Professional Documents
Culture Documents
Guía de Administración
Versión 6.3
This product includes memory allocation software developed by Mark Moraes, copyright © 1988, 1989, 1993, University of Toronto.
This product includes FreeBSD software developed by the University of California, Berkeley, and its contributors. All of the documentation and software
included in the 4.4BSD and 4.4BSD-Lite Releases is copyrighted by The Regents of the University of California. Copyright © 1979, 1980, 1983, 1986, 1988,
1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved.
GateD software copyright © 1995, The Regents of the University. All rights reserved. Gate Daemon was originated and developed through release 3.0 by
Cornell University and its collaborators. Gated is based on Kirton’s EGP, UC Berkeley’s routing daemon (routed), and DCN’s HELLO routing protocol.
Development of Gated has been supported in part by the National Science Foundation. Portions of the GateD software copyright © 1988, Regents of the
University of California. All rights reserved. Portions of the GateD software copyright © 1991, D. L. S. Associates.
Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, the NetScreen logo, NetScreen-Global Pro, ScreenOS, and GigaScreen are
registered trademarks of Juniper Networks, Inc. in the United States and other countries.
The following are trademarks of Juniper Networks, Inc.: ERX, E-series, ESP, Instant Virtual Extranet, Internet Processor, J2300, J4300, J6300, J-Protect,
J-series, J-Web, JUNOS, JUNOScope, JUNOScript, JUNOSe, M5, M7i, M10, M10i, M20, M40, M40e, M160, M320, M-series, MMD, NetScreen-5GT,
NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400,
NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-SA 1000 Series,
NetScreen-SA 3000 Series, NetScreen-SA 5000 Series, NetScreen-SA Central Manager, NetScreen Secure Access, NetScreen-SM 3000, NetScreen-Security
Manager, NMC-RX, SDX, Stateful Signature, T320, T640, T-series, and TX Matrix. All other trademarks, service marks, registered trademarks, or registered
service marks are the property of their respective owners. All specifications are subject to change without notice.
Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that are owned by or licensed
to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312, 6,429,706, 6,459,579, 6,493,347,
6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785.
Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify, transfer, or
otherwise revise this publication without notice.
Juniper Networks hardware and software products are Year 2000 compliant. The JUNOS software has no known time-related limitations through the year
2038. However, the NTP application is known to have some difficulty in the year 2036.
Software License
The terms and conditions for using this software are described in the software license contained in the acknowledgment to your purchase order or, to the
extent applicable, to any reseller agreement or end-user purchase agreement executed between you and Juniper Networks. By using this software, you
indicate that you understand and agree to be bound by those terms and conditions.
Generally speaking, the software license restricts the manner in which you are permitted to use the software and may contain prohibitions against certain
uses. The software license may state conditions under which the license is automatically terminated. You should consult the license for further details.
For complete product documentation, please see the Juniper Networks Web site at www.juniper.net/techpubs.
READ THIS END USER LICENSE AGREEMENT ("AGREEMENT") BEFORE DOWNLOADING, INSTALLING, OR USING THE SOFTWARE. BY
DOWNLOADING, INSTALLING, OR USING THE SOFTWARE OR OTHERWISE EXPRESSING YOUR AGREEMENT TO THE TERMS CONTAINED HEREIN, YOU
(AS CUSTOMER OR IF YOU ARE NOT THE CUSTOMER, AS A REPRESENTATIVE/AGENT AUTHORIZED TO BIND THE CUSTOMER) CONSENT TO BE BOUND
BY THIS AGREEMENT. IF YOU DO NOT OR CANNOT AGREE TO THE TERMS CONTAINED HEREIN, THEN (A) DO NOT DOWNLOAD, INSTALL, OR USE THE
SOFTWARE, AND (B) YOU MAY CONTACT JUNIPER NETWORKS REGARDING LICENSE TERMS.
1. The Parties. The parties to this Agreement are Juniper Networks, Inc. and its subsidiaries (collectively “Juniper”), and the person or organization that
originally purchased from Juniper or an authorized Juniper reseller the applicable license(s) for use of the Software (“Customer”) (collectively, the “Parties”).
2. The Software. In this Agreement, “Software” means the program modules and features of the Juniper or Juniper-supplied software, and updates and
releases of such software, for which Customer has paid the applicable license or support fees to Juniper or an authorized Juniper reseller.
3. License Grant. Subject to payment of the applicable fees and the limitations and restrictions set forth herein, Juniper grants to Customer a non-exclusive
and non-transferable license, without right to sublicense, to use the Software, in executable form only, subject to the following use restrictions:
a. Customer shall use the Software solely as embedded in, and for execution on, Juniper equipment originally purchased by Customer from Juniper or an
authorized Juniper reseller, unless the applicable Juniper documentation expressly permits installation on non-Juniper equipment.
b. Customer shall use the Software on a single hardware chassis having a single processing unit, or as many chassis or processing units for which Customer
has paid the applicable license fees.
c. Product purchase documents, paper or electronic user documentation, and/or the particular licenses purchased by Customer may specify limits to
Customer’s use of the Software. Such limits may restrict use to a maximum number of seats, registered endpoints, concurrent users, sessions, calls,
connections, subscribers, clusters, nodes, or transactions, or require the purchase of separate licenses to use particular features, functionalities, services,
applications, operations, or capabilities, or provide throughput, performance, configuration, bandwidth, interface, processing, temporal, or geographical
limits. Customer’s use of the Software shall be subject to all such limitations and purchase of all applicable licenses.
The foregoing license is not transferable or assignable by Customer. No license is granted herein to any user who did not originally purchase the applicable
license(s) for the Software from Juniper or an authorized Juniper reseller.
4. Use Prohibitions. Notwithstanding the foregoing, the license provided herein does not permit the Customer to, and Customer agrees not to and shall not:
(a) modify, unbundle, reverse engineer, or create derivative works based on the Software; (b) make unauthorized copies of the Software (except as necessary
for backup purposes); (c) rent, sell, transfer, or grant any rights in and to any copy of the Software, in any form, to any third party; (d) remove any
proprietary notices, labels, or marks on or in any copy of the Software or any product in which the Software is embedded; (e) distribute any copy of the
Software to any third party, including as may be embedded in Juniper equipment sold in the secondhand market; (f) use any ‘locked’ or key-restricted
feature, function, service, application, operation, or capability without first purchasing the applicable license(s) and obtaining a valid key from Juniper, even
if such feature, function, service, application, operation, or capability is enabled without a key; (g) distribute any key for the Software provided by Juniper to
any third party; (h) use the Software in any manner that extends or is broader than the uses purchased by Customer from Juniper or an authorized Juniper
reseller; (i) use the Software on non-Juniper equipment where the Juniper documentation does not expressly permit installation on non-Juniper equipment;
(j) use the Software (or make it available for use) on Juniper equipment that the Customer did not originally purchase from Juniper or an authorized Juniper
reseller; or (k) use the Software in any manner other than as expressly provided herein.
5. Audit. Customer shall maintain accurate records as necessary to verify compliance with this Agreement. Upon request by Juniper, Customer shall furnish
such records to Juniper and certify its compliance with this Agreement.
6. Confidentiality. The Parties agree that aspects of the Software and associated documentation are the confidential property of Juniper. As such, Customer
shall exercise all reasonable commercial efforts to maintain the Software and associated documentation in confidence, which at a minimum includes
restricting access to the Software to Customer employees and contractors having a need to use the Software for Customer’s internal business purposes.
7. Ownership. Juniper and Juniper’s licensors, respectively, retain ownership of all right, title, and interest (including copyright) in and to the Software,
associated documentation, and all copies of the Software. Nothing in this Agreement constitutes a transfer or conveyance of any right, title, or interest in the
Software or associated documentation, or a sale of the Software, associated documentation, or copies of the Software.
8. Warranty, Limitation of Liability, Disclaimer of Warranty. The warranty applicable to the Software shall be as set forth in the warranty statement that
accompanies the Software (the “Warranty Statement”). Nothing in this Agreement shall give rise to any obligation to support the Software. Support services
may be purchased separately. Any such support shall be governed by a separate, written support services agreement. TO THE MAXIMUM EXTENT
PERMITTED BY LAW, JUNIPER SHALL NOT BE LIABLE FOR ANY LOST PROFITS, LOSS OF DATA, OR COSTS OR PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES, OR FOR ANY SPECIAL, INDIRECT, OR CONSEQUENTIAL DAMAGES ARISING OUT OF THIS AGREEMENT, THE SOFTWARE, OR ANY JUNIPER
OR JUNIPER-SUPPLIED SOFTWARE. IN NO EVENT SHALL JUNIPER BE LIABLE FOR DAMAGES ARISING FROM UNAUTHORIZED OR IMPROPER USE OF
ANY JUNIPER OR JUNIPER-SUPPLIED SOFTWARE. EXCEPT AS EXPRESSLY PROVIDED IN THE WARRANTY STATEMENT TO THE EXTENT PERMITTED BY
LAW, JUNIPER DISCLAIMS ANY AND ALL WARRANTIES IN AND TO THE SOFTWARE (WHETHER EXPRESS, IMPLIED, STATUTORY, OR OTHERWISE),
INCLUDING ANY IMPLIED WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT. IN NO EVENT DOES
JUNIPER WARRANT THAT THE SOFTWARE, OR ANY EQUIPMENT OR NETWORK RUNNING THE SOFTWARE, WILL OPERATE WITHOUT ERROR OR
INTERRUPTION, OR WILL BE FREE OF VULNERABILITY TO INTRUSION OR ATTACK. In no event shall Juniper’s or its suppliers’ or licensors’ liability to
Customer, whether in contract, tort (including negligence), breach of warranty, or otherwise, exceed the price paid by Customer for the Software that gave
rise to the claim, or if the Software is embedded in another Juniper product, the price paid by Customer for such other product. Customer acknowledges and
agrees that Juniper has set its prices and entered into this Agreement in reliance upon the disclaimers of warranty and the limitations of liability set forth
herein, that the same reflect an allocation of risk between the Parties (including the risk that a contract remedy may fail of its essential purpose and cause
consequential loss), and that the same form an essential basis of the bargain between the Parties.
9. Termination. Any breach of this Agreement or failure by Customer to pay any applicable fees due shall result in automatic termination of the license
granted herein. Upon such termination, Customer shall destroy or return to Juniper all copies of the Software and related documentation in Customer’s
possession or control.
10. Taxes. All license fees for the Software are exclusive of taxes, withholdings, duties, or levies (collectively “Taxes”). Customer shall be responsible for
paying Taxes arising from the purchase of the license, or importation or use of the Software.
11. Export. Customer agrees to comply with all applicable export laws and restrictions and regulations of any United States and any applicable foreign
agency or authority, and not to export or re-export the Software or any direct product thereof in violation of any such restrictions, laws or regulations, or
without all necessary approvals. Customer shall be liable for any such violations. The version of the Software supplied to Customer may contain encryption
or other capabilities restricting Customer’s ability to export the Software without an export license.
12. Commercial Computer Software. The Software is “commercial computer software” and is provided with restricted rights. Use, duplication, or
disclosure by the United States government is subject to restrictions set forth in this Agreement and as provided in DFARS 227.7201 through 227.7202-4,
FAR 12.212, FAR 27.405(b)(2), FAR 52.227-19, or FAR 52.227-14(ALT III) as applicable.
13. Interface Information. To the extent required by applicable law, and at Customer's written request, Juniper shall provide Customer with the interface
information needed to achieve interoperability between the Software and another independently created program, on payment of applicable fee, if any.
Customer shall observe strict obligations of confidentiality with respect to such information and shall use such information in compliance with any
applicable terms and conditions upon which Juniper makes such information available.
14. Third Party Software. Any licensor of Juniper whose software is embedded in the Software and any supplier of Juniper whose products or technology
are embedded in (or services are accessed by) the Software shall be a third party beneficiary with respect to this Agreement, and such licensor or vendor
shall have the right to enforce this Agreement in its own name as if it were Juniper. In addition, certain third party software may be provided with the
Software and is subject to the accompanying license(s), if any, of its respective owner(s). To the extent portions of the Software are distributed under and
subject to open source licenses obligating Juniper to make the source code for such portions publicly available (such as the GNU General Public License
(“GPL”) or the GNU Library General Public License (“LGPL”)), Juniper will make such source code portions (including Juniper modifications, as appropriate)
available upon request for a period of up to three years from the date of distribution. Such request can be made in writing to Juniper Networks, Inc., 1194 N.
Mathilda Ave., Sunnyvale, CA 94089, ATTN: General Counsel. You may obtain a copy of the GPL at http://www.gnu.org/licenses/gpl.html, and a copy of the
LGPL at http://www.gnu.org/licenses/lgpl.html.
15. Miscellaneous. This Agreement shall be governed by the laws of the State of California without reference to its conflicts of laws principles. The
provisions of the U.N. Convention for the International Sale of Goods shall not apply to this Agreement. For any disputes arising under this Agreement, the
Parties hereby consent to the personal and exclusive jurisdiction of, and venue in, the state and federal courts within Santa Clara County, California. This
Agreement constitutes the entire and sole agreement between Juniper and the Customer with respect to the Software, and supersedes all prior and
contemporaneous agreements relating to the Software, whether oral or written (including any inconsistent terms contained in a purchase order), except that
the terms of a separate written agreement executed by an authorized Juniper representative and Customer shall govern to the extent such terms are
inconsistent or conflict with terms contained herein. No modification to this Agreement nor any waiver of any rights hereunder shall be effective unless
expressly assented to in writing by the party to be charged. If any portion of this Agreement is held invalid, the Parties agree that such invalidity shall not
affect the validity of the remainder of this Agreement. This Agreement and associated documentation has been written in the English language, and the
Parties agree that the English version will govern. (For Canada: Les parties aux présentés confirment leur volonté que cette convention de même que tous
les documents y compris tout avis qui s'y rattaché, soient redigés en langue anglaise. (Translation: The parties confirm that this Agreement and all related
documentation is and will be in the English language)).
Contenido
Acerca de esta guía xxiii
Audiencia .................................................................................................... xxiii
Información complementaria...................................................................... xxiii
Documentación para administradores y desarrolladores ...................... xxiii
Documentación relacionada con los mensajes de error ........................ xxiv
Documentación sobre hardware........................................................... xxiv
Descargas del producto ........................................................................ xxiv
Convenciones ............................................................................................. xxiv
Documentación............................................................................................ xxv
Notas de versión.................................................................................... xxv
Acceso web ........................................................................................... xxv
Contactar al servicio de soporte técnico ....................................................... xxv
Contenido v
Guía de administración de Secure Access de Juniper Networks
vi Contenido
Contenido
Contenido vii
Guía de administración de Secure Access de Juniper Networks
viii Contenido
Contenido
Contenido ix
Guía de administración de Secure Access de Juniper Networks
x Contenido
Contenido
Contenido xi
Guía de administración de Secure Access de Juniper Networks
xii Contenido
Contenido
Contenido xiii
Guía de administración de Secure Access de Juniper Networks
xiv Contenido
Contenido
Contenido xv
Guía de administración de Secure Access de Juniper Networks
xvi Contenido
Contenido
Contenido xvii
Guía de administración de Secure Access de Juniper Networks
xviii Contenido
Contenido
Contenido xix
Guía de administración de Secure Access de Juniper Networks
xx Contenido
Contenido
Contenido xxi
Guía de administración de Secure Access de Juniper Networks
xxii Contenido
Contenido
Contenido xxiii
Guía de administración de Secure Access de Juniper Networks
xxiv Contenido
Acerca de esta guía
Audiencia
Esta guía está destinada a los administradores de sistema responsables de
configurar los productos Secure Access y Secure Access FIPS.
Información complementaria
Documentación para administradores y desarrolladores
Para descargar una versión PDF de esta guía de administración, diríjase
a la página IVE OS Product Documentation del Juniper Networks Customer
Support Center.
Para obtener más información sobre los cambios que los clientes Secure Access
realizan en los equipos cliente, incluidos los archivos instalados y los cambios
de registro, además de información sobre los derechos necesarios para instalar
y ejecutar clientes Secure Access, consulte la guía Client-side Changes Guide.
Audiencia xxv
Guía de administración de Secure Access de Juniper Networks
Para obtener información sobre los mensajes de error que Secure Meeting
muestra a usuarios finales administradores, consulte la guía Secure Meeting
Error Messages.
Convenciones
La Tabla 1 define los iconos de avisos y la Tabla 2 define las convenciones de texto
que se utilizan en esta guía.
xxvi Convenciones
Acerca de esta guía
Documentación
Notas de versión
Las notas de versión vienen incluidas con el software del producto y están
disponibles en Internet.
Acceso web
Para ver la documentación en Internet, diríjase al sitio:
http://www.juniper.net/techpubs/
Documentación xxvii
Guía de administración de Secure Access de Juniper Networks
1
Guía de administración de Secure Access de Juniper Networks
2
Capítulo 1
Verificación inicial y conceptos clave
Este tema describe las tareas que se deben realizar después de la instalación y
configuración inicial del IVE. Esto supone que ya ha seguido la Guía de tareas en la
consola de administración para actualizar su imagen de software y crear y aplicar
su clave de licencia de Secure Access.
6. En otra ventana del explorador, introduzca la URL del equipo para acceder
a la página de inicio de sesión de usuarios. La URL está en el formato:
https://a.b.c.d, donde a.b.c.d es la dirección IP del equipo que introdujo en la
consola serie al configurar en un comienzo el IVE.
Figura 3: Página web interna de ejemplo con la barra de herramientas para examinar
archivos
11. Haga clic en Browsing > Windows Files de la página inicial IVE (consulte la
Figura 2) para examinar a través de los recursos compartidos disponibles para
Windows o en Browsing > UNIX/NFS Files para examinar a través de los
archivos compartidos disponibles en redes UNIX NFS.
Usuarios: Un usuario es una persona que utiliza el IVE para acceder a los
recursos corporativos de acuerdo con la configuración definida por un
administrador. Ya creó la primera cuenta de usuario (testuser1) en “Verificar
la accesibilidad del usuario” en la página 3.
6 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
Capítulo 1: Verificación inicial y conceptos clave
NOTA: Después de habilitar una característica de acceso para un rol, configure las
opciones correspondientes apropiadas que estén accesibles desde la ficha de
configuración de características de acceso.
2. Haga clic en New Role. Aparecerá la página New Roles. Consulte la Figura 4.
3. Introduzca Test Role en el cuadro Name y luego haga clic en Save Changes.
Espere a que IVE muestre la página Test Role con la Ficha general y el enlace de
Información general seleccionados. Consulte la Figura 8.
6. Seleccione la casilla de verificación User can type URLs in the IVE browser
bar y luego haga clic en Save Changes.
Una vez completados estos pasos, habrá definido un rol de usuario. Cuando cree
perfiles de recursos, podrá aplicarlos a este rol. También podrá asignar usuarios a
este rol mediante reglas de asignación definidas para un territorio de autenticación.
NOTA: Para crear rápidamente un rol de usuario que habilite el acceso a la web
y a examinar archivos, duplique el rol Users y habilite las características de acceso
adicionales que desee.
Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE 7
Guía de administración de Secure Access de Juniper Networks
8 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
Capítulo 1: Verificación inicial y conceptos clave
Dentro de un perfil de recurso, una directiva de recurso especifica los recursos a los
que se aplican las directivas (tales como URLs, servidores y archivos) y si IVE
permite el acceso a un recurso o ejecuta una acción. Tenga en cuenta que el IVE
está preconfigurado con dos tipos de directivas de recursos:
NOTA: Si le preocupa que los usuarios tengan acceso a todos sus contenidos web y
de archivos, elimine las directivas predeterminadas de acceso a web y a archivos,
Web Access y Windows Access.
Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE 9
Guía de administración de Secure Access de Juniper Networks
f. Haga clic en Save and Continue. Aparecerá la página Test Web Access.
10 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
Capítulo 1: Verificación inicial y conceptos clave
a. Seleccione Test Role en el cuadro Available Roles y haga clic en Add para
moverlo al cuadro Selected Roles.
El IVE agrega Test Web Access a la página Web Application Resource Policies y
automáticamente crea un marcador correspondiente que vincula a google.com.
Una vez completados estos pasos, habrá configurado un perfil de recursos Web
Access. Aunque el IVE se suministra con una directiva de recursos que habilita el
acceso a todos los recursos web, se prohíbe a los usuarios asignados a Test Role
acceder a http://www.google.com. Se les niega el acceso debido a que la
autodirectiva que creó durante la configuración tiene preferencia sobre la directiva
de acceso web predeterminada suministrada por IVE.
Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE 11
Guía de administración de Secure Access de Juniper Networks
2. Seleccione Local Authentication desde la lista New y haga clic en New Server.
Aparecerá la página New Local Authentication. Consulte la Figura 7.
3. Introduzca Test Server en el cuadro Name y luego haga clic en Save Changes.
Espere a que el IVE notifique que los cambios se han guardado, después de lo
cual aparecerán fichas de configuración adicionales.
4. Haga clic en la ficha Users y luego en New. Aparecerá la página New Local User.
Consulte la Figura 8.
12 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
Capítulo 1: Verificación inicial y conceptos clave
Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE 13
Guía de administración de Secure Access de Juniper Networks
Una vez completados estos pasos, habrá creado un servidor de autenticación que
contendrá una cuenta de usuario. Este usuario podrá conectarse a un territorio de
autenticación que utilice el servidor de autenticación Test Server.
14 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
Capítulo 1: Verificación inicial y conceptos clave
Las reglas de asignación de roles son condiciones que debe cumplir un usuario
para que el IVE le asigne uno o más roles. Estas condiciones se basan en la
información devuelta por el servidor de directorios del territorio, el nombre
de usuario de la persona o los atributos del certificado.
Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE 15
Guía de administración de Secure Access de Juniper Networks
5. Haga clic en Save Changes. Espere a que el IVE le notifique que los cambios
han sido guardados y a que aparezcan las fichas de configuración del territorio.
16 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
Capítulo 1: Verificación inicial y conceptos clave
8. En la sección ...then assign these roles, seleccione Test Role desde la lista
Available Roles y haga clic en Add para moverlo al cuadro Selected Roles.
Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE 17
Guía de administración de Secure Access de Juniper Networks
Todos los dispositivos IVE Secure Access y Secure Access FIPS vienen
preconfigurados con una directiva de inicio de sesión aplicable a los usuarios: */.
Esta directiva predeterminada de inicio de sesión de usuarios (*/) especifica
que cuando un usuario introduce la URL del IVE, el IVE muestra la página
predeterminada de inicio de sesión y exige al usuario seleccionar un territorio
de autenticación (si existe más de uno). La directiva */ de inicio de sesión está
configurada para ser aplicable al territorio de autenticación Users, por lo que esta
directiva de inicio de sesión no es aplicable al territorio de autenticación creado en
“Definición de un territorio de autenticación” en la página 15.
18 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
Capítulo 1: Verificación inicial y conceptos clave
2. Haga clic en */ bajo User URLs. Aparecerá la página */. Consulte la Figura 12.
Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE 19
Guía de administración de Secure Access de Juniper Networks
Opcional:
1. Seleccione Authentication > Signing In > Sign In Pages y haga clic en
New Page.
4. Escriba */test/ en el cuadro Sign-in URL, seleccione Default Sign-in Page desde
la lista y haga clic en Sign-in Page.
6. Seleccione Test Sign-in Page desde la lista Sign-in page y haga clic en
Save Changes.
20 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
Capítulo 1: Verificación inicial y conceptos clave
Iniciar una sesión como el usuario creado en Test Server para asignarlo al
territorio Test Realm.
Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE 21
Guía de administración de Secure Access de Juniper Networks
El IVE reenviará las credenciales a Test Realm, configurado para utilizar Test
Server. Tras la verificación correcta por parte de este servidor de autenticación,
el dispositivo IVE procesa la regla de asignación de roles definida para Test
Realm, que asigna “testuser2” a la función Test Role. Test Role habilitará la
navegación web para los usuarios.
22 Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con IVE
Capítulo 1: Verificación inicial y conceptos clave
6. Regrese a la página inicial del IVE, haga clic en Sign Out y luego regrese a la
página de inicio de sesión del usuario.
NOTA:
¿Qué es el IVE?
El IVE es un sistema operativo para redes blindado que funciona como plataforma
para todos los productos Secure Access de Juniper Networks. Estos dispositivos
proporcionan una gama de características de escalabilidad de categoría mundial,
alta disponibilidad y seguridad que brindan un acceso remoto seguro a recursos
de red.
¿Qué es el IVE? 25
Guía de administración de Secure Access de Juniper Networks
La página principal del IVE es muy fácil de utilizar: para acceder, sólo es necesario
que los empleados, socios y clientes usen un navegador web que admita SSL y
tengan conexión a Internet. Está página proporciona la ventana desde la cual se
puede navegar por la web o explorar servidores de archivos de forma segura, usar
aplicaciones empresariales habilitadas con HTML, iniciar el proxy de aplicaciones
de cliente/servidor, comenzar una sesión en Windows, Citrix, o terminal
Telnet/SSH, tener acceso a servidores de correo electrónico corporativos, iniciar un
túnel seguro de capa 3 o programar o asistir a una reunión segura en línea. Consulte
la Figura 17.
Ajustar los detalles del acceso de usuarios al dispositivo, los tipos de recursos
o los recursos particulares según factores como la pertenencia a un grupo,
la dirección IP de origen, los atributos del certificado y el estado de seguridad
del punto final. Por ejemplo, se puede usar autenticación de factor dual y
certificados digitales del lado cliente para autenticar a los usuarios en el IVE
y usar la pertenencia a un grupo LDAP para autorizar el acceso a aplicaciones
particulares.
26 ¿Qué es el IVE?
Capítulo 2: Introducción al IVE
El IVE funciona como una puerta de enlace segura en la capa de aplicación que
proporciona intermediación de todas las solicitudes entre la Internet pública y los
recursos corporativos internos. Todas las solicitudes que introducen al IVE ya
vienen encriptadas desde el explorador del usuario final mediante SSL/HTTPS de
128 bits o 168 bits. Las solicitudes que no están encriptadas se descartan. Debido a
que el IVE proporciona una férrea capa de seguridad entre la Internet pública y los
recursos internos, los administradores no necesitan administrar constantemente las
directivas de seguridad y las vulnerabilidades de seguridad de los parches para la
amplia variedad de aplicaciones y servidores web que se implantan en la DMZ de
cara al público.
“¿Puedo usar mis servidores actuales para autenticar a los usuarios del IVE?”
en la página 29
“¿Puedo ajustar con mayor precisión el acceso al IVE y a los recursos para los
que proporciona intermediación?” en la página 30
“¿Puedo crear una integración sin fisuras entre el IVE y los recursos para los
que proporciona intermediación?” en la página 31
“¿Puedo hacer que la interfaz del IVE coincida con la apariencia y aspecto de
mi empresa?” en la página 32
¿Puedo usar el IVE para proporcionar seguridad en el tráfico de todas las aplicaciones,
servidores y páginas web de mi empresa?
El IVE le permite brindar un acceso seguro a una amplia variedad de aplicaciones,
servidores y otros recursos por medio de sus mecanismos de acceso remoto.
Cuando haya escogido los recursos que desea usar, podrá escoger el mecanismo
de acceso correspondiente.
Por ejemplo, si desea proporcionar acceso seguro a Microsoft Outlook, puede usar
Secure Application Manager (SAM). Secure Application Manager proporciona
intermediación del tráfico hacia aplicaciones cliente/servidor como Microsoft
Outlook, Lotus Notes y Citrix. Asimismo, si lo que desea es proporcionar acceso
seguro a la Intranet de su empresa, puede usar la característica de reescritura web.
Esta característica usa el motor de intermediación de contenido del IVE para
proporcionar intermediación del tráfico hacia las aplicaciones basadas en web
y las páginas web.
Tráfico basado en web, incluidas las páginas web y las aplicaciones basadas
en web: Use la característica de reescritura web para proporcionar
intermediación de este tipo de contenido. La característica de reescritura web
incluye plantillas que le permiten configurar el acceso a aplicaciones como
Citrix, OWA, Lotus iNotes y Sharepoint fácilmente. Además, puede usar la
opción de configuración personalizada de la escritura web para proporcionar
intermediación en el tráfico de una amplia variedad de aplicaciones web y
páginas web adicionales, entre ellas, las aplicaciones web hechas a medida.
Applets de Java, incluidas las aplicaciones web que las utilizan: Use la
característica de applets de Java hospedados para proporcionar intermediación
de este tipo de contenido. La característica permite albergar applets de Java y
las páginas HTML a las que hacen referencia directamente en el IVE en lugar de
mantener un servidor Java independiente.
Para obtener más información sobre cómo ofrecer seguridad de tráfico mediante
los mecanismos de acceso remoto del IVE, consulte “Acceso remoto” en la
página 343.
¿Puedo usar mis servidores actuales para autenticar a los usuarios del IVE?
Se puede configurar fácilmente el IVE para que use los servidores actuales de su
empresa para autenticar a los usuarios finales. Los usuarios no tienen que aprender
un nuevo nombre de usuario ni contraseña para tener acceso al IVE. El IVE admite
la integración con LDAP, RADIUS, NIS, Windows NT Domain, Active Directory,
eTrust SiteMinder, SAML y RSA ACE/Server.
Si prefiere no usar uno de estos servidores estándar, puede almacenar los nombres
de usuario y credenciales directamente en el IVE y usarlo directamente como
servidor de autenticación. Además, puede optar por autenticar a los usuarios de
acuerdo con atributos contenidos en declaraciones de autenticación generadas por
autoridades SAML o certificados del lado cliente. Si prefiere no exigir a sus usuarios
que inicien sesión en el IVE, puede usar el servidor de autenticación anónima del
IVE, que permite tener acceso a este sin proporcionar un nombre de usuario ni
contraseña.
Para obtener más información sobre protección del acceso al IVE mediante
servidores de autenticación, consulte “Servidores de autenticación y de directorios”
en la página 111.
¿Puedo ajustar con mayor precisión el acceso al IVE y a los recursos para los que
proporciona intermediación?
Además de usar servidores de autenticación para controlar el acceso al IVE,
se puede controlar el acceso a este y a los recursos para los que proporciona
intermediación mediante una variedad de verificaciones adicionales del lado
cliente. El IVE le permite crear un método de capas múltiples para protegerlo
y proteger también los recursos:
Para obtener más información sobre ajustar con mayor precisión el acceso al IVE
y a los recursos a los que proporciona intermediación, consulte “Marco de
administración de acceso” en la página 49.
¿Puedo crear una integración sin fisuras entre el IVE y los recursos para los que
proporciona intermediación?
En una configuración típica del IVE, se pueden agregar marcadores directamente a
la página de inicio para usuarios finales del IVE. Estos marcadores son vínculos a los
recursos para los que el IVE proporciona intermediación. Al agregar estos
marcadores, los usuarios podrán iniciar sesión en un solo lugar (el IVE) y encontrar
una sola lista con todos los recursos disponibles.
Con esta configuración típica, se puede racionalizar la integración entre el IVE y los
recursos para los que proporciona intermediación mediante la habilitación del
inicio de sesión único (SSO). El SSO es un proceso que permite que los usuarios
preautenticados en el IVE tengan acceso a otras aplicaciones o recursos que están
protegidos con otro sistema de administración del acceso sin tener que volver a
introducir sus credenciales. Durante la configuración del IVE, se puede habilitar el
SSO indicando las credenciales de usuario que desea que traspase el IVE a los
recursos para los que proporciona intermediación. Consulte “Inicio de sesión único”
en la página 223.
¿Puedo usar el IVE para proporcionar protección contra equipos infectados y otras
amenazas a la seguridad?
El IVE le permite proporcionar protección contra virus, ataques y otras amenazas
a la seguridad mediante la característica Host Checker. Host Checker lleva a cabo
verificaciones de seguridad en los clientes que se conectan al IVE. Por ejemplo, se
puede usar la característica Host Checker para verificar que los sistemas del usuario
final contengan software antivirus actualizado, firewalls, parches urgentes de
software y otras aplicaciones que protegen los equipos de los usuarios. Se puede
permitir o negar a los usuarios tener acceso a las páginas de inicio de sesión del
IVE, territorios, roles y recursos según los resultados que devuelva Host Checker.
También se pueden mostrar instrucciones de corrección a los usuarios para que
puedan adecuar sus equipos.
Para obtener más información sobre Host Checker y otros mecanismos de defensa
de punto final del IVE, consulte “Defensa en el punto final” en la página 255. Para
obtener más información sobre la integración del IVE con el sensor IDP, consulte
“Interoperabilidad de IVE e IDP” en la página 975.
¿Puedo hacer que la interfaz del IVE coincida con la apariencia y aspecto de mi
empresa?
El IVE permite personalizar una variedad de elementos en la interfaz de usuario
final. Con las características de personalización, se puede actualizar la apariencia
y aspecto de la consola de usuario final del IVE para que se parezca a una de las
páginas web estándar de su empresa o a sus aplicaciones.
Si prefiere no mostrar la página de inicio del IVE para usuarios finales a los usuarios
(ya sea en la forma estándar o personalizada), se puede redireccionarlos a una
página distinta (como la Intranet de su empresa) la primera vez que inicien sesión
en la consola del IVE. Si escoge esta opción, puede agregar vínculos a los
marcadores del IVE en la página nueva, como se explica en “¿Puedo crear una
integración sin fisuras entre el IVE y los recursos para los que proporciona
intermediación?” en la página 31.
Si desea seguir personalizando la página de inicio de sesión del IVE, puede usar la
característica de páginas de inicio de sesión personalizadas del IVE. A diferencia de
las opciones de personalización estándar que se pueden configurar mediante la
consola de administración del IVE, la característica de páginas de inicio de sesión
personalizada no limita la cantidad de personalizaciones que puede hacer a las
páginas. Con esta característica, se puede usar un editor HTML para desarrollar una
página de inicio de sesión que coincida exactamente con sus especificaciones.
¿Puedo habilitar usuarios de equipos y dispositivos diversos para que usen el IVE?
Además de permitir a los usuarios acceder al IVE desde estaciones de trabajo y
equipos públicos estándar que ejecuten sistemas operativos Windows, Macintosh y
Linux, el IVE permite a los usuarios finales tener acceso a él desde PDA, dispositivos
de mano y teléfonos inteligentes conectados, como i-mode y Pocket PC. Cuando un
usuario se conecta desde un PDA o un dispositivo portátil, el IVE determina cuáles
de sus páginas y qué funcionalidad mostrar según los ajustes que haya configurado.
Para obtener más información sobre especificación de las páginas que muestra el
IVE a dispositivos distintos, consulte el documento sobre plataformas admitidas por
el IVE que está disponible en la página IVE OS Software del sitio Juniper Networks
Customer Support Center.
Para obtener más información sobre los sistemas operativos, PDA y dispositivos de
mano específicos que admite el IVE, consulte “Dispositivos de mano y PDA” en la
página 1031.
2. Cuando conecte el IVE a su red, deberá fijar la fecha y hora del sistema,
actualizarlo para tener el último paquete de servicio e instalar sus licencias
de producto. Cuando inicie sesión por primera vez en la consola de
administración, el IVE muestra un manual de tareas de configuración inicial
que le indica los pasos a seguir en el proceso.
Cuando haya completado los pasos básicos descritos, su dispositivo Secure Access
estará listo para usarse. Puede comenzar a usarlo como está o puede configurar
características avanzadas tales como la defensa de punto final y los clústeres.
Para permitir que el NSM administre el IVE mediante el protocolo DMI, el NSM debe
importar los archivos de esquema y metadatos desde el Juniper Update Repository,
un recurso de acceso público que se actualiza con cada versión del dispositivo.
El Juniper Update Repository brinda acceso a los archivos XSD y XML definidos
para cada dispositivo, modelo y versión del software.
Una vez terminada la configuración de red inicial, se puede configurar el IVE para
proporcionar comunicaciones con el NSM de acuerdo con la información de red
correspondiente. Una vez configurado para comunicarse con el NSM, el IVE
establece contacto con el NSM e inicia una sesión de DMI por medio del
establecimiento de una conexión inicial TCP.
Todas las comunicaciones entre el IVE y el NSM suceden sobre SSH a fin de
garantizar la integridad de los datos.
Una vez que el IVE establece contacto inicial con el NSM y se establece una sesión
TCP, la interacción entre ambos está controlada por el NSM, que envía comandos
para obtener los detalles sobre el hardware, software y licencias del IVE. El NSM se
conecta al Juniper Update Repository para descargar el esquema de configuración
que corresponde al IVE.
Una vez que se conecte el NSM con el IVE, podrá hacer cualquier cambio de
configuración directamente en el IVE, pasando por alto el NSM. Actualmente no hay
una característica de reimportación automática en el NSM. Si se hacen cambios
directamente en el IVE, se deben comunicar manualmente al NSM.
Cuando se hace doble clic en el ícono del dispositivo IVE en Device Manager y se
selecciona la ficha Config, aparece el árbol de configuraciones en el área principal
de la pantalla con la misma orientación con que aparecen los elementos en la
interfaz del IVE.
Servicio de registro: El servicio de registro permite obtener los registros del IVE
en el orden en que fueron generados. El registro de detalles de configuración
que están fijados en el IVE se aplicarán al NSM.
Para iniciar una sesión DMI para las comunicaciones entre el IVE y el NSM:
6. En el Device Manager, haga clic en el icono Add y seleccione Device para abrir
el asistente Add Device e introducir la información correspondiente para
agregar un IVE al NSM. Consulte Juniper Networks NetScreen Security Manager
Administrator’s Guide.
NOTA:
En un entorno de clústeres, cada nodo del clúster debe tener su propio y único
agente DMI y su propia identificación de dispositivo y clave HMAC, ya que
cada nodo del clúster mantiene su propia conexión persistente de DMI con
la aplicación administrativa.
7. Cuando se haya agregado el IVE al NSM, seleccione System > Configuration >
DMI Agent en la consola de administración del IVE y llene los campos NSM
Primary Server IP address or hostname (dirección IP o nombre de host del
servidor NSM principal), Primary Port (puerto principal), Backup Server
(servidor de respaldo) y Backup Port (puerto de respaldo, si corresponde),
Device ID (identificación de dispositivo) y HMAC Key (clave HMAC).
El IVE inicia una conexión TCP con el NSM. Una vez que el IVE está identificado en
el NSM mediante la clave HMAC y el hash de identificación del dispositivo, tanto el
IVE como el NSM negocian un túnel SSH y el NSM solicita autenticación al IVE
mediante nombre de usuario y contraseña.
Con el NSM, los grandes archivos de datos binarios no son importados con el resto
de la configuración durante una operación normal de importación de dispositivos.
En lugