

1. Seleccione Administrators > Admin Roles > Seleccionar rol donde Seleccionar
rol indica una de los roles de administrador enumerados. Si lo prefiere, también
puede crear un nuevo rol de administrador.

2. Haga clic en la ficha IVS.

3. Si desea que el administrador tenga acceso de lectura/escritura al IVS,

seleccione una de las siguientes opciones:

„ Si desea que el administrador tenga acceso de lectura/escritura a todos los

sistemas IVS, seleccione la casilla de verificación Administrator can
manage ALL IVSs.

„ Si desea limitar el acceso del administrador a sistemas IVS específicos,

seleccione la casilla de verificación Administrator can manage SELECTED
IVSs, luego seleccione los sistemas IVS en la lista Available IVSs y haga clic
en Add para moverlos a la lista Selected IVSs.

4. Si desea que el administrador tenga acceso de sólo lectura al IVS, seleccione

una de las siguientes opciones:

„ Si desea que el administrador tenga acceso de sólo lectura a todos los

sistemas IVS, seleccione la casilla de verificación Administrator can view
(but not modify) ALL IVSs.

„ Si desea limitar el acceso del administrador a sistemas IVS específicos,

seleccione la casilla de verificación Administrator can view (but not
modify) SELECTED IVSs, luego seleccione los sistemas IVS en la lista
Available IVSs y haga clic en Add para moverlos a la lista Selected IVSs.

5. Haga clic en Save Changes.

Al agregar estos derechos de acceso a un rol determinado, puede ejercer diferentes

niveles de control sobre los distintos administradores de MSP.

958 „ Delegación del acceso administrativo a los sistemas IVS

 Capítulo 33: Sistema IVS

Acceso a los instaladores independientes

Es posible que el administrador de IVS necesite obtener acceso a Host Checker,
WSAM u otros instaladores independientes. Para darle a los administradores de
IVS el acceso a los instaladores, que están situados en la página Maintenance >
System > Installers, puede delegarles el acceso a través de la página
Administrators > Admin Roles > Seleccionar rol > IVS. Una vez que haya
delegado el acceso, el administrador de IVS puede ver la página de los instaladores
desde el interior del contexto de la consola de administración.

Para obtener más información acerca de los instaladores, consulte “Descarga de los
instaladores de aplicaciones” en la página 724.

Realización de la exportación y la importación de los archivos

de configuración del IVS
Utilice la característica de importación/exportación binaria del IVE para exportar
e importar los ajustes del usuario y del sistema raíz, y también para exportar
e importar los ajustes y perfiles del IVS suscriptor. Los dos tipos de operaciones
se excluyen mutuamente: si se exportan los ajustes del IVS, el archivo de la
configuración exportada no contiene ajustes del sistema raíz; si se exportan los
ajustes del sistema raíz, el archivo de la configuración exportada no contiene
ajustes del IVS suscriptor.

Realice las operaciones de exportación e importación desde el contexto del sistema

raíz. En la página Maintenance > Import/Export > Import/Export Configuration
y en la página Maintenance > Import/Export > Import/Export Users, puede
encontrar los controles estándar para exportar la configuración del usuario y el
sistema raíz. El administrador de un IVS suscriptor no puede exportar ni importar
datos desde o hacia otro IVS suscriptor. Sólo el administrador raíz puede realizar
estas tareas.

NOTA:

„ Sólo puede importar/exportar todos los sistemas IVS en una sola operación.
No puede importar/exportar la configuración de un sistema IVS individual.

„ También puede utilizar la característica de archivado binario del IVE para

realizar copias de seguridad locales de su sistema IVS. Para obtener más
información, consulte “Archivado de archivos de configuración binarios del
IVE” en la página 782.

Exportación e importación de la configuración del sistema raíz

Para exportar e importar la configuración del sistema raíz, navegue a la página
Maintenance > Import/Export > Import/Export Configuration y consulte las
instrucciones que aparecen en “Importación y exportación de archivos de
configuración del IVE” en la página 787.

Acceso a los instaladores independientes „ 959

 Guía de administración de Secure Access de Juniper Networks

Exportación de las configuraciones del IVS

Para exportar las configuraciones del IVS, realice los siguientes pasos:

1. Seleccione la página Maintenance > Import/Export > Import/Export IVS.

2. Para proteger el archivo de la configuración con una contraseña, introduzca una

contraseña en el cuadro de texto Password for configuration file:.

3. Haga clic en Save Config As.

4. Haga clic en Save.

5. Proporcione un nombre de archivo y una ubicación de destino para el archivo.

6. Haga clic en Save y en Close, si fuese necesario.

El archivo de configuración guardado contiene los siguientes ajustes para todos los
sistemas IVS:

„ Perfiles IVS

„ Ajustes del sistema IVS

„ Ajustes de inicio de sesión de IVS

„ Administradores IVS

„ Usuarios IVS

„ Directivas de recursos IVS

„ Ajustes de mantenimiento de IVS

Importación de configuraciones del IVS

Para importar las configuraciones del IVS, realice los siguientes pasos:

1. Seleccione la página Maintenance > Import/Export > Import/Export IVS.

2. Haga clic en Browse.

3. Busque el archivo, selecciónelo y haga clic en Open.

4. Si protegió con contraseña el archivo de configuración, introduzca la

contraseña en el cuadro de texto Password:.

960 „ Realización de la exportación y la importación de los archivos de configuración del IVS

 Capítulo 33: Sistema IVS

5. Para importar los ajustes de la red al perfil de IVS, como los puertos de VLAN
y los puertos virtuales, seleccione la casilla de verificación Import IVS Profile
Network Settings.

NOTA:

„ La importación de los ajustes de la red tal como se describió anteriormente

sólo funciona si exporta la configuración del sistema y del IVS al mismo
tiempo.

„ No se importan los ajustes de la red en sí, sino sólo las referencias a los ajustes
de la red. Los ajustes de la red se importan/exportan solamente cuando se
importan/exportan los ajustes del sistema raíz.

6. Haga clic en Import Config.

El IVS proporciona un mensaje de confirmación si la importación se realiza de

manera correcta. Seguidamente, el IVS reinicia ciertos servicios, lo que puede tardar
varios minutos.

NOTA:

„ Puede utilizar la característica de importación/exportación de XML para

exportar e importar archivos de configuración basados en XML en el IVS raíz.
No puede utilizar la característica de importación/exportación de XML para los
sistemas IVS suscriptores. En lugar de eso, utilice la importación/exportación
del archivo de configuración binario.

„ Puede utilizar el envío de configuración (Push Config) para copiar la

configuración de un IVS raíz a otro IVS raíz. No es posible utilizar el envío
de configuración para copiar los datos de configuración entre los sistemas
IVS suscriptores o desde un IVS raíz a un IVS suscriptor.

Supervisión de los suscriptores

Los archivos de registro contienen información detallada sobre eventos, acceso
de usuario, acceso de administrador y más. Las entradas del registro especifican
el contexto de cada entrada, ya sea que la entrada fuese provocada por una acción
raíz como por una acción en uno de los sistemas IVS. Las entradas raíz contienen
la palabra Root. Por ejemplo, las siguientes entradas muestran el acceso de dos
administradores, siendo el primero Root y el segundo un administrador llamado
Test:

ADM20716 2005-05-10 10:52:19 - ive - [10.11.254.160]

Root::administrator(administrator Users)[.Administrators] - User Accounts
modified. Added Unspecified Name with username testuser1 to authentication
server System Local.

Supervisión de los suscriptores „ 961

 Guía de administración de Secure Access de Juniper Networks

Info ADM20716 2005-05-10 10:35:26 - ive - [10.11.254.160]

Test::administrator(administrator Users)[.Administrators]!Root - User Accounts
modified. Added IVE Platform Administrator with username omiadmin to
authentication server Administrators.

Suspensión del acceso de un suscriptor al IVS

Para suspender el acceso del suscriptor al IVS:

1. Seleccione System > Virtual Systems.

2. Haga clic en el botón de opción Disabled.

Al realizar este paso, el IVS deja de estar disponible para los usuarios del IVS,
incluido el administrador del IVS. Para proporcionar acceso al IVS, seleccione
el botón de opción Enabled.

Resolución de problemas de las VLAN

Además de las características estándar para la resolución de problemas que ofrece
el IVE, el IVE virtualizado proporciona varias mejoras, específicamente para la
administración de los sistemas IVS. Puede utilizar las siguientes características
de resolución de problemas en el sistema raíz o en cada IVS por separado:

„ Simulación de directivas

„ Seguimiento de las directivas

„ Grabación de sesiones

Funcionalmente, estas utilidades son iguales a las capacidades del IVE estándar.
La diferencia clave tiene que ver con el contexto. Si inicia una de estas tres
utilidades en el contexto del sistema raíz, obtendrá resultados de usuarios,
directivas y sesiones en el sistema raíz o desde la red del MSP. Si inicia las utilidades
en el contexto de un IVS suscriptor, obtendrá resultados de usuarios, directivas
y sesiones en el IVS o en la intranet suscriptora. Para obtener más información
acerca de las sesiones de usuario, el seguimiento de las directivas y el registro
de las sesiones, consulte “Resolución de problemas” en la página 851.

Los comandos TCPDump, Ping, Traceroute, NSLookup y ARP están especialmente

preparados para su uso en sistemas IVE virtualizados. Puede iniciar estos comandos
en los puertos interno y externo, así como en los puertos de VLAN seleccionados,
una buena opción para resolver los problemas del tráfico de una VLAN suscriptora.
La funcionalidad básica de los comandos no cambia, excepto para la capacidad de
especificar un puerto de VLAN.

Realización de TCPDump en una VLAN

1. Si no se encuentra en el contexto del sistema raíz, seleccione Root en el menú
desplegable IVS del encabezado de la consola de administración y haga clic
en Go.

2. Seleccione Maintenance > Troubleshooting > Tools > TCP Dump.

962 „ Resolución de problemas de las VLAN

 Capítulo 33: Sistema IVS

3. Con Internal Port seleccionado, seleccione la VLAN desde el menú desplegable

VLAN Port.

4. Agregue un filtro al cuadro de texto Filter (opcional).

5. Haga clic en Start Sniffing.

6. Para recuperar los resultados, haga clic en Stop Sniffing.

7. Elija el tipo de archivo Dump en el menú desplegable Dump File.

8. Haga clic en Get.

9. Abra el archivo con el editor adecuado.

Para obtener más información acerca del uso de TCP Dump, consulte “Creación de
archivos de volcado TCP” en la página 859.

Uso de comandos en una VLAN (ping, traceroute, NSLookup, ARP)

1. Si no se encuentra en el contexto del sistema raíz, seleccione Root en el menú
desplegable IVS del encabezado de la consola de administración y haga clic
en Go.

2. Seleccione Maintenance > Troubleshooting > Tools > Commands.

3. Seleccione un comando en el menú desplegable Command (comando).

4. Introduzca el servidor de destino.

5. Seleccione la VLAN en el menú desplegable VLAN Port.

6. Introduzca los demás ajustes, según el comando que elija.

7. Haga clic en Aceptar.

Para obtener más información acerca del uso de TCP Dump, consulte “Creación de
archivos de volcado TCP” en la página 859.

Casos de uso del IVS

Los siguientes casos de uso ilustran algunas tareas comunes que posiblemente
desee realizar mientras configura el sistema IVS.

„ “Caso de uso de la resolución de las reglas del enrutamiento de directivas para

IVS” en la página 964

„ “Configuración de un servidor de autenticación global para varios suscriptores”

en la página 970

„ “Configuración de una dirección IP del servidor DNS/WINS por suscriptor” en la

página 970

Casos de uso del IVS „ 963

 Guía de administración de Secure Access de Juniper Networks

„ “Configuración del acceso a las aplicaciones Web y a la navegación Web para

cada suscriptor” en la página 970

„ “Configuración del acceso a la exploración de archivos para cada suscriptor” en

la página 971

„ “Configuración de varias direcciones IP de subred para los usuarios finales

de un suscriptor” en la página 973

„ “Configuración de varios sistemas IVS para permitir el acceso al servidor

compartido” en la página 973.

„ “Configuración de Network Connect para uso en un IVE virtualizado” en la

página 950

Caso de uso de la resolución de las reglas del enrutamiento de directivas para IVS
Este caso de uso ilustra cómo se realiza el enrutamiento de directivas en
una implementación de MSP. La primera parte del caso de uso detalla dos
configuraciones de la empresa suscrita y cómo los usuarios finales obtienen acceso
a sus redes de empresa suscriptora respectiva. La segunda parte del caso de uso
describe lo que pasa cuando crea una VLAN en la red del MSP para proporcionar
servicios compartidos a los usuarios finales de las empresas suscriptoras.

La empresa 1 y la empresa 2 son empresas alojadas en la red del MSP. La Tabla 50

muestra las VLAN, los ID de la VLAN, las interfaces y los roles definidos para cada
empresa. La empresa 1 tiene dos VLAN definidas, una para ventas y la otra para
recursos humanos. Cada empresa tiene un rol asociado definido para cada VLAN.
El administrador raíz crea cada una de las VLAN, a las que asigna una ID de VLAN
exclusiva, y para las que indica un puerto determinado. En este caso, el
administrador raíz creó las cuatro VLAN en la interfaz interna.

Tabla 50: Implementaciones en las redes de empresas suscritas y del MSP

ID de la
VLAN VLAN Interfaz Rol
Empresa 1 Ventas 1 int0.1 VENTAS
RRHH 2 int0.2 RRHH
Empresa 2 Empleado 3 int0.3 EMPLEADO
Socio 4 int0.4 SOCIO

NOTA:

„ Las etiquetas de los puertos han cambiado. El nombre del puerto eth0
(puerto interno) ahora se llama int0 y eth1 (puerto externo) ahora es ext0.

„ Sólo puede ver los nombres de los dispositivos de la tabla de rutas (como
int0.1) en la consola serie. Puede ver la tabla de rutas seleccionando el
elemento de menú 1, luego el elemento de menú 2 en la consola serie.

La Figura 63 ilustra las implementaciones de la empresa suscriptora y del MSP.

964 „ Casos de uso del IVS

 Capítulo 33: Sistema IVS

Figura 63: Implementación de la empresa suscriptora y del MSP

NOTA: Las VLAN del IVS no están vinculadas de manera explícita a las intranets
suscriptoras mediante la configuración en el IVE. La asociación de una VLAN a una
intranet suscriptora se consigue asignando las interfaces de la VLAN a túneles
privados en la intranet suscriptora dentro de la estructura del enrutador CE->CPE.
Para obtener más información, consulte el análisis sobre las rutas estáticas en
“Adición de rutas estáticas a la tabla de rutas de VLAN” en la página 935.

En la Figura 63, los usuarios finales de Network Connect obtienen sus direcciones
IP de origen desde los conjuntos de direcciones IP de Network Connect
configurados que el administrador definió para el IVS. Además, en la figura, los
usuarios que no son de Network Connect aún pueden obtener acceso a territorios
especificados según sus roles y según las direcciones IP de origen (origen de VIP)
basadas en roles que define como puertos virtuales en la VLAN.

La siguiente lista describe cada elemento marcado con una etiqueta numerada en la
Figura 63.

1. Los usuarios finales de Network Connect obtienen direcciones IP desde los

conjuntos de IP de Network Connect. El tráfico desde estos usuarios se enruta
a través de la VLAN suscriptora adecuada, que se define en el puerto interno.

2. Los usuarios finales que no son de Network Connect obtienen direcciones IP

desde los conjuntos de IP virtuales (VIP). El tráfico desde estos usuarios se
origina a través de la VLAN suscriptora adecuada.

Casos de uso del IVS „ 965

 Guía de administración de Secure Access de Juniper Networks

3. En la Figura 63, este cuadro numerado representa un IVS suscriptor,

que contiene dos VLAN definidas en los puertos int0.1 e int0.2.

4. En la Figura 63, este cuadro numerado representa un segundo IVS suscriptor,

que contiene dos VLAN definidas en los puertos int0.3 e int0.4.

5. El suscriptor define un rol para “Ventas” en VLAN1. Los usuarios finales que
inician sesión en la IP 13.10.0.1 a través de Internet son enrutados a la intranet
de la empresa 1, a los recursos de backend adecuados situados en el territorio
de “Ventas” en 10.10.0.0/16. Los usuarios finales que inician sesión en la IP
13.11.0.1 son dirigidos por la VIP hasta la intranet de la empresa 1, también
a los recursos de backend adecuados situados en el territorio de “Ventas” en
10.10.0.0/16.

6. El suscriptor define un rol para “RRHH” en VLAN2. Los usuarios finales que
inician sesión en la IP 13.12.0.1 a través de Internet son enrutados a la intranet
de la empresa 1, a los recursos de backend adecuados situados en el territorio
de “RRHH” en 10.11.0.0/16. Los usuarios finales que inician sesión en la IP
13.13.0.1 son dirigidos por la VIP hasta la intranet de la empresa 1, y también
a los recursos de backend adecuados situados en el territorio de “RRHH” en
10.11.0.0/16.

7. El suscriptor define un rol para “Empleado” en VLAN3. Los usuarios finales que
inician sesión en la IP 14.10.0.1 a través de Internet son enrutados a la intranet
de la empresa 2, a los recursos de backend adecuados situados en el territorio
de “Empleado” en 10.10.0.0/16. Los usuarios finales que inician sesión en la IP
14.11.0.1 son dirigidos por la VIP hasta la intranet de la empresa 2, y también a
los recursos de backend adecuados situados en el territorio de “Empleado” en
10.10.0.0/16.

8. El suscriptor define un rol para “Socio” en VLAN4. Los usuarios finales que
inician sesión en la IP 14.12.0.1 a través de Internet son enrutados a la intranet
de la empresa 2, a los recursos de backend adecuados situados en el territorio
de “Socio” en 10.11.0.0/16. Los usuarios finales que inician sesión en la IP
14.13.0.1 son dirigidos por la VIP hasta la intranet de la empresa 2, y también
a los recursos de backend adecuados situados en el territorio de “Socio” en
10.11.0.0/16.

9. La intranet de la empresa 1 admite dos territorios: “Ventas” en 10.10.0.0/16

y “RRHH” en 10.11.0.0/16. Estos territorios corresponden a los roles definidos
en la VLAN1 y la VLAN2/

10. La intranet de la empresa 2 admite dos territorios: “Empleado” en 10.10.0.0/16

y “Socio” en 10.11.0.0/16.

NOTA: Los territorios son válidos aunque contengan contienen direcciones IP

superpuestas. Como los roles están definidos para VLAN diferentes, los ID de
la VLAN proporcionan la separación que les permite superponerse sin el riesgo
de que se mezcle el tráfico.

966 „ Casos de uso del IVS

 Capítulo 33: Sistema IVS

Las tablas de rutas para cada VLAN aparecen de la siguiente manera:

Tabla 51: Tabla de rutas de la VLAN1

IP de destino Puerta de enlace Puerto de salida

0.0.0.0 Puerta de enlace int0.1
predeterminada en la
VLAN1
10.10.0.0/16 0.0.0.0 int0.1

Tabla 52: Tabla de rutas de la VLAN2

IP de destino Puerta de enlace Puerto de salida

0.0.0.0 Puerta de enlace int0.2
predeterminada en la
VLAN2
10.10.0.0/16 0.0.0.0 int0.2

Tabla 53: Tabla de rutas de la VLAN3

IP de destino Puerta de enlace Puerto de salida

0.0.0.0 Puerta de enlace int0.3
predeterminada en la
VLAN3
10.10.0.0/16 0.0.0.0 int0.3

Tabla 54: Tabla de rutas de la VLAN4

IP de destino Puerta de enlace Puerto de salida

0.0.0.0 Puerta de enlace int0.4
predeterminada en la
VLAN4
10.10.0.0/16 0.0.0.0 int0.4

Ahora plantéese una situación en la que el MSP decide proporcionar servicios

compartidos a los usuarios finales de la empresa 1 y la empresa 2. Suponga que
la red del MSP también está en una VLAN (VLAN5). Si desea proporcionar servicios
en 10.64.0.0/16 a ambas empresas, empresa 1 y empresa 2, y servicios en
10.65.0.0/16 sólo a la empresa 2, puede configurar conjuntos de Network Connect
o puertos virtuales para esas direcciones.

La Figura 64 ilustra esta situación.

NOTA: Algunos detalles de la Figura se eliminaron o se desactivaron para mejorar

la legibilidad de la Figura 64.

Casos de uso del IVS „ 967

 Guía de administración de Secure Access de Juniper Networks

Figura 64: VLAN de MSP que proporciona servicios compartidos

1. Los usuarios de la empresa 1 inician sesión a través de Internet en la red del

MSP y en la VLAN del MSP, la VLAN5 (representada como el número 3 de la
ilustración).

2. Los usuarios de la empresa 2 inician sesión a través de Internet en la red del

MSP y en la VLAN del MSP, la VLAN5 (representada como el número 3 de la
ilustración).

3. La VLAN5 del MSP proporciona acceso a los servicios compartidos en la red

del MSP.

4. Debe definir direcciones IP por separado para los usuarios finales de cada
empresa suscriptora, aunque compartan los servicios del MSP.

968 „ Casos de uso del IVS

 Capítulo 33: Sistema IVS

Una vez que configure rutas para admitir a los usuarios que tienen acceso a los
servicios compartidos de la red del MSP y para admitir a los usuarios que también
tienen acceso a los servicios restringidos de la red del MSP, las tablas de rutas de la
VLAN aparecen de la siguiente manera:

Tabla 55: Tabla de rutas de la VLAN1

IP de destino Puerta de enlace Puerto de salida

0.0.0.0 Puerta de enlace int0.1
predeterminada en la
VLAN1
10.64.0.0 Enrutador en la VLAN5 int0.5

Tabla 56: Tabla de rutas de la VLAN2

IP de destino Puerta de enlace Puerto de salida

0.0.0.0 Puerta de enlace int0.2
predeterminada en la
VLAN2
10.64.0.0 Enrutador en la VLAN5 int0.5

Tabla 57: Tabla de rutas de la VLAN3

IP de destino Puerta de enlace Puerto de salida

0.0.0.0 Puerta de enlace int0.1
predeterminada en la
VLAN3
10.64.0.0 Enrutador en la VLAN5 int0.5
10.65.0.0 Enrutador en la VLAN5 int0.5

Tabla 58: Tabla de rutas de la VLAN4

IP de destino Puerta de enlace Puerto de salida

0.0.0.0 Puerta de enlace int0.2
predeterminada en la
VLAN4
10.64.0.0 Enrutador en la VLAN5 int0.5
10.65.0.0 Enrutador en la VLAN5 int0.5

NOTA: Si la red del MSP está conectada al puerto sin etiqueta (interno) las entradas
de ruta son similares, pero el puerto de salida sólo es int0.

Casos de uso del IVS „ 969

 Guía de administración de Secure Access de Juniper Networks

Configuración de un servidor de autenticación global para varios suscriptores

Si las empresas suscriptoras prefieren arrendar o comprar los servicios de
autenticación de usted, proveedor de servicios, puede configurar en su red
un servidor de autenticación global. En ese caso, debe realizar varias tareas:

1. Configure uno o más servidores de autenticación en su red del MSP.

2. Configure direcciones URL basadas en rutas o puertos virtuales para iniciar

sesión en la red del MSP.

3. Configure sistemas IVS y VLAN para asignarlos a los servidores de

autenticación en la red del MSP.

Para obtener más información, consulte “Configuración de servidores de

autenticación” en la página 956.

Configuración de una dirección IP del servidor DNS/WINS por suscriptor

Si desea configurar una dirección IP de servidor DNS/WINS en particular por
suscriptor, puede hacerlo desde cada IVS.

Para configurar una dirección IP del servidor DNS/WINS:

1. Configure sus sistemas IVS.

2. Seleccione un IVS en el menú desplegable del sistema en el área de encabezado

de la consola de administración y haga clic en Go. Dentro del contexto de IVS,
el color del encabezado cambia y muestra el nombre del suscriptor.

3. Seleccione System > Network > Overview.

4. Introduzca los ajustes de DNS/WINS que corresponden al servidor DNS/WINS

en la intranet suscriptora.

5. Haga clic en Save Changes.

Para obtener más información, consulte “Configuración del DNS para el IVS” en la
página 948. Para ver un ejemplo sobre cómo configurar un servidor DNS/WINS
global, consulte “Configuración de Network Connect para uso en un IVE
virtualizado” en la página 950.

Configuración del acceso a las aplicaciones Web y a la navegación Web para cada
suscriptor
Es posible que el administrador de IVS desee configurar directivas específicas
de la navegación Web para los usuarios finales del IVS.

Para configurar el acceso a la navegación Web, el administrador de IVS debe

configurar las siguientes páginas:

„ Users > User Roles > Nombre de rol > Web

„ Users > Resource Policies > Web

970 „ Casos de uso del IVS

 Capítulo 33: Sistema IVS

Configuración del acceso de la navegación Web

Para configurar el acceso de la navegación Web:

1. Seleccione Users > User Roles > Nombre de rol > Web.

2. Seleccione la ficha Bookmarks.

3. Haga clic en New Bookmark.

4. Suministre los ajustes para configurar el marcador de una dirección URL

web dada.

5. Haga clic en Save Changes o en Save + New si desea agregar marcadores

múltiples.

Los marcadores que define aquí aparecen en la sección de los marcadores

Web de Secure Access a la que obtienen acceso los usuarios finales.

6. Seleccione la ficha Options.

7. Seleccione los privilegios de navegación Web que desea proporcionar a sus

usuarios finales.

8. Elija las demás opciones que desee, incluidos los ajustes del valor de tiempo
de espera para la conexión HTTP.

9. Haga clic en Save Changes.

Configuración de las directivas de acceso de la navegación Web

Para configurar las directivas de acceso de la navegación Web:

1. Seleccione Users > Resource Policies > Web.

2. Suministre los ajustes adecuados en cada una de las fichas.

Para obtener información sobre las directivas de recursos y sobre cómo configurar
las directivas de recursos Web, consulte “Reescritura web” en la página 383
y “Definición de directivas de recursos: Información general” en la página 422.

Configuración del acceso a la exploración de archivos para cada suscriptor

Es posible que el administrador de IVS desee configurar directivas específicas
para el acceso a la exploración de archivos para los usuarios finales del IVS. El
administrador de IVS puede realizar este tipo de operación en función de los roles.

Para configurar la exploración de archivos, el administrador de IVS debe configurar

las siguientes páginas:

„ Users > User Roles > Nombre de rol > General

„ Users > User Roles > Nombre de rol > Files

„ Users > Resource Policies > Files

Casos de uso del IVS „ 971

 Guía de administración de Secure Access de Juniper Networks

Configuración del acceso a la exploración de archivos

Para configurar el acceso a la exploración de archivos:

1. Seleccione Users > User Roles > Nombre de rol > General.

2. En Access Features, seleccione la casilla de verificación Files (para Windows).

3. Haga clic en Save Changes.

4. Seleccione la ficha Files.

5. Seleccione la página Options.

6. Según el tipo de sistema de archivos, seleccione las opciones que se aplican al

acceso del usuario final de IVS.

7. Haga clic en Save Changes.

Configuración de las directivas de acceso al sistema de archivos

Para configurar las directivas de acceso al sistema de archivos:

1. Asegúrese de estar en el contexto de IVS. Si el menú desplegable del IVS situado

en la barra de encabezado de la consola de administración muestra Root,
seleccione el nombre del IVS en el menú y haga clic en Go.

2. Seleccione Users > Resource Policies > Files > Access > Windows.

3. Elija el rol en el menú desplegable Show policies that apply to y haga clic
en Update.

4. Haga clic en New Policy.

5. Proporcione los ajustes adecuados.

6. Haga clic en Save Changes.

7. Seleccione la ficha Credentials.

8. Suministre los ajustes adecuados.

9. Haga clic en Save Changes.

10. Repita estos pasos para cada rol.

11. Seleccione la ficha Encoding para seleccionar la codificación del idioma y haga
clic en Save Changes.

12. Seleccione la ficha Options para establecer las opciones, como la comparación
basada en IP para los recursos de directiva en función del nombre de host
y haga clic en Save Changes.

Para obtener más información sobre las directivas de archivos, consulte “Definición
de directivas de recursos: Recursos de archivos para UNIX/NFS” en la página 485.
Para obtener más información sobre la codificación, consulte “Compatibilidad con
varios idiomas” en la página 1027. Para obtener más información sobre las
opciones de acceso, consulte “Escritura de directivas de recursos para UNIX/NFS”
en la página 487.

972 „ Casos de uso del IVS

 Capítulo 33: Sistema IVS

Configuración de varias direcciones IP de subred para los usuarios finales

de un suscriptor
Suponga que el suscriptor desea crear subredes dentro de la intranet para admitir
la separación del tráfico entre los usuarios finales del suscriptor desde tres
departamentos distintos: Marketing, Finanzas e Ingeniería. Los procedimientos
necesarios para lograr esta tarea se dividen entre los que realiza el administrador
raíz y los que realiza el administrador de IVS.

Tareas realizadas por el administrador raíz

1. Crear una VLAN suscriptora. Consulte “Configuración de una red de área local
virtual (VLAN)” en la página 932.

2. Crear un IVS suscriptor. Consulte “Creación de un sistema virtual (perfil de IVS)”

en la página 937.

3. Crear direcciones URL basadas en rutas en los puertos virtuales para el inicio de
sesión. Consulte“Inicio de sesión usando el prefijo de dirección URL de inicio
de sesión” en la página 920 o “Configuración de un puerto virtual para iniciar
sesión en el puerto interno” en la página 932.

4. Crear puertos virtuales para los alias de IP de origen basados en roles. Consulte
“Configuración de alias de IP de origen basados en roles” en la página 942.

Tareas realizadas por el administrador de IVS

1. Crear usuarios. Crear roles para Marketing, Finanzas e Ingeniería. Consulte
“Configuración de los roles de usuario” en la página 72.

2. Asignar roles a direcciones IP de origen/VLAN. Consulte “Asociación de roles

con direcciones IP de origen en un IVS” en la página 943.

3. Asignar usuarios a los roles. Consulte “Creación de cuentas de usuario en un

servidor local de autenticación” en la página 140.

Configuración de varios sistemas IVS para permitir el acceso al servidor compartido

Puede darse el caso de que decida proporcionar a los usuarios finales de varias
empresas suscriptoras el acceso a un servidor compartido en la red del MSP.
Para obtener más información acerca del acceso a servidores compartidos,
consulte “Configuración de Network Connect para uso en un IVE virtualizado”
en la página 950 y “Caso de uso de la resolución de las reglas del enrutamiento
de directivas para IVS” en la página 964.

Los siguientes pasos describen un caso de uso simple y sus soluciones.

Casos de uso del IVS „ 973

 Guía de administración de Secure Access de Juniper Networks

Solución n.º 1
Para configurar el acceso a un servidor compartido, suponiendo que existen dos
sistemas IVS para dos suscriptores:

1. Agregue el puerto interno a la lista de VLAN seleccionadas del IVS1.

2. Agregue el puerto interno a la lista de VLAN seleccionadas del IVS2. Para

obtener instrucciones sobre cómo agregar puertos al campo de la VLAN
seleccionada del sistema IVS, consulte “Aprovisionamiento de un IVS” en la
página 927.

3. Edite la tabla de rutas del puerto interno y configure una ruta estática que
apunte al servidor compartido, con la interfaz interna como el puerto de salida.

Solución n.º 2
Para configurar el acceso a un servidor compartido, suponiendo que existen dos
sistemas IVS para dos suscriptores:

1. Agregue la VLAN1 a la lista de VLAN seleccionadas del IVS1 y establézcala

como la VLAN predeterminada.

2. Agregue la VLAN2 a la lista de VLAN seleccionadas del IVS2 y establézcala

como la VLAN predeterminada. Para obtener instrucciones sobre cómo agregar
VLAN al campo de la VLAN seleccionada del sistema IVS, consulte
“Aprovisionamiento de un IVS” en la página 927.

3. Edite las tablas de rutas para la VLAN1 y la VLAN2 y configure una ruta estática
en cada una que apunte al servidor compartido, con la interfaz interna como el
puerto de salida.

974 „ Casos de uso del IVS

Capítulo 34
Interoperabilidad de IVE e IDP

Garantizar la seguridad del tráfico de recursos y las aplicaciones de trabajo en

intranet es fundamental para proteger su red frente a intrusiones externas hostiles.
Puede agregar niveles de seguridad de aplicaciones a su red de acceso remoto
mediante la integración de un dispositivo Secure Access de Juniper Networks con
un sensor de detección y prevención de intrusiones (IDP) de Juniper Networks.
El dispositivo IDP puede ofrecer los siguientes tipos de protección en esta solución
(algunas formas de protección dependen de la configuración específica):

El sensor IDP supervisa la red en la cual el sistema IDP está instalado. La tarea
principal del sensor es detectar tráfico de red sospechoso y anómalo según reglas
específicas definidas en las normas IDP.

„ Protege contra los ataques que se producen del usuario a la aplicación

y de la aplicación al usuario (desde un punto final del lado servidor).

„ Detecta y bloquea la mayoría de los gusanos de red basado en las

vulnerabilidades de software.

„ Detecta y bloquea caballos de Troya que no se basan en archivos.

„ Detecta y bloquea efectos de spyware, adware y registradores de pulsaciones

de teclas.

„ Detecta y bloquea muchos tipos de malware.

„ Detecta y bloquea ataques de día cero a través del uso de la detección

de anomalías.

NOTA: Un sensor IDP puede enviar registros solamente a un dispositivo IVE. Sin
embargo, un dispositivo IVE puede recibir registros desde más de un sensor IDP.

No necesita una licencia especial de Juniper Networks para habilitar la interacción

entre el dispositivo IVE y el sensor IDP.

Con la consola de administración de IVE puede configurar y administrar atributos

de interacción entre el dispositivo IVE y un sensor IDP, incluido lo siguiente:

„ Parámetros de configuración globales, como el nombre de host de IDP

o dirección IP, el puerto TCP a través del que el sensor se comunica con el
dispositivo IVE y la contraseña única que el dispositivo IVE y el sensor IDP
utilizan para identificarse entre sí.

„ 975
 Guía de administración de Secure Access de Juniper Networks

„ Cambio dinámico de la configuración de IDP del dispositivo IVE y alerta al

sensor IDP de los cambios en el conjunto de direcciones IP disponibles para
los usuarios remotos.

„ Diversos niveles de advertencias de gravedad de ataques.

El sensor IDP se ubica detrás del IVE en su red interna y supervisa el tráfico que
fluye del IVE a la LAN. Cualquier evento anormal detectado por el sensor IDP se
comunica al IVE, que se configura para tomar medidas apropiadas según el nivel
de gravedad de los eventos informados. El sensor IDP realiza funciones de
generación de informes, además de cualquier creación de registros normal para
la cual esté configurado.

NOTA: Puede utilizar un sensor IDP en un clúster de IVE, si el clúster está

configurado con una dirección IP virtual (VIP).

Licencia: Disponibilidad de IDP

La característica de integración de IDP no está disponible en el SA 700.

Escenarios de implementación
Los dos escenarios de implementación más comunes son los siguientes:

„ Uso del IVE por parte del cliente para acceso empresarial extendido e IDP para
la seguridad de todo el tráfico del perímetro, entre otros, el tráfico desde el IVE.
Este escenario se ilustra en la Figura 65, en la cual el IVE se implementa en la
DMZ o en la LAN y el sensor IDP se implementa en línea detrás del cortafuegos
y delante de la LAN.

Figura 65: Escenario 1 de topología de IVE e IDP

Usuarios móviles Internet IVE Mensaje de ataque IDP LAN

„ En el segundo escenario de implementación, IDP sólo se utiliza para proteger

el tráfico proveniente del IVE, pero que no está en línea con otro tráfico del
perímetro. La Figura 66 ilustra este escenario de implementación.

976 „ Licencia: Disponibilidad de IDP

 Capítulo 34: Interoperabilidad de IVE e IDP

Figura 66: Escenario 2 de topología de IVE e IDP

Usuarios móviles Internet IVE Mensaje de ataque IDP LAN

Configuración del IVE para interactuar con IDP

El sensor IDP es una potente herramienta para contrarrestar a los usuarios
que inician ataques. La integración con el IVE permite configurar respuestas
automáticas, así como también supervisar y administrar usuarios manualmente.

Para configurar el IVE de modo que interactúe con un sensor IDP independiente
asociado, primero debe asegurarse de que el sensor IDP se haya configurado de
acuerdo con las instrucciones descritas en el apéndice “IVE Signaling Setup” de
la Intrusion Detection and Prevention Concepts & Examples Guide.

Una vez que se configura el sensor IDP, puede especificar los eventos que desea
que éste vigile y las acciones que el IVE tomará cuando se detecte y se comunique
un evento específico.

Existen dos ubicaciones en el IVE donde puede especificar las medidas a tomar
como respuesta a usuarios que realizan ataques.

„ Página Sensor Event policies: Defina la directiva en esta página para generar
una respuesta automática ante usuarios que realicen ataques.

„ Página Users: Identifique y ponga en cuarentena o inhabilite manualmente

a usuarios en la página System > Status > Active Users, que muestra a los
usuarios que han realizado ataques. Para obtener más información, consulte
“Identificación y administración manual de usuarios en cuarentena” en la
página 983.

Configuración del IVE para interactuar con IDP „ 977

 Guía de administración de Secure Access de Juniper Networks

Configuración de las conexiones IDP

La ficha Sensors le permite especificar la configuración del sistema que el IVE
utiliza para establecer una conexión a un dispositivo de detección y prevención
de intrusiones (IDP) de Juniper Network.

Use la ficha System > Configuration > Sensors > Sensors para realizar varias
tareas relacionadas con la configuración y administración de la interacción entre
el IVE y un sensor IDP.

Esta sección contiene los siguientes temas:

„ “Creación de una nueva entrada de sensor IDP” en la página 978

„ “Habilitación o inhabilitación de la conexión a un sensor IDP existente” en la

página 979

„ “Eliminación de una entrada del sensor IDP” en la página 979

„ “Reconexión a IDP y actualización del estado de una conexión IDP” en la

página 979

Creación de una nueva entrada de sensor IDP

Puede habilitar y inhabilitar entradas de conexión IDP en el IVE.

Para habilitar o inhabilitar entradas de sensor IDP existentes en el IVE:

1. En la consola de administración, seleccione System > Configuration >

Sensors.

NOTA: Para usar el sensor IDP con el IVE debe habilitar el registro de las directivas
aplicables.

2. Haga clic en New Sensor. La consola de administración muestra la página

New Sensor.

3. En Sensor Properties, especifique la siguiente información:

„ Name: Un nombre que el IVE utilice para identificar la nueva entrada

de conexión.

„ Hostname: El nombre de host o la dirección IP del sensor IDP al cual se

conecta el IVE con el fin de recibir los mensajes de alerta de ataque de
la aplicación y los recursos.

„ Port: El puerto TCP del sensor IDP que el IVE escucha cuando recibe
los mensajes de alerta de ataque de la aplicación y los recursos.

„ One-time password: La contraseña encriptada que el IVE utiliza cuando

realiza el establecimiento de conexión inicial de seguridad de la capa de
transporte (TLS) con el sensor IDP. Debe introducir la contraseña OTP del
IVE como se muestra en la pantalla de resumen de configuración IDP ACM.

NOTA: El nombre de host, puerto TCP y contraseña única deben estar configurados
en el sensor IDP antes de que esta configuración pueda realizarse correctamente.

978 „ Configuración del IVE para interactuar con IDP

 Capítulo 34: Interoperabilidad de IVE e IDP

4. Especifique las direcciones IP que se supervisarán en Monitoring Options

y el nivel de gravedad mínimo que el sensor IDP registrará y enviará al IVE:

a. En el campo Addresses to monitor, especifique las direcciones IP

individuales y los rangos de direcciones que el sensor IDP supervisa para
detectar posibles ataques, una entrada por línea. El sensor IDP comunica
solamente los datos de ataques correspondientes a las direcciones IP que
se especifican.

b. Seleccione una de las opciones disponibles en la lista desplegable Severity

filter. El nivel de gravedad es un número en una escala de 1 a 5, donde 1
es informativa y 5 es crítica.

5. Haga clic en Save Changes.

Habilitación o inhabilitación de la conexión a un sensor IDP existente

Puede habilitar y inhabilitar entradas de conexión IDP en el IVE.

Para habilitar o inhabilitar entradas de sensor IDP existentes en el IVE:

1. En la consola de administración, seleccione System > Configuration >

Sensors.

2. Seleccione la casilla de verificación situada junto a una o más entradas del

sensor IDP que desea habilitar o inhabilitar.

3. Haga clic en Enable o Disable para habilitar o inhabilitar las entradas del
sensor IDP, respectivamente.

Eliminación de una entrada del sensor IDP

Puede eliminar las entradas del sensor IDP que definen una conexión entre el IVE
y un sensor IDP.

Para eliminar una o más entradas del sensor IDP existentes del IVE.

1. En la consola de administración, seleccione System > Configuration >

Sensors.

2. Seleccione la casilla de verificación situada al lado de la entrada o entradas del

sensor IDP que desea eliminar.

3. Haga clic en Delete y luego confirme que desea eliminar la entrada o las
entradas del sensor.

Reconexión a IDP y actualización del estado de una conexión IDP

Cuando se pierde la conexión a un sensor IDP, puede utilizar la consola de
administración del IVE para intentar reestablecer la conexión. También puede
utilizar la consola de administración para actualizar el estado de las conexiones
existentes entre el IVE y el sensor IDP.

Si necesita reestablecer la comunicación con un sensor IDP, debe generar una

nueva contraseña única, tal como se describe en “Creación de una nueva entrada
de sensor IDP” en la página 978.

Configuración del IVE para interactuar con IDP „ 979

 Guía de administración de Secure Access de Juniper Networks

Para volver a conectar un sensor IDP asociado:

1. En la consola de administración, seleccione System > Configuration >

Sensors.

2. Seleccione la casilla de verificación situada al lado del sensor IDP que desea
volver a conectar.

3. Haga clic en Reconnect.

La consola de administración muestra un mensaje que le comunica que el IVE

actualmente intenta reestablecer la conexión con el sensor IDP especificado.
Esta página se actualiza automáticamente cada segundo durante el proceso
de reconexión. De lo contrario, la página de estado de conexión se actualiza
automáticamente cada 30 segundos.

Para actualizar y mostrar el estado de conexión del sensor IDP especificado:

1. En la consola de administración, seleccione System > Configuration >

Sensors.

2. Seleccione la casilla de verificación situada junto a una o más entradas del

sensor IDP para el cual desea mostrar el estado de conexión.

3. Haga clic en Refresh.

Interacción entre el IVE y el sensor IDP

El IVE lee la información de ataque a medida que el sensor IDP la envía. Después
de recibir un bloque de información de ataque del sensor IDP, el IVE envía un acuse
de recibo simple al sensor que indica la recepción de la información.

El IVE recibe las direcciones IP de origen y de destino y los números de puerto

del host que ataca y el recurso contra el cual se lanzó el ataque, junto con el
identificador del ataque, su gravedad y la hora a la que se realizó.

El IVE incorpora y muestra la información de ataque recibida desde el sensor IDP

en la página System > Status > Active Users. A partir de la dirección IP y en el
número de puerto de los atacantes, el IVE identificará de forma inequívoca la sesión
de usuario.

Puede elegir acciones automáticas o manuales para los ataques detectados por
el sensor IDP. Para una acción manual, consulte la información disponible en
la página Active Users y decida la acción a seguir. Para una acción automática,
configure la acción anticipadamente cuando defina sus directivas de IDP.

Cuando sepa que un usuario activo inició un ataque, puede desactivar la cuenta
del usuario y terminar la sesión de usuario o actualizarlo a un rol diferente.

El IVE muestra un mensaje de error al usuario cuya cuenta ha sido desactivada

e indica el motivo.

980 „ Configuración del IVE para interactuar con IDP

 Capítulo 34: Interoperabilidad de IVE e IDP

Definición de directivas de eventos de sensor de respuesta automática

Use la ficha System > Configuration > Sensors > Sensor Event Policies para
especificar una o más reglas que especifiquen las medidas que el IVE tomará
cuando reciba mensajes de alerta de ataque de un sensor IDP.

Para crear una nueva regla IDP:

1. En la consola de administración, elija System > Configuration > Sensors >

Sensor Event Policies.

2. En la página Sensor Event Policies, haga clic en New Rules.

3. En la página Juniper IDP Rule, en la sección Rule: On Receiving...:

„ Seleccione un evento existente de la lista desplegable Event.

„ Haga clic en Events para editar un evento existente o crear un nuevo tipo
de evento y agregarlo a las opciones en la lista desplegable Events:

i. Especifique un nombre para el evento.

ii. Llene el campo Expressions ingresando las expresiones de forma

manual o seleccionando una o más cláusulas del Expressions
Dictionary y haciendo clic en Insert Expression.

Por ejemplo, para buscar todos los ataques de nivel de gravedad

crítico/mayor, introduzca la siguiente expresión:

idp.severity >= 4

Para buscar todos los ataques de nivel de gravedad crítico o mayor para
el tráfico HTTP, introduzca la siguiente expresión:

idp.severity >= 4 AND idp.attackStr = “*HTTP*”

Para obtener más información sobre creación de directivas de IDP,

consulte:

Juniper Networks TechNote IDP Policy Building Primer,

número de pieza 552035-001, disponible en
http://www.juniper.net/solutions/literature/tech_note/552035.pdf.

iii. Cuando termine de introducir las expresiones que desea aplicar en este
evento, haga clic en Add Expression.

iv. Haga clic en Close.

4. En la sección Count this many times, especifique un número entre 1 y 256

para determinar la cantidad de veces que debe producirse un evento antes
de que se tome una medida.

Configuración del IVE para interactuar con IDP „ 981

 Guía de administración de Secure Access de Juniper Networks

5. En la sección ...then perform this action, especifique una de las siguientes

acciones:

„ Ignore (sólo registrar el evento): Especifica que el IVE debe registrar el

evento, pero no realizar ninguna acción contra el perfil de usuario para
el que se aplica esta regla. Esta opción es apropiada para los mensajes
de alerta de ataque “informativos” y sin gran importancia provenientes
del sensor IDP.

„ Terminate User Session: Especifica que el IVE debe inmediatamente

terminar la sesión de usuario y solicitar al usuario que vuelva a iniciar
sesión en el IVE.

„ Disable user account: Especifica que el IVE debe inhabilitar el perfil de

usuario asociado a este mensaje de alerta de ataque, lo que hace que el
cliente no pueda iniciar sesión en el IVE hasta que el administrador vuelva
a activar la cuenta de usuario. (Esta opción sólo se aplica para usuarios que
tienen una cuenta de usuario de IVE local.)

„ Replace user’s role with this one: Especifica que el rol aplicado a este
perfil de usuario debe cambiar al rol seleccionado en la lista desplegable
asociada. Este nuevo rol permanece asignado al perfil de usuario hasta
que finaliza la sesión y permite asignar un usuario a un rol controlado
específico de su elección, basándose en eventos IDP específicos. Por
ejemplo, si el usuario realiza ataques, se podría asignar al usuario un rol
restringido, que limite su acceso y sus actividades.

„ Elija make this role assignment:

‰ Permanent: El usuario permanece en un estado de cuarentena en sus

siguientes inicios de sesión hasta que el administrador lo saque de
ese estado.

‰ For this session only: Predeterminado. El usuario puede iniciar otra

sesión.

6. En la sección Roles, especifique:

„ Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

„ Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.

„ Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles
de la lista Selected roles. Asegúrese de agregar roles a esta lista desde la
lista Available roles.

7. Haga clic en Save Changes.

982 „ Configuración del IVE para interactuar con IDP

 Capítulo 34: Interoperabilidad de IVE e IDP

Identificación y administración manual de usuarios en cuarentena

Cuando el IVE coloca en cuarentena a un usuario basándose en un ataque,
se pueden mostrar y administrar los estados ubicando el vínculo del usuario
en la página System > Status > Active Users.

Puede identificar a usuarios en cuarentena según varios elementos.

„ Un pequeño icono de advertencia que aparece delante del nombre de usuario.

„ El nombre de usuario con hipervínculo.

„ Un botón de radio Quarantined activado en la página del usuario en cuestión.

Si el usuario no está en cuarentena, el botón de radio está desactivado.

Para administrar usuarios en cuarentena:

1. Identifique a los usuarios en cuarentena en System > Status > Active Users.

2. Busque el usuario en cuarentena y haga clic en el vínculo del nombre

de usuario. Se abrirá la página del usuario y mostrará varias opciones.

3. Haga clic en Disabled para no permitir que un usuario se autentique.

4. Haga clic en Quarantined para dejar a un usuario en un estado de cuarentena.

La opción Quarantined sólo se activa si el usuario ya está en cuarentena.

NOTA: El IVE asigna los usuarios en cuarentena al rol en cuarentena, sin importar
el territorio de su inicio de sesión.

5. Haga clic en Save Changes.

6. Para volver a habilitar a los usuarios previamente puestos en cuarentena

o inhabilitados, seleccione Authentication > Auth. Servers > Seleccione
servidor > Users y haga clic en el vínculo del usuario.

NOTA: También puede inhabilitar usuarios desde esta ubicación.

7. Haga clic en Enabled para sacar a un usuario de la cuarentena.

8. Haga clic en Save Changes.

Si desea aislar usuarios automáticamente, siga los pasos que se describen en

“Definición de directivas de eventos de sensor de respuesta automática” en la
página 981.

NOTA: Todos los eventos de sensor se registran en System > Log/Monitoring >
Sensors > Log. Para obtener más información, consulte “Registro y supervisión”
en la página 823.

Configuración del IVE para interactuar con IDP „ 983

 Guía de administración de Secure Access de Juniper Networks

984 „ Configuración del IVE para interactuar con IDP

Parte 6
Servicios de sistema

Esta sección contiene la siguiente información acerca de los servicios del

sistema IVE:

„ “IVE Consola serie” en la página 987

„ “UI personalizables para el administrador y el usuario final” en la página 995

„ “Secure Access 6000” en la página 999

„ “Secure Access FIPS” en la página 1011

„ “Compresión” en la página 1023

„ “Compatibilidad con varios idiomas” en la página 1027

„ “Dispositivos de mano y PDA” en la página 1031

„ 985
 Guía de administración de Secure Access de Juniper Networks

986 „
Capítulo 35
IVE Consola serie

La consola serie proporciona un conjunto definido de potentes funciones que

permiten administrar el IVE, y se encuentra disponible a través de la ventana
de comandos del sistema operativo. En esta sección se describen las tareas de
la consola serie, tales como:

„ “Licencia: Disponibilidad de la consola serie” en la página 987

„ “Conexión a la consola serie de un dispositivo IVE” en la página 987

„ “Retroactivación a un estado anterior del sistema” en la página 988

„ “Restablecimiento de un dispositivo IVE con la configuración de fábrica”

en la página 990

„ “Tareas comunes de recuperación” en la página 993

NOTA: Para obtener información sobre cómo crear tarjetas de administrador

Secure Access FIPS, consulte “Secure Access FIPS” en la página 1011.

Licencia: Disponibilidad de la consola serie

Las capacidades de la consola serie están disponibles en todos los productos Secure
Access; no es necesaria una licencia especial para usarlas.

Conexión a la consola serie de un dispositivo IVE

Antes de realizar una tarea a través de la consola serie de un dispositivo IVE debe
conectarse a la consola mediante una consola terminal o un equipo portátil.

Licencia: Disponibilidad de la consola serie „ 987

 Guía de administración de Secure Access de Juniper Networks

Para conectarse a la consola serie de un dispositivo IVE:

1. Enchufe un cable cruzado de módem nulo desde un terminal de consola

o equipo portátil al dispositivo IVE. Este cable viene incluido en el embalaje
del producto. No utilice un cable serie recto.

2. Configure una utilidad de emulación de terminal, como HyperTerminal,

para que utilice estos parámetros de conexión serial:

„ 9600 bits por segundo

„ 8 bits sin paridad (8N1)

„ 1 bit de parada

„ Sin control de flujo

3. Presione Enter hasta que la consola serie IVE aparezca.

NOTA: Si está ejecutando una máquina Secure Access FIPS y se conectará con
la consola serie por primera vez, deberá cambiar el conmutador de modo del
módulo criptográfico a I (modo de inicialización).

Figura 67: Consola serie del IVE

Retroactivación a un estado anterior del sistema

El dispositivo IVE guarda la información actual de configuración del sistema
y la que corresponde al estado anterior.

NOTA: También puede retroactivar a un estado anterior del sistema a través de la

consola de administración, como se describe en “Instalación de un paquete de
actualización de software de Juniper” en la página 739.

988 „ Retroactivación a un estado anterior del sistema

 Capítulo 35: IVE Consola serie

Retroactivación a un estado anterior del sistema a través de la consola

de administración
Si actualiza el paquete del servidor y decide que desea volver al estado anterior
del equipo, recomendamos que siga los siguientes pasos desde la consola de
administración:

1. Localice los archivos de configuración de sistema y usuario exportados

previamente que contienen los datos del estado al que desea volver. (Para
ejecutar este paso es necesario que haya respaldado su sistema y datos de
usuario mediante la exportación de archivos desde el menú Maintenance >
Import/Export de la consola de administración.)

2. Descargue el paquete de servicio IVE OS deseado desde Juniper Networks

Support Customer Support Center.

3. Importe el paquete de servicio IVE OS escogido a través del menú

Maintenance > System > Upgrade/Downgrade de la consola de
administración.

4. Importe los archivos de configuración de sistema y usuario que localizó al inicio

de esta sección.

Retroactivación a un estado anterior del sistema a través de la consola serie

Si no puede acceder a la consola de administración, conéctese a la consola serie
para realizar la retroactivación del sistema a un estado anterior.

NOTA: Si no ha realizado una actualización del paquete de servicio IVE OS,

no habrá un estado anterior que retroactivar y esta opción no estará disponible.
Si ha realizado alguna actualización del paquete de servicio IVE OS, todos los
datos de configuración de sistema y de usuario creados después de la
actualización se perderán a menos que exporte los archivos de configuración
más recientes antes de retroactivar el sistema y los importe después de la
retroactivación.

NOTA: Si está ejecutando una máquina Secure Access FIPS y desea retroactivar un
entorno de seguridad anterior, consulte las instrucciones en “Recuperación de un
entorno de seguridad archivado” en la página 1020.

Para retroactivar el paquete de servicio IVE OS anterior:

1. Conéctese a la consola serie del equipo IVE. Para obtener instrucciones,

consulte “Conexión a la consola serie de un dispositivo IVE” en la página 987.

2. Inicie sesión en la consola de administración dentro de una ventana

del explorador.

3. Seleccione Maintenance > System > Platform.

4. Haga clic en Reboot Now, y luego regrese a la ventana de la consola. En la

ventana aparece un mensaje que indica que el sistema se está reiniciando.

Retroactivación a un estado anterior del sistema „ 989

 Guía de administración de Secure Access de Juniper Networks

5. Después de algunos momentos, se le pedirá que presione la tecla Tab para

ver opciones. Presione la tecla Tab, y cuando se le solicite la configuración
que desea cargar, escriba rollback y presione la tecla Enter.

Figura 68: IVE Consola serie del IVE

Después de hacer clic en Reboot Now en la página Maintenance > System >
Platform, la pantalla muestra el estado de retroactivación del servidor y, una vez
concluida, se le pedirá que presione la tecla Return (Enter) para modificar la
configuración de sistema, tras lo cual volverá a las opciones iniciales de
configuración. Cuando termine de introducir los datos, simplemente cierre
la ventana de la utilidad.

NOTA: Si espera más de 5 segundos para introducir su opción, se cargará

automáticamente la configuración actual del sistema. Si desea iniciar nuevamente
el proceso, tendrá que regresar a la consola de administración y hacer clic en
Reboot Now. Después de realizar una retroactivación de sistema, la opción de
retroactivación no estará disponible hasta que vuelva a actualizar el paquete de
servicio IVE OS.

Restablecimiento de un dispositivo IVE con la configuración

de fábrica
En casos excepcionales, es posible que necesite restablecer el dispositivo IVE a la
configuración original de fábrica. Antes de llevar a cabo esta opción avanzada de
recuperación de sistema, contáctese con Juniper (http://www.juniper.net/support/).
Dentro de lo posible, exporte los datos de configuración de sistema y de usuario
más recientes antes de realizar un restablecimiento de fábrica.

Para realizar un restablecimiento de fábrica:

1. Conéctese a la consola serie. Para obtener instrucciones, consulte “Conexión

a la consola serie de un dispositivo IVE” en la página 987.

2. Inicie sesión en la consola de administración dentro de una ventana del

explorador.

3. Seleccione Maintenance > System > Platform.

990 „ Restablecimiento de un dispositivo IVE con la configuración de fábrica

 Capítulo 35: IVE Consola serie

4. Haga clic en Reboot, y luego regrese a la ventana de la consola. En la ventana

aparece un mensaje que indica que el sistema se está reiniciando.

5. Después de algunos momentos, se le pedirá que presione la tecla Tab para

ver opciones. Presione la tecla Tab, y cuando se le solicite la configuración
que desea cargar, escriba factory-reset y presione la tecla Enter.

Figura 69: Consola serie IVE tras hacer clic en Reboot IVE, en la página
Maintenance > System > Platform

NOTA: Si espera más de 5 segundos para introducir su opción, se cargará

automáticamente la configuración actual del sistema. Si desea iniciar nuevamente
el proceso, tendrá que regresar a la consola de administración y hacer clic en
Reboot Now.

6. Cuando se le solicite confirmación para realizar un restablecimiento de fábrica,

escriba proceed y luego presione Enter.

Figura 70: Consola serie IVE tras escoger la opción de restablecimiento de fábrica.

El sistema comienza el proceso de restablecer el equipo a su configuración

original y muestra varias pantallas de datos. Después de varios minutos, se le
pedirá que presione la tecla Tab para elegir las opciones de configuración.

Restablecimiento de un dispositivo IVE con la configuración de fábrica „ 991

 Guía de administración de Secure Access de Juniper Networks

Figura 71: Consola serie IVE después de realizar un restablecimiento de fábrica.

7. Cuando se le solicite presionar la tecla Tab:

„ Espere que se inicie automáticamente la selección predeterminada

(current), o

„ Presione Tab, escriba current, y luego presione Enter.

Luego se le solicitará que introduzca los ajustes de configuración iniciales del

equipo. Para obtener más información sobre cómo continuar, consulte Quick
Start Guide en Juniper Networks Customer Support Center.

Una vez finalizado el proceso de inicialización, puede actualizar con el paquete

de servicio IVE OS más reciente e importar los archivos guardados de
configuración de sistema y de usuario que le permitan volver al estado de
funcionamiento más reciente del equipo.

NOTA: Durante la configuración inicial o un restablecimiento de fábrica, es posible

que reciba errores de IVE. Antes de iniciar los servicios, el IVE supervisa el puerto
de red durante un máximo de 120 segundos. IVE verifica el estado de la conexión
y realiza un ARPing en la puerta de enlace predeterminada. Si existe algún
problema, IVE mostrará después de 5 segundos un mensaje en la consola serie
que comienza con NIC:...... Si la conexión se recupera dentro de 120 segundos,
el proceso de inicio continuará. Si la conexión no se recupera, aparecerá el
siguiente mensaje:

Internal NIC: ................[Down code=0x1]

Pueden aparecer dos códigos:

„ 0x1 significa que la NIC comunica que la interfaz está apagada (por ejemplo,
debido a un cable desconectado o a que un cable se encuentra en el puerto
equivocado).

„ 0x2 significa que la puerta de enlace es inaccesible. IVE se inicia pero no es

accesible desde las direcciones IP asociadas a ese puerto de red.

992 „ Restablecimiento de un dispositivo IVE con la configuración de fábrica

 Capítulo 35: IVE Consola serie

Tareas comunes de recuperación

Si olvida su nombre de usuario o contraseña para IVE, el equipo se desconecta
debido a errores de configuración, o la dirección IP del dispositivo IVE cambia y ya
no puede localizar el equipo, puede modificar la configuración del equipo mediante
la consola serie. Siga las instrucciones de “Conexión a la consola serie de un
dispositivo IVE” en la página 987 y escoja la tarea de configuración apropiada.

„ Network Settings and Tools: Permite cambiar las configuraciones estándar de

red, imprimir una tabla de enrutamiento, imprimir o eliminar una caché ARP,
ejecutar el comando ping hacia otro servidor, hacer seguimiento de la ruta a un
servidor, eliminar rutas estáticas y agregar una entrada ARP.

„ Create admin username and password: Permite crear una nueva cuenta de
superadministrador.

„ Display log: Permite mostrar la configuración del sistema, registros de usuario

o registros de acceso de administrador a través de la consola serie. Tenga en
cuenta que debe pulsar la tecla “q” para volver a las opciones de la consola
serie después de ver los registros.

„ System Operations: Permite reiniciar, apagar, reanudar, retroactivar

o restablecer la configuración de fábrica del dispositivo IVE sin usar la consola
de administración.

„ Toggle password protection for the console: Permite proteger la consola

serie mediante contraseña. Al poner esta opción en “on”, sólo los
superadministradores pueden tener acceso.

„ Create a Super Admin session: Permite crear una sesión de recuperación para
la consola de administración, incluso si ha configurado el dispositivo IVE para
bloquear el acceso a todos los administradores. Al seleccionar esta opción,
el dispositivo genera un token temporal válido durante 3 minutos. Introduzca
la siguiente URL en una ventana del navegador:

https://<ive-host>/dana-na/auth/recover.cgi

Luego, para iniciar sesión en la consola de administración, introduzca el token

temporal cuando se le solicite.

NOTA: Al escoger esta opción, el dispositivo IVE bloquea el acceso a la consola de

todos los demás administradores hasta que inicie sesión con su token en la URL
indicada. El dispositivo bloquea los intentos de inicio de sesión adicionales,
de modo que usted pueda corregir los problemas de configuración que IVE
haya encontrado, sin que se produzcan conflictos con otras sesiones.

Tareas comunes de recuperación „ 993

 Guía de administración de Secure Access de Juniper Networks

„ System Snapshot: Permite tomar una instantánea del sistema sin usar la
consola de administración. Al escoger esta opción, IVE toma la instantánea
inmediatamente. Puede enviar el archivo de la instantánea mediante SCP
a un sistema remoto. El sistema solicita el puerto del servidor de destino,
ID de usuario, contraseña y la ruta de destino hacia el directorio remoto.

NOTA: Si escoge no enviar el archivo de la instantánea a un sistema remoto, el IVE

guarda el archivo localmente. La próxima vez que inicie sesión en la consola de
administración, la ficha System Snapshot mostrará un vínculo al archivo de la
instantánea. Para obtener más información sobre cómo tomar una instantánea
desde la consola de administración, consulte “Creación de imágenes instantáneas
del estado del sistema IVE” en la página 857.

„ Replace Administrator Card Set (Secure Access FIPS only): Permite crear
tarjetas de administrador adicionales para un entorno de seguridad. Para
obtener información detallada, consulte la siguiente sección.

NOTA: Si está ejecutando un sistema Secure Access FIPS y presiona el conmutador

de borrado en el módulo criptográfico, ajuste el conmutador de modo del módulo
criptográfico en O (modo de funcionamiento) y reinicie el sistema. Para la
recuperación, no es necesario que acceda a la consola serie.

994 „ Tareas comunes de recuperación

Capítulo 36
UI personalizables para el administrador
y el usuario final

El IVE permite personalizar una variedad de elementos en la consola de

administración y en la interfaz de usuario final. Esta sección contiene la siguiente
información sobre los elementos que se pueden personalizar y dónde encontrar las
opciones de configuración correspondientes.

„ “Licencia: Disponibilidad de UI personalizables” en la página 995

„ “Información general de los elementos personalizables de la consola de

administración” en la página 996

„ “Información general de los elementos configurables de la interfaz de usuario

final” en la página 997

Licencia: Disponibilidad de UI personalizables

Todos los dispositivos Secure Access permiten personalizar partes de las consolas
de administración y del usuario final. Sin embargo, tenga en cuenta que las
características de UI personalizables no están disponibles en el dispositivo SA 700.

„ Páginas de inicio de sesión personalizadas que se cargan en el IVE

„ Gráficos personalizables que muestran las estadísticas de uso del sistema

Licencia: Disponibilidad de UI personalizables „ 995

 Guía de administración de Secure Access de Juniper Networks

Información general de los elementos personalizables de la consola

de administración
El IVE permite personalizar la apariencia y aspecto de los siguientes elementos
de la interfaz de usuario en la consola de administración:

„ Páginas de inicio de sesión (predeterminadas y personalizadas): Puede

personalizar la página que los administradores verán al iniciar sesión en la
consola de administración usando los ajustes de la página Authentication >
Signing In > Sign-in Pages. Con los ajustes de esta página, puede crear
mensajes de bienvenida, mensajes de cierre de sesión y otras instrucciones;
controlar los encabezados de página; personalizar los mensajes de error
seleccionados; y crear un vínculo a una página de ayuda personalizada dentro
de la página de inicio de sesión del IVE predeterminada. Para obtener
instrucciones, consulte “Configuración de las páginas de inicio de sesión
estándares” en la página 221. O bien, puede cargar su propia página de inicio
de sesión personalizada en el IVE. Para obtener más información, consulte
Custom Sign-In Pages Solution Guide.

„ Apariencia y aspecto de las UI: Puede personalizar el encabezado, el color de

fondo y el logotipo que aparecen en la consola de administración usando los
ajustes de la página Administrators > Admin Roles > Seleccionar rol >
General > UI Options. También puede usar los ajustes de esta página para
habilitar o inhabilitar los menús jerárquicos emergentes que aparecen cuando
pasa el mouse sobre alguno de los menús del panel izquierdo de la consola de
administración. Para obtener instrucciones, consulte “Especificación de las
opciones de la interfaz de usuario” en la página 912.

„ Gráficos de uso del sistema: Puede elegir qué gráficos de uso del sistema
muestra el IVE en la página de apertura de la consola de administración usando
los ajustes de la página System > Status > Overview. También puede usar los
ajustes de esta página para perfeccionar la apariencia y los datos de cada uno
de los gráficos. Para obtener instrucciones, consulte “Visualización del estado
general” en la página 845.

„ Mostrar las opciones de permiso automático: Puede mostrar u ocultar las

opciones de permiso automático tanto a usted como a otros administradores
que creen marcadores nuevos para roles usando los ajustes de la página
Maintenance > System > Options. Para obtener instrucciones, consulte
“Ajuste de las opciones del sistema” en la página 722.

„ Vistas de rol de usuario: Puede usar las opciones de personalización de la

página Users > User Roles para ver rápidamente los ajustes que se asocian
con un rol específico o un conjunto de roles. Para obtener instrucciones,
consulte “Personalización de las vistas de UI para roles de usuario” en la
página 86.

„ Vistas de ámbito de usuario: Puede usar las opciones de personalización de la

página Users > User Realms para ver rápidamente los ajustes que se asocian
con un ámbito de usuario específico o un conjunto de ámbitos de usuario. Para
obtener instrucciones, consulte “Personalización de vistas de UI de territorios
de usuario” en la página 209.

996 „ Información general de los elementos personalizables de la consola de administración

 Capítulo 36: UI personalizables para el administrador y el usuario final

„ Vistas de directivas de recursos: Puede limitar qué directivas de recursos

muestra el IVE en cualquier página determinada de directivas de recursos
basada en roles de usuario. Por ejemplo, puede configurar la página Users >
Resource Policies > Web de la consola de administración para mostrar sólo
aquellas directivas de recursos que están asignadas al rol de usuario “Ventas”.
Puede personalizarlas usando los ajustes de la página Users > Resource
Policies > Seleccionar tipo de directiva de la consola de administración. Para
obtener instrucciones, consulte “Personalización de las vistas de la interfaz de
usuario de directivas de recursos” en la página 110.

„ Vistas de directivas de recursos: Puede limitar qué directivas de recursos

muestra el IVE en cualquier página determinada de directivas de recursos
basada en roles de usuario. Por ejemplo, puede configurar la página Users >
Resource Policies > IPSec de la consola de administración para mostrar
sólo aquellas directivas de recursos que están asignadas al rol de usuario
“Empleado”. Puede personalizarlas usando los ajustes de la página Users >
Resource Policies > Seleccionar tipo de directiva de la consola de
administración. Para obtener instrucciones, consulte “Personalización de las
vistas de la interfaz de usuario de directivas de recursos” en la página 110.

„ Vistas de directivas de recursos Web: Puede limitar qué páginas de

configuración de directivas de recursos Web muestra el IVE usando los ajustes
de la página Users > Resource Policies > Web > Tipo de directiva de la
consola de administración. Para obtener instrucciones sobre la configuración,
consulte “Administración de directivas de recursos: Personalización de vistas de
UI” en la página 463.

„ Roles de administrador: Puede delegar responsabilidades seleccionadas

a otros administradores usando los ajustes de la sección Administrators >
Admin Roles de la consola de administración. De esta forma, podrá
restringir la visibilidad de determinadas opciones y capacidades para
estos administradores. Para obtener instrucciones, consulte “Creación y
configuración de roles de administrador” en la página 900.

Información general de los elementos configurables de la interfaz

de usuario final
El IVE permite personalizar la apariencia y aspecto de los siguientes elementos
de la interfaz de usuario final:

Páginas de inicio de sesión (predeterminadas y personalizadas): Puede

personalizar la página que los usuarios ven al iniciar sesión en la consola de
administración usando los ajustes de la página Authentication > Signing In >
Sign-in Pages. Con los ajustes de esta página, puede crear mensajes de bienvenida,
mensajes de cierre de sesión y otras instrucciones; controlar los encabezados de
página; personalizar los mensajes de error seleccionados; y crear un vínculo a una
página de ayuda personalizada dentro de la página de inicio de sesión del IVE
predeterminada. Para obtener instrucciones, consulte “Configuración de las páginas
de inicio de sesión estándares” en la página 221. O bien, puede cargar su propia
página de inicio de sesión personalizada en el IVE. Para obtener instrucciones,
consulte el manual Custom Sign-In Pages Solution Guide.

Información general de los elementos configurables de la interfaz de usuario final „ 997

 Guía de administración de Secure Access de Juniper Networks

„ Apariencia y aspecto de las UI: Puede personalizar el encabezado, el color de

fondo y el logotipo que aparecen en la consola de administración usando los
ajustes de la página Users > User Roles > Seleccionar rol > General > UI
Options. También puede usar los ajustes de esta página para especificar la
primera página que los usuarios verán después de iniciar sesión en el IVE, el
orden en que aparecerán los marcadores del IVE, el sistema de ayuda que el
IVE mostrará a los usuarios y los diversos ajustes de la barra de herramientas.
Para obtener instrucciones, consulte “Especificación de las opciones de UI” en
la página 79.

„ Apariencia y aspecto de los mensajes y UI predeterminados: Puede

especificar cuál será la apariencia y aspecto predeterminado de todos los roles
de usuarios usando los ajustes de las páginas Users > User Roles > [Default
Options] de la consola de administración. También puede usar los ajustes de
estas páginas para definir los errores predeterminados que los usuarios verán al
intentar obtener acceso a un sitio bloqueado, errores de SSO o SSL inhabilitado.
Para obtener instrucciones, consulte “Definición de opciones predeterminadas
para roles de usuario” en la página 84.

998 „ Información general de los elementos configurables de la interfaz de usuario final

Capítulo 37
Secure Access 6000

Secure Access 6000 de Juniper Networks es un dispositivo de próxima generación

que presenta significativas actualizaciones en el diseño del hardware con respecto
a otros miembros de la familia Secure Access.

Hardware estándar
El chasis de SA 6000 presenta los siguientes componentes de hardware:

„ Puerto de consola: Puede usar el puerto de consola para dar la configuración

inicial a SA 6000 antes de integrarlo totalmente como la puerta de enlace
segura a su red interna. También puede usar el puerto de consola para realizar
ciertas tareas de configuración y de creación clústeres después de que el IVE
comienza a operar como la puerta de enlace segura.

„ Puertos de Ethernet Port 0 (interno) y Port 1 (externo): Las conexiones

primarias del SA 6000 a la red corporativa y al mundo exterior son los puertos
Ethernet internos y externos, respectivamente. Las interfaces internas y
externas se pueden configurar mediante la página System > Network de la
consola de administración.

„ Puerto de administración: El puerto de administración de SA 6000 está ahora

disponible y:

„ Habilita la integración sin fisuras en una red de administración dedicada.

„ Proporciona acceso y disponibilidad permanente a la administración

del IVE.

„ Le permite desarrollar actividades de administración sin afectar al tráfico

de los usuarios.

„ Le permite separar el acceso administrativo del acceso de los usuarios

entre el IVE y los dispositivos corporativos de la red interna.

Puede configurar la información del puerto de administración y los ajustes

avanzados a través de la consola de administración, de la misma forma que
se configura el puerto interno. Para obtener más información, consulte
“Configuración del puerto de administración” en la página 708.

Hardware estándar „ 999

 Guía de administración de Secure Access de Juniper Networks

„ Puertos Dual SFP: El SA 6000 incluye dos puertos conectables de factor de

forma pequeño (SFP) Gigabit Ethernet (designados como puertos 2 y 3 en la
parte frontal del SA 6000) que le ofrecen la posibilidad de aumentar la
conectividad a componentes de red internos.

„ LED de estado: La parte frontal del chasis del SA 6000 tiene los siguientes LED:

„ PWR (verde): Indica que el dispositivo tiene electricidad y está encendido.

„ HD (amarillo): Indica que el disco duro está en uso (escritura o lectura

de datos).

„ TEMP (rojo): Cuando el LED parpadea significa que uno de los ventiladores
falló o que no está bien colocado en su puerto, o bien, que falló uno de los
ventiladores y es necesario reemplazarlo. Cuando el LED no parpadea
significa que se detectó una alta temperatura interna que podría hacer que
el sistema fallara si no se soluciona.

„ PS FAIL (rojo): Indica que una de las fuentes eléctricas está defectuosa,
se desconectó o tiene un fallo absoluto.

„ Port 0 1000 y Port 1 1000 (verde): Indica que el enlace de las interfaces
INT 0 (interna) o INT 1 (externa) de Ethernet tiene velocidad de conexión
Gigabit Ethernet.

„ Port 0 100 y Port 1 100 (verde): Indica que el enlace de las interfaces INT 0
(interna) o INT 1 (externa) de Ethernet tiene velocidad de conexión
100BaseT Ethernet.

NOTA: Si están activos los LED del Port 0 1000 y del Port 0 100 (interno), o bien,
del Port 1 1000 y del Port 1 100 (externo), la velocidad del enlace para esa interfaz
es 10BaseT.

„ LINK TX/RX Ethernet interno y externo (verde): Indica que la interfaz

Ethernet interna o externa está transmitiendo o recibiendo datos.

„ Puerto 2 y 3 SFP LINK (verde): Indica que está habilitado el puerto 2 o 3 SFP.

„ Puerto 2 y 3 SFP TX/RX (verde): Indica que el puerto 2 o 3 SFP está

enviando o recibiendo tráfico.

1000 „ Hardware estándar

 Capítulo 37: Secure Access 6000

Unidades reemplazables in situ para el SA 6000

El chasis del SA 6000 presenta tres tipos de unidades reemplazables in situ (FRU)
que puede agregar o reemplazar. Las FRU son “intercambiables en caliente”,
lo que significa que no tiene que apagar el SA 6000 antes de agregar o reemplazar
alguna FRU.

„ Discos duros: El SA 6000 se suministra con un disco duro. Sin embargo,

puede agregar un segundo disco duro opcional al chasis del SA 6000 para
proporcionar redundancia a los componentes y ayudar a minimizar el tiempo
de inactividad del IVE. Cuando se instala un segundo disco duro (redundante),
éste mantiene una copia exacta de la información de la configuración y de la
imagen del software que hay en el disco duro de trabajo. Por lo tanto, si falla
el disco duro de trabajo, el disco duro redundante asume inmediatamente la
responsabilidad de todas las funciones del IVE. Esta función se conoce como
el proceso de réplica de matriz redundante de discos independientes (RAID).

NOTA: Los módulos de disco duro del SA 6000 son intercambiables en caliente.
Debe asegurarse de que el IVE haya terminado de iniciarse y que esté
funcionando correctamente antes de desinstalar, reemplazar o actualizar algún
módulo de disco duro. Una vez que inserta un nuevo módulo de disco duro, debe
esperar hasta que finalice completamente el proceso de réplica RAID, que tarda
aproximadamente 40 minutos, antes de reiniciar o apagar el IVE.

„ Fuentes de alimentación: El SA 6000 se suministra con una fuente de

alimentación de CA en la parte posterior del chasis. Puede agregar una segunda
fuente de alimentación opcional para apoyar las funciones de distribución de
carga y redundancia. Además, si necesita reemplazar una de las fuentes de
alimentación, puede “intercambiar” la fuente de alimentación defectuosa por
una de reemplazo mientras la segunda fuente de alimentación opcional asume
la responsabilidad de toda la carga de alimentación y así evita una situación
donde debería apagar el IVE antes de reemplazar la unidad extraíble.

„ Ventiladores de refrigeración: El SA 6000 se suministra con dos ventiladores

de refrigeración instalados en la parte posterior del chasis. Si necesita
reemplazar uno de los ventiladores de refrigeración, puede “intercambiar” el
ventilador defectuoso con uno de reemplazo mientras funciona la unidad y en
cuestión de minutos. Puede adquirir ventiladores de refrigeración adicionales
de su fabricante cuando encargue su SA 6000 o puede adquirirlos en el futuro
para reemplazar los ventiladores de refrigeración con averías o defectuosos,
según sea necesario. Juniper recomienda encarecidamente que el SA 6000
funcione con dos ventiladores.

Para obtener información sobre la manera de instalar o reemplazar cualquier

hardware mencionado aquí, consulte el manual Secure Access 6000 Field
Replaceable Units Removal and Installation Guide en el sitio Juniper Networks
Customer Support Center.

Unidades reemplazables in situ para el SA 6000 „ 1001

 Guía de administración de Secure Access de Juniper Networks

1002 „ Unidades reemplazables in situ para el SA 6000

Capítulo 38
Secure Access 4500 y 6500

Secure Access 4500 y 6500 de Juniper Networks presenta significativas

actualizaciones en el diseño del hardware con respecto a otros miembros
de la familia Secure Access.

Hardware estándar
El chasis de SA 4500/6500 presenta los siguientes componentes de hardware:

„ Puerto de consola: Use el puerto de consola para dar la configuración inicial

a SA 4500/6500 antes de integrarlo totalmente como la puerta de enlace segura
a su red interna. También puede usar el puerto de consola para realizar
determinadas tareas de configuración y de creación de clústeres después de
que el IVE comienza a operar como la puerta de enlace segura.

„ Puertos de enlace: De forma predeterminada y sólo en SA 6500, el IVE usa

enlaces de varios puertos para proporcionar protección en caso de errores.
El enlace es la tecnología en la que se agregan dos puertos físicos en un grupo
lógico. Al enlazar dos puertos en el IVE se aumentan las capacidades de
conmutación por error al cambiar automáticamente el tráfico hacia el puerto
secundario cuando el puerto primario presenta errores.

El dispositivo SA 6500 enlaza puertos de la siguiente forma:

„ Puerto interno = Puerto 0+Puerto 1

„ Puerto externo = Puerto 2+Puerto 3

El IVE indica si la funcionalidad de conmutación por error está habilitada

a través de un mensaje en la página System > Network > Overview de la
consola de administrador.

Los puertos de enlace no pueden pasar por redes separadas (con varias sedes).

Hardware estándar „ 1003

 Guía de administración de Secure Access de Juniper Networks

El dispositivo admite clústeres de hasta cuatro nodos activo/activo o de 2 nodos

activo/pasivo.

„ Puerto de administración: El puerto de administración del SA 6500:

„ Habilita la integración sin fisuras en una red de administración dedicada.

„ Proporciona acceso y disponibilidad permanente a la administración

del IVE.

„ Le permite desarrollar actividades de administración sin afectar al tráfico

de los usuarios.

„ Le permite separar el acceso administrativo del acceso de los usuarios

entre el IVE y los dispositivos corporativos de la red interna.

Puede configurar la información del puerto de administración y los ajustes

avanzados a través de la consola de administración, de la misma forma
que se configura el puerto interno. Para obtener más información, consulte
“Configuración del puerto de administración” en la página 708.

„ Puertos SFP: Hay disponibles puertos conectables de factor de forma pequeño

(SFP) de 4 puertos como una característica opcional para proporcionar
redundancia de vínculos a los conmutadores internos.

„ LEDs de estado: Hay tres LEDs que indican el estado del dispositivo, y están
situados en el lado izquierdo del panel frontal:

„ Alimentación

„ Acceso al disco duro

„ Fallo

Tabla 59 en la página 1004 contiene el nombre, color, estado y la descripción

de cada LED de estado del dispositivo.

Tabla 59: LEDs de estado del dispositivo

Nombre Color Estado Descripción

POWER Verde Apagado El dispositivo no está recibiendo
alimentación
Estable El dispositivo está recibiendo alimentación
HARD DISK ACCESS Amarillo Apagado El disco duro está inactivo
Intermitente El disco duro está en funcionamiento
FAULT Rojo Apagado El dispositivo funciona con normalidad
Intermitente Falla la fuente de alimentación
lento
Intermitente Falla el ventilador
rápido
Fijo Fallo térmico

1004 „ Hardware estándar

 Capítulo 38: Secure Access 4500 y 6500

„ LEDs de los puertos de Ethernet: Los LED de los puertos de Ethernet muestran
el estado de cada puerto de Ethernet.

Tabla 60: LEDs Ethernet de gigabit de cobre de 4 puertos (disponible en SA 4500 y

SA 6500)
LED Color y estado Descripción
Link/Activity Verde Enlace
Verde intermitente Actividad
Link Speed Apagado 10 Mbps
Verde 100 Mbps
Amarillo 1 Gbps

Unidades reemplazables in situ para el SA 6500

El chasis de SA 6500 presenta tres tipos de unidades reemplazables in situ (FRU)
que puede agregar o reemplazar. Las FRU son “intercambiables en caliente”, lo que
significa que no tiene que apagar el SA 6500 antes de agregar o reemplazar una
FRU. El SA 4500 tiene una fuente de alimentación “intercambiable en frío”.

Para obtener información de seguridad, consulte el manual Juniper Networks

Products Safety Guide disponible en el sitio de Soporte técnico de Juniper Networks.

„ Discos duros: El SA 6500 se suministra con un disco duro, pero puede agregar
un segundo disco duro opcional al chasis del SA 6500 para proporcionar
redundancia a los componentes y ayudar a minimizar el tiempo de inactividad
del IVE. Cuando se instala un segundo disco duro (redundante), éste mantiene
una copia exacta de la información de la configuración y de la imagen del
software que hay en el disco duro de trabajo. Por lo tanto, si el disco duro
de trabajo falla, el disco duro redundante asume inmediatamente la
responsabilidad de todas las funciones del IVE. Esta función se conoce como
el proceso de réplica de matriz redundante de discos independientes (RAID).

NOTA: Los módulos de disco duro del SA 6500 son intercambiables en caliente.
Debe asegurarse de que el IVE haya terminado de iniciarse y que esté
funcionando correctamente antes de desinstalar, reemplazar o actualizar algún
módulo de disco duro. Después de insertar un nuevo módulo de disco duro,
debe esperar hasta que finalice por completo el proceso de réplica RAID
(aproximadamente 40 minutos) antes de reiniciar o apagar el IVE.

„ Fuentes de alimentación: El SA 6500 se suministra con una fuente de

alimentación de CA en la parte posterior del chasis. Puede agregar una segunda
fuente de alimentación opcional para apoyar las funciones de distribución de
carga y redundancia. Además, si necesita reemplazar una de las fuentes de
alimentación, puede “intercambiar” la fuente de alimentación defectuosa por
una de reemplazo mientras la segunda fuente de alimentación opcional asume
la responsabilidad de toda la carga de alimentación y así evita una situación en
la que sea necesario apagar el IVE antes de reemplazar la unidad extraíble.

Unidades reemplazables in situ para el SA 6500 „ 1005

 Guía de administración de Secure Access de Juniper Networks

„ Ventiladores de refrigeración: El SA 6500 se suministra con dos ventiladores

de refrigeración instalados en la parte posterior del chasis. Si necesita
reemplazar uno de los ventiladores de refrigeración, puede “intercambiar” el
ventilador defectuoso con uno de reemplazo mientras funciona la unidad y en
cuestión de minutos. Puede adquirir ventiladores de refrigeración adicionales
de su fabricante cuando ordene su SA 6500 o puede adquirirlos en el futuro
para reemplazar los ventiladores de refrigeración con averías o defectuosos,
según sea necesario.

Reemplazo de los ventiladores de refrigeración

El SA 6500 se suministra con dos ventiladores de refrigeración instalados en la
parte posterior del chasis. Si necesita reemplazar uno de los ventiladores de
refrigeración, puede “intercambiar en caliente” el ventilador defectuoso con uno
de repuesto mientras trabaja, en cuestión de minutos. Puede adquirir ventiladores
de refrigeración adicionales de su distribuidor de Juniper autorizado o puede
adquirirlos en el futuro para reemplazar los ventiladores de refrigeración averiados
o defectuosos, según sea necesario.

Extracción e instalación de un ventilador de refrigeración

Para extraer un módulo del ventilador de refrigeración:

1. Para liberar el módulo del ventilador de refrigeración, proceda de una de las

siguientes maneras:

„ Presione y deslice el activador de liberación hacia el centro del módulo del

ventilador de refrigeración

„ Suelte los tornillos de apriete manual

2. Tome el módulo del ventilador de refrigeración y extráigalo con cuidado.

PRECAUCIÓN: Cuando extraiga el módulo del ventilador de refrigeración, es

importante que vuelva a instalar un ventilador de repuesto. El segundo ventilador
es necesario para permitir el adecuado flujo de aire por los componentes internos
del chasis; no es un ventilador redundante.

Para instalar un módulo del ventilador de refrigeración:

1. Alinee un módulo del ventilador de refrigeración con un puerto del ventilador

de refrigeración vacío en la parte posterior del chasis.

2. Deslice lentamente el módulo hacia la unidad del chasis hasta que se ajuste
en su lugar.

3. Apriete los tornillos de apriete manual, si los incluye el ventilador de

refrigeración.

1006 „ Reemplazo de los ventiladores de refrigeración

 Capítulo 38: Secure Access 4500 y 6500

Reemplazo de un disco duro

El SA 6500 viene con dos discos duros de serie para ofrecer redundancia a los
componentes y ayudar a minimizar el tiempo de inactividad. El segundo disco duro
(redundante) mantiene una copia exacta de la información de configuración y de la
imagen del software que hay en el disco duro de trabajo. Por lo tanto, si el disco
duro de trabajo falla, el disco duro redundante asume inmediatamente la
responsabilidad de todas las funciones. Esta función se conoce como el proceso
de réplica de matriz redundante de discos independientes (RAID).

NOTA: Los módulos de disco duro son intercambiables en caliente. Después

de insertar un nuevo módulo del disco duro, debe esperar hasta que finalice
el proceso de réplica RAID antes de reiniciar o apagar el dispositivo.

Extracción e instalación de un disco duro

Para extraer un disco duro:

1. En el módulo del disco duro, presione el activador de liberación de asa azul

hacia adentro y a la derecha para liberar y retirar el asa de inserción y
extracción.

2. Tome el asa y saque el módulo del disco duro del chasis.

Cuando haya sacado el módulo del disco duro, asegúrese de reemplazarlo con
un disco duro de repuesto.

Para instalar un disco duro:

1. Con el asa de inserción y extracción del módulo del disco duro en la posición
liberada/hacia fuera, alinee el módulo del disco duro con un puerto vacío de
disco duro en la parte frontal del chasis.

2. Deslice con cuidado el módulo del disco duro hacia la unidad del chasis hasta
que se ajuste en su lugar.

Retraiga el asa balanceándola hacia atrás desde la parte frontal de la unidad del
disco duro hasta que esté completamente a ras con la superficie del módulo del
disco duro.

Reemplazo de módulos IOC

Esta sección contiene información acerca de la extracción e instalación de módulos
IOC (IOM) en SA 6500.

PRECAUCIÓN: Apague el dispositivo antes de sacar o instalar un IOM. Los IOM no

son intercambiables en caliente.

Reemplazo de un disco duro „ 1007

 Guía de administración de Secure Access de Juniper Networks

Extracción de una placa frontal plana de un IOM

Para mantener un flujo de aire adecuado a través del dispositivo, deje las placas
frontales planas sobre las ranuras que no contienen IOM. No retire una placa frontal
plana a menos que vaya a instalar un IOM en la ranura vacía.

Para sacar una placa frontal plana:

1. Desenchufe el cable de alimentación.

2. Suelte los tornillos de apriete manual de cada lado de la placa frontal.

3. Tome los tornillos y tire para sacar la placa frontal.

Instalación de un IOM
Para instalar un IOM:

1. Desenchufe el cable de alimentación.

2. Alinee el IOM con un puerto vacío en la parte frontal del chasis.

3. Deslice con cuidado el IOM hacia adentro, hasta que se ajuste firmemente en
el dispositivo.

4. Apriete los tornillos de cada lado de la placa frontal del IOM.

5. Inserte los cables correspondientes en los conectores para los cables del IOM.

6. De ser necesario, ordene los cables para prevenir que se salgan o que se
produzcan puntos de tensión:

„ Asegure el cable para que no quede colgando y soportando su propio peso.

„ Enrolle el cable sobrante en un bucle bien ordenado para que no estorbe.

„ Use bridas para mantener la forma de los bucles de cable.

7. Inserte el cable de alimentación en el receptáculo de alimentación de CA.

Extracción de un IOM
Para extraer un IOM:

1. Desenchufe el cable de alimentación.

2. Desconecte los cables del IOM.

3. De ser necesario, ordene los cables para evitar que se salgan o que se
produzcan puntos de tensión.

4. Suelte los tornillos de apriete manual de cada lado de la placa frontal IOM.

5. Tome los tornillos y tire para sacar el IOM.

Si va a instalar un IOM en la ranura vacía, instale una placa frontal de IOM plana
en la ranura para mantener un flujo de aire apropiado.

1008 „ Reemplazo de módulos IOC

 Capítulo 38: Secure Access 4500 y 6500

Reemplazo de una fuente de alimentación de CA

Extracción e instalación de una fuente de alimentación de CA
El dispositivo de Juniper Networks tiene instalada una fuente de alimentación de CA
en la parte trasera del chasis. Puede agregar una segunda fuente de alimentación
opcional para apoyar las funciones de distribución de carga y redundancia. Además,
si necesita reemplazar una de las fuentes de alimentación, puede “intercambiar en
caliente” la fuente de alimentación defectuosa por una de repuesto mientras la
segunda fuente de alimentación opcional asume la responsabilidad total de la carga
de alimentación y así evita una situación en la que sea necesario apagar el IVE
antes de reemplazar la unidad extraíble.

Para extraer un módulo de fuente de alimentación de CA:

1. Presione el activador de liberación hacia adentro y a la derecha para liberar

el módulo.

2. Tome el asa de inserción y extracción y tire recto del módulo de fuente de

alimentación del chasis.

Después de extraer el módulo de alimentación, asegúrese de reemplazarlo

con una fuente de alimentación de reemplazo o coloque la cubierta “falsa” del
puerto de la fuente de alimentación que venía en el chasis cuando recibió su
producto.

Para instalar un módulo de fuente de alimentación de CA:

1. Alinee el módulo de fuente de alimentación con un puerto de fuente de

alimentación vacío en la parte posterior del chasis.

2. Deslice lentamente el módulo de fuente de alimentación hacia la unidad del

chasis hasta que se ajuste en su lugar.

Extracción e instalación de una fuente de alimentación de CC

Para extraer un módulo de fuente de alimentación de CC:

1. Desenchufe el cable de alimentación.

2. Desconecte los cables de alimentación de CC de los terminales de la fuente

de alimentación de CC.

3. Presione el activador de liberación hacia adentro y a la derecha para liberar

el módulo.

4. Tome el módulo de fuente de alimentación y sáquelo recto del chasis.

Reemplazo de una fuente de alimentación de CA „ 1009

 Guía de administración de Secure Access de Juniper Networks

Para instalar un módulo de fuente de alimentación:

1. Deslice lentamente el módulo hacia la unidad del chasis hasta que se ajuste en
su lugar.

2. Conecte los cables de alimentación de CC al módulo usando los terminales.

Asegúrese de conectar el cable de conexión a tierra.

3. Conecte el cable de alimentación.

1010 „ Reemplazo de una fuente de alimentación de CA

Capítulo 39
Secure Access FIPS

FIPS, o Federal Information Processing Standards (estándares federales de

procesamiento de información); son las normativas del Instituto Nacional de
Estándares y Tecnología de EEUU para administración de claves y encriptación de
datos. Secure Access FIPS de Juniper Networks es una extranet virtual instantánea
estándar de NetScreen serie SA4000 o SA6000 que cuenta con un módulo
criptográfico certificado por los estándares FIPS. El sistema Secure Access FIPS
cuenta con un módulo de seguridad a prueba de manipulaciones y está certificado
que cumple con los criterios de seguridad 140-2 nivel 3 de los estándares FIPS.
El módulo administra claves criptográficas privadas y protocolos de enlace SSL
de forma simultánea, garantizando el cumplimiento con los estándares FIPS
y transfiere las tareas de infraestructura de clave pública (PKI, Public, Key
Infastructure) desde el IVE a un módulo dedicado, con lo que se reduce el uso
intensivo de la CPU para estas tareas.

El proceso de configuración para los administradores de Secure Access FIPS es

prácticamente el mismo que para los administradores de Secure Access sin FIPS
y solo requiere cambios menores en la configuración durante los procesos de
inicialización, creación de clústeres y generación de certificados. Esta guía
proporciona las instrucciones apropiadas para los administradores de Secure Access
y Secure Access FIPS para los pocos casos en los que las tareas de administración
son diferentes. Para los usuarios finales, Secure Access FIPS es exactamente igual al
sistema Secure Access normal.

Para obtener más información, consulte:

„ “Licencia: Disponibilidad de Secure Access FIPS” en la página 1012

„ “Ejecución de Secure Access FIPS” en la página 1012

„ “Creación de tarjetas de administrador” en la página 1013

„ “Creación de un entorno de seguridad nuevo” en la página 1017

„ “Recuperación de un entorno de seguridad archivado” en la página 1020

„ 1011
 Guía de administración de Secure Access de Juniper Networks

Licencia: Disponibilidad de Secure Access FIPS

Secure Access FIPS es una característica de hardware incorporada en algunos
dispositivos Secure Access. No está disponible en los dispositivos SA 700.

Ejecución de Secure Access FIPS

Cuando instale el sistema Secure Access FIPS por primera vez, la consola serie de
IVE le guiará por el proceso de creación de un entorno de seguridad a través de la
consola serie. Un entorno de seguridad es el sistema de administración de claves
usado por Secure Access FIPS y consta de los siguientes elementos:

„ Módulo criptográfico: El módulo criptográfico (a veces también llamado

módulo de seguridad de hardware o HSM) incluido con Secure Access FIPS
tiene instalado hardware y firmware directamente en el dispositivo. Un entorno
de seguridad puede contener un único módulo criptográfico (entorno estándar)
o varios módulos (entorno en clústeres). Sin embargo, un dispositivo Secure
Access FIPS único siempre está equipado con un único módulo criptográfico.

„ Clave del entorno de seguridad: Una clave del entorno de seguridad es una
clave encriptada Triple DES exclusiva que protege las claves de todas las
aplicaciones situadas dentro de un entorno de seguridad. Como requieren los
estándares federales de procesamiento de información, esta clave no se puede
importar a un entorno de seguridad, sino que se debe crear directamente desde
un módulo criptográfico. En un entorno de clústeres, todos los módulos
situados dentro del entorno de seguridad comparten la misma clave del
entorno de seguridad. (Para obtener más información, consulte
“Implementación de un clúster en un entorno Secure Access FIPS” en la
página 1015.)

„ Tarjetas inteligentes: Una tarjeta inteligente es un dispositivo extraíble con

clave que se parece a una tarjeta de crédito. Esta tarjeta autentica a los usuarios
y les permite acceder a distintos datos y procesos bajo control del módulo de
hardware criptográfico. Durante el proceso de inicialización, debe insertar una
de sus tarjetas inteligentes en el lector (integrado o externo, dependiendo del
modelo de dispositivo que tenga). Como parte del proceso de inicialización,
la tarjeta inteligente se transforma en una tarjeta de administrador que permite
al portador acceder al entorno de seguridad. (Para obtener más información,
consulte “Reemplazo de tarjetas de administrador” en la página 1019.)

„ Datos encriptados: Entre los datos del host encriptados en un entorno Secure
Access FIPS se encuentran las claves y otros datos requeridos para compartir
información de forma segura.

Estos elementos funcionan de forma conjunta para crear un entorno de seguridad

completo. Cuando inicie el dispositivo, éste confirmará que el entorno de seguridad
sea válido y que el módulo criptográfico esté en modo operativo antes de comenzar
las operaciones normales.

1012 „ Licencia: Disponibilidad de Secure Access FIPS

 Capítulo 39: Secure Access FIPS

NetScreen Puede poner el módulo criptográfico en modo operativo usando el

conmutador de hardware que se encuentra en la parte externa del módulo. Los
ajustes del conmutador incluyen:

„ I: modo de inicialización. Use esta configuración cuando inicialice el módulo

criptográfico con un entorno de seguridad nuevo o cuando agregue un módulo
a un entorno de seguridad existente en un clúster de IVE. Tenga en cuenta que
una vez que ponga el conmutador en I y comience la inicialización, deberá
completar el proceso. De lo contrario, el entorno de seguridad sólo se
inicializará parcialmente, quedando inutilizable.

„ O: modo operativo. Use esta configuración para poner el módulo criptográfico

en modo operativo después de la inicialización. Tenga en cuenta que debe
poner el conmutador en O antes de encender el módulo para notificarle a la
unidad que desea comenzar el procesamiento diario. De lo contrario, el módulo
lo guiará a través de la consola serie para integrarse en el entorno de seguridad
existente o para que inicialice uno nuevo.

„ M: modo de mantenimiento. En versiones futuras, esta configuración se

usará para actualizar el firmware del módulo criptográfico. (No está disponible
todavía).

Para obtener más información acerca de la inicialización del módulo y de la

creación de un entorno de seguridad nuevo, consulte el manual Juniper Networks
NetScreen Secure Access FIPS Getting Started Guide que se incluye con el paquete
del producto.

Creación de tarjetas de administrador

Junto con su producto Secure Access FIPS, recibirá 6 tarjetas inteligentes como
parte del paquete. Una tarjeta inteligente es un dispositivo extraíble con clave que se
debe usar para obtener acceso a algunos datos y procesos críticos controlados por
el módulo criptográfico. Secure Access FIPS al principio le solicitará que use una de
sus tarjetas inteligentes al inicializar el módulo criptográfico a través de la consola
serie. Durante este proceso, Secure Access FIPS crea un entorno de seguridad nuevo
y transforma la tarjeta inteligente en una tarjeta de administrador que le permite al
portador acceder solamente a ese entorno de seguridad.

Después de inicializar el módulo no necesitará la tarjeta de administrador para las

operaciones normales del IVE. Sin embargo, deberá usar la tarjeta de administrador
cuando desee:

„ Agregar otro equipo con Secure Access FIPS a un clúster. Para obtener más
información, consulte “Implementación de un clúster en un entorno Secure
Access FIPS” en la página 1015.

„ Reinicializar un módulo con un entorno de seguridad nuevo o diferente. Para

obtener más información, consulte “Recuperación de un entorno de seguridad
archivado” en la página 1020.

„ Reemplazar las tarjetas de administrador. Para obtener más información,

consulte “Reemplazo de tarjetas de administrador” en la página 1019.

Creación de tarjetas de administrador „ 1013

 Guía de administración de Secure Access de Juniper Networks

Como regla general, cualquier operación de Secure Access FIPS que deba ejecutar
a través de la consola serie del IVE requiere una tarjeta de administrador.

NOTA: Cada vez que cambie el entorno de seguridad deberá decidir qué hará con
las tarjetas de administrador existentes. Las opciones son:

„ Volver a configurar las tarjetas de administrador existentes con el entorno

de seguridad nuevo.

„ Usar tarjetas de administrador que se inicializaron previamente en el entorno

de seguridad nuevo y dejar las tarjetas de administrador existentes sin
cambios. Sin embargo, debe tener en cuenta que si elige esta opción no podrá
usar las tarjetas antiguas para acceder al entorno de seguridad nuevo.

Precauciones con la tarjeta de administrador

Debido a la gran importancia que tienen las tarjetas de administrador en las
operaciones Secure Access FIPS y en la seguridad de las claves dentro del entorno
de seguridad, le recomendamos encarecidamente que tome las siguientes
precauciones:

„ Cree varias tarjetas de administrador: La tarjeta de administrador no se puede

reemplazar a menos que tenga otra tarjeta válida con su frase de seguridad
correspondiente; el módulo criptográfico no almacena los datos de
recuperación para la tarjeta de administrador. Por lo tanto, le recomendamos
encarecidamente que cree al menos una tarjeta de administrador para
operaciones administrativas regulares y otra para propósitos de respaldo.
De lo contrario, corre el riesgo de perder la única tarjeta de administrador y,
consecuentemente, perder acceso al entorno de seguridad y a toda la
información almacenada. Las tarjetas de administrador sólo pueden crearse por
grupos, todas al mismo tiempo. No se puede agregar tarjetas adicionales a un
grupo existente.

„ Guarde una tarjeta de administrador de respaldo en una ubicación segura:

Mantenga siempre sus tarjetas de administrador en un lugar seguro, separadas
de la tarjeta que usa para operaciones administrativas regulares, para
asegurarse de no perder todas las tarjetas de administrador en el mismo
siniestro (como un incendio o robo).

„ Sobrescriba todas las tarjetas de administrador si se pierde una: Si pierde

o daña una tarjeta de administrador, cree de inmediato un entorno de
seguridad nuevo y sobrescriba todas las tarjetas de administrador restantes del
entorno de seguridad anterior. De lo contrario, un atacante con una tarjeta de
administrador antigua podría tener acceso a los datos antiguos en el host que
están almacenados en una cinta de respaldo o en otro host. Con los datos
antiguos en el host y con una tarjeta antigua, el atacante podría volver a crear
las claves de seguridad.

„ Proteja la frase de seguridad de la tarjeta de administrador: Para garantizar

la máxima seguridad, nunca escriba su frase de seguridad, no se la comunique
a usuarios que no sean de confianza ni use una frase de seguridad que sea fácil
de adivinar. La protección de su frase de seguridad es un nivel de seguridad
extra en sus operaciones.

1014 „ Creación de tarjetas de administrador

 Capítulo 39: Secure Access FIPS

„ Use su tarjeta de administrador con fuentes conocidas y de confianza

solamente: Adquiera tarjetas de seguridad de fuentes fiables, nunca inserte una
tarjeta de seguridad en un lector que no sea fiable y nunca inserte tarjetas de
seguridad no fiables en su lector de tarjetas inteligentes.

Implementación de un clúster en un entorno Secure Access FIPS

Además de compartir los datos de estado, perfil de usuario, sesión de usuario
y supervisión de estado, los miembros de un clúster Secure Access FIPS también
comparten los datos del entorno de seguridad. Todos los miembros del clúster
comparten la misma clave privada y tienen acceso usando las mismas tarjetas de
administrador. Sin embargo, debido a que para cambiar el entorno de seguridad
se require acceso físico al módulo criptográfico, los miembros del clúster Secure
Access FIPS no pueden compartir todos sus datos usando el proceso de
sincronización periódica del IVE. En vez de eso, para crear un clúster Secure Access
FIPS debe:

1. Crear un clúster de equipos con Secure Access FIPS a través de la consola

de administración: Al igual que con el clúster normal del IVE, cada nodo de
un clúster Secure Access FIPS se inicializa usando los datos de sistema del
miembro del clúster que se ha especificado, sobrescribiendo todos los datos
existentes en el equipo nodo.

2. Actualice de forma manual el entorno de seguridad en cada uno de los

equipos: Después de crear un clúster, debe inicializar cada uno de sus nodos
con el entorno de seguridad del miembro especificado, usando una tarjeta de
administrador previamente inicializada con ese entorno de seguridad y con la
consola serie. Antes de integrarlo en un clúster, cada nodo está en su propio
entorno de seguridad. Por lo tanto, después de integrar un nodo en el clúster,
la tarjeta de administrador de ese nodo ya no será válida. Sólo será válida la
tarjeta de administrador configurada desde el clúster.

De forma similar, si desea modificar un entorno de seguridad existente en un

clúster, deberá actualizar individualmente el módulo criptográfico de cada miembro
del clúster usando una tarjeta de administrador y la consola serie del IVE. Para
obtener instrucciones, consulte “IVE Consola serie” en la página 987.

El proceso básico para crear un clúster contiene los siguientes pasos de nivel
superior:

1. Inicialice un IVE desde la consola serie, creando tarjetas de administrador.

2. Cree el clúster desde la consola de administración de este IVE.

3. Agregue nodos al clúster desde la consola de administración de este IVE.

4. Reinicie el nodo integrado desde la consola serie.

5. Cuando se le solicite, proporcione los detalles del clúster, incluyendo

la dirección IP, la máscara de red y el dominio del nodo actual.

Implementación de un clúster en un entorno Secure Access FIPS „ 1015

 Guía de administración de Secure Access de Juniper Networks

6. Cuando se le solicite, inserte una tarjeta de administrador desde el grupo de

tarjetas del cluster. La tarjeta de administrador del nodo, si existiese, no será
válida desde el momento en que el nodo se integre en el entorno de seguridad
del clúster.

Para inicializar un entorno de seguridad de un miembro del clúster FIPS a través

de la consola serie:

1. Inserte una tarjeta de administrador previamente inicializada en el entorno

de seguridad de un miembro activo del clúster en la ranura para la tarjeta
inteligente con los contactos hacia arriba.

NOTA: Si ya realizó los procedimientos necesarios para configurar el dispositivo

FIPS, como se describe en la Guía de inicio rápido, puede omitir este paso.

2. Cambie el conmutador de modo del módulo criptográfico a I (modo de

inicialización) si no está en esa posición.

3. Conéctelo a la consola serie del equipo. Para obtener más información,

consulte “IVE Consola serie” en la página 987.

4. Apague y encienda el equipo para que se reinicie y observe la consola serie.

Después de que el software del sistema se inicie, verá un mensaje indicando
que el equipo se iniciará como un IVE independiente y que puede presionar
la tecla Tab para ver las opciones de creación de clústeres. Presione la tecla
Tab tan pronto como vea ese mensaje.

NOTA: El tiempo para presionar la tecla Tab es de cinco segundos. Si el equipo

comienza a iniciarse en modo independiente, espere a que termine y luego vuelva
a reiniciarlo.

5. Introduzca el número 2 para integrarse en el clúster existente o el número 1

para continuar como un IVE independiente.

6. Introduzca la información de inicialización a medida que se solicita, a saber:

„ Nombre de clúster

„ Contraseña del clúster

„ Dirección IP de un nodo del clúster

„ Dirección IP del nodo que está agregando

„ Máscara de red

„ Dirección IP de la puerta de enlace

1016 „ Implementación de un clúster en un entorno Secure Access FIPS

 Capítulo 39: Secure Access FIPS

NOTA: Después de que inicialice los miembros de un clúster Secure Access FIPS
con el mismo entorno de seguridad, puede inhabilitar y volver a habilitar el clúster
a través de la consola de administración. Cuando todos los miembros del clúster
sean parte del mismo entorno de seguridad, ya no será necesario usar la consola
serie.

7. Seleccione 1 para continuar la integración en el clúster.

8. Después de que el dispositivo FIPS inicialice la tarjeta, cambie el conmutador

de modo del módulo criptográfico a O (modo operativo).

Creación de un entorno de seguridad nuevo

No podrá comenzar a usar un equipo con Secure Access FIPS hasta que cree un
entorno de seguridad en él. Sin embargo, es posible que en algunos casos sea
necesario sobrescribir ese entorno de seguridad con uno nuevo. Por ejemplo,
si pierde una tarjeta de administrador, le recomendamos que cree un entorno de
seguridad totalmente nuevo para evitar que alguna fuente no fiable encuentre la
tarjeta y acceda al entorno de seguridad. Es posible que también necesite crear
un entorno de seguridad nuevo si no puede recordar las frases de seguridad de
las tarjetas de administrador originales.

Para crear un entorno de seguridad nuevo, debe tener acceso físico a los siguientes
elementos:

„ Los módulos criptográficos que pertenecen al entorno de seguridad

„ Un lector de tarjetas inteligentes (si usa un modelo más antiguo de IVE que
no tiene incorporado un lector de tarjetas)

„ Una o más tarjetas inteligentes sin formatear o tarjetas de administrador que

contengan datos que se puedan sobrescribir con seguridad

NOTA: Las tarjetas de administrador antiguas no funcionarán en el entorno de

seguridad nuevo hasta que las vuelva a formatear con la información del entorno
de seguridad nuevo. También tenga en cuenta que una vez que ponga el
conmutador en I y comience la inicialización, deberá completar el proceso.
De lo contrario, el entorno de seguridad sólo se inicializará parcialmente,
quedando inutilizable.

Para obtener información acerca de cómo sobrescribir un entorno de seguridad con

otro nuevo, consulte “Recuperación de un entorno de seguridad archivado” en la
página 1020.

NOTA: ADVERTENCIA: Debe obtener de su autoridad de certificación (CA) uno

o más certificados para dispositivos nuevos cada vez que cree un entorno de
seguridad nuevo.

Creación de un entorno de seguridad nuevo „ 1017

 Guía de administración de Secure Access de Juniper Networks

Creación de un entorno de seguridad en un IVE independiente IVE

Para crear un entorno de seguridad nuevo en un IVE independiente:

1. Inserte en la ranura correspondiente una tarjeta inteligente o una tarjeta de

administrador con los contactos hacia arriba. Verifique que esta tarjeta tenga
datos que se puedan sobrescribir con seguridad.

2. Cambie el conmutador de modo del módulo criptográfico a I (modo de

inicialización).

3. Acceda a la consola serie del IVE y reinicie el IVE. Para obtener instrucciones,
consulte “Conexión a la consola serie de un dispositivo IVE” en la página 987.
Después de que el IVE se reinicie, se le presentará la siguiente pregunta en la
consola serie:

Do you want to use the currently installed security world (y/n)?

4. Realice una de las siguientes opciones:

„ Si desea crear un entorno de seguridad nuevo, entonces:

i. Introduzca n y presione Enter.

ii. Con la pregunta “Are you sure you want to delete your existing Security
World (including server certificates) (y/n)?” se le solicitará que confirme
esa opción. Si elige continuar, introduzca y y presione Enter.

iii. Introduzca el número de tarjetas de administrador que desea crear

y presione Enter.

iv. Introduzca y y presione Enter para confirmar la cantidad de tarjetas

que desea crear.

„ Si desea usar el entorno de seguridad actualmente instalado, entonces:

i. Introduzca y y presione Enter.

ii. Proceda con el siguiente paso en este procedimiento.

5. Vuelva a poner el conmutador de modo del módulo criptográfico en O (modo

operativo).

6. Agregue el nombre común y el nombre de la empresa cuando se le solicite.

El sistema usa el certificado autofirmado existente de forma temporal.

7. Cree un nuevo certificado para dispositivos que tenga la misma clave privada
que el entorno de seguridad nuevo. Para obtener más información, consulte
“Creación de una solicitud de firma de certificado (CSR) para un nuevo
certificado” en la página 754.

NOTA: ADVERTENCIA: Debe obtener de su CA uno o más certificados de servidor

cuando cree un entorno de seguridad nuevo.

1018 „ Creación de un entorno de seguridad nuevo

 Capítulo 39: Secure Access FIPS

Creación de un entorno de seguridad en un entorno de clústeres

Para crear un entorno de seguridad nuevo en un entorno de clústeres:

1. Inicie sesión en la consola de administración de un nodo del clúster. Para

acceder a la consola de administración de un nodo, escriba en el explorador
la dirección IP interna seguida de “/admin”. Por ejemplo:

https://x.x.x.x/admin

2. En la ficha System > Clustering > Status, seleccione la casilla de verificación

para todos los nodos excepto para el nodo actual en la columna Cluster
Members y luego haga clic en Disable.

3. Inicialice el miembro del clúster con un entorno de seguridad. Si este es el

primer nodo del clúster, cree un entorno de seguridad nuevo, como se explica
en “Creación de un entorno de seguridad nuevo” en la página 1017.

4. Regrese a la ficha System > Clustering > Status del nodo, seleccione la casilla
de verificación junto a los nodos inhabilitados en la columna Cluster Members
y luego haga clic en Enable.

5. Espere a que todos los miembros del clúster estén en estado “Enabled”.

6. Cambie a I (modo de inicialización) el conmutador de modo de los módulos

criptográficos de los miembros del clúster que inhabilitó anteriormente.

7. Reinicie cada uno de estos nodos desde la consola serie.

8. Después de integrar un nodo en el entorno de seguridad, vuelva a poner el

conmutador de modo del módulo criptográfico en O (modo operativo).

Reemplazo de tarjetas de administrador

Puede reemplazar una tarjeta de administrador seleccionando la opción Replace
Administrator Card Set desde la consola serie. No puede aumentar la cantidad de
tarjetas de administrador en un grupo existente. Si desea hacer esto, tiene que crear
un entorno de seguridad nuevo que reemplace a todas las tarjetas existentes de un
grupo y le permita crear un grupo de tarjetas mayor o menor. Para obtener más
información, consulte “Creación de un entorno de seguridad en un entorno de
clústeres” en la página 1019.

NOTA: Al reemplazar las tarjetas de administrador se reinician los servicios en el

IVE independiente o en el clúster.

Si necesita reemplazar las tarjetas de administrador para un entorno de seguridad,

debe tener acceso físico a:

„ UIn módulo criptográfico que pertenezca al entorno de seguridad

„ Un lector de tarjetas inteligentes (si usa un modelo más antiguo de IVE que no
contiene un lector de tarjeta incorporado)

Creación de un entorno de seguridad nuevo „ 1019

 Guía de administración de Secure Access de Juniper Networks

„ Una tarjeta de administrador que se haya inicializado previamente con el

entorno de seguridad

„ Una tarjeta inteligente sin formatear o una tarjeta de administrador que

contenga datos que pueda sobrescribir con seguridad.

„ La misma cantidad de tarjetas inteligentes sin formatear o tarjetas de

administrador que el grupo original que pueda sobrescribir con seguridad.

NOTA: Si necesita reemplazar las tarjetas de administrador, debe reemplazarlas

con la misma cantidad de tarjetas que inicializó al principio para el entorno de
seguridad. No es posible reemplazar un grupo menor de tarjetas.

NOTA: Si necesita tarjetas inteligentes adicionales, póngase en contacto con su

distribuidor de IVE.

Para reemplazar todas las tarjetas de administrador o para crear una cantidad
mayor de tarjetas para un entorno de seguridad:

1. Siga los pasos para crear un entorno de seguridad, como se describió en

“Creación de un entorno de seguridad en un IVE independiente IVE” en la
página 1018.

2. Elija Replace Administrator Card Set en la lista de tareas de configuración.

3. Introduzca la frase de seguridad para el entorno de seguridad.

4. Cuando se le indique, inserte en la ranura correspondiente, y con los contactos

hacia arriba, una tarjeta inteligente sin formatear o una tarjeta de
administrador que tenga datos que pueda sobrescribir de forma segura.

5. Introduzca la información adicional para la inicialización que se le solicita.

6. Repita los pasos 4 y 5 para todas las tarjetas que desee crear.

7. Guarde al menos una tarjeta de administrador en una ubicación segura.

Recuperación de un entorno de seguridad archivado

En casos excepcionales, es posible que necesite recuperar su sistema usando un
entorno de seguridad archivado. El entorno de seguridad archivado puede ser una
versión anterior del entorno de seguridad que ya existe en su sistema o la misma
versión. Con el fin de recuperar su sistema debe tener acceso al archivo de
configuración del sistema (de forma predeterminada, system.cfg) que almacena
el entorno de seguridad archivado y su certificado de seguridad correspondiente.

1020 „ Recuperación de un entorno de seguridad archivado

 Capítulo 39: Secure Access FIPS

Además, si va a sobrescribir el entorno de seguridad con uno diferente, debe tener

acceso físico a:

„ Todos los módulos criptográficos que pertenecen al entorno de seguridad

„ Un lector de tarjeta inteligente (si usa un modelo más antiguo de IVE que no
contiene un lector de tarjeta incorporado)

„ Una tarjeta de administrador que se haya inicializado previamente con el

entorno de seguridad y una frase de seguridad de administrador que desee
importar

Importación de un entorno de seguridad en un IVE independiente

Para importar un entorno de seguridad existente en un IVE independiente:

1. Importe el archivo de configuración del sistema que contiene el entorno de

seguridad archivado y su certificado correspondiente en el IVE (como se explicó
en “Importación de un archivo de configuración del sistema” en la página 788)
y luego inicialice el entorno de seguridad, si fuese necesario. Si el archivo de
seguridad contiene un archivo:

„ Del mismo entorno de seguridad que ya estaba presente en el equipo,

no se requieren más configuraciones.

„ De un entorno de seguridad diferente al que estaba presente en el equipo,

deberá inicializar el entorno de seguridad nuevo.

NOTA: Si importa un archivo de configuración que contiene un entorno de

seguridad nuevo, tenga en cuenta que las tarjetas de administrador existentes
no funcionarán con el entorno de seguridad importado hasta que las vuelva
a formatear con la información del entorno de seguridad nuevo. También tenga
en cuenta que una vez que ponga el conmutador en I y comience la inicialización,
deberá completar el proceso. De lo contrario, el entorno de seguridad sólo se
inicializará parcialmente, quedando inutilizable.

1. Inserte en la ranura del lector de tarjeta inteligente y con los contactos hacia
arriba, una tarjeta de administrador que se haya inicializado previamente con
el entorno de seguridad importado.

2. Cambie el conmutador de modo del módulo criptográfico a I (modo de

inicialización).

3. Acceda a la consola serie del IVE y reinicie el IVE. Para obtener más
información, consulte “Conexión a la consola serie de un dispositivo IVE” en la
página 987.

4. Vuelva a poner el conmutador de modo del módulo criptográfico en O (modo

operativo) cuando se le indique.

Recuperación de un entorno de seguridad archivado „ 1021

 Guía de administración de Secure Access de Juniper Networks

Importación de un entorno de seguridad a un clúster

Para importar a un clúster un entorno de seguridad existente:

1. Inicie sesión en la consola de administración de un nodo del clúster. Para

acceder a la consola de administración de un nodo, escriba en el explorador
la dirección IP interna seguida de “/admin”. Por ejemplo:

https://x.x.x.x/admin

2. En la ficha System > Clustering > Status, seleccione la casilla de verificación

para todos los nodos excepto para el nodo actual en la columna Cluster
Members y luego haga clic en Disable.

3. Importe al miembro del clúster un entorno de seguridad archivado, como se

describió en la sección anterior.

4. Cuando se complete el proceso de instalación, regrese a la ficha System >

Clustering > Status en el nodo, seleccione la casilla de verificación de los
nodos inhabilitados en la columna Cluster Members y luego haga clic en
Enable.

5. Espere a que todos los miembros del clúster estén en estado “Enabled”.

6. Cambie a I (modo de inicialización) el conmutador de modo de los módulos

criptográficos de los miembros del clúster que había inhabilitado
anteriormente.

7. Reinicie cada uno de estos nodos desde la consola serie.

8. Después de integrar un nodo en el entorno de seguridad, vuelva a poner el

conmutador de modo del módulo criptográfico en O (modo operativo).

1022 „ Recuperación de un entorno de seguridad archivado

Capítulo 40
Compresión

El IVE mejora el rendimiento mediante la compresión de tipos comunes de datos

web y de archivo como páginas HTML, documentos de Word e imágenes. Esta
sección contiene la siguiente información acerca de la compresión:

„ “Licencia: Disponibilidad de compresión” en la página 1023

„ “Ejecución de la compresión” en la página 1023

„ “Tipos de datos admitidos” en la página 1025

„ “Habilitación de la compresión en el nivel de sistema” en la página 1026

„ “Creación de perfiles y directivas de recursos de compresión” en la

página 1026

Licencia: Disponibilidad de compresión

La compresión Gzip está disponible en todos los dispositivos Secure Access.

Ejecución de la compresión
El IVE determina si debe comprimir los datos a los que tienen acceso los usuarios
según el siguiente procedimiento:

1. El IVE verifica que los datos a los que se ha accedido son de un tipo
comprimible. El IVE admite la compresión de muchos tipos de datos comunes
como páginas HTML y documentos de Word. Para obtener una lista completa,
consulte “Tipos de datos admitidos” en la página 1025.

2. Si el usuario tendrá acceso a datos web, el IVE verifica que el explorador admita
la compresión del tipo de datos seleccionado.

El IVE determina la compatibilidad de la compresión de acuerdo con el agente

de usuario del explorador y el encabezado accept-encoding. El IVE admite la
compresión de todos los tipos de datos web estándar si determina que el
agente de usuario es compatible con Mozilla 5, Internet Explorer 5, o Internet
Explorer 6. El IVE admite sólo la compresión de datos HTML si determina que
el agente de usuario del explorador es compatible solamente con Mozilla 4.

Licencia: Disponibilidad de compresión „ 1023

 Guía de administración de Secure Access de Juniper Networks

3. El IVE verifica que la compresión esté habilitada en el nivel de sistema. Puede

crear y habilitar la compresión de nivel de sistema en la página Maintenance >
System > Options de la consola de administración, como se explica en
“Habilitación de la compresión en el nivel de sistema” en la página 1026.

4. El IVE verifica que las directivas o autodirectivas de recursos de compresión

estén habilitadas para el tipo de dato seleccionado. El IVE trae directivas de
recursos que comprimen datos. Puede habilitar estas directivas o crear otras
a través de las siguientes páginas de la consola de administración:

„ Users > Resource Policies > Web > Compression

„ Users > Resource Policies > Files > Compression

Para obtener instrucciones, consulte “Definición de directivas de recursos:

compresión web” en la página 454.

También puede crear directivas automáticas de compresión en el perfil de

recursos a través de la página Users > Resource Profiles > Web > Web
Applications/Pages de la consola de administración. Para obtener
instrucciones, consulte “Definición de una directiva automática de compresión
web” en la página 411.

Si se cumplen todas estas condiciones, el IVE ejecuta la directiva de recursos

correspondiente que comprime o no los datos a los que ha tenido acceso el usuario
según la acción configurada.

NOTA: Si no se cumple condición alguna, el IVE no ejecuta la directiva de recursos

correspondiente y no aparecen elementos de directivas de recursos en los
archivos de registro del IVE.

Actualización de una versión anterior

El IVE trae de fábrica tres directivas de recursos que comprimen datos web y de
archivo. Si se actualiza una versión del IVE anterior a la 4.2 y se tenía habilitada
la compresión, estas directivas se habilitan. Si no tenía habilitada la compresión,
estas directivas se inhabilitan.

Las directivas de recursos web y de archivo creadas durante el proceso de

actualización especifican que el IVE debe comprimir todos los tipos admitidos de
datos web y de archivo, incluidos los tipos que no se comprimían en las versiones
anteriores del dispositivo. Todos los tipos de datos que no se comprimían en
versiones anteriores del producto están marcados con un asterisco (*) en la lista
de tipos de datos admitidos que aparece a continuación.

1024 „ Ejecución de la compresión

 Capítulo 40: Compresión

Tipos de datos admitidos

El IVE admite la compresión de los siguientes tipos de datos web y de archivo:

„ text/plain (.txt)

„ text/ascii (.txt)*

„ text/html (.html, .htm)

„ text/css (.css)

„ text/rtf (.rtf)

„ text/javascript (.js)

„ text/xml (.xml)*

„ application/x-javascript (.js)

„ application/msword (.doc)

„ application/ms-word (.doc)*

„ application/vnd.ms-word (.doc)*

„ application/msexcel (.xls)*

„ application/ms-excel (.xls)*

„ application/x-excel (.xls)*

„ application/vnd.ms-excel (.xls)*

„ application/ms-powerpoint (.ppt)*

„ application/vnd.ms-powerpoint (.ppt)*

NOTA: Los tipos de datos marcados con un asterisco * no se comprimían en

versiones anteriores a la 4.2 del dispositivo IVE.

También tenga en cuenta que el IVE no comprime archivos que carga en el IVE,
sino sólo aquellos que descarga del IVE.

Además, el IVE admite la compresión de los siguientes tipos de archivos del IVE:

„ text/html (.html, .htm)

„ application/x-javascript (.js)

„ text/javascript (.js)

„ text/css (.css)

„ application/perl (.cgi)

Tipos de datos admitidos „ 1025

 Guía de administración de Secure Access de Juniper Networks

Habilitación de la compresión en el nivel de sistema

Para habilitar la compresión en el nivel de sistema:

1. En la consola de administración, seleccione Maintenance > System >

Options.

2. Marque la casilla de verificación Enable gzip compression para reducir la

cantidad de datos que se envían a los exploradores que admiten la compresión
HTTP. Tenga en cuenta que tras habilitar esta opción, debe configurar también
las directivas de recursos web y de archivos que especifican los tipos de datos
que debe comprimir el IVE. Para obtener más información, consulte
“Compresión” en la página 1023.

3. Haga clic en Save Changes.

Creación de perfiles y directivas de recursos de compresión

Para obtener información sobre la habilitación de la compresión en el nivel de
recursos, consulte las instrucciones en las secciones indicadas a continuación.

Métodos recomendados:

„ “Definición de una directiva automática de compresión web” en la página 411

„ “Definición de una directiva automática de compresión de archivos” en la

página 469

„ “Definición de una directiva automática de compresión de archivos” en la

página 469

Métodos alternativos:

„ “Definición de directivas de recursos: compresión web” en la página 454

„ “Para escribir una directiva de recurso de compresión para Windows” en la

página 481

„ “Para escribir una directiva de recurso de compresión para Unix/NFS” en la

página 488

1026 „ Habilitación de la compresión en el nivel de sistema

Capítulo 41
Compatibilidad con varios idiomas

Los dispositivos SSL VPN proporcionan compatibilidad con muchos idiomas para
codificar archivos, mostrar la interfaz de usuario final y personalizar las páginas
de inicio de sesión y del sistema. Los dispositivos SSL VPN admiten los siguientes
idiomas:

„ Inglés (EEUU)

„ Chino (simplificado)

„ Chino (tradicional)

„ Francés

„ Alemán

„ Japonés

„ Coreano

„ Español

NOTA: Juniper Networks traduce la consola de usuario final del IVE y los sistemas
de ayuda a los idiomas indicados anteriormente. Tenga en cuenta, sin embargo,
que la ayuda traducida para usuarios finales no está disponible en la primera
edición del producto. Juniper Networks crea una versión traducida de la ayuda
disponible con la primera edición de mantenimiento tras la edición de
disponibilidad general.

Esta sección proporciona información sobre:

„ “Licencia: Disponibilidad de varios idiomas” en la página 1028

„ “Codificación de archivos” en la página 1028

„ “Traducción de la interfaz de usuario” en la página 1029

„ “Traducción de páginas de inicio de sesión y sistema personalizadas” en la

página 1029

„ 1027
 Guía de administración de Secure Access de Juniper Networks

Licencia: Disponibilidad de varios idiomas

Todos los dispositivos Secure Access pueden funcionar en varios idiomas. Tenga en
cuenta, sin embargo, que la característica de páginas de inicio de sesión traducidas
personalizadas no está disponible en los dispositivos SA 700.

Codificación de archivos
La codificación de caracteres es una asignación de los caracteres y símbolos usados
en el lenguaje escrito a un formato binario usado por los equipos. La codificación
de caracteres afecta a la manera en que se almacenan y transmiten los datos.
La opción de codificación de Users > Resource Policies > Files > Encoding le
permite especificar qué codificación se debe usar cuando se comunica con archivos
compartidos de Windows y NFS. La opción de codificación no afecta al idioma en
que trabaja el usuario final.

Para especificar la codificación de internacionalización del tráfico del IVE:

1. En la consola de administración, elija Users > Resource Policies > Files >
Encoding.

2. Seleccione la opción correspondiente:

„ Europeo occidental (ISO-8859-1) (predeterminado) (inglés, francés, alemán,

español)

„ Chino simplificado (CP936)

„ Chino simplificado (GB2312)

„ Chino tradicional (CP950)

„ Chino tradicional (Big5)

„ Japonés (Shift-JIS)

„ Coreano

3. Haga clic en Save Changes.

1028 „ Licencia: Disponibilidad de varios idiomas

 Capítulo 41: Compatibilidad con varios idiomas

Traducción de la interfaz de usuario

El IVE ofrece una manera de mostrar la interfaz de usuario final en uno de los
idiomas admitidos. Al combinar esta característica con las páginas de inicio de
sesión (personalizado) y de sistema y con el sistema operativo traducido se
proporciona al usuario una experiencia totalmente traducida a otro idioma.

Cuando especifica un idioma, el IVE muestra la interfaz de usuario, incluidos todos

los elementos de menú, diálogos generados por el IVE y el archivo de ayuda en el
idioma elegido para todos los usuarios independientemente del territorio en que
inicien sesión.

Para configurar las opciones de traducción:

1. En la consola de administración, seleccione Maintenance > System >

Options.

2. Use la lista desplegable End-user Localization para especificar el idioma en

que se muestra la interfaz de usuario final (opcional). Si no especifica un
idioma, la interfaz de usuario final se muestra según los ajustes del explorador.

3. Haga clic en Save Changes.

NOTA: La característica Confidence Online de Whole Security que admite Host

Checker actualmente no se puede traducir. Para obtener más información sobre
las características de Whole Security, consulte “Habilitación de directivas
avanzadas de protección contra malware” en la página 264.

Traducción de páginas de inicio de sesión y sistema personalizadas

El IVE proporciona varios archivos zip que contienen distintos conjuntos de
archivos de plantilla de muestra de varias páginas que pueden aparecer durante el
proceso de inicio de sesión. Use los archivos de plantilla junto con el idioma del kit
de herramientas de plantilla para crear páginas traducidas y personalizadas de
inicio de sesión y sistema para los usuarios finales. Para obtener más información
sobre los archivos zip y los archivos de plantilla que contienen, así como sobre el
idioma del kit de herramientas de plantilla, consulte Custom Sign-In Pages Solution
Guide.

NOTA: Modificar la página de inicio de sesión predeterminada con texto que esté
en el idioma de su elección es una manera rápida de ofrecer a los usuarios una
página de inicio de sesión personalizada. Para obtener información sobre la
personalización de la página de inicio de sesión personalizada, consulte
“Configuración las páginas de inicio de sesión” en la página 220. Use los ajustes
que aparecen en la ficha System > Authentication > Signing In Pages para
crear páginas de inicio de sesión personalizadas y traducidas. Para obtener
instrucciones, consulte el manual Custom Sign-In Pages Solution Guide.

Traducción de la interfaz de usuario „ 1029

 Guía de administración de Secure Access de Juniper Networks

1030 „ Traducción de páginas de inicio de sesión y sistema personalizadas

Capítulo 42
Dispositivos de mano y PDA

Además de permitir a los usuarios acceder al IVE desde estaciones de trabajo

y equipos públicos estándar, el IVE permite a los usuarios finales acceder desde
PDA, dispositivos de mano y teléfonos inteligentes, como i-mode y Pocket PC.
Cuando un usuario se conecta desde un PDA o un dispositivo portátil, el IVE
determina cuáles de sus páginas y qué funcionalidad mostrar según los ajustes de la
página System > Configuration > Client Types de la consola de administración.
De forma predeterminada, los ajustes de esta página especifican que, al acceder
al IVE mediante:

„ Dispositivo i-mode: El IVE muestra al usuario páginas en HTML compacto

(cHMTL) sin tablas, imágenes, JavaScript, Java ni marcos. Dependiendo de las
características que habilite a través de la consola de administración, el usuario
final puede explorar la Web, conectarse a marcadores Web, acceder a otras
aplicaciones con un único inicio de sesión y editar sus preferencias (como
borrar la caché y editar la contraseña del IVE/LDAP). El IVE permite a los
usuarios de i-mode acceder a características compatibles mediante claves
de acceso, tanto en el teclado de su teléfono como a través de la navegación
estándar de exploración y selección.

„ Dispositivo Pocket PC: El IVE muestra páginas HTML con tablas, imágenes,
JavaScript y marcos, pero no procesa Java. Dependiendo de las características
que habilite a través de la consola de administración, el usuario final puede
tener acceso a Mobile Notes, explorar la Web, conectarse a marcadores Web,
acceder a inicio de sesión único a otras aplicaciones y editar sus preferencias
(como borrar la caché y editar la contraseña del IVE/LDAP).

Los usuarios de PDA y de dispositivos de mano no pueden acceder a la consola

de administración ni a la mayoría de las opciones avanzadas del IVE, como la
exploración de archivos, Network Connect, Secure Meeting, Telnet/SSH, Email
Client, Host Checker y el Cache Cleaner, debido a que los PDA y dispositivos de
mano generalmente no admiten controles ActiveX, Java ni JavaScript de los cuales
dependen estas características.

También tenga en cuenta que los usuarios de i-mode no pueden acceder a opciones
basadas en cookies, incluidas cookies de sesión, y la autenticación y autorización
de SiteMinder, debido a que la mayoría de los exploradores de i-mode no admiten
cookies de HTTP. El IVE vuelve a escribir los hipervínculos con el fin de incluir la ID
de sesión en la URL en vez de usar cookies. El IVE lee la ID de sesión cuando el
usuario accede a la URL.

„ 1031
 Guía de administración de Secure Access de Juniper Networks

NOTA: Para mejorar el tiempo de respuesta, los siguientes iconos no aparecen al

acceder a la página inicial del IVE: ayuda, cerrar sesión, abrir marcador en una
página nueva y WSAM.

Esta sección contiene la siguiente información acerca de los dispositivos de mano

y PDA:

„ “Licencia: Disponibilidad de soporte para dispositivos de mano y PDA” en la

página 1032

„ “Resumen de tareas: Configuración del IVE para PDA y dispositivos de mano”

en la página 1032

„ “Definición de tipos de clientes” en la página 1034

„ “Habilitación de WSAM en PDA” en la página 1036

Licencia: Disponibilidad de soporte para dispositivos de mano y PDA

Los dispositivos de mano y PDA no son compatibles con dispositivos SA 700 que
tengan licencia para exploración Web.

Resumen de tareas: Configuración del IVE para PDA y dispositivos

de mano
Para configurar correctamente el IVE para que funcione con PDA y dispositivos
de mano, debe:

1. Habilitar acceso a nivel del sistema: Si desea admitir exploradores que no

sean los predeterminados que incluye el IVE, debe introducir las cadenas de
agente de usuario de los sistemas operativos del PDA y del dispositivo de mano
que desea admitir en la ficha System > Configuration > Client Types. Para
obtener más información, consulte “Definición de tipos de clientes” en la
página 1034. Para obtener una lista completa de exploradores de PDA y
dispositivos de mano compatibles con el IVE, consulte el documento Supported
Platforms publicado en el sitio Web de asistencia al cliente.

2. Evaluar sus roles de usuario y directivas de recursos: Dependiendo de

las características del IVE que habilite, puede que deba modificar los roles
existentes y las directivas de recursos para usuarios de PDA y dispositivos
de mano, o crear otros nuevos. Tenga en cuenta que:

„ Los usuarios de dispositivos móviles no pueden acceder a roles o directivas

que requieren Host Checker o Cache Cleaner debido a que los dispositivos
de mano generalmente no son compatibles con controles ActiveX, Java
o JavaScript de los cuales dependen estas características. Puede inhabilitar
estas opciones en las siguientes fichas:

‰ Users > User Roles > Rol > General > Restrictions

‰ Resource Policies > Web > Access > Web ACL> Directiva >
Detailed Rules

1032 „ Licencia: Disponibilidad de soporte para dispositivos de mano y PDA

 Capítulo 42: Dispositivos de mano y PDA

„ Los usuarios de dispositivos móviles pueden tener problemas al leer

nombres largos de roles en sus pequeñas pantallas. Si requiere que los
usuarios hagan una selección de una lista de roles al iniciar sesión, puede
ser recomendable que reduzca la extensión de los nombres de rol en la
ficha Users > User Roles > Rol > General > Overview.

„ Los usuarios de dispositivos móviles pueden tener problemas al leer

nombres largos de marcadores en sus pequeñas pantallas. Puede editar
los marcadores Web en las siguientes fichas:

‰ Users > Resource Profiles > Web Application Resource Profiles >
Perfil > Bookmarks

‰ Users > User Roles > Rol > Web > Bookmarks

‰ Resource Policies > Web > Access > Web ACL > Directiva >
General

„ Aunque las características avanzadas, como la exploración de archivos,

no son compatibles con PDA y dispositivos de mano, no es necesario que
las inhabilite en los roles y directivas de recursos que utilizan los usuarios
de dispositivos móviles. El IVE simplemente no muestra estas opciones
a este tipo de usuarios.

3. Evaluar a los usuarios de autenticación y autorización: El IVE es compatible

con los mismos servidores de autenticación y autorización para usuarios de
PDA y dispositivos de mano, como usuarios estándar, excepto el servidor de
directivas eTrust SiteMinder. SiteMinder depende de las cookies, que no son
compatibles con los exploradores de i-mode.

4. Evaluar los territorios: Dependiendo de las características del IVE que habilite,
quizás necesite modificar los territorios existentes para usuarios de PDA
y dispositivos de mano o crear otros nuevos. Tenga en cuenta que:

„ Los usuarios de dispositivos móviles no pueden acceder al IVE cuando

intentan iniciar sesión en un territorio que requiere Host Checker o Cache
Cleaner debido a que los dispositivos de mano generalmente no son
compatibles con controles ActiveX, Java o JavaScript de los cuales
dependen estas características. Puede inhabilitar estas opciones en las
subfichas de la página System > Configuration > Security.

„ Los usuarios de dispositivos móviles no se pueden autenticar con

respecto a un servidor eTrust SiteMinder. Puede escoger otro servidor
de autenticación para el territorio en la ficha Users > User Realms >
Territorio > General.

„ Los usuarios de dispositivos móviles pueden tener problemas al leer

nombres largos de territorios en sus pequeñas pantallas. Si requiere que
los usuarios hagan una selección de una lista de territorios al iniciar sesión,
puede ser recomendable que reduzca la extensión de los nombres de
territorios en la ficha Users > User Realms > Territorio > General.

Resumen de tareas: Configuración del IVE para PDA y dispositivos de mano „ 1033
 Guía de administración de Secure Access de Juniper Networks

5. Evaluar la directiva de inicio de sesión que va a usar: Si desea usar una

página de inicio de sesión para usuarios de Pocket PC, puede definirla en la
ficha Authentication > Signing In > Sign-in Pages creando una directiva
de inicio de sesión que se refiera a la página que usa las opciones de la ficha
Authentication > Signing In > Sign-in Policies. También, puede crear una
página personalizada de inicio de sesión con los archivos de plantillas Pocket
PC disponibles en sample.zip.

6. Especificar la intensidad permitida de encriptación: Diferentes tipos de

dispositivos permiten una encriptación con diferentes intensidades. Debe
especificar la intensidad de la encriptación en el IVE para que coincida con
el requisito de sus dispositivos. Por ejemplo, a menudo los teléfonos móviles
sólo aceptan una encriptación de 40 bits. Revise los requisitos de dispositivo
de usuarios finales y especifique la intensidad permitida de encriptación en
la ficha System > Configuration > Security.

Definición de tipos de clientes

La ficha Client Types le permite especificar los tipos de sistemas en que pueden
iniciar sesión sus usuarios y el tipo de páginas HTML que muestra el IVE cuando lo
hacen. Para obtener más información, consulte “Dispositivos de mano y PDA” en la
página 1031.

Para administrar los agentes de usuario:

1. En la consola de administración, seleccione System > Configuration >

Client Types.

2. Introduzca la cadena de agente de usuario que corresponde a los sistemas

operativos que desea admitir. Puede ser todo lo general o específico que desee.
Por ejemplo, puede usar el ajuste predeterminado del IVE de *DoCoMo* para
que se aplique a todos los sistemas operativos de DoCoMo o puede crear una
cadena, como DoCoMo/1.0/P502i/c10, que se aplique a un solo tipo de
sistema operativo DoCoMo. Puede usar los comodines * y ? en la cadena.
Tenga en cuenta que las cadenas de agentes del IVE no distinguen mayúsculas
ni minúsculas.

3. Especifique el tipo de HTML que el IVE debe mostrar a los usuarios que
inician sesión en el sistema operativo especificado en el paso anterior.
Las opciones son:

„ Standard HTML: El IVE muestra todas las funciones estándar de HTML,

como tablas, gráficos de tamaño completo, componentes de ActiveX,
JavaScript, Java, marcos y cookies. Ideal para exploradores estándar,
como Firefox, Mozilla e Internet Explorer.

„ Compact HTML (iMode): El IVE muestra las páginas de pantalla pequeña

compatibles con HTML. Este modo no admite cookies ni el procesamiento
de tablas, gráficos, componentes de ActiveX, JavaScript, Java, cadena de
VB o marcos. (La única diferencia entre esta opción y la opción de Smart
Phone HTML Basic es la interfaz de usuario.) Ideal para exploradores
de iMode.

1034 „ Definición de tipos de clientes

 Capítulo 42: Dispositivos de mano y PDA

NOTA: Form Post SSO no es compatible con dispositivos iMode.

„ Mobile HTML (Pocket PC): El IVE muestra páginas de pantalla pequeña

compatibles con HTML que contienen tablas, pequeños gráficos, JavaScript,
marcos y cookies, pero este modo no facilita el procesamiento de applets
Java ni de componentes ActiveX. Ideal para exploradores de Pocket PC.

„ Smart Phone HTML Advanced: El IVE muestra páginas de pantalla

pequeña compatibles con HTML que contienen tablas, pequeños gráficos,
marcos, cookies y algo de JavaScript, pero este modo no facilita el
procesamiento de applets Java, de componentes ActiveX ni de cadenas VB.
Ideal para exploradores de Treo y Blazer.

„ Smart Phone HTML Basic: El IVE muestra las páginas de pantalla pequeña
compatibles con HTML. Este modo no admite cookies ni el procesamiento
de tablas, gráficos, componentes de ActiveX, JavaScript, Java, cadena de VB
o marcos. (La única diferencia entre esta opción y la opción de Compact
HTML es la interfaz de usuario.) Ideal para exploradores de Opera en
Symbian.

NOTA: El IVE vuelve a escribir los hipervínculos con el fin de incluir la ID de sesión
en la URL en vez de usar cookies.

4. Especifique el orden en que desea que el IVE evalúe a los agentes de usuarios.
El IVE aplica la primera norma de la lista que coincida con el sistema del
usuario. Por ejemplo, puede crear las siguientes asignaciones de cadena
de agente de usuario o de tipo de HTML en el siguiente orden:

a. Cadena de agente de usuario: *DoCoMo* Asignada a: Compact HTML

b. Cadena de agente de usuario: DoCoMo/1.0/P502i/c10 Asignada a:

Mobile HTML

Si un usuario inicia sesión en el sistema operativo especificado en la segunda

línea, el IVE le mostrará páginas HTML compacto, que no es el HTML móvil
más sólido, debido a que esta cadena de agente de usuario coincide con el
primer elemento de la lista.

Para ordenar las asignaciones de la lista, marque la casilla de verificación junto

a un elemento, y use las flechas hacia arriba y hacia abajo para trasladarla al
lugar correcto de la lista.

5. Marque la casilla de verificación Enable password masking for Compact

HTML si desea enmascarar las contraseñas introducidas en iMode y otros
dispositivos que usen HTML compacto. (Los dispositivos que no usen HTML
compacto enmascaran las contraseñas aunque no se marque esta casilla de
verificación.) Tenga en cuenta que las contraseñas de los usuarios de iMode
contienen caracteres no numéricos; debe inhabilitar el enmascaramiento de
contraseñas debido a que los dispositivos iMode sólo permiten datos numéricos
en los campos estándar de contraseñas. Si inhabilita el enmascaramiento,
las contraseñas se siguen transmitiendo de forma segura, pero no se ocultan
en la pantalla del usuario.

Definición de tipos de clientes „ 1035

 Guía de administración de Secure Access de Juniper Networks

6. Haga clic en Save Changes.

NOTA: Para habilitar la compatibilidad de reescritura para teléfonos Vodafone,

introduzca Vodafone para la cadena de agente de usuario y seleccione HTML
compact como el tipo de cliente. Para conocer la compatibilidad del teléfono
KDDI, introduzca KDDI para la cadena de agente de usuario y seleccione HTML
compacto como el tipo de cliente.

Habilitación de WSAM en PDA

Al definir la protección de aplicaciones cliente o servidor a través de Windows
Secure Application Manager (WSAM) en dispositivos PDA, debe definir las
aplicaciones específicas a PDA a través de la página Users > User Roles >
Seleccionar rol > SAM > Applications > Add Application.

A continuación, encontrará una lista de algunos archivos ejecutables específicos

para PDA que puede querer habilitar para dispositivos PSA:

„ tmail.exe: Especifica la aplicación Pocket Outlook

El IVE admite los siguientes modos a través de Pocket Outlook:

„ S-IMAP/S-POP y S-SMTP

„ ActiveSync: Si los PDA admitidos a los que usted da acceso de Pocket

Outlook usan ActiveSync, debe comprobar que la dirección IP del servidor
de intercambio aparezca en la lista de hosts de destino definidos dentro
del rol de usuario.

„ mstsc40.exe: Especifica la aplicación Windows Terminal Services

„ iexplore.exe: Especifica la aplicación Pocket Internet Explorer

NOTA: Al usar una configuración de rol de WSAM existente, originalmente

configurada para usuarios de Windows PC a fin de proporcionar acceso a los
usuarios de PDA, compruebe que la lista de hosts de destino dentro del rol de
usuario no tenga más de 1500 bytes. Las listas muy grandes de hosts de destino
pueden bloquear el iniciador de WSAM en los dispositivos de PDA debido a las
restricciones de búfer de memoria.

Para los usuarios de Windows Mobile 5, WSAM agrega archivos de registro

al directorio \Program Files\Juniper Networks\WSAM\Log.

1036 „ Habilitación de WSAM en PDA

 Capítulo 42: Dispositivos de mano y PDA

Habilitación de Activesync
Gracias a Activesync, puede sincronizar datos entre un equipo de escritorio con
Windows y dispositivos de mano. El IVE se puede usar como proxy inverso que
permita a los usuarios sincronizar sus datos sin instalar una aplicación cliente
adicional, como WSAM, en sus dispositivos de mano. Para obtener más
información sobre el IVE como proxy inverso, consulte “Definición de directivas
de acceso sólo con autorización” en la página 215.

Tenga en cuenta lo siguiente:

„ Admite sólo Windows Mobile 5.0 y 6.0

„ Admite Exchange Server 2003 y 2007

„ NTLM y Basic Auth del servidor de intercambio son compatibles

„ HTTP y HTTPS entre el IVE y el servidor de intercambio son compatibles

„ Si el IVE se usa para OWA y Activesync, los nombres de host para el acceso
de OWA y Activesync deben ser diferentes

„ No se admite comprobación de punto final

Para configurar el IVE como proxy inverso para su uso con Activesync:

1. En la consola de administración, elija Authentication > Signing In >

Sign-in Policies.

2. Para crear una nueva directiva de acceso sólo con autorización, haga clic en
New URL y seleccione authorization only access. También puede editar una
directiva existente haciendo clic en una URL en la columna Virtual Hostname.

3. En el campo Virtual Hostname, introduzca el nombre que se asigna a la

dirección IP del IVE. El nombre debe ser único entre todos los nombres de
hosts virtuales usados en el modo del nombre de host del proxy pass-through.
El nombre de host se usa para acceder al servidor de intercambio introducido
en el campo Backend URL. No incluya el protocolo (por ejemplo, http:) en
este campo.

Por ejemplo, si el nombre de host virtual es myapp.ivehostname.com y la URL

backend es http://www.xyz.com:8080/, una petición a
https://myapp.ivehostname.com/test1 a través del IVE se convierte en una
petición a http://www.xyz.com:8080/test1. La respuesta de la petición
convertida se envía al explorador Web original que hizo la petición.

4. En el campo Backend URL, introduzca la URL para el servidor de intercambio.

Debe especificar el protocolo, nombre de host y puerto del servidor.
Por ejemplo, http://www.mydomain.com:8080/*.

Si las peticiones coinciden con el nombre de host del campo Virtual

Hostname, la petición se transforma en la URL especificada en el campo
Backend URL. El cliente es dirigido a la URL backend sin saberlo.

Habilitación de Activesync „ 1037

 Guía de administración de Secure Access de Juniper Networks

5. Introduzca texto en la opción Description de esta directiva (opcional).

6. Seleccione No Authorization en el menú desplegable Authorization Server.

7. Seleccione un rol de usuario en el menú desplegable Role Option.

Sólo las siguientes opciones de roles de usuario se aplican a Autosync.

„ Tiempo de espera de conexión de HTTP (Users > User Roles > Nombre
de rol > Web > Options > View advanced options)

„ Permitir exploración de sitios Web SSL no fiables (Users > User Roles >
Nombre de rol > Web > Options > View advanced options)

„ Restricciones de IP de origen (Users > User Roles > Nombre de rol >
General > Restrictions)

„ Restricciones de exploración (Users > User Roles > Nombre de rol >
General > Restrictions)

Para obtener más información sobre estas opciones de rol, consulte

“Configuración de opciones avanzadas de exploración web” en la página 419,
“Especificación de las restricciones de acceso de la dirección IP de origen” en la
página 60 y “Especificación de las restricciones de acceso para exploradores”
en la página 62.

8. Haga clic en Save Changes.

1038 „ Habilitación de Activesync

Parte 7
Información complementaria

Esta sección contiene los siguientes temas complementarios:

„ “Escritura de expresiones personalizadas” en la página 1041

También puede encontrar información complementaria acerca del IVE en

Juniper Networks Customer Support Center. Los documentos complementarios
del centro de ayuda incluyen:

„ Client-side Changes Guide: describe los cambios que producen en el equipo los
componentes de Juniper Installer Service, Host Checker, Cache Cleaner, Secure
Meeting, WSAM, JSAM, Network Connect, GINA, Windows Terminal Services
y Citrix Terminal Services. Los cambios descritos en este documento incluyen
nombres y ubicaciones de archivos que estos componentes instalan, los
cambios que efectúan en el registro y los archivos que permanecen tras realizar
desinstalación. El documento también muestra los privilegios que deben tener
los usuarios para instalar las distintas versiones de los componentes del lado
cliente del IVE.

„ IVE Content Intermediation Engine Best Practices: muestra los tipos de contenido
que admite IVE a través de su motor de intermediación de contenido, como
HTML, JavaScript, VBScript y Java. El documento también incluye pautas sobre
cómo crear páginas web y aplicaciones que el motor de intermediación de
contenido sea capaz de reescribir.

„ Network Connect and WSAM Error Messages: muestra los mensajes de error que
los usuarios finales pueden encontrar durante una sesión de Network Connect
o WSAM. El documento incluye, además, el identificador único de cada error,
su causa y la acción correspondiente que debería realizar el usuario.

„ Secure Access 6000 Field Replaceable Units Guide: describe cómo extraer
e instalar discos duros, unidades de energía y ventiladores en un chasis
de Secure Access 6000. Existen versiones traducidas de este documento.

„ Secure Access Quick Start Guide: describe cómo configurar los dispositivos
Secure Access 700, Secure Access 2000, Secure Access 4000, Secure Access
FIPS 4000, Secure Access 6000 y Secure Access FIPS 6000. Las instrucciones
de configuración incluyen cómo instalar el hardware en la red, inicializar el
software IVE mediante la consola serie y acceder a la consola de
administración. Existen versiones traducidas de este documento.

„ 1039
 Guía de administración de Secure Access de Juniper Networks

„ Secure Meeting Error Messages: muestra los mensajes de error que los
administradores de IVE podrían ver mientras configuran Secure Meeting,
los mensajes de error que los usuarios finales de IVE podrían ver mientras
crean una reunión y los mensajes de error que los usuarios cliente de la reunión
podrían ver mientras asisten a una reunión. El documento incluye, además,
el identificador único de cada error, su causa y la acción correspondiente que
debería realizar el usuario.

También puede descargar la versión PDF de esta guía de administración desde

Juniper Networks Customer Support Center. También existen versiones traducidas.

1040 „
Apéndice A
Escritura de expresiones personalizadas

Esta sección contiene los siguientes temas:

„ “Licencia: Disponibilidad de expresiones personalizadas” en la página 1041

„ “Expresiones personalizadas” en la página 1041

„ “Variables del sistema y ejemplos” en la página 1046

„ “Uso de variables del sistema en territorios, roles y directivas de recursos” en la

página 1054

Licencia: Disponibilidad de expresiones personalizadas

La característica de expresiones personalizadas es una característica avanzada que
no se encuentra disponible en el dispositivo SA 700.

Expresiones personalizadas
El IVE permite escribir expresiones personalizadas que se evalúan en las reglas de
asignación de roles, las directivas de recursos y las consultas de registro de filtros.
Una expresión personalizada es una combinación de variables que el IVE evalúa
como un objeto booleano verdadero, falso o de error. Las expresiones
personalizadas permiten administrar mejor el control de acceso a los recursos al
proporcionar un medio para especificar instrucciones complejas para la evaluación
de directivas y consultas de registro.

Puede escribir expresiones personalizadas en los siguientes formatos. Tenga en

cuenta que los elementos de estos formatos se describen con mayor detalle en la
tabla que aparece a continuación:

„ variable comparisonOperator variable

„ variable comparisonOperator simpleValue

„ variable comparisonOperator (simpleValue)

„ variable comparisonOperator (OR Values)

„ variable comparisonOperator (AND Values)

Licencia: Disponibilidad de expresiones personalizadas „ 1041

 Guía de administración de Secure Access de Juniper Networks

„ variable comparisonOperator (time TO time)

„ variable comparisonOperator (day TO day)

„ isEmpty (variable)

„ isUnknown (variable)

„ (CustomExpr)

„ NOT CustomExpr

„ ! CustomExpr

„ CustomExpr OR CustomExpr

„ CustomExpr || CustomExpr

„ CustomExpr AND CustomExpr

„ CustomExpr && CustomExpr

Los elementos usados en estos formatos de expresiones personalizadas se

describen en la siguiente tabla:

Tabla 61: Elementos de las expresiones personalizadas

variable Representa una variable del sistema. Un nombre de variable es una
cadena separada por puntos y cada componente puede contener
caracteres del conjunto [a-z A-Z 0-9_ ] pero no puede comenzar con
un dígito [0-9]. Los nombres de variable no distinguen mayúsculas
de minúsculas. Para conocer las variables del sistema que puede usar
en las reglas de asignación de roles y directivas de recursos, consulte
“Variables del sistema y ejemplos” en la página 1046.
Al escribir una expresión personalizada en un campo de consulta de
registro, deberá usar las variables de registro del sistema. Estas variables
se describen en Filter Variables Dictionary en la página Filter (ficha
System > Log/Monitoring > Events | User Access | Admin Access >
Filters > Seleccionar filtro).
Sintaxis de comillas para las variables:
El IVE admite la sintaxis de comillas para las variables de expresiones
personalizadas que le permiten usar cualquier carácter, excepto '.'
(punto) en un nombre de atributo. Para los caracteres de escape en un
nombre de atributo, coloque comillas a todo o parte del nombre de la
variable usando { } (llaves). Por ejemplo, estas expresiones son
equivalentes:
„ userAttr.{Login-Name} = 'xyz'
„ userAttr.Login{-}Name = 'xyz'
„ {userAttr.Login-Name} = 'xyz'
„ userA{ttr.L}{ogin-}Name = 'xyz'

1042 „ Expresiones personalizadas

 Apéndice A: Escritura de expresiones personalizadas

Tabla 61: Elementos de las expresiones personalizadas (continuación)

Caracteres de escape admitidos dentro de comillas:
\\ representa una \ (barra diagonal
inversa)
\{ representa una { (llave izquierda)
\} representa una } (llave derecha)
\hh representa un valor hexadecimal,
donde hh son dos caracteres de
[0-9A-Fa-f]
Ejemplos:
„ userAttr.{Tree Frog} = 'kermit'
„ userAttr.{Tree\20Frog} = 'kermit'

Notas:
„ No existe límite para el número de comillas que puede usar en el
nombre de una variable.
„ Puede usar la sintaxis de comillas con cualquier variable, no sólo las
variables userAttr.*.
„ Debe usar comillas de llaves sólo al escribir expresiones
personalizadas.
comparisonOperator es uno de las opciones siguientes:
= igual a: se usa con cadenas,
números y DN. Para obtener más
información, consulte “Variables y
funciones de DN” en la
página 1046.
!= no es igual a: se usa con cadenas,
números y DN. Para obtener más
información, consulte “Variables y
funciones de DN” en la
página 1046.
< menor que: se usa con números
<= menor o igual que: se usa con
números
> mayor que: se usa con números
>= mayor o igual que: se usa con
números

Expresiones personalizadas „ 1043

 Guía de administración de Secure Access de Juniper Networks

Tabla 61: Elementos de las expresiones personalizadas (continuación)

simpleValue es uno de las opciones siguientes:
„ cadena: cadena con comillas que puede contener comodines. Para
obtener más información, consulte “Coincidencia con comodines” en
la página 1045.
„ dirección IP: a.b.c.d
„ subred: a.b.c.d/subnetBitCount o a.b.c.d/netmask
„ número: número entero positivo o negativo
„ día: SUN MON TUE WED THU FRI SAT
Notas sobre las cadenas:
„ Una cadena puede contener todos los caracteres excepto <nl>
(nueva línea) y <cr> (retorno de carro).
„ Las cadenas pueden tener cualquier longitud.
„ Las comparaciones de cadenas no distinguen mayúsculas
de minúsculas.
„ Las cadenas pueden tener comillas simples o dobles. Una cadena con
comillas puede tener comodines, incluyendo el asterisco (*), el signo
de interrogación de cierre (?) y los corchetes ([ ]). Para obtener más
información, consulte “Coincidencia con comodines” en la
página 1045.
„ Las comparaciones variable comparisonOperator variable se evalúan
sin la coincidencia de comodín.
„ Use una barra diagonal inversa para salir de estos caracteres:
comilla simple (') — \'
comilla doble (") — \"
barra diagonal inversa (\) — \\
hexadecimal — \hh [0-9a-fA-F]
Nota sobre día:
Las comparaciones de día y hora se evalúan en el huso horario del IVE.
Los cálculos del rango de días (día TO día) comienzan con el primer día
y avanzan hasta llegar al segundo día. En los cálculos del rango de horas
(hora TO hora), el primer valor debe ser anterior al segundo valor. Sólo las
variables de hora se pueden comparar con valores de día y hora.
Las variables de hora son: time.* y loginTime.*.
time es la hora del día en alguno de los siguientes formatos:
„ HH:MM: 24 horas
„ HH:MMam: 12 horas
„ HH:MMpm: 12 horas
„ H:MM: 24 horas
„ H:MMam: 12 horas
„ H:MMpm: 12 horas
Las comparaciones de día y hora se evalúan en el huso horario del IVE.
Los cálculos del rango de días (día TO día) comienzan con el primer día y
avanzan hasta llegar al segundo día. En los cálculos del rango de horas
(hora TO hora), el primer valor debe ser anterior al segundo valor. Sólo
las variables de hora se pueden comparar con valores de día y hora.
Las variables de hora son: time.* y loginTime.*.
OR Valor es una cadena que contiene una o más comparaciones OR:
„ variable comparisonOperator (número OR número ...)
„ variable comparisonOperator (cadena OR cadena ...)

1044 „ Expresiones personalizadas

 Apéndice A: Escritura de expresiones personalizadas

Tabla 61: Elementos de las expresiones personalizadas (continuación)

AND Valor es una cadena que contiene una o más comparaciones AND
„ variable comparisonOperator (número AND número ...)
„ variable comparisonOperator (cadena AND cadena ...)

isEmpty es una función que toma un solo argumento de nombre de variable

(variable) y devuelve un valor booleano. isEmpty() es verdadero si la
variable se desconoce o tiene un valor de longitud cero, cadenas de
longitud cero y listas vacías.
Ejemplo: isEmpty(userAttr.terminationDate)
isUnknown es una función que toma un solo argumento de nombre de variable
(variable) y devuelve un valor booleano. isUnknown() es verdadero si
no se define la variable. Los atributos de usuario (userAttr.* variables)
se desconocen si el atributo no se define en LDAP o si falla la búsqueda
del atributo (por ejemplo, si el servidor LDAP no está disponible).
Ejemplo: isUnknown(userAttr.bonusProgram)
NOT, ! es el comparisonOperator de negación lógica. La expresión de negación
se evalúa como verdadera si la CustomExpr es falsa y se evalúa como
falsa si la customExpr es verdadera. Los operadores NOT, AND y OR se evalúan
desde la precedencia mayor a la menor en este orden: NOT (desde la derecha),
AND (desde la izquierda), OR (desde la izquierda).
OR, || es el operador lógico OR o ||, que son equivalentes. Los operadores NOT,
AND y OR se evalúan desde la precedencia mayor a la menor en este orden: NOT
(desde la derecha), AND (desde la izquierda), OR (desde la izquierda).
AND, && es el operador lógico AND o &&, que son equivalentes. Los operadores NOT,
AND y OR se evalúan desde la precedencia mayor a la menor en este orden: NOT
(desde la derecha), AND (desde la izquierda), OR (desde la izquierda).
CustomExpr es una expresión escrita en la sintaxis de expresiones personalizadas
(consulte la información anterior).

Coincidencia con comodines

Puede usar comodines dentro de una cadena con comillas. Los comodines
admitidos son:

„ asterisco (*): Un asterisco coincide con cualquier secuencia de cero o más

caracteres.

„ signo de interrogación (?): Un signo de interrogación coincide con cualquier

carácter (un solo carácter).

„ corchetes ([ ]): Los corchetes coinciden con un carácter de un rango de

posibles caracteres especificados entre los paréntesis. Dos caracteres separados
por un guión (-) coinciden con dos caracteres en el rango especificado y con los
caracteres que intervienen léxicamente. Por ejemplo, ‘dept[0-9]’ coincide con
las cadenas “dept0”, “dept1” y hasta “dept9”.

Para el escape de los caracteres comodines, colóquelos dentro de corchetes.

Por ejemplo, la expresión ' userAttr.x = "valor[*]" ' se evalúa como verdadera
si el atributo x es exactamente "valor*".

Expresiones personalizadas „ 1045

 Guía de administración de Secure Access de Juniper Networks

Variables y funciones de DN
Puede comparar un nombre completo (DN) con otro DN o con una cadena,
pero el IVE omite los comodines, espacios en blanco y mayúsculas o minúsculas.
Sin embargo, tenga presente que el IVE toma en consideración el orden de las
claves de DN.

Cuando el IVE compara una expresión con un DN o una cadena, convierte la

cadena en un nombre completo antes de evaluar la expresión. Si el IVE no
puede convertir la cadena debido a una mala sintaxis, se produce un error
en la comparación. Las variables de DN son:

„ userDN

„ certDN

„ certIssuerDN

El IVE también admite las comparaciones de sufijos de DN usando la función

matchDNSuffix. Por ejemplo:

matchDNSuffix (certDn, "dc=danastreet,dc=net")

Dentro de los paréntesis, el primer parámetro es el DN “completo” y el segundo

es el DN de sufijo. Puede usar una variable o cadena para cada parámetro. Tenga
en cuenta que el primer parámetro debe tener una o más claves que el segundo
(parámetros de sufijo). De lo contrario, si son iguales, es lo mismo que
<firstparam> = <secondparam>. Si el segundo parámetro tiene más claves,
matchDNsuffix devuelve un resultado falso.

Variables del sistema y ejemplos

La siguiente tabla indica y define las variables del sistema, entrega un ejemplo para
cada variable del sistema y proporciona una guía respecto de los lugares en que
puede usar las variables del sistema.

NOTA: Esta lista no incluye las variables que se usan en una consulta de filtro
o en un formato de exportación para un registro del sistema. Estas variables se
describen en Filter Variables Dictionary en la página Filter (ficha System >
Log/Monitoring > Events | User Access | Admin Access > Filters > Seleccionar
filtro).

1046 „ Variables del sistema y ejemplos


Tabla 62: Variables del sistema y ejemplos
Variable
authMethod
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
reglas de asignación de roles
cacheCleanerStatus
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
reglas de asignación de roles
certAttr.<cert-attr>
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
„ configuración LDAP
certAttr.altName.<Alt-attr>
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
„ configuración LDAP
Apéndice A: Escritura de expresiones personalizadas
Descripción Ejemplos
Tipo de método de autenticación usado para authMethod = ‘ACE Server’
autenticar a un usuario.
El estado de Cache Cleaner. Valores posibles: „ cacheCleanerStatus = 1
1: si está en funcionamiento „ cacheCleanerStatus = 0
0: si no lo está
Atributos de un certificado del lado cliente. certAttr.OU = 'Retail Products Group'
Algunos ejemplos de atributos certAttr son:
„ C: país
„ CN: nombre común
„ description: descripción
„ emailAddress: dirección de correo electrónico
„ GN: nombre dado
„ initials: iniciales
„ L: nombre de la localidad
„ O: organización
„ OU: unidad organizativa
„ SN: apellidos
„ serialNumber: número de serie
„ ST: estado o provincia
„ title: título
„ UI: identificador exclusivo
Use esta variable para comprobar que el cliente
del usuario tiene un certificado del lado cliente
con los valores especificados.
Valor de nombre alternativo del sujeto de un „ certAttr.altName.email =
certificado del lado cliente donde <Alt-attr> "joe@company.com"
puede ser: „ certAttr.altName.dirNameText =
"cn=joe, ou=company, o=com"
„ Email
„ certAttr.altName.ipAddress =
„ directoryName
10.10.83.2
„ DNS
„ URI
„ UPN
„ ipAddress
„ registeredId
Variables del sistema y ejemplos „ 1047
 Guía de administración de Secure Access de Juniper Networks

Tabla 62: Variables del sistema y ejemplos (continuación)

Variable Descripción Ejemplos

certAttr.serialNumber
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
„ configuración LDAP
Número de serie del certificado del cliente. „ certAttr.SerialNumber =
userAttr.certSerial
Tenga en cuenta que todos los caracteres
distintos de [0-9 a-f A-F] se desglosan de una „ certAttr.SerialNumber = "6f:05:45:ab"
cadena antes de la comparación con
certAttr.SN. Los comodines no son compatibles.

certDN DN de sujeto del certificado del cliente. „ certDN = 'cn=John

Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
reglas de asignación de roles
certDN.<subject-attr>
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
„ configuración LDAP
Los comodines no se permiten.
Cualquier variable del DN de sujeto del
certificado del cliente, donde subject-attr es el
nombre de la clave RDN.
Se usa para probar varios atributos de DN del
sujeto en un certificado x.509 estándar.
Harding,ou=eng,c=Company'
„ certDN = userDN (match the certificate
subject DN with the LDAP user DN)
„ certDN = userAttr.x509SubjectName
„ certDN = ('cn=John
Harding,ou=eng,c=Company' or
'cn=Julia Yount,ou=eng,c=Company')
„ certDN.OU = 'company'
„ certDN.E = 'joe@company.com'
„ certDN.ST = 'CA'

certDNText El DN de usuario del certificado del cliente se certDNText = 'cn=John

Disponible en: almacena como cadena. Sólo se permiten las Harding,ou=eng,c=Company'
comparaciones de cadenas para este valor.
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
reglas de asignación de roles
certIssuerDN DN de sujeto del emisor del certificado del „ certIssuerDN = 'cn=John
Disponible en: cliente. Esta variable funciona como un atributo Harding,ou=eng,c=Company'
de DN estándar como CertDN. Los comodines „ certIssuerDN = userAttr.x509Issuer
„ reglas de asignación de roles
no se permiten. „ certIssuerDN = ('ou=eng,c=Company'
„ reglas de directivas de recursos or 'ou=operations,c=Company')
reglas de asignación de roles
certIssuerDN.<issuer-attr> Cualquier variable del DN de sujeto del emisor „ certIssuerDN.OU = 'company'
Disponible en: del certificado del cliente, donde issuer-attr es „ certIssuerDN.ST = 'CA'
el nombre de la clave RDN.
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
reglas de asignación de roles
certIssuerDNText El DN de sujeto del emisor del certificado del certIssuerDNText = 'cn=John
Disponible en: cliente se almacena como cadena. Sólo se Harding,ou=eng,c=Company'
permiten las comparaciones de cadenas para
„ reglas de asignación de roles
este valor.
„ reglas de directivas de recursos
„ campos de parámetros de SSO
reglas de asignación de roles

1048 „ Variables del sistema y ejemplos

 Apéndice A: Escritura de expresiones personalizadas

Tabla 62: Variables del sistema y ejemplos (continuación)

Variable Descripción Ejemplos

defaultNTDomain
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
reglas de asignación de roles
group.<group-name>
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
reglas de asignación de roles
Nota: sólo estos grupos evaluados
para las reglas de asignación de
roles se encuentran disponibles en
las reglas detalladas (condiciones)
de las directivas de recursos.
Recomendamos que use la variable
groups en lugar de la variable
group.<group-name>, que sólo se
admite para compatibilidad con
versiones anteriores.
Contiene el conjunto de valores Dominio de la defaultNTDomain=”CORP”
configuración del servidor de autenticación del
IVE cuando usa una autenticación AD/NT.
La asociación de grupo del usuario según
la proporciona la autenticación de territorio
o servidor de directorio.
„ group.preferredPartner
„ group.goldPartner or
group.silverPartner
„ group.employees and time.month = 9
Ejemplos de combinación:
Permitir todos los socios con estado
activo de lunes a viernes, pero los
socios preferidos de lunes a sábado:
((group.partners and time = (Mon to Fri))
or
(group.preferredPartners and time = (Mon
to Sat))) and userAttr.partnerStatus =
'active'
Nota: los espacios no son compatibles,
como, group.sales managers

groups Lista de grupos según la proporciona la groups=('sales managers')

Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
reglas de asignación de roles
hostCheckerPolicy
Disponible en:
autenticación de territorio o servidor de
directorio.
NOTA: puede introducir cualquier carácter en
el nombre de grupo, aunque los caracteres
comodines no se admiten.
Directivas de Host Checker que el cliente hostCheckerPolicy = ('Norton' and
ha cumplido. 'Sygate') and cacheCleanerStatus = 1

„ reglas de asignación de roles

„ reglas de directivas de recursos
„ campos de parámetros de SSO
reglas de asignación de roles
loginHost Nombre de host o dirección IP que usa loginHost = 10.10.10.10
Disponible en: el explorador para contactar al IVE.
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
„ configuración LDAP

loginTime
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
reglas de asignación de roles
La hora del día en que el usuario envía sus „ loginTime = (8:00am)
credenciales al IVE. La hora está basada en „ loginTime= (Mon to Fri)
la hora del IVE.
NOTA: al usar esta variable en un campo de
parámetro SSO, la variable devuelve la hora
de cadena UNIX.

Variables del sistema y ejemplos „ 1049

 Guía de administración de Secure Access de Juniper Networks

Tabla 62: Variables del sistema y ejemplos (continuación)

Variable Descripción Ejemplos

loginTime.day
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
reglas de asignación de roles
loginTime.dayOfWeek
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
reglas de asignación de roles
loginTime.dayOfYear
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
reglas de asignación de roles
loginTime.month
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
reglas de asignación de roles
loginTime.year
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
reglas de asignación de roles
loginURL
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
El día del mes en que el usuario envía sus loginTime.day = 3
credenciales al IVE, donde day es 1-31.
La hora está basada en la hora del IVE.
Nota: no puede usar el operador TO con
esta variable.
El día de la semana en que el usuario envía sus „ loginTime.dayOfWeek = (0 OR 6)
credenciales al IVE, donde dayOfWeek está en el „ loginTime.dayOfWeek = (mon TO fri)
rango [0-6] donde 0 = Domingo. „ loginTime.dayOfWeek = (1)
Nota: el IVE no admite el operador TO con las „ loginTime.dayOfWeek = 5
expresiones time.dayOfWeek si usa números en
lugar de cadenas. Es decir,
“loginTime.dayOfWeek = (2 TO 6)” no funciona,
pero “loginTime.dayOfWeek = (mon to fri)” sí.
El día numérico del año en que el usuario envía loginTime.dayOfYear = 100
sus credenciales al IVE, donde dayOfYear se
puede configurar en [0-365].
Nota: no puede usar el operador TO con esta
variable.
El mes en que el usuario envía sus credenciales loginTime.month >= 4 AND
al IVE, donde month se puede configurar en loginTime.month <=9
[1-12] donde
1 = Enero.
Nota: no puede usar el operador TO con esta
variable.
El año en que el usuario envía sus credenciales loginTime.year = 2005
al IVE, donde year se puede configurar en
[1900-2999].
Nota: no puede usar el operador TO con esta
variable.
URL de la página a la que el usuario obtuvo loginURL = */admin
acceso para iniciar sesión en el IVE. El IVE
obtiene este valor de la columna Administrator
URLs|User URLs en la página Authentication
> Signing In > Sign-in Policies de la consola
de administración.

„ configuración LDAP

networkIf La interfaz de red en que se recibe la solicitud sourceIp = 192.168.1.0/24 and

del usuario. Valores posibles: internal, external networkIf = internal
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
reglas de asignación de roles
ntdomain El dominio NetBIOS NT usado en la ntdomain = jnpr
Disponible en: autenticación NT4 y Active Directory.
„ reglas de asignación de roles
„ campos de parámetros de SSO
reglas de asignación de roles

1050 „ Variables del sistema y ejemplos


Tabla 62: Variables del sistema y ejemplos (continuación)
Variable
ntuser
Disponible en:
„ reglas de asignación de roles
„ campos de parámetros de SSO
reglas de asignación de roles
password
password[1]
password[2]
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
reglas de asignación de roles
realm
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
reglas de asignación de roles
role
Disponible en:
„ reglas de directivas de recursos
„ campos de parámetros de SSO
sourceIP
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
reglas de asignación de roles
time
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
reglas de asignación de roles
Apéndice A: Escritura de expresiones personalizadas
Descripción
El nombre de usuario de NT usado en la
autenticación de Active Directory
La contraseña introducida por el usuario para el password = A1defo2z
servidor de autenticación primaria (password
y password[1]) o el servidor de autenticación
secundario (password[2]).
El nombre del territorio de autenticación
en que el usuario inició sesión.
Lista de todos los roles de usuario para
la sesión.
En el SSO, si desea enviar todos los roles a las
aplicaciones back-end, use <role sep = ";"> -
donde sep es la cadena de separación de varios
valores. El IVE admite todos los separadores
excepto “ y >.
La dirección IP del equipo en que se autentica
el usuario. Puede especificar una máscara de
red mediante el números de bits o en el
formato de la máscara de red: '255.255.0.0'.
Tenga en cuenta que puede evaluar la
expresión sourceIP con una variable de cadena
como un atributo LDAP.
La hora del día en que se evalúa la regla de
asignación de roles o la regla de directiva de
recursos. La hora del día puede expresarse en
formato de 12 ó 24 horas.
Ejemplos
ntuser = jdoe
Realm = ('GoldPartners' or
'SilverPartners')
Nota: la condición AND siempre
devolverá errores ya que un usuario
sólo puede iniciar sesión en un
territorio único de una sesión.
„ Role = ('sales' or 'engineering')
„ Role = ('Sales' AND 'Support')
„ sourceIP = 192.168.10.20
„ sourceIP = 192.168.1.0/24 and
networkIf internal
„ userAttr.dept = ('eng' or 'it') and
sourceIP = 10.11.0.0/16
„ sourceIP = 192.168.10.0/24 (Class C)
es lo mismo que:
sourceIP =
192.168.10.0/255.255.255.0
„ sourceIP=userAttr.sourceip
„ time = (9:00am to 5:00pm)
„ time = (09:00 to 17:00)
„ time = (Mon to Fri)
Ejemplos de combinación:
Permitir que los gerentes ejecutivos
y sus asistentes tengan acceso de
lunes a viernes:
userAttr.employeeType = ('*manager*'
or '*assistant*') and
group.executiveStaff and
time = (Mon to Fri)
Variables del sistema y ejemplos „ 1051
 Guía de administración de Secure Access de Juniper Networks
Tabla 62: Variables del sistema y ejemplos (continuación)
Variable
time.day
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
reglas de asignación de roles
time.dayOfWeek
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
reglas de asignación de roles
time.dayOfYear
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
reglas de asignación de roles
time.month
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
reglas de asignación de roles
time.year
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
reglas de asignación de roles
user
user[1]
user[2]
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
reglas de asignación de roles
username
username[1]
username[2]
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
reglas de asignación de roles
1052 „ Variables del sistema y ejemplos
Descripción Ejemplos
El día del mes en que el usuario envía sus loginTime.day = 3
credenciales al IVE, donde day es 1-31.
La hora está basada en la hora del IVE.
El día de la semana en que se evalúa la regla „ loginTime.dayOfWeek = (0 OR 6)
de asignación de roles o la regla de directiva „ loginTime.dayOfWeek = (1 to 5)
de recursos, donde dayOfWeek está en el rango „ loginTime.dayOfWeek = 5
[0-6], y donde 0 = Domingo.
El día del año en que se evalúa la regla de time.dayOfYear = 100
asignación de roles o la regla de directiva
de recursos. Los valores posibles son: 1-365.
El mes en que se evalúa la regla de asignación „ time.month >= 9 and time.month <=
de roles o la regla de directiva de recursos. Los 12 and time.year = 2004
valores posibles son: 1-12 „ group.employees and time.month = 9
El año en que se evalúa la regla de asignación time.year = 2005
de roles o la regla de directiva de recursos,
donde el año se puede configurar en
[1900-2999].
Nombre de usuario del IVE para el servidor „ user = 'steve'
de autenticación primario del usuario „ user = 'domain\\steve'
(user y user[1]) o el servidor de autenticación
secundario (user[2]). Se usa al autenticar en
un servidor, dominio o nombre de usuario
de Active Directory.
NOTA: al incluir un dominio como parte del
nombre de usuario, debe incluir dos barras
diagonales entre el dominio y el usuario.
Por ejemplo: user=’yourcompany.net\\joeuser’.
Nombre de usuario del IVE para el servidor de „ username = 'steve' and time = mon
autenticación primario del usuario (username „ username = 'steve'
y username[1]) o el servidor de autenticación „ username = 'steve*'
secundario (username[2]). Si el usuario inicia „ username = ('steve' or '*jankowski')
sesión en un servidor de autenticación de
certificados, entonces el nombre de usuario
en el IVE es el mismo que CertDN.cn.

Tabla 62: Variables del sistema y ejemplos (continuación)
Variable
userAgent
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
reglas de asignación de roles
userAttr.<auth-attr>
Disponible en:
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
reglas de asignación de roles
userDN
Disponible en:
„ reglas de directivas de recursos
reglas de asignación de roles
Descripción
La cadena agente de usuario del explorador.
Atributos de usuario recuperados de un
servidor de autenticación o de directorio LDAP,
RADIUS o SiteMinder.
El DN de usuario de un servidor LDAP. Si el
servidor LDAP autentica al usuario, este
DN pertenece al servidor de autenticación;
de lo contrario, el DN proviene del servidor
de directorio/atributos del territorio.
Los comodines no se permiten.
Apéndice A: Escritura de expresiones personalizadas
Ejemplos
La cadena agente de usuario del
explorador.
„ userAttr.building = ('HQ*' or
'MtView[1-3]')
„ userAttr.dept = ('sales' and 'eng')
„ userAttr.dept = ('eng' or 'it' or
'custsupport')
„ userAttr.division = 'sales'
„ userAttr.employeeType != 'contractor'
„ userAttr.salaryGrade > 10
„ userAttr.salesConfirmed >=
userAttr.salesQuota
Ejemplos negativos:
„ userAttr.company != "Acme Inc" or not
group.contractors
„ not (user = 'guest' or group.demo)
Ejemplos de combinación:
Permitir que los gerentes ejecutivos
y sus asistentes tengan acceso de
lunes a viernes:
userAttr.employeeType = ('*manager*'
or '*assistant*') and
group.executiveStaff and
time = (Mon to Fri)
Permitir todos los socios con estado
activo de lunes a viernes, pero los
socios preferidos de lunes a sábado:
((group.partners and time = (Mon to Fri))
or
(group.preferredPartners and time =
(Mon to Sat))) and
userAttr.partnerStatus = 'active'
„ userDN = 'cn=John
Harding,ou=eng,c=Company'
„ userDN = certDN
Variables del sistema y ejemplos „ 1053
 Guía de administración de Secure Access de Juniper Networks

Tabla 62: Variables del sistema y ejemplos (continuación)

Variable Descripción Ejemplos

userDN.<user-attr> Cualquier variable del DN del usuario, Cualquier variable del DN del usuario,
Disponible en: donde user-attr es el nombre de la clave RDN. donde user-attr es el nombre de la
clave RDN.
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
reglas de asignación de roles
userDNText DN de usuario almacenada como una cadena. userDNText = 'cn=John
Sólo se permiten las comparaciones de Harding,ou=eng,c=Company'
Disponible en:
cadenas para este valor.
„ reglas de asignación de roles
„ reglas de directivas de recursos
„ campos de parámetros de SSO
reglas de asignación de roles

Uso de variables del sistema en territorios, roles y directivas de

recursos
Puede usar las variables del sistema para definir atributos de territorio del usuario,
ajustes de roles y directivas de recursos. Usar las variables del sistema de este modo
le otorga flexibilidad para configurar dinámicamente algunos parámetros según los
atributos de LDAP u otra información disponible para el usuario:

Al especificar variables, use la sintaxis estándar de variables <variable> como

en <user> y <time>. (Para obtener una lista de variables del sistema, consulte
“Variables del sistema y ejemplos” en la página 1046.) Al agregar un atributo
a una variable, use la sintaxis <variable.atributo> como en <userAttr.SourceIP>
y <group.sales>.

El IVE permite el uso de variables del sistema al configurar los siguientes ajustes
de roles de usuario:

„ Web bookmarks: recurso con marcadores (URL real)

„ Windows/NFS File bookmarks: recurso de archivos (servidor, recurso

compartido o ruta)

„ Telnet/SSH: nombre de host

„ JSAM: servidores Exchange, nombres de host personalizados de servidor cliente

„ WSAM: nombres de host e IP/máscaras de red

„ Terminal Services: hosts de aplicaciones

„ UI Options\Custom Welcome Text: el mensaje de saludo puede contener

cualquier variable del sistema

1054 „ Uso de variables del sistema en territorios, roles y directivas de recursos

 Apéndice A: Escritura de expresiones personalizadas

NOTA: Puede usar la variable de sustitución <USER> en las ACL de páginas Web,
telnet, archivos, SAM. No puede usar la variable en ACL de Network Connect.

Esta sección contiene la siguiente información sobre las variables del sistema en
territorios, roles y directivas de recursos:

„ “Uso de atributos de varios valores” en la página 1055

„ “Especificación de los atributos de búsqueda en un territorio” en la página 1057

„ “Especificación del atributo homeDirectory para LDAP” en la página 1057

Uso de atributos de varios valores

Los atributos de varios valores (atributos que contienen dos o más valores)
proporcionan un método cómodo de definir recursos que se amplían a varios
marcadores individuales en la página de marcadores de los usuarios.

Por ejemplo, suponga que el directorio LDAP del usuario contiene el atributo de
varios valores HomeShares: \\Srv1\Sales;\\Srv2\Marketing. Cuando configure la
definición del recurso compartido del archivo de Windows usando el atributo de
varios valores HomeShares, \\<userAttr.HomeShares>, el usuario verá dos
marcadores:

„ \\Srv1\Sales

„ \\Srv2\Marketing

Ahora supongamos que el directorio LDAP del usuario contiene un segundo atributo
de varios valores definido como HomeFolders: Folder1;Folder2;Folder3. Cuando
configure el recurso compartido del archivo de Windows usando los atributos de
varios valores, \\<userAttr.HomeShares>\<userAttr.HomeFolders>, el usuario verá
los siguientes seis marcadores:

„ \\Srv1\Sales\Folder1

„ \\Srv1\Sales\Folder2

„ \\Srv1\Sales\Folder3

„ \\Srv2\Marketing\Folder1

„ \\Srv2\Marketing\Folder2

„ \\Srv2\Marketing\Folder3

La única excepción a esta funcionalidad se presenta cuando la variable incluye una

cadena de separador explícita. En este caso, sólo un marcador que contiene varios
recursos aparece en la página de marcadores de los usuarios.

Usted especifica la cadena de separador en la definición de variable usando la

sintaxis sep=’cadena’ donde cadena equivale al separador que desea usar. Por
ejemplo, para especificar como separador un punto y coma, use la sintaxis
<variable.Attr sep=';'>.

Uso de variables del sistema en territorios, roles y directivas de recursos „ 1055

 Guía de administración de Secure Access de Juniper Networks

Use la siguiente sintaxis para tratar atributos de varias variables. Tenga en cuenta
que la <variable> se refiere a una variable de sesión como <userAttr.name>
o <CertAttr.name>:

„ <variable[Index]>: Los índices se especifican de varias formas. Por ejemplo, si el

número total de valores para un índice determinado es 5 y desea especificar
todo el rango de valores, debe usar <variable[ALL]>. Si desea especificar sólo el
cuarto valor, use <variable[4]>.

„ <variable> Es lo mismo que <variable[ALL]>

„ <variable sep='str'> y <variable[All] sep='str'>: Estas definiciones de variables

siempre se refieren a un valor de cadena único con todos los tokens expandidos
con cadenas de separador entre los valores.

NOTA: Los nombres de variables no pueden contener espacios.

Especificación de atributos de varios valores en un nombre de marcador

Otro caso común del uso de los atributos de varios valores se presenta cuando
incluye una variable en un nombre de marcador y en una URL o campo de servidor
de archivos/recurso compartido.

Por ejemplo, nuevamente suponga que el directorio LDAP del usuario contiene el
atributo de varios valores HomeShares: \\Srv1\Sales;\\Srv2\Marketing. Cuando
configure la definición del recurso compartido del archivo de Windows usando el
atributo de varios valores HomeShares, \\<userAttr.HomeShares>, y usa el mismo
atributo en el campo de nombre del marcador, <userAttr.HomeShares>, el IVE
creará dos marcadores:

„ Srv1\Sales este marcador apunta a \\Srv1\Sales

„ Srv2\Marketing este marcador apunta a \\Srv2\Marketing

Esto no crea una situación en la que al final se tenga el siguiente conjunto

de condiciones:

„ Srv1\Sales este marcador apunta a \\Srv1\Sales

„ Srv1\Marketing este marcador apunta a \\Srv1\Marketing (error)

„ Srv2\Sales este marcador apunta a \\Srv1\Sales (error)

„ Srv2\Marketing este marcador apunta a \\Srv2\Marketing

1056 „ Uso de variables del sistema en territorios, roles y directivas de recursos

 Apéndice A: Escritura de expresiones personalizadas

Especificación de los atributos de búsqueda en un territorio

Para facilitar la compatibilidad con varios ajustes parametrizados en los roles
de usuario y directivas de recursos, puede especificar “atributos de búsqueda”
adicionales. El IVE almacena los atributos de búsqueda cuando el usuario inicia
sesión para que pueda usarlos en las definiciones de rol parametrizado o directiva
de recursos.

El IVE extrae todos los atributos actualmente almacenados en el catálogo de

servidores para el servidor de autenticación del usuario o LDAP de autorización.
Por lo tanto, asegúrese de agregar los atributos de usuario de LDAP que se usan
en las definiciones de directivas de recursos o roles en el primer catálogo de
servidores LDAP.

Cuando un usuario inicia sesión, el IVE recupera los atributos del usuario a los
que se hace referencia en las reglas de asignación de roles más todos los atributos
adicionales a los que se hace referencia en el catálogo de servidores y almacena
todos estos valores. Tenga en cuenta que esto no debería aumentar
significativamente el gasto de procesamiento porque todos los atributos del usuario
se recuperan en una sola consulta.

NOTA: Cuando sustituye variables, como en IP/máscaras de red, nombres de host,

etc., los valores de la sesión se convierten adecuadamente en el tipo de datos que
requiere la definición particular de la aplicación.

Especificación del atributo homeDirectory para LDAP

Puede crear un marcador que se asigne automáticamente al directorio principal
de LDAP de un usuario. Para ello, puede usar el atributo LDAP homeDirectory.
Debe configurar un territorio que especifique la instancia del servidor LDAP como
su servidor de autenticación, y debe configurar las reglas de asignación de roles que
apuntan al atributo homeDirectory de LDAP. Para obtener más información, consulte
“Creación de marcadores de Windows que se asignan a servidores LDAP” en la
página 475.

Uso de variables del sistema en territorios, roles y directivas de recursos „ 1057

 Guía de administración de Secure Access de Juniper Networks

1058 „ Uso de variables del sistema en territorios, roles y directivas de recursos

Índice
A roles ........................................................................906
Access Series FIPS
documentación complementaria ...........................1039
Access Series FIPS, Consulte Secure Access FIPS
Access-Accept, atributo de RADIUS .................................153
Access-Challenge, atributo de RADIUS ............................154
Access-Reject, atributo de RADIUS..................................154
Access-Request, atributo de RADIUS ...............................154
acción, componente de directiva de recursos .................103
Accounting-Request, atributo de RADIUS ........................154
Accounting-Response, atributo de RADIUS......................154
Acct-Authentic, atributo de RADIUS ........................152, 154
Acct-Delay-Time, atributo de RADIUS..............................154
Acct-Input-Gigawords, atributo de RADIUS......................154
Acct-Input-Octets, atributo de RADIUS ....................153, 154
Acct-Input-Packets, atributo de RADIUS ..........................154
Acct-Interim-Interval, atributo de RADIUS.......................154
Acct-Link-Count, atributo de RADIUS ......................152, 154
Acct-Multi-Session-Id, atributo de RADIUS...............152, 154
Acct-Output-Gigawords, atributo de RADIUS ...................154
Acct-Output-Octets, atributo de RADIUS .................153, 154
Acct-Output-Packets, atributo de RADIUS........................154
Acct-Session-Id, atributo de RADIUS .......................152, 154
Acct-Session-Time, atributo de RADIUS...................152, 154
Acct-Status-Type, atributo de RADIUS......................152, 155
Acct-Terminate-Cause, atributo de RADIUS .............152, 155
Acct-Tunnel-Connection, atributo de RADIUS..................155
Acct-Tunnel-Packets-Lost, atributo de RADIUS.................155
ACE/Server, Consulte servidor de autenticación, ACE/Server
acelerador gzip .............................................................1026
ACL, Consulte perfiles de recursos, directivas automáticas
ACS, Consulte servicio de confirmación de usuarios
Active Directory, Consulte servidor de autenticación,
Active Directory
Activesync ....................................................................1037
actualización
complemento de evaluación de la seguridad
de puntos finales..................................................307
paquete de actualización .........................................721
actualización automática, WSAM ....................................507
administración de acceso, restricciones, especificación ....74
administración delegada
información general ................................................899
administrador
administrador de usuarios
Consulte usuario, administradores de usuarios
cuenta de usuario, creación .....................................901
cuenta superadministrador, creación.......................993
privilegios................................................................322
definición ...................................................69, 899
Consulte también roles
tarjeta, Consulte Secure Access FIPS, tarjeta de
administrador
territorios.................................................................906
Consulte también territorios
administrador de la seguridad.........................................906
administrador raíz, configuración ...................................926
ajustes de autenticación, para usuarios ...................301, 338
ajustes de la red
configuración...........................................706, 708, 993
inicial.......................................................................702
alias de IP
activación, Consulte puerto virtual
definición ................................................................711
alias de IP de origen basados en roles.............................942
allowclipboard
parámetro................................................................611
almacenamiento en caché
almacenamiento en caché temporal ........................403
archivos Citrix ICA...................................................403
archivos de medios..................................................402
archivos de secuencias multimedia..........................403
archivos Lotus iNotes...............................................437
archivos OWA..................................................437, 456
archivos PDF ...........................................................403
archivos Power Point...............................................403
archivos QuickPlace.................................................403
archivos zip .............................................................402
configuración
directivas automáticas......................................401
directivas de recursos.......................................433
información general .........................................387
opciones generales ...........................................438
credenciales
Consulte SSO
encabezados............................................................403
imágenes .................................................................438
prevención ..............................................................403
proxy web ...............................................................458
apagar el IVE...................................................................720
aplicación
cachés, eliminación .........................................256, 331
proporcionar acceso seguro a ............................28, 344
Consulte también Secure Application Manager
aplicación Notes, Consulte Lotus Notes
aplicaciones “passthrough”, Consulte WSAM, ajustes de rol,
aplicaciones que se pasan por alto
Índice „ 1059
Guía de administración de Secure Access de Juniper Networks
aplicaciones de 16 bits ................................................... 323
aplicaciones publicadas .................................................. 594
aplicaciones publicadas, Consulte Citrix, aplicaciones
publicadas
applets de Java
applet de Citrix, entrega a los usuarios .................... 361
firmado
configuración ................................... 366, 405, 441
información general......................................... 441
recomendación de reescritura.......................... 445
habilitar
a través de opciones web ................................. 419
a través de proxy passthrough ......................... 390
Consulte también directivas de control
de acceso a Java
hospedados
carga en el IVE ................................................. 347
caso se uso Citrix JICA 8.0................................ 357
creación de una página Web ............................ 349
firma automática.............................................. 348
información general................................. 345, 346
información general de la configuración .......... 346
licencias ........................................................... 345
mejoramiento del rendimiento ........................ 346
perfiles de recursos .......................................... 350
restricciones..................................... 348, 350, 355
vinculación de un servidor externo .................. 349
Consulte marcadores, applets de Java hospedados
applets de Java hospedados
Consulte applets de Java, hospedados
applets, Consulte applets de Java
Applications to deny, opción........................................... 327
ARAP-Challenge-Response, atributo de RADIUS.............. 153
ARAP-Features, atributo de RADIUS................................ 153
ARAP-Password, atributo de RADIUS .............................. 153
ARAP-Security, atributo de RADIUS ................................ 153
ARAP-Security-Data, atributo de RADIUS........................ 153
ARAP-Zone-Access, atributo de RADIUS.......................... 153
archivado FTP, definición................................................ 825
archivar, definición ......................................................... 825
archiveFileTransferFailed, objeto MIB ............................. 838
archiveServerLoginFailed, objeto MIB ............................. 838
archiveServerUnreachable, objeto MIB............................ 838
archivo
comprobación, configuración.................................. 279
estadísticas de acceso.............................................. 840
URL, reescritura ...................................................... 421
archivo de configuración
ACL y marcadores, exportación .............................. 792
cuentas de usuario locales, exportación .................. 789
cuentas de usuario locales, importación .......... 790, 791
sistema, exportación ............................................... 788
sistema, importación............................................... 788
archivo de hosts, Consulte etc/archivo de hosts
archivos Adobe PDF, Consulte archivos PDF
archivos CAB, intemediación mediante el IVE ................ 348
archivos de medios, almacenamiento en caché .............. 402
archivos de Windows, directivas de recursos .................. 477
archivos doc, almacenamiento en caché......................... 437
1060 „ Índice
archivos Excel, almacenamiento en caché ......................437
archivos ICA, almacenamiento en caché.........................403
archivos JAR, intemediación mediante el IVE .................348
archivos PDF
almacenamiento en caché.......................403, 437, 438
reescritura de vínculos.............................................421
archivos Power Point, almacenamiento en caché....403, 437
archivos PPT, almacenamiento en caché.................403, 437
archivos QuickPlace, almacenamiento en caché .............403
archivos TAR, intemediación mediante el IVE .................348
archivos temporales, eliminación............................256, 331
archivos txt, almacenamiento en caché ..................437, 438
archivos Word, almacenamiento en caché ......................437
archivos xls, almacenamiento en caché ..........................437
archivos zip
almacenamiento en caché...............................402, 437
intermediación mediante el IVE ..............................348
ARP
caché, configuración................................................715
comando .................................................................993
tiempo de espera de ping, configuración.........707, 709
artefacto .........................................................................190
perfiles ............................................................187, 193
Consulte también SAML, artefacto
asignación de unidades, habilitar ....................................410
asociación de grupo
LDAP .......................................................................202
recuperación ...........................................................111
variables de expresión personalizada ....................1049
AssertionHandle .............................................................190
atributos
configuración ..........................................................201
autenticación básica
directivas automáticas .............................................398
directivas de recursos ..............................................426
información general ................................................387
Consulte también SSO
autenticación de cliente SOAP ........................................193
autenticación de RADIUS Access-Accept .........................145
autenticación de RADIUS Access-Challenge ....................145
autenticación de RADIUS Access-Reject ..........................145
autenticación de RADIUS Access-Request .......................145
autenticación de Windows NT, Consulte servidor de
autenticación, Active Directory
authMethod, variable de expresión personalizada.........1047
authServerName, objeto MIB ..........................................835
ayuda, contactar a soporte técnico ................................ xxvi
ayuda, modificar.............................................................222
B
barra de direcciones, vista para usuarios finales .............414
barra de herramientas, vista para usuarios finales ..........414
base de datos, autenticación, Consulte servidor de
autenticación
bitmapcaching
parámetro ...............................................................611
blockedIP, objeto MIB .....................................................835
blockedIPList, objeto MIB................................................836
bmname, parámetro.......................................................610

C certificado de CA
caché
complemento de Java..............................................778
eliminación .....................................................256, 331
Cache Cleaner
ajustes de seguridad de SiteMinder..........................177
cambios en claves de registro................................1039
información general ................................................331
registro, inhabilitar ..................................319, 340, 841
restricciones ..........................................................1031
variable de expresión personalizada......................1047
cacheCleanerStatus, variable de expresión
personalizada ............................................................1047
cadena de motivos, para corrección de IMV/IMC
cadena de motivos ..................................................303
cadena de motivos, para corrección IMV/IMC .................288
Callback-Id, atributo de RADIUS .....................................155
Callback-Number, atributo de RADIUS ............................155
Called-Station-Id, atributo de RADIUS .............................155
Calling-Station-Id, atributo de RADIUS ............................155
cambios en claves de registro .......................................1039
campo giaddr .................................................................954
canal de reenvío de puerto, Consulte WSAM, canal de
reenvío de puerto
captura de SNMP iveFanNotify........................................839
captura de SNMP
iveMaxConcurrentUsersVirtualSystem.........................839
captura de SNMP ivePowerSupplyNotify .........................839
captura de SNMP iveRaidNotify ......................................839
captura de SNMP ocspResponderUnreachable ................839
capturas
configuración ..........................................................834
definición ................................................................825
carga de applets de Java, Consulte applets de Java,
hospedados
CDP, Consulte punto de distribución de CRL
certAttr.altName.Alt-attr, variable de expresión
personalizada ............................................................1047
certAttr.cert-attr, variable de expresión
personalizada ............................................................1047
certAttr.serialNumber, variable de expresión
personalizada ............................................................1048
certDN, variable de expresión personalizada ................1048
certDN.subject-attr, variable de expresión
personalizada ............................................................1048
certDNText, variable de expresión personalizada..........1048
certificado
advertencias, mostrar..............................................421
ajustes de seguridad de SiteMinder..........................177
atributos, configuración...........................................201
autofirma ................................................................751
certificado comodín, definido..................................757
certificado de applet
definición .........................................................749
importar...........................................................778
Índice
carga en el IVE .................................................759
definición .........................................................750
habilitación de la comprobación de CRL...........769
renovación .......................................................764
verificación.......................................................771
visualización de detalles ...................................776
certificado de dispositivo
asociación con puerto virtual............................757
creación de una CSR.........................................754
definición .........................................................749
descargar..........................................................754
exportación existente .......................................752
importación de CSR..........................................755
importación existente...............................752, 755
importación renovada ......................................753
varios certificados, habilitación ................751, 756
certificado de equipo
comprobación usando Host Checker ................282
configuración ...................................................763
información general .........................................758
Consulte también
certificado, certificado CA, cargar al IVE
Host Checker, certificado de equipo
certificado de firma de código
Consulte certificado, certificado de applet
certificado del lado cliente
definición .........................................................749
SiteMinder........................................................163
certificado del servidor, definido .............................749
certificado intermedio, definido...............................759
clave
exportación existente .......................................752
importación existente...............................752, 755
CRL
habilitar............................................................769
visualización de detalles ...................................764
formatos compatibles ..............................751, 758, 775
JavaSoft ...................................................................777
jerarquía
analizado..................................................755, 767
definición .........................................................759
lista de revocación
analizado..........................................................768
definición .........................................................759
MS Authenticode .....................................................777
recomendación de Secure Meeting ..........................643
requisitos de seguridad, definición ............................65
restricciones, configuración .................................53, 54
revocación, definida ................................................759
SAML .......................................................................250
servidor Consulte servidor de autenticación,
servidor de certificados
solicitud de firma
creación ...........................................................754
importación del certificado a partir de..............755
importar ...........................................................755
variables de expresión personalizada ....................1047
Índice „ 1061
Guía de administración de Secure Access de Juniper Networks
certificado Authenticode de Microsoft............................. 777
certificado comodín, definido......................................... 757
certificado de CA, Consulte certificado, certificado de CA
certificado de firma de código, Consulte certificado,
certificado de applet
certificado de JavaSoft .................................................... 777
certificado digital
Consulte también certificado
definición ................................................................ 749
certificado encadenado, Consulte certificado,
certificado intermedio
certificado intermedio, Consulte certificado,
certificado intermedio
certificados IVE, Consulte certificados, certificados
del dispositivo
certIssuerDN, variable de expresión personalizada ....... 1048
certIssuerDN.issuer-attr, variable de expresión
personalizada............................................................ 1048
certIssuerDNText, variable de expresión
personalizada............................................................ 1048
CHAP-Challenge, atributo de RADIUS ............................. 155
CHAP-Password, atributo de RADIUS.............................. 155
cHTML
contraseñas, enmascaramiento............................. 1035
información general .............................................. 1031
páginas, habilitar................................................... 1034
CIE
Consulte
Motor de intermediación de contenido
web, reescritura
cifrados SSL, selección.................................................... 735
Citrix
aplicaciones publicadas, acceso....................... 363, 364
archivos, almacenamiento en caché........................ 403
compatibilidad de CSG ............................................ 364
compatibilidad de NFuse
JSAM ................................................................ 530
plantillas Web .................................................. 365
compatibilidad de WSAM ................................ 499, 502
conexión a dispositivos locales
impresoras ....................................................... 590
puertos............................................................. 590
unidades .......................................................... 590
configuración de puertos................................. 363, 364
experiencia del usuario ................................... 363, 364
interfaz Web para MPS, compatibilidad .................. 365
marcadores, configuración ...................................... 369
modificaciones de archivos de host......................... 364
perfiles de recursos ................................................. 361
plantilla Web
configuración ................................................... 365
información general......................................... 361
Consulte también
applets de Java, hospedados
Terminal Services
Class, atributo de RADIUS............................................... 155
clave ............................................................................... 752
entorno de seguridad, Consulte Secure Access FIPS,
clave del entorno de seguridad
privada, Consulte clave privada
1062 „ Índice
clave privada
administración ......................................................1011
importar ..........................................................752, 755
clientPort, parámetro......................................................609
clúster
activo/activo ............................................................879
figura................................................................880
visión general de la implementación ................879
activo/pasivo ...........................................................877
figura................................................................878
visión general de la implementación ................877
actualización ...........................................................887
administrar......................................................875, 886
cambio de la IP del nodo .........................................898
compatibilidad con ACE/Server ...............................118
configuración ..................................................869, 871
contabilidad de RADIUS ..........................................151
contraseña...............................................................881
datos del sistema.....................................................720
eliminación .............................................................888
estado definido........................................................889
inicialización ...................................................869, 870
integración ..............................................................874
modificación de propiedades...........................883, 888
nombres de host .....................................................704
registro............................................................881, 882
reinicio, rearranque, apagado..................................720
restricción de Secure Meeting..................................628
sincronización .................................................869, 881
sincronización de estado .........................................881
clúster activo/pasivo, Consulte clúster, activo/pasivo
clúster activo/pasivo, Consulte clúster, activo/pasivo
clusterConcurrentUsers, objeto MIB ................................836
colorDepth, parámetro ...................................................610
comando ping ................................................................993
Command window, opción .............................................326
compartir, definir directivas de recursos .................467, 477
compatibilidad con ACE/Server esclavo...........................118
compatibilidad con bloqueo de nombre .........................118
compatibilidad con búsqueda de referencias ..................131
compatibilidad con CASQUE, Consulte servidor de
autenticación, RADIUS
compatibilidad con Defender, Consulte servidor de
autenticación, RADIUS
compatibilidad con el modo Nuevo PIN ..........................117
compatibilidad con el modo Siguiente token ..................117
compatibilidad con encriptación DES/SDI.......................118
compatibilidad con Exchange Server ..............................651
compatibilidad con HP OpenView ..................................825
compatibilidad con MAPI........................................647, 649
compatibilidad con Outlook............................648, 649, 650
compatibilidad con Outlook Express...............................648
compatibilidad con PassGo Defender, Consulte servidor
de autenticación, RADIUS
compatibilidad con protocolo de acceso a mensajes
en Internet ..................................................................647
compatibilidad con steelbelted-RADIUS, Consulte
servidor de autenticación, RADIUS

compatibilidad con Windows
certificados..............................................................777
JSAM........................................................................524
compatibilidad de Norton AntiVirus, WSAM............496, 497
Complemento de evaluación de la seguridad de
puntos finales, actualización........................................307
compresión
ajustes del sistema ..................................................411
compresión GZIP, restricción...................................403
directivas automáticas
archivo .............................................................469
web ..................................................................411
directivas de recursos ..............................................387
UNIX/NFS .........................................................488
web ..................................................................454
Windows ..........................................................481
comprobación de los ajustes de registro,
configuración ..............................................................280
comprobación de procesos, configuración ......................278
conectividad, prueba ......................................................720
conferencias, consulte Secure Meeting
configuración de la sesión de SSH, Consulte Telnet/SSH
configuración de la sesión de Telnet, Consulte Telnet/SSH
configuración de NTLM
directivas automáticas .............................................398
directivas de recursos ..............................................426
información general ................................................387
servidor Active Directory .........................................114
configuración de NTLM
Consulte también SSO
configuración, sistema de actualización ......................... xxvi
configuraciones avanzadas .............................................885
configuraciones del IVS
exportar ..................................................................959
importar ..................................................................959
configuraciones Network Healthcheck
(comprobación del estado de la red) ...........................885
Configuration-Token, atributo de RADIUS .......................155
conmutación por error....................................................878
connectComPorts
parámetro ...............................................................611
connectDrives, parámetro...............................................610
Connect-Info, atributo de RADIUS...................................155
connectPrinters, parámetro ............................................610
consola serie
inicialización de un equipo con Secure Access
FIPS ...................................................................1012
uso para tareas de sistema ......................................987
consola web, página principal.........................................717
contraseña
administración
LDAP................................................................133
RADIUS ............................................................148
servidor de autenticación local .................138, 141
SiteMinder........................................................167
ajustes de seguridad de SiteMinder..........................177
en archivo XML .......................................................796
encriptada ...............................................................796
memoria caché, configuración ..................................78
Índice
para usuarios nuevos ...............................................796
parámetro................................................................610
pasar a otra aplicación
Consulte SSO
requisitos de seguridad, definición ............................66
texto sin formato .....................................................796
variable de expresión personalizada......................1051
verificación Consulte servidor de autenticación
control de caché, Consulte almacenamiento en caché,
configuración
Control panel, opción......................................................326
controlador LSP, Consulte WSAM, controlador LSP
controlador TDI, Consulte WSAM, controlador TDI
convenciones de texto definidas .................................... xxvi
convenciones definidas
iconos..................................................................... xxvi
texto ....................................................................... xxvi
cookie de SMSESSION, Consulte servidor de autenticación,
SiteMinder
cookies
bloqueo ...........................................................408, 448
eliminación al término de la sesión .........................736
envío a aplicaciones.................................388, 401, 431
incluido en la dirección URL ....................................736
persistentes
habilitar............................................................420
restricción ........................................................496
corrección
cadena de motivos ..................................................288
configuración...........................................................306
información general ................................................303
Send Reason Strings, seleccionar opción .................288
correo
estadísticas de uso más altas ...................................840
servidores, configuración.........................................652
correos electrónicos de notificación, Secure Meeting,
consulte Secure Meeting, correos electrónicos
correos electrónicos, Secure Meeting, consulte Secure
Meeting, correos electrónicos
cortafuegos
compatibilidad de WSAM ........................................497
uso con Cache Cleaner ............................................337
cortafuegos personal GreenBow, compatibilidad
de WSAM ....................................................................497
cortafuegos personales
uso con Cache Cleaner ............................................337
cpuUtilNotify, objeto MIB ................................................839
creador de la reunión, Consulte Secure Meeting
CRL base
definición ................................................................768
Consulte también CRL
CRL, Consulte certificado, lista de revocación
CSR
creación...................................................................754
importación del certificado a partir de.....................755
importar ..................................................................755
CSS, reescritura...............................................................444
cuenta superadministrador, creación...............................993
Custom applications, opción ...........................................326
Índice „ 1063
Guía de administración de Secure Access de Juniper Networks
D directivas de encabezados/cookies
datos persistentes, definidos........................................... 881
datos transitorios, definidos............................................ 881
declaración de autenticación, definida............................ 235
declaración de decisión de autorización, definida........... 236
declaraciones.................................................................. 190
declaraciones de atributos, restricciones......................... 236
defaultNTDomain, variables de expresión
personalizada............................................................ 1049
defensa en el punto final
Consulte también Host Checker
información general ................................................ 255
Desktop Persistence, opción ........................................... 325
desktopbackground
parámetro ............................................................... 611
desktopcomposition
parámetro ............................................................... 612
DHCP
configuración de la compatibilidad.......................... 954
giaddr...................................................................... 954
servidores admitidos, Network Connect .................. 676
DHCP centralizado.......................................................... 954
dirección IP
ajustes de seguridad de SiteMinder ......................... 177
asignación de Network Connect .............................. 661
configuración .......................................... 706, 707, 709
definir en directivas de
recursos............................... 104, 105, 467, 477, 486
especificación de los requisitos de usuario ................ 60
nodo........................................................................ 898
para el puerto externo..................................... 706, 708
resolución ............................................................... 716
restricciones.......................... 61, 63, 66, 301, 338, 765
restricciones de inicio de sesión del usuario ............ 338
dirección MAC, configuración de los requisitos en la
directiva de Host Checker ........................................... 282
direcciones de bucle invertido,
JSAM ........................................... 410, 520, 522, 537, 542
direcciones IP de origen de alias, Consulte IP de origen,
dirección, alias
directiva de acceso sólo con autorización ....... 178, 181, 215
directiva de control de conexiones, selección
como opción de Host Checker .................................... 263
directiva, seguimiento .................................................... 854
directivas
Consulte directivas
Consulte también directivas de autenticación
Consulte también directivas de inicio de sesión
directivas automáticas, véase perfiles de recursos,
directivas automáticas
directivas de autenticación
configuración .................................................. 198, 199
definición .......................................................... 52, 195
directivas de control acceso a Java
directivas automáticas............................................. 404
directivas de recursos.............................................. 439
información general ................................................ 387
directivas de control de acceso, Consulte perfiles de recursos,
directivas automáticas
1064 „ Índice
configuración ..........................................................431
información general ................................................388
directivas de recursos
administrar......................................................907, 908
archivo
compresión ......................................................488
compresión para Windows...............................481
control de acceso para Windows......................478
información general .........................................101
SSO de Windows..............................................479
UNIX/NFS .........................................................485
Windows..........................................................476
archivos de Windows ..............................................477
definición ............................................................49, 54
Email Client.............................................................102
evaluación ...............................................................106
exportación .....................................................804, 808
importar ..................................................................802
información general ................................................101
Network Connect.....................................101, 102, 655
Secure Application Manager ....................................101
servidor ...................................................................104
Telnet/SSH...............................................................101
definición .........................................................560
información general .........................................559
información general de la configuración ..........552
opciones generales...........................................561
Terminal Services ....................................................102
web .........................................................101, 385, 422
acceso a Java....................................................387
almacenamiento en caché........................387, 433
autenticación básica .........................................426
compresión web.......................................387, 454
control de acceso web..............................386, 424
controles de acceso a Java................................439
firma de código Java.........................................441
iniciar JSAM......................................................387
NTLM ...............................................................426
opciones generales...................................388, 462
parámetros ActiveX..........................................450
personalización de vistas..................................463
protocolo..........................................................388
protocolo HTTP 1.1 ..........................................459
proxy passthrough ...........................................446
proxy web................................................387, 456
reescritura........................................................387
reescritura selectiva..........................................443
SSO ..........................................................387, 425
SSO remoto......................................................429
diskFullPercent, objeto MIB.............................................836
dispositivo de licencia SA-700
reescritura de archivos ............................................465
dispositivos de mano
compatibilidad de WSAM ..............493, 504, 726, 1036
habilitar.......................................................1032, 1034
información general ..............................................1031
restricciones ..........................................................1032
DMZ, interfaz..........................................................706, 708

DNS
configuración para proxy passthrough.............389, 391
nombre de host, definición en directivas
de recursos ..........................................................105
para el puerto externo .....................................706, 708
resolución de nombre, configuración ......................704
servidor de aplicaciones ..........................................918
DoD 5220.M ...................................................................321
dominio NT, Consulte servidor de autenticación,
Active Directory
Domino Web Access 6.5, restricción ...............................403
DST, cumplimiento .........................................................642
DTD, reescritura..............................................................445
E configuración de opciones de usuarios finales .........418
EAP-Message, atributo de RADIUS ..................................155
elementos de secuencia..................................................797
elementos, instancia .......................................................795
Email Client
configuración ..........................................................652
directivas de recursos ..............................................102
información general ................................................647
objeto MIB ...............................................................835
restricciones ..........................................................1031
emuladores de terminal 5250, intermediación
de tráfico con ..............................................................347
Enable Custom Actions, opción...............................306, 329
Enable Custom Instructions, opción................................329
encriptación
cifrados SSL personalizados.....................................735
contraseñas .............................................................796
descripción................................................................27
intensidad ...............................................................735
Encriptación AES
compatibilidad ........................................................118
encriptación AES
clave........................................................................327
encriptación de 128 bits .................................................735
encriptación de 168 bits .................................................735
enmascaramiento
contraseñas en HTML compacto............................1035
nombres de host .....................................................418
enmascaramiento de nombres de host ...........................418
entorno de seguridad
Consulte Secure Access FIPS, entorno de seguridad
información general ..............................................1012
equilibrio de carga
Citrix
configuración ...................................................569
información general .........................................568
uso del equilibrador de carga en un clúster .............879
espacios de nombres, XML .............................................797
estadísticas, visualización................................................840
estándar de saneamiento................................................321
Índice
etc/archivo hosts
cambia a
realizado por Host Checker ..............................578
realizado por JSAM ...........................................364
realizado por Network Connect ........................656
realizado por Terminal Services................364, 578
restricciones ............................................................578
etiqueta de final, XML .....................................................795
etiqueta de inicio, XML ...................................................795
etiqueta vacía, XML.........................................................795
eTrust, Consulte servidor de autenticación, SiteMinder
evaluación de directivas dinámicas .................................316
evaluación dinámica de directivas.............................57, 197
exploración
opciones, especificación de archivos ...............476, 485
exploración de archivos NetBIOS, compatibilidad
de WSAM ............................................................499, 502
explorador
ajustes de seguridad de SiteMinder..........................177
barra de direcciones, vista para usuarios finales ......414
barra de herramientas, vista ....................................414
restricciones de inicio de sesión, usuario ...................63
restricciones, configuración .......................................62
seguimiento de petición, configuración .....................78
exportar ..........................................................................959
exportar ajustes de red ...................................................804
expresiones personalizadas
coincidencia de comodines....................................1045
formatos................................................................1041
funciones
isEmpty ................................................1042, 1045
isUnknown ...........................................1042, 1045
matchDNSuffix ...............................................1046
información general ..............................................1041
licencias.................................................................1041
operadores de comparación
AND ...........................................1041, 1042, 1045
definición .......................................................1043
NOT .....................................................1042, 1045
OR....................................1041, 1042, 1044, 1045
TO ..................................................................1042
uso
configuraciones en LDAP................................1047
en campos de parámetros de SSO..................1047
en directivas de recursos ......................1047, 1054
en filtros de registro .......................................1042
en marcadores de Terminal Services ..............1054
en marcadores de Windows ...........................1054
en marcadores Web .......................................1054
en nombres de host de Telnet/SSH.................1054
en nombres de host JSAM ..............................1054
en nombres de host WSAM ............................1054
en opciones de UI y texto personalizado ........1054
en reglas de asignación de roles .....................1047
en roles ..........................................................1054
en territorios ..................................................1054
general .............................................................202
valores, definidos ..................................................1044
Índice „ 1065
Guía de administración de Secure Access de Juniper Networks
variables
authMethod.................................................... 1047
cacheCleanerStatus ........................................ 1047
certAttr.altName.Alt-attr................................. 1047
certAttr.cert-attr ............................................. 1047
certAttr.serialNumber..................................... 1048
certDN ................................................. 1046, 1048
certDN.subject-attr ......................................... 1048
certDNText .................................................... 1048
certIssuerDN ........................................ 1046, 1048
certIssuerDN.issuer-attr.................................. 1048
certIssuerDNText ........................................... 1048
contraseña ..................................................... 1051
defaultNTDomain........................................... 1049
group.group-name ......................................... 1049
groups............................................................ 1049
hostCheckerPolicy.......................................... 1049
información general....................................... 1042
loginHost........................................................ 1049
loginTime....................................................... 1049
loginTime.day ................................................ 1050
loginTime.dayOfWeek ................................... 1050
loginTime.dayOfYear ..................................... 1050
loginTime.month ........................................... 1050
loginTime.year ............................................... 1050
loginURL ........................................................ 1050
networkIf ....................................................... 1050
ntdomain ....................................................... 1050
ntuser ............................................................ 1051
rol .................................................................. 1051
sintaxis de comillas........................................ 1042
sourceIP ......................................................... 1051
territorio ........................................................ 1051
time ..................................................... 1044, 1051
time.day......................................................... 1052
time.dayOfWeek ............................................ 1052
time.dayOfYear.............................................. 1052
time.month .................................................... 1052
time.year ....................................................... 1052
userAgent....................................................... 1053
userAttr.auth-attr............................................ 1053
userDN................................................. 1046, 1053
userDN.user-attr............................................. 1054
userDNText.................................................... 1054
username....................................................... 1052
usuario ........................................................... 1052
variables y funciones de DN .................................. 1046
externalAuthServerUnreachable, objeto MIB ................... 838
F
fanDescription, objeto MIB ............................................. 837
FAT16 ............................................................................. 325
FAT32 ............................................................................. 325
fecha y hora, ajustes....................................................... 847
Federal Information Processing Standards, Consulte
Secure Access FIPS
ficha de rutas.................................................................. 715
fichas, rutas .................................................................... 715
fileName, objeto MIB ...................................................... 835
Filter-Id, atributo de RADIUS .......................................... 155
1066 „ Índice
FIPS, Consulte Secure Access FIPS
firmas de virus
comprobación de la antigüedad ..............................280
Flash
permitir ...................................................................420
reescritura ...............................................................445
fontsmoothing
parámetro ...............................................................612
formato canónico
configuración de archivo .................................477, 486
configuración web ...................................................422
información general ................................103, 477, 486
Telnet/SSH...............................................................560
formato de archivo de registro estándar .........................833
formato de archivo de registro W3C ...............................833
formato de archivo de registro WELF..............................833
Framed-AppleTalk-Link, atributo de RADIUS ...................155
Framed-AppleTalk-Network, atributo de RADIUS ............155
Framed-AppleTalk-Zone, atributo de RADIUS ..................155
Framed-Compression, atributo de RADIUS .....................155
Framed-IP-Address, atributo de RADIUS .................152, 155
Framed-IP-Netmask, atributo de RADIUS........................155
Framed-IPv6-Pool, atributo de RADIUS ...........................156
Framed-IPv6-Route, atributo de RADIUS.........................156
Framed-IPX-Network, atributo de RADIUS ......................156
Framed-MTU RADIUS, atributo de RADIUS.....................156
Framed-Pool, atributo de RADIUS ...................................156
Framed-Protocol, atributo de RADIUS.............................156
Framed-Route, atributo de RADIUS.................................156
Framed-Routing, atributo de RADIUS..............................156
función de la expresión personalizada
isEmpty...........................................................1042, 1045
función de la expresión personalizada
isUnknown......................................................1042, 1045
fusión permisiva
información general ..................................................71
Secure Meeting........................................................638
G
GINA
Consulte Network Connect
grabación de sesiones de usuario ...................................855
gráficos
configuración ..........................................................844
resultado de XML ....................................................718
group.groupname, variable de expresión
personalizada............................................................1049
groups, variable de expresión personalizada .................1049
GZIP, compresión, Consulte compresión, GZIP
H
habilitar caché de instrumentación de Java.....................723
hoja de trabajo de la configuración de IVS ......................924
hora y fecha, ajustes .......................................................847
horario de verano, cumplimiento....................................642
Host Check nativo, Consulte Host Checker
Host Checker
actualización automática .........................................318
ajustes de seguridad de SiteMinder..........................177
cambios en claves de registro................................1039

certificado de equipo
configuración ...................................................282
Consulte también certificado, certificado del equipo
información general .........................................758
comprobación de frecuencia ...................................314
corrección
configuración ...................................................306
información general .........................................303
desinstalación..................................................300, 338
directiva de control de conexiones ..........................263
directivas.................................................................261
ejecución .........................................................299, 336
especificación de restricciones
información general .........................................261
nivel de directivas de recursos .................109, 299
nivel de rol ...............................................298, 302
nivel de territorio .....................................298, 301
información general ................................................257
instalador
directorio .................................................300, 338
habilitar............................................................302
información general .................................316, 339
interfaz de integración del servidor
habilitar............................................................296
registro, inhabilitar ..................................319, 340, 841
requisitos de la medición de integridad ...................277
restricciones ..........................................................1031
variables de expresión personalizada ....................1049
host, definición en directivas de recursos .......................105
host, parámetro ..............................................................609
hostCheckerPolicy, variable de expresión
personalizada ............................................................1049
HSM, Consulte Secure Access FIPS
HTC, reescritura..............................................................445
HTML
almacenamiento en caché...............................437, 438
reescritura ...............................................................444
HTTP
directivas de recursos ..............................................388
directivas de recursos de protocolo .........................459
tiempo de espera de conexión, configuración .........421
HTTPBrowserAddress, parámetro ...................................568
I tarjeta, Consulte Secure Access FIPS, tarjeta de
iconos de avisos definidos ............................................. xxvi
iconos definidos, aviso................................................... xxvi
Idle-Timeout, atributo de RADIUS ...................................156
IE Explorer, ejecución de JVM .........................................777
IE/Outlook extensions to allow, opción............................327
imágenes instantáneas, creación ............................785, 994
imágenes, almacenamiento en caché .............................438
IMAP
compatibilidad ........................................647, 649, 651
servidor de correo ...................................................652
IMC e IMV, vista general..................................................257
iMode, Consulte dispositivos de mano
importar .........................................................................959
IMV de terceros, configuración........................................289
Índice
información general de la base de información de
administración ............................................................825
información general de MIB............................................825
informes .........................................................................961
infraestructura de claves públicas, definida .....................749
inicio automático
JSAM........................................................................387
Network Connect.....................................................672
Terminal Services ............................................580, 589
inicio de sesión
directivas
cambio de orden ..............................................220
configuración ...........................................214, 217
definición .................................................211, 214
evaluación ........................................................219
habilitar............................................................219
inhabilitar.........................................................219
opciones, restricciones de usuario .............63, 301, 338
páginas
asignación a directivas de inicio
de sesión ..............................................214, 218
definición .........................................................220
estándar ...........................................................220
exportación ......................................................806
personalizados .................................................220
propiedades.............................................................939
tareas de administración, delegación.......................903
inicio de sesión en IVS ....................................................941
inicio de sesión único
Consulte SAML
Consulte SSO
iNotes, Consulte Lotus Notes
instalación, contactar a soporte técnico para obtener
asistencia ................................................................... xxvi
instalador para secuencia de comandos, Consulte WSAM,
instaladores.................................................................495
instaladores, descarga .....................................................725
Instant Virtual Extranet, Consulte IVE
integridad referencial......................................................797
inteligente
almacenamiento en caché, Consulte almacenamiento
en caché, configuración
inteligentes, consulte dispositivos de mano
administrador
interacción IDP, habilitación............................................978
intermediación
definición ..................................................................25
Consulte también web, reescritura
Internet Explorer, Consulte IE Explorer
IP de origen
alias ...........................................................................75
basado en rol.............................................................75
dirección..................................................................943
dirección, alias...........................................................75
restricciones, configuración .................................53, 54
ipEntry, objeto MIB .................................................836, 837
ipIndex, objeto MIB.........................................................837
ipValue, objeto MIB .........................................................837
IVE, definición ..................................................................25
Índice „ 1067
Guía de administración de Secure Access de Juniper Networks
iveAppletHits, objeto MIB ............................................... 836
iveClusterChangedVIPTrap.............................................. 839
iveClusterDelete.............................................................. 839
iveClusterDisableNodeTrap ............................................. 839
iveConcurrentUsers, objeto MIB...................................... 836
iveCpuUtil, objeto MIB .................................................... 835
iveDiskFull, objeto MIB ................................................... 838
iveDiskNearlyFull, objeto MIB ......................................... 838
iveFileHits, objeto MIB .................................................... 836
iveLogFull, objeto MIB .................................................... 837
iveLogNearlyFull, objeto MIB .......................................... 837
iveMaxConcurrentUsersSignedIn, objeto MIB ................. 837
iveMemoryUtil, objeto MIB ............................................. 835
iveNCHits, objeto MIB..................................................... 836
iveNetExternalInterfaceDownTrap .................................. 839
iveNetInternalInterfaceDownTrap ................................... 839
iveReboot, objeto MIB..................................................... 838
iveRestart, objeto MIB..................................................... 838
iveSAMHits, objeto MIB................................................... 836
iveShutdown, objeto MIB ................................................ 838
iveStart, objeto MIB ........................................................ 838
iveSwapUtil, objeto MIB.................................................. 836
ivetermHits, objeto MIB .................................................. 836
iveTooManyFailedLoginAttempts, objeto MIB .................. 838
iveTotalHits, objeto MIB .................................................. 836
iveWebHits, objeto MIB................................................... 836
IVS.................................................................................. 915
aprovisionamiento .................................................. 927
archivado ................................................................ 786
inicio de sesión ....................................................... 941
sistema virtual......................................................... 937
ivsName, objeto MIB....................................................... 837
J loginHost, variable de expresión personalizada ............1049
Javascript, reescritura ..................................................... 444
JCP, habilitación .............................................................. 738
JSAM
cambios en claves de registro................................ 1039
directivas automáticas..................................... 407, 410
directivas de recursos.............................................. 387
información general ........................................ 491, 517
inicio automático..................................................... 387
mensajes de contabilidad de
inicio/detención ........................................... 151, 153
restricciones............................................................ 368
uso de expresiones personalizadas en nombres
de host .............................................................. 1054
uso para configurar Citrix................................ 367, 368
Consulte también Secure Application Manager
JVM
compatibilidad con Sun y Microsoft ........................ 348
firma de applets ...................................................... 777
requisitos del certificado ......................................... 441
requisitos, JSAM ...................................................... 528
trabajo con versiones incompatibles ....................... 390
K
Keep-Alives, atributo de RADIUS..................................... 156
Kill Processes, opción ..................................................... 329
1068 „ Índice
L
LAN, modificación de los ajustes de la red ..............706, 708
LDAP
asignación de marcadores de Windows a................475
licencia de recuperación ante desastres
Consulte modo de emergencia.................................730
licencia en caso de emergencia
Consulte modo de emergencia
licencia ICE
Consulte modo de emergencia.................................730
licencia SA-700
applets de Java hospedados.....................................345
reescritura web........................................................384
Telnet/SSH...............................................................552
licencia SA700
servidores de autenticación .....................................112
licencias
actualización ...........................................................732
creación ..................................................................730
información general ................................................727
límites, restricciones .........................................................67
limpieza de archivos ...............................................256, 331
Linux
compatibilidad a través de JSAM .............................524
compatibilidad a través de Terminal Services..........363
restricción de Secure Meeting..................................628
lista de control de acceso (ACL), exportación ..................792
lista de revocación de certificados, Consulte certificado,
lista de revocación
localhost, resolver servidor remoto .................................517
logDescription, objeto MIB..............................................837
logFullPercent, objeto MIB ..............................................835
logID, objeto MIB ............................................................837
Login-IP-Host, atributo de RADIUS..................................156
Login-LAT-Group, atributo de RADIUS .............................156
Login-LAT-Node, atributo de RADIUS...............................156
Login-LAT-Port, atributo de RADIUS.................................156
Login-LAT-Service, atributo de RADIUS............................156
Login-Service, atributo de RADIUS ..................................156
Login-TCP-Port, atributo de RADIUS................................156
loginTime, variable de expresión personalizada ............1049
loginTime.day, variable de expresión
personalizada.day .....................................................1050
loginTime.dayOfWeek, variable de expresión
personalizada............................................................1050
loginTime.dayOfYear, variable de expresión
personalizada............................................................1050
loginTime.month, variable de expresión
personalizada............................................................1050
loginTime.year, variable de expresión personalizada.....1050
loginURL custom, variable de expresión
personalizada............................................................1050
logMessageTrap, objeto MIB............................................838
logName, objeto MIB ......................................................836
logType, objeto MIB ........................................................837

Lotus Notes
archivos, almacenamiento en caché........................437
compatibilidad ................................................647, 651
compatibilidad de WSAM ................................499, 502
información general ................................................528
marcadores, configuración ......................................373
perfiles de recursos .................................................371
M definir en directivas de recursos ..............................105
Macintosh
compatibilidad
JSAM ................................................................524
Terminal Services.............................................363
restricción de Secure Meeting..................................628
mantenimiento
modo, Secure Access FIPS.....................................1013
tareas, delegación....................................................903
máquina virtual de Java, Consulte JVM
marcadores
applets de Java hospedados
atributos requeridos .........................................354
definición .................................................352, 416
información general .........................................349
información general de la configuración ..........346
parámetros requeridos .....................................356
restricciones.....................................................350
vinculación a la consola del IVE........................349
archivo
creación mediante perfiles de recursos ....467, 471
creación mediante roles ...........473, 474, 483, 484
restricciones.....................................................471
Citrix
creación mediante perfiles de recursos ............369
propiedades predeterminadas..................369, 373
Consulte también Citrix
exportación .............................................................792
expresiones personalizas en ..................................1054
Lotus Notes
creación mediante perfiles de recursos ............373
Consulte también Lotus Notes
Microsoft OWA
creación mediante perfiles de recursos ............377
propiedades predeterminadas..........................377
Consulte también Microsoft OWA
proxy passthrough...................................................391
Sharepoint
creación mediante perfiles de recursos ............381
Consulte también Sharepoint
Telnet/SSH...............................................................557
creación mediante perfiles de recursos ............554
creación mediante roles ...................................557
información general de
la configuración ....................................552, 556
web
creación mediante perfiles
de recursos ...................................394, 412, 415
creación mediante roles ...................................416
habilitar para los usuarios
finales...................................386, 414, 417, 418
Índice
información general .................................412, 415
información general de la configuración...........384
propiedades predeterminadas ..................393, 394
restricciones .............................................412, 413
SSO ..................................................................427
máscara de red
configuración...........................................706, 707, 709
definición de los requisitos de usuario .......................60
para el puerto externo .....................................706, 708
McAfee, compatibilidad de WSAM ..................................496
Meeting Series, consulte Secure Meeting
meetingCount, objeto MIB ..............................................836
meetingHits, objeto MIB..................................................836
meetingLimit, objeto MIB................................................838
meetingUserCount, objeto MIB .......................................835
meetingUserLimit, objeto MIB.........................................838
memorias caché del complemento de Java .....................778
memUtilNotify, objeto MIB..............................................839
mensajes de error
modificación............................................................221
Secure Meeting ........................................................644
mensajes de registro críticos, definidos...........................825
mensajes de registro graves, definidos ............................825
mensajes de registro informativos, definidos ..................826
mensajes de registro leves, definidos ..............................825
mensajes de texto, Consulte Secure Meeting,
mensajes de texto
métrica ...........................................................................935
Mic .................................................................................379
Microsoft JVM, Consulte JVM
Microsoft Outlook
Consulte Microsoft OWA
Consulte Outlook
Consulte Pocket Outlook
Consulte Secure Meeting, complemento de Outlook
Microsoft OWA
almacenamiento en caché de
archivos OWA ..............................................437, 456
información sobre compatibilidad ...........................651
marcadores, configuración ......................................377
perfiles de recursos..................................................375
Mobile Notes, acceso ....................................................1031
modo de emergencia
activación ................................................................734
desactivación...........................................................734
información general ................................................730
modo de inicialización, Secure Access FIPS...................1013
modo operativo, Secure Access FIPS .............................1013
módulo criptográfico
Consulte Secure Access FIPS
definición ..............................................................1012
módulo de seguridad de hardware, Consulte
Secure Access FIPS
Motor de intermediación de contenido
documentación complementaria ...........................1039
información general ..................................28, 344, 383
motor de intermediación de contenido
Consulte también web, reescritura
Mozilla, compatibilidad, Safari, compatibilidad...............736
Índice „ 1069
Guía de administración de Secure Access de Juniper Networks
MS Exchange
compatibilidad ........................................................ 649
compatibilidad con protocolos ................................ 647
MS-Acct-Auth-Type, atributo de RADIUS.......................... 156
MS-Acct-EAP-Type, atributo de RADIUS .......................... 156
MS-ARAP-Challenge, atributo de RADIUS........................ 156
MS-ARAP-Password-Change-Reason, atributo
de RADIUS .................................................................. 156
MS-BAP-Usage, atributo de RADIUS ................................ 157
MS-CHAP2-CPW, atributo de RADIUS ............................. 157
MS-CHAP2-Response, atributo de RADIUS...................... 157
MS-CHAP2-Success, atributo de RADIUS......................... 157
MS-CHAP-Challenge, atributo de RADIUS........................ 157
MS-CHAP-CPW-1, atributo de RADIUS ............................ 157
MS-CHAP-CPW-2, atributo de RADIUS ............................ 157
MS-CHAP-Domain, atributo de RADIUS .......................... 157
MS-CHAP-Error, atributo de RADIUS ............................... 157
MS-CHAP-LM-Enc-PW, atributo de RADIUS ..................... 157
MS-CHAP-MPPE-Keys, atributo de RADIUS ..................... 157
MS-CHAP-NT-Enc-PW, atributo de RADIUS...................... 157
MS-CHAP-Response, atributo de RADIUS........................ 157
MS-Filter, atributo de RADIUS ......................................... 157
MS-Link-Drop-Time-Limit, atributo de RADIUS ............... 157
MS-Link-Utilization-Threshold, atributo de RADIUS......... 157
MS-MPPE-Encryption-Policy, atributo de RADIUS............ 157
MS-MPPE-Encryption-Types, atributo de RADIUS............ 157
MS-MPPE-Recv-Key, atributo de RADIUS......................... 157
MS-MPPE-Send-Key, atributo de RADIUS ........................ 157
MS-New-ARAP-Password, atributo de RADIUS ................ 157
MS-Old-ARAP-Password, atributo de RADIUS.................. 158
MS-Primary-DNS-Server, atributo de RADIUS.................. 158
MS-Primary-NBNS-Server, atributo de RADIUS................ 158
MS-RAS-Vendor, atributo de RADIUS............................... 158
MS-RAS-Version, atributo de RADIUS.............................. 158
MS-Secondary-DNS-Server, atributo de RADIUS .............. 158
MS-Secondary-NBNS-Server, atributo de RADIUS ............ 158
MTU, configuración ........................................ 707, 708, 709
MySecureMeeting
integración
información general......................................... 633
N operador de comparación de la expresión
NAS, Consulte servidor de autenticación, RADIUS, NAS
NAS-Identifier, atributo de RADIUS ......................... 152, 158
NAS-IP-Address, atributo de RADIUS....................... 152, 158
NAS-Port, atributo de RADIUS................................. 152, 158
NAS-Port-Id, atributo de RADIUS .................................... 158
NAS-Port-Type, atributo de RADIUS ................................ 158
nclauncher.exe................................................................ 694
NCP optimizado, habilitación.......................................... 738
NCP, habilitación............................................................. 738
NetBIOS, configuración de los requisitos en la
directiva de Host Checker ........................................... 281
Netscape
compatibilidad con correo....................................... 650
compatibilidad con Messenger ................................ 648
ejecución de JVM..................................................... 777
servidor Web........................................................... 752
1070 „ Índice
Network Connect............................................................954
agrupación ..............................................................694
cambios en claves de registro................................1039
directivas de recursos ..............................101, 102, 655
figura.......................................................................661
información general ........................................234, 655
iniciador ..................................................................694
invocación desde una aplicación .............................694
mensajes de contabilidad de
inicio/detención ...........................................151, 153
mensajes de error..................................................1039
opciones, especificación ..........................................671
restricciones ..........................................................1031
servidores de DHCP admitidos ................................676
uso ..........................................................................660
uso con WSAM ........................................................497
Network Share Access, opción ........................................325
networkIf, variable de expresión personalizada ............1050
nodos, clúster .........................................................875, 886
nombre de host
configuración ..................................627, 632, 642, 704
definir en directivas de recursos......104, 467, 477, 486
enmascaramiento....................................................418
resolución................................................................716
NSM, uso con el IVE..........................................................35
NTFS...............................................................................325
NTP, uso .........................................................................847
ntuser, variable de expresión personalizada..................1051
O
objeto XMLHttpRequest ..................................................461
ocspResponderURL, objeto MIB ......................................837
opción de desviación del reloj permitida.........................192
Opción de Intensidad de la encriptación.........................736
opción permitida de desviación del reloj.........................193
opciones de división de encapsulamiento.......................671
Opciones de impresión...................................................324
opciones de seguridad, configuración .............................735
operaciones de conmutación por error ...........................879
operador de comparación de la expresión
personalizada AND................................1041, 1042, 1045
personalizada NOT ..........................................1042, 1045
operador de comparación de la expresión
personalizada OR ........................1041, 1042, 1044, 1045
operador de comparación de la expresión
personalizada TO ......................................................1042
Oracle, configuración a través de proxy
passthrough ........................................................390, 392
Outlook
compatibilidad de WSAM ................................499, 502
uso con Secure Meeting
Consulte Secure Meeting, complemento de Outlook
Outlook Web Access, Consulte Microsoft OWA
OWA, Consulte Microsoft OWA

P permiso automático
página principal, personalizar ...........................................79
páginas HMTL móviles
habilitar .................................................................1035
información general ..............................................1031
páginas HTML compacto
contraseñas de enmascaramiento .........................1035
habilitar .................................................................1034
información general ..............................................1031
panel
configuración ..........................................................844
información general ................................................717
resultado de XML ....................................................718
paquete de actualización
instalación .......................................................721, 739
instalación en un clúster..........................................887
parte confirmadora, Consulte autoridad SAML
parte receptora .......................................................188, 234
Password-Retry, atributo de RADIUS ...............................158
PDA, consulte dispositivos de mano
perfil de recursos de aplicación web personalizado, Consulte
reescritura web, perfiles de recursos
perfil POST .....................................................187, 189, 194
Consulte también SAML, perfil POST
Consulte también servidor de autenticación, SAML
perfil, definido ................................................................237
perfiles
Consulte también servidor de autenticación, SAML
Perfiles de recurso de Windows: Consulte perfiles de recurso,
archivo
perfiles de recursos
applets de Java hospedados.....................................346
archivo ....................................................................465
directivas automáticas
almacenamiento en caché web ........................401
applets de Java hospedados..............351, 573, 574
compresión web...............................................411
control de acceso a archivos.............................466
control de acceso web..............................393, 395
controles de acceso a Java................................404
JSAM ................................................................410
proxy passthrough ...........................................407
reescritura selectiva..........................................407
reescritura web ................................................406
SSO ..................................................369, 397, 578
Telnet/SSH........................................................553
WSAM ..............................................................409
plantillas
Consulte applets de Java hospedados................345
Consulte Citrix, perfiles de recursos
Consulte Lotus Notes, perfiles de recursos
Consulte Microsoft OWA, perfiles de recursos
Consulte Microsoft Sharepoint, perfiles de recursos
Telnet/SSH
definición .........................................................553
información general de la configuración ..........552
Terminal Services, Consulte Terminal Services
URL, definición........................................................394
web .........................................................................384
Índice
marcadores
archivo .............................................................475
web ..................................................................417
servidores de aplicaciones (JSAM)............................544
servidores de aplicaciones (WSAM) .........................506
sesiones de Telnet/SSH ....................................558, 559
PIMs
instalación .............................................................1008
PKI, definida ...................................................................749
plantillas
Consulte también
applets de Java, hospedados
Citrix, perfiles de recursos
Lotus Notes, perfiles de recursos
Mic
Microsoft OWA, perfiles de recursos
UI personalizable .....................................................220
plataforma, actualización ................................................721
Pocket Internet Explorer, compatibilidad de WSAM ......1036
Pocket Outlook, compatibilidad de WSAM ....................1036
Pocket PC
Consulte tambiéndispositivos de mano
POP
clientes ....................................................................651
compatibilidad.........................................647, 649, 651
servidor de correo ...................................................652
Port-Limit, atributo de RADIUS .......................................158
POST de formulario
directivas de recursos ..............................................429
habilitar ...................................................................400
información general ................................................388
Consulte también SSO remoto
POST, Consulte POST de formulario
pragma no-cache, Consulte almacenamiento en caché,
configuración
preferencias, Consulte usuario, preferencias
productName, objeto MIB ...............................................835
productVersion, objeto MIB .............................................835
Prompt, atributo de RADIUS ...........................................158
protocolo
definir en directivas de recursos ......................104, 423
directivas de recursos ..............................................388
especificación ..........................................................459
protocolo de comunicaciones de Java, habilitación .........738
protocolo de comunicaciones de red, habilitación...........738
protocolo de oficina postal, Consulte POP
protocolo de tiempo en red, uso .....................................847
protocolo simple de transferencia de correo, Consulte SMTP
proxy
restricción de Secure Meeting..................................628
Consulte también proxy passthrough
Consulte también proxy web
proxy inverso, comparado con proxy passthrough..........389
proxy passthrough
ajustes de DNS.................................................389, 391
ajustes del sistema...........................................390, 391
directivas automáticas .............................................406
directivas de recursos ..............................................446
ejemplos..................................................................392
Índice „ 1071
Guía de administración de Secure Access de Juniper Networks
información general ................................................ 389
información general de la configuración ................. 391
perfiles de recursos ................................................. 407
recomendación de certificado ......................... 390, 392
restricciones............................................................ 390
Proxy-State, atributo de RADIUS ..................................... 158
psDescription, objeto MIB............................................... 837
PTP, Consulte proxy passthrough
puerta de enlace
configuración .......................................... 706, 707, 709
para el puerto externo..................................... 706, 708
puerto
ajustes ..................................................................... 939
definir en directivas de recursos.............................. 105
externo ................................................................... 706
interno .................................................................... 706
modificación de externo.................................. 706, 708
requisitos, configuración ......................................... 278
Consulte también puerto virtual
puerto interno, configuración ................................. 706, 708
puertos externos............................................................. 706
punto de decisión de directiva, Consulte autoridad SAML
punto de distribución de CRL
analizado................................................................. 768
descarga de CRL desde............................................ 769
R Registry editor, opción ....................................................326
RADIUS, Consulte servidor de autenticación, RADIUS
raidDescription, objeto MIB ............................................ 837
rearrancar el IVE............................................................. 720
recopiladores (IMV) y comprobadores de medición de
integridad (IMC) .......................................................... 257
recurso de Windows, marcador ...................................... 474
recursos, componente de directiva de recursos............... 103
redundancia, modo activo/pasivo ................................... 878
reescritura
directivas de recursos.............................................. 387
Consulte también proxy passthrough
Consulte también web, reescritura
reescritura ActiveX
creación de directivas de recursos........................... 450
restauración de directivas de recursos..................... 452
reescritura de archivos
directivas automáticas
compresión ...................................................... 469
SSO .................................................................. 470
transacción de control...................................... 468
directivas de recursos
definición de recursos ...................................... 467
información general......................................... 101
UNIX/NFS................................................. 485, 487
Windows.......................................................... 476
licencias .................................................................. 465
marcadores
UNIX/NFS......................................................... 484
Windows.......................................................... 474
opciones generales
UNIX/NFS................................................. 485, 489
Windows.................................................. 476, 482
1072 „ Índice
reescritura selectiva
directivas automáticas .............................................407
directivas de recursos ..............................................443
información general ................................................443
registro
clústeres ..........................................................881, 882
especificación de eventos en el registro...................830
eventos críticos .......................................................846
filtros
configuración ...................................................832
información general .........................................826
formatos
configuración ...................................................832
información general .........................................826
guardar archivos de registro ....................................828
niveles de gravedad.................................................825
registros de cliente
Cache Cleaner ..................................................338
inhabilitar.........................................319, 340, 841
Secure Meeting.................................................621
registros de instalación, Secure Meeting ..................621
seguimiento de directivas ........................................855
registro de HKLM............................................................323
registros de los eventos de suscriptores ..........................961
registros del lado cliente, Consulte registro,
registros de cliente
regla
componente de directiva de recursos ......................103
configuración ..................................................108, 202
reglas detalladas, Consulte regla
reiniciar el IVE ................................................................720
remote SSO
Consulte también SSO
Removable Drives, opción ..............................................325
Reply-Message, atributo de RADIUS................................158
requisitos de DLL, Host Checker
Consulte Host Checker, interfaz de integración
del servidor
Consulte Host Checker, interfaz del cliente
requisitos de la medición de integridad, Host Checker....277
resolución de problemas, seguimiento de directivas .......854
Restricted View of Files, opción ......................................325
reunión de apoyo, consulte Secure Meeting, reunión de apoyo
reunión instantánea, consulte Secure Meeting,
reunión instantánea
reuniones en línea, consulte Secure Meeting
rol
administrador..........................................................906
ajustes, administración..............................................73
asignación ...................................53, 71, 195, 199, 201
combinación .............................................................71
componente de directiva de recursos ......................103
configuración ............................................................73
definición ......................................................49, 53, 69
evaluación .................................................................70
exportación .............................................................804
importar ..................................................................802
opciones de sesión de usuario, especificación ...........76
opciones, administración ..........................................73

restricciones ..............................................................74
restricciones de inicio de sesión
por IP ...............................................................338
por las directivas de Host Checker ...................301
variable de expresión personalizada......................1051
rol .Administrators ..........................................................903
rol .Read-Only Administrators.........................................903
roles válidos, definidos .............................................71, 200
RSA
ACE/Server, Consulte servidor de autenticación,
ACE/Server
compatibilidad con RADIUS, Consulte servidor de
autenticación, RADIUS
Run menu, opción ..........................................................326
ruta
ruta estática.............................................................935
tabla, VLAN .............................................................935
ruta, definición de directivas de recursos ........468, 477, 487
rutas estáticas .........................................................715, 935
S descripción.....................................................1012
SAM, Consulte Secure Application Manager
SAML
autoridad, definida ..................................................234
certificado, configuración ........................................250
consumidor .............................................................192
creación de una relación de confianza.....................754
declaración..............................................................189
emisor, configuración..............................................250
información general ........................................224, 234
perfil de artefacto
configuración ...........................................239, 250
definición .........................................................237
perfil POST
configuración ...................................................250
definición .........................................................242
receptor, Consulte parte receptora
relación fiable, creación...........................................249
respondedor, Consulte autoridad SAML
restricciones ....................................................236, 249
servidor Consulte servidor de autenticación, SAML
SSO
de acceso, configuración ..................................250
definición .........................................................235
perfil, configuración .........................................250
transacción de control
autorización, definida.......................................236
de acceso, configuración ..................................250
directiva, definido ............................................245
URL, configuración ..................................................249
SCP, instantánea de sistema ...........................................994
screenSize, parámetro.....................................................610
sdconf.rec, generación....................................................119
secuencias multimedia
archivos, almacenamiento en caché........................403
restricción ...............................................................643
Secure Access 2000, documentación complementaria
del dispositivo ...........................................................1039
Secure Access 4000, documentación complementaria
Índice
del dispositivo ...........................................................1039
Secure Access 6000, documentación complementaria
del dispositivo ...........................................................1039
Secure Access 700, documentación complementaria
del dispositivo ...........................................................1039
Secure Access FIPS
clave del entorno de seguridad, definida ...............1012
creación de clústeres .....................................874, 1015
entorno de seguridad
administrar.....................................................1014
creación .........................................................1017
información general .......................................1012
recuperación ..................................................1020
información general ..............................................1011
modo de funcionamiento ......................................1013
modo de inicialización...........................................1013
modo de mantenimiento .......................................1013
tareas de recuperación ............................................994
tarjeta de administrador
administrar.....................................................1014
información general .......................................1013
seguridad .......................................................1014
Secure Application Manager
directivas de recursos ..............................................101
información general ................................................491
Consulte también JSAM
Consulte también WSAM
Secure Email Client, Consulte Email Client
Secure Meeting
ajustes de nivel de rol, configuración...............620, 633
ajustes de nivel de sistema, configuración ...............621
anotaciones
información general .........................................630
restricción ........................................................630
archivos PAC, restricción .........................................628
asistencia.................................................................628
autenticación
configuración ...........................................634, 636
información general .................................627, 633
servidores.................................................620, 638
cambios en claves de registro................................1039
capacidad del sistema, visualización........................645
chat, consulte Secure Meeting, mensajes de texto
cliente
desinstalación...................................................643
instalación ........................................................628
clústeres, restricción ................................................628
compatibilidad
pruebas ....................................................625, 643
complemento de Outlook
direcciones de correo electrónico, obtención....626
habilitar............................................................637
información general .........................................622
instalación ........................................................623
programación de reuniones..............................623
restricciones .....................................................624
control remoto
habilitar............................................................636
información general .........................................630
Índice „ 1073
Guía de administración de Secure Access de Juniper Networks
restricción ........................................................ 630
correo electrónico de notificación
Consulte Secure Meeting, correos electrónicos
correos electrónicos
configuración ................................................... 636
especificación de dirección de
correo electrónico......................................... 625
habilitar ........................................................... 704
información general......................................... 625
creación .................................................................. 633
desinstalación ......................................................... 643
dirección ................................................................. 629
dirección URL raíz de la reunión ............................. 641
directivas de inicio de sesión, configuración............ 621
enlace a................................................................... 626
horario de verano, cumplimiento ............................ 642
información general ................................................ 619
información general de la configuración ................. 620
instalación............................................................... 628
integración
configuración ................................................... 634
información general................................. 626, 627
licencias
número de reuniones....................................... 637
límites de sesiones .................................................. 640
límites, habilitar ...................................................... 637
Linux, restricción..................................................... 628
Macintosh, restricción ............................................. 628
mensajes de error ......................................... 644, 1040
mensajes de texto
habilitar ........................................................... 637
información general......................................... 628
MySecureMeeting
administración de contraseñas......................... 635
especificación de la dirección URL de
la reunión ..................................................... 641
opciones de contraseña.................................... 635
nombre de host, configuración................ 627, 632, 642
nombres de los asistentes, mostrar ......................... 636
páginas de inicio personalizadas
configuración ................................................... 621
restricción ........................................................ 627
pautas de fusión permisiva...................................... 638
preferencias, configuración ..................................... 625
presentación ........................................................... 630
profundidad de color, configuración........................ 642
proxys, restricción................................................... 628
recomendación de certificado ................................. 643
registro, inhabilitar .................................................. 841
registros
habilitar ........................................................... 621
permitir a los clientes cargar .................... 621, 641
visualización .................................................... 621
resolución de problemas
información general......................................... 643
restricciones.......................................................... 1031
reunión de apoyo
información general......................................... 630
reunión instantánea ................................................ 631
1074 „ Índice
roles
asistente...........................................................628
controlador remoto ..................................630, 636
creador.............................................................622
director ............................................................629
presentador..............................................629, 630
secuencias multimedia, restricción..........................643
servidor LDAP
configuración ...................................132, 620, 638
información general .........................................626
servidor SMTP
direcciones de correo electrónico, obtención ...625
habilitar....................................................625, 641
información general .........................................622
tareas programadas
creación ...........................................................622
visualización.....................................................645
tiempos de espera ...................................................640
URL .........................................................................626
visor de reuniones ...................................................628
visualización de la actividad ....................................844
Secure Virtual Workspace ...............................................321
Security Assertion Markup Language, Consulte SAML
Seguimiento de directivas, subficha ................................854
Send Reason Strings, opción de corrección.....................288
serie, consola Consulte consola serie
serverPort, parámetro.....................................................609
Service-Type, atributo de RADIUS ...................................158
Servicio de autenticación remota de usuarios de acceso
telefónico, Consulte servidor de autenticación, RADIUS
servicio de confirmación de usuarios..............................191
definición ........................................................188, 235
envío de respuesta SAML a......................................189
servicio de instalador
Consulte servicio de Juniper Installer
servicio de Juniper Installer
cambios en claves de registro................................1039
servicio de Juniper Installer, descripción .........................725
servicio de soporte técnico ........................................... xxvii
servidor
autenticación, Consulte servidor de autenticación
catálogo, configuración............................................203
definir en directivas de recursos..............467, 477, 486
DHCP ......................................................................954
directivas de recursos ..............................................104
proporcionar acceso seguro a ....................28, 343, 344
servidor anónimo, Consulte servidor de autenticación,
servidor anónimo
servidor de acceso de red, Consulte servidor de
autenticación, RADIUS, NAS
servidor de autenticación
ACE/Server
archivo de configuración de Agent ...................118
autenticación de SecurID..........................160, 163
compatibilidad de protocolo RADIUS ...............145
configuración ...................................................118
información general .........................................117
modos y características admitidas....................118
resolución de nombres de host ........................113
restricciones.....................................................117

Active Directory
administración de contraseñas.........................135
características de servidor compatibles ............121
compatibilidad con consulta de grupos ............125
configuración ...........................................114, 121
configuración de varios dominios.....................124
información general .........................................120
restricciones.....................................................121
asignación a territorio..............................................196
autenticación local
administración de contraseñas.................138, 141
administración de cuentas de usuario ..............142
administradores de usuarios ............................142
configuración ...................................115, 138, 827
contabilidad .....................................................152
creación de usuarios.........................................140
información general .........................................138
restricciones.....................................................139
definición ..........................................................52, 195
general
configuración ...........................................113, 115
información general .................................111, 114
licencias ...........................................................112
LDAP
administración de contraseñas.........................133
búsqueda de referencias ..................................131
configuración ...........................................114, 129
configuración de atributos................................201
configuración de Secure Meeting......................132
consulta de grupos ...........................................130
información general .........................................128
recuperación de atributos.................................111
restricciones.....................................................129
uso con Secure Meeting, consulte Secure Meeting
RADIUS ...................................................................145
administración de contraseñas.........................148
atributos...........................................................153
atributos de asignación de roles .......................153
atributos de detención......................................152
atributos de inicio ............................................152
autenticación CASQUE .....................................146
características de servidor compatibles ............145
configuración ...................................................147
configuración de atributos................................201
consideraciones del clúster.......................151, 160
contabilidad .............................................148, 151
experiencia del usuario ....................................146
información general .........................................145
NAS ..................................................................147
PassGo Defender ..............................................146
protocolo ACE/Server .......................................118
recuperación de atributos.................................112
SSO ..................................................................148
varias sesiones .................................................152
SAML
artefactos .........................................................190
AssertionHandle ...............................................190
autenticación de cliente SOAP..........................193
código de estado 302 .......................................191
configuración ...................................................192
Índice
consumidor de SAML .......................................192
declaración de SAML ........................................189
declaraciones ...................................................190
formato de dirección de correo electrónico ......192
formato de nombre completo de dominio
de Windows..................................................192
formato de nombre de sujeto X.509.................192
formato no especificado ...................................192
HTML FORM.....................................................189
HTTP POST ......................................................189
ID de origen .............................................190, 193
información general .........................................187
opción de desviación del reloj permitida ..........192
opción permitida de desviación del reloj ..........193
parte receptora.................................................188
perfiles de artefactos ........................187, 188, 193
perfiles POST....................................187, 189, 194
plantilla de nombre de usuario .................192, 193
servicio de confirmación
de usuarios ...................................188, 189, 191
servicio de transferencia entre sitios ........188, 190
sitio de origen...................................................189
TARGET URL ....................................................189
TypeCode .........................................................190
URL de servicio de transferencia entre sitios
del sitio de origen .........................................192
URL de servicio del respondedor SOAP
de origen ......................................................193
valor del emisor........................................192, 193
Consulte también SAML
servidor anónimo
configuración ...........................................116, 827
información general .........................................115
restricciones .....................................................116
servidor de certificados
configuración ...................................................127
definición .........................................................759
información general .........................................126
LDAP, autenticación en ....................................128
restricciones .....................................................127
servidor de directorios, definido ................................52
servidor NIS.............................................................144
SiteMinder
administración de contraseñas .........................167
agentes.............................................166, 178, 180
asignación de roles...........................................184
atributos de usuario..................................171, 174
autenticación de ACE SecurID ..........................163
autenticación del certificado.............................163
configuración (general).....................................172
configuración del servidor de
directivas SiteMinder ....................................165
cookie de SMSESSION ......................................161
depuración .......................................................186
directivas..........................................................172
dominio de cookies ..........................................176
dominio del proveedor de cookies....................176
dominios de directivas .....................................169
esquemas de autenticación ......................163, 167
información general .................................160, 161
Índice „ 1075
Guía de administración de Secure Access de Juniper Networks
inicio de sesión automático.............. 161, 177, 185
inicio de sesión único....................................... 225
modo de conmutación por error ...................... 175
niveles de protección ....................... 164, 168, 173
nombres de usuario, determinación................. 165
páginas de inicio personalizadas ...................... 163
reautenticación de usuarios...................... 164, 168
recuperación de atributos................................. 112
recursos protegidos.................. 169, 172, 173, 175
reglas ............................................................... 170
respuesta ......................................................... 170
restricciones................................... 114, 162, 1031
SSO .................................. 161, 162, 165, 177, 185
territorios ................................................. 169, 177
versiones admitidas ......................................... 162
variable de expresión personalizada...................... 1047
servidor de autenticación local, Consulte servidor de
autenticación, autenticación local
servidor de autenticación NIS, Consulte servidor de
autenticación, NIS
servidor de contabilidad, Consulte servidor de autenticación,
RADIUS
servidor de correo SMTP
compatibilidad ........................................................ 647
habilitar................................................................... 652
uso con Secure Meeting
Consulte Secure Meeting, servidor SMTP
servidor de directorios
definición ................................................................ 111
Consulte también servidor de autenticación
servidor del servicio de nombres de Internet de Windows,
configuración .............................................................. 705
servidor IMV remoto, configuración................................ 289
servidor LDAP, Consulte servidor de autenticación, LDAP
servidor MetaFrame, Consulte Citrix
servidor NFuse, Consulte Citrix
servidor nulo, Consulte servidor de autenticación,
servidor anónimo
servidores de dfs, exploración ........................................ 473
servidores syslog, configuración ..................................... 831
sesión
itinerante, configuración ........................................... 77
opciones, especificación............................................ 76
persistente, configuración ......................................... 78
rol, definido............................................................... 70
término ................................................................... 848
tiempo de espera
advertencia ........................................................ 77
configuración ..................................................... 53
efecto sobre Cache Cleaner .............................. 337
inactiva ........................................................ 76, 79
recordatorio ....................................................... 76
Secure Meeting ................................................ 640
tiempo máximo ................................................. 76
Session-Timeout, atributo de RADIUS............................. 158
Sharepoint, marcadores, configuración........................... 381
showDragContents
parámetro ............................................................... 611
1076 „ Índice
showMenuAnimation
parámetro ...............................................................611
signedInMailUsers, objeto MIB ........................................835
signedInWebUsers, objeto MIB........................................835
sincronización de estado.................................................881
sistema
administrador..........................................................906
capacidad, visualización ..........................................844
configuración ..........................................................720
configuración, exportación ......................................788
configuración, importación......................................788
datos .......................................................................720
datos de sistema descritos.......................................881
estadísticas, visualización ........................................840
imagen instantánea .........................................864, 866
software, instalación................................................739
tareas de administración, delegación ......................903
sistema IBM AS/400, intermediación de tráfico con........347
sistema virtual instantáneo
Consulte también IVS................................................915
SiteMinder, Consulte servidor de autenticación, SiteMinder
SNMP
ajustes, especificación .............................................833
capturas
iveClusterChangedVIPTrap ...............................839
iveClusterDelete ...............................................839
iveClusterDisableNodeTrap ..............................839
iveNetExternalInterfaceDownTrap ...................839
iveNetInternalInterfaceDownTrap ....................839
compatibilidad ........................................................825
iveNetManagementInterfaceDownTrap ...................839
supervisión del IVE como un agente........................833
software
instalación ...............................................................739
instalación en un clúster..........................................887
token, uso para iniciar sesión ..................................117
software antivirus
compatibilidad de WSAM ........................................496
comprobación usando Host Checker .........................31
Soporte técnico de Juniper Networks ............................. xxvi
sourceIP, variable de expresión personalizada...............1051
spyware, especificación de requisitos..............................255
SSL
acelerador ...............................................................723
intensidad de encriptación permitida ......................735
protocolos de enlace
administración ...............................................1011
descarga...........................................................723
versión permitida ....................................................735
SSO
directivas automáticas Consulte directivas de recursos,
directivas automáticas, SSO
directivas de recursos ..............................................387
requisito ..................................................................401
Consulte también autenticación básica
Consulte también NTLM
Consulte también Remote SSO
Consulte también SAML
Consulte también servidor de autenticación, SiteMinder

SSO remoto
configuración
directivas automáticas..............................398, 400
directivas de encabezados/cookies ...................431
directivas POST de formulario..........................429
licencias ..................................................................384
restricciones ....................................................389, 400
startApp, parámetro .......................................................610
startDir, parámetro .........................................................610
State, atributo de RADIUS ...............................................158
Sun JVM, Consulte JVM
supervisión de suscriptores.............................................961
supervisor de eventos, visualización ...............................846
suscriptores
acceso prohibido .....................................................938
supervisión ..............................................................961
suspensión del acceso .............................................961
topología .................................................................924
swapUtilNotify, objeto MIB..............................................839
Switch to Real Desktop, opción.......................................325
Synchronization Settings (configuraciones
de sincronización) .......................................................884
Synchronize last access time for user sessions........883, 884
Synchronize log messages ......................................882, 884
Synchronize user sessions ......................................882, 884
T información general .........................................566
tarjeta aceleradora
gzip .......................................................................1026
SSL ..........................................................................723
Task manager, opción .....................................................326
Telephone-number, atributo de RADIUS..........................158
Telnet/SSH
ajustes de terminal admitidos..................................551
directivas de recursos ..............................................101
definición .........................................................560
información general .........................................559
opciones generales...........................................561
información general ........................................551, 559
información general de la configuración..................552
licencias ..................................................................552
marcadores
expresiones personalizas en...........................1054
marcadores, Consulte marcadores, Telnet/SSH
mecanismos de seguridad admitidos.......................551
opciones generales ..................................................558
opciones, especificación ..........................................559
perfiles de recursos .................................................553
protocolos admitidos ...............................................551
restricciones ..........................................551, 554, 1031
Terminal Services
archivo de configuración ICA
descargar .........................................................612
número de versión ...........................................613
personalización ................................583, 591, 601
personalizado o predeterminado......................570
prueba con el cliente ICA .................................613
visualización de ajustes
predeterminados ..................................583, 601
Índice
archivos instalados por ............................................568
Citrix
cambios en claves de registro.........................1039
comparación con JSAM.....................................362
directivas de recursos.......................................615
fiablilidad de la sesión ......................................589
marcadores ......................................................571
perfiles de recursos ..................572, 583, 591, 594
perfiles Web .....................................................367
roles .................................................................599
Consulte también Citrix
cliente ICA
búsqueda en el registro ....................................613
descargar..........................................................613
prueba con el archivo ICA ................................613
comandos rdp e ica .................................................566
conexión a dispositivos locales
compartir portapapeles ....................................581
impresoras ...............................................581, 590
puertos .....................................................581, 590
unidades...................................................581, 590
derechos necesarios para instalar y utilizar..............568
directivas de recursos, configuración...............102, 615
disponibilidad ..........................................................563
enlaces desde otros sitios
configuración ...................................................608
equilibrio de carga
Consulte Terminal Services, granja de
servidores Citrix
experiencia del usuario............................................566
granja de servidores Citrix
conectarse a .............................................569, 601
información general .........................................568
restricciones .............................................568, 591
información general ................................................565
información general de la configuración..................564
licencias...................................................................563
marcadores
configuración ...........................................571, 599
información general .........................................566
inicio automático..............566, 580, 589, 594, 606
uso de expresiones personalizas en................1054
nombre de host/coincidencia de IP..........................617
parámetros ..............................................................609
perfiles de recursos, configuración ..................570, 591
roles, configuración .................................................599
sesiones, configuración Consulte Terminal Services,
marcadores
SSO .........................................................................566
configuración ...........................579, 587, 597, 604
Windows Terminal Services
cambios en claves de registro.........................1039
Compatibilidad de WSAM o Pocket PC ...........1036
directivas de recursos.......................................615
marcadores ......................................................571
perfiles de recursos ..................................572, 583
roles .................................................................599
Terminal Services de Windows, Consulte Terminal Services
Termination-Action, atributo de RADIUS .........................159
Índice „ 1077
Guía de administración de Secure Access de Juniper Networks
territorio
administrador ......................................................... 906
administrar ..................................................... 905, 906
asignación a directiva de inicio de sesión ................ 215
definición ............................................................ 49, 52
requisitos de seguridad.............................................. 53
variable de expresión personalizada...................... 1051
territorios de autenticación, consulte territorios
themes
parámetro ............................................................... 611
THMTL, usar para crear páginas personalizadas ............. 220
tiempo de espera
advertencia, ajuste .................................................... 77
recordatorio, ajuste ................................................... 76
Secure Meeting........................................................ 640
sesión inactiva........................................................... 76
sesión inactiva, actividad de aplicación ..................... 79
sesión máxima.......................................................... 76
Consulte también tiempos de espera de la sesión
tiempos de espera de inactividad, Secure Meeting.......... 640
time, variable de expresión personalizada .................... 1051
time.day, variable de expresión personalizada .............. 1052
time.dayOfWeek, variable de expresión
personalizada............................................................ 1052
time.dayOfYear, variable de expresión
personalizada............................................................ 1052
time.month, variable de expresión personalizada......... 1052
time.year, variable de expresión personalizada ............. 1052
tipos de clientes, consulte dispositivos de mano
TLS, versión permitida.................................................... 735
token de hardware, uso para iniciar sesión ..................... 117
token de respondedor óptico, Consulte servidor de
autenticación, RADIUS, CASQUE
token, uso para iniciar sesión ......................................... 117
tokens de SecurID, Consulte servidor de autenticación,
ACE/Server, SecurID
tokens de SoftID, Consulte servidor de autenticación,
ACE/Server
traceroute, comando....................................................... 993
tráfico TCP, brindar seguridad, Consulte WSAM, tráfico TCP
transmisión de credenciales
a otra aplicación Consulte SSO
verificación Consulte servidor de autenticación
transmisión de nombre de usuario
a otra aplicación Consulte SSO
verificación, Consulte servidor de autenticación
Trend Micro, compatibilidad de WSAM ........................... 497
Trusted Computing Group (TCG) ..................................... 255
Trusted Network Connect (TNC) ..................................... 255
túnel de acceso de autenticación previa
descripción.............................................................. 310
especificación.......................................................... 311
túnel de acceso, Consulte túnel de acceso de
autenticación previa
Tunnel-Assignment-ID, atributo de RADIUS .................... 159
Tunnel-Client-Auth-ID, atributo de RADIUS ..................... 159
Tunnel-Client-Endpoint, atributo de RADIUS................... 159
Tunnel-Link-Reject, atributo de RADIUS.......................... 159
Tunnel-Link-Start, atributo de RADIUS ............................ 159
Tunnel-Link-Stop, atributo de RADIUS ............................ 159
1078 „ Índice
Tunnel-Medium-Type, atributo de RADIUS ......................159
Tunnel-Password, atributo de RADIUS.............................159
Tunnel-Preference, atributo de RADIUS...........................159
Tunnel-Private-Group-ID, atributo de RADIUS .................159
Tunnel-Reject, atributo de RADIUS..................................159
Tunnel-Server-Auth-ID, atributo de RADIUS.....................159
Tunnel-Server-Endpoint, atributo de RADIUS ..................159
Tunnel-Start, atributo de RADIUS ....................................159
Tunnel-Stop, atributo de RADIUS ....................................159
Tunnel-Type, atributo de RADIUS ....................................159
type, parámetro ..............................................................609
U
UDP
puerto 6543.............................................................865
tráfico, brindar seguridad, Consulte WSAM, tráfico UDP
UI personalizable
cargar ......................................................................220
consola de administración, ajustes de directiva
de recursos ..........................................................463
Secure Meeting
configuración ...................................................621
restricción ........................................................627
uso con SiteMinder..................................................163
unidad de transmisión máxima,
configuración ..............................................707, 708, 709
UNIX
directivas de recursos, definición ............................486
marcadores .............................................................484
perfiles de recurso, Consulte perfiles de recurso, archivo
servidor de autenticación, Consulte servidor de
autenticación, NIS
URL
enmascaramiento....................................................418
estadísticas de acceso..............................................840
URL de inicio de sesión, definición..........................217
vista para usuarios
Consulte marcadores, web
URL de comprobación de estado ....................................879
URL de comprobación de estado L7 ...............................879
URL de inicio de sesión URL, definición..........................214
URL de servicio de transferencia de archivo, Consulte
servidor de autenticación, SAML
URL de servicio de transferencia entre sitios del sitio
de origen.....................................................................192
URL de servicio del respondedor SOAP de origen ...........193
userAgent, variable de expresión personalizada............1053
userAttr.auth-attr, variable de expresión
personalizada............................................................1053
userDN, variable de expresión personalizada................1053
userDN.user-attr, variable de expresión
personalizada............................................................1054
userDNText, variable de expresión personalizada .........1054
username
variable de expresión personalizada......................1052
User-Name, atributo de RADIUS .............................152, 159
User-Password, atributo de RADIUS ................................159
uso de CPU, visualización ...............................................845
uso de la capacidad de transferencia, visualización ........845

uso de memoria, visualización........................................845
usuario
administración de cuentas.......................................142
administradores de usuarios
autenticación....................................................114
definición .........................................................143
información general .........................................142
atributos, configuración...........................................201
creación ..................................................................140
cuentas
creación .....................................................73, 140
exportación ..............................................789, 808
importar...................................................790, 791
local .................................................................808
datos
importar...........................................................792
datos de perfil .........................................................881
datos de sesión........................................................881
forzar a salir ............................................................848
parámetro ...............................................................609
preferencias
almacenamiento de credenciales .....................388
configuración ...................................................420
especificación de credenciales..................389, 400
restricciones de inicio de sesión
por navegador ....................................................63
rol
definición ...........................................................69
Consulte también rol
territorios
exportación
variable de expresión personalizada......................1052
visualización de la actividad ....................................844
usuario no perteneciente a la red, definido.....................623
usuario perteneciente a la red, definición .......................623
usuarios máximos garantizados por territorio...................68
usuarios mínimos garantizados por territorio....................68
usuarios simultáneos máximos.........................................67
usuarios simultáneos mínimos .........................................67
usuarios simultáneos, ajustes de seguridad
de SiteMinder..............................................................177
utilidad de lado cliente....................................................694
utilidad de línea de comandos ........................................694
V Microsoft OWA.................................................375
variable de expresión personalizada .............................1050
variable USER
en marcadores de UNIX ..........................................484
en marcadores de Windows ....................................474
en marcadores Web ................................................417
variables de expresión personalizada
de dominio .....................................................1049, 1050
VBScript, reescritura .......................................................444
velocidad del vínculo, configuración ...............706, 707, 709
ventana de chat, Consulte Secure Meeting, mensajes de texto
versión de la supervisión de firmas de virus y versión
del cortafuegos en el cliente ........................................274
Índice
virtual
nombre de host
configuración ...................................407, 447, 704
Consulte tambiénnombre de host
puerto......................................................................943
asociación con un certificado ...........................757
definición .........................................................756
habilitar............................................................711
sistema, IVS.............................................................937
vista general de actualización de tiempo de
inactividad cero...........................................................717
vista general de las característica de
administración central.................................................717
VLAN ......................................................................932, 939
definición de puerto ........................................710, 933
eliminación..............................................................936
tabla de rutas...........................................................935
VPN sin clientes, información general.............................655
VPN SSL, Consulte IVE
W
web
compresión
Consulte compresión
directivas de control acceso
directivas automáticas..............................393, 395
directivas de recursos...............................386, 424
directivas de recursos ..............................................101
estadísticas de uso más altas ...................................840
marcadores
Consulte marcadores
proxy
directivas de recursos...............................387, 456
intermediación de solicitudes a ........................427
reescritura
Citrix ................................................................361
configuración predeterminada .........................406
directivas automáticas......................................406
directivas de recursos.......................................422
información general .........................................386
información general de la configuración...........384
licencias ...........................................................384
Lotus Notes ......................................................371
marcadores ......................................................415
Microsoft Sharepoint ........................................379
opciones generales ...........................................418
perfiles de recursos ..........................................392
Windows 2000................................................................321
Windows Mobile, Consulte dispositivos de mano
Windows XP ...................................................................321
WINS
para el puerto externo .....................................706, 708
servidor, configuración ............................................705
Índice „ 1079
Guía de administración de Secure Access de Juniper Networks

WSAM restricciones ............................................................368

actualización ........................................................... 507 scripts
ajustes de rol ejecución..................................................512, 513
aplicaciones que se pasan por alto ................... 504 ejemplo ............................................................513
configuración de aplicaciones .......................... 501 escritura ...........................................................510
configuración de servidores ............................. 503 habilitar............................................................507
información general......................................... 501 tráfico TCP, seguridad .............................................496
opciones generales........................................... 506 tráfico UDP, seguridad.............................................496
ajustes de zona de Internet ..................................... 506 uso con Network Connect .......................................497
aplicaciones admitidas uso de expresiones personalizadas en nombres
Citrix........................................................ 499, 502 de host...............................................................1054
cortafuegos personal GreenBow ....................... 497 uso para configurar Citrix ........................................367
Exploración de archivos NetBIOS............. 499, 502
Lotus Notes .............................................. 499, 502 X
McAfee............................................................. 496 XML
Microsoft Outlook .................................... 499, 502 contraseñas .............................................................796
Norton AntiVirus ...................................... 496, 497 ejemplo del código ..................................................795
PDA ............................................................... 1036 espacios de nombres...............................................797
Pocket Internet Explorer ................................ 1036 importar/exportar
Pocket Outlook .............................................. 1036 ajustes de la red ...............................................804
Trend Micro ..................................................... 497 archivo de instancia .........................................794
Windows Terminal Services ........................... 1036 asignación de instancia XML a UI .....................798
cambios en claves de registro................................ 1039 cuentas de usuario locales ................................808
canal de reenvío de puerto, información general .... 496 directivas de recursos.......................................808
coincidencia de IP/nombre de host ......................... 510 elementos de instancia.....................................795
compatibilidad de PDA etiqueta de final ...............................................795
Consulte dispositivos de mano, compatibilidad etiqueta de inicio..............................................795
de WSAM etiqueta vacía ...................................................795
controlador LSP, información general ..................... 495 integridad referencial .......................................797
controlador TDI, información general ..................... 495 páginas de inicio de sesión...............................806
depuración .............................................................. 497 secuencia de elementos ...................................797
desinstalación ......................................................... 506 reescritura .......................................................444, 447
directivas automáticas..................................... 407, 409 XSLT, reescritura .............................................................444
directivas de recursos
especificación de servidores............................. 508
información general......................................... 508
opciones generales........................................... 510
experiencia del usuario ........................................... 495
información general ........................................ 491, 493
información general de la configuración ................. 492
inicio automático..................................................... 506
instalador para secuencia de comandos
Consulte WSAM, instaladores ........................... 495
instaladores
descargar ......................................................... 726
información general......................................... 494
Consulte también WSAM, scripts
licencias .................................................................. 492
mensajes de contabilidad de
inicio/detención ........................................... 151, 153
mensajes de error ................................................. 1039
perfiles de recursos
directivas automáticas...................................... 500
información general......................................... 498
marcadores ...................................................... 498
perfiles de aplicación cliente ............................ 498
perfiles de red de destino................................. 500
permiso automático de servidores
de aplicaciones .................................................... 506
preferencias de usuario ........................................... 494

1080 „ Índice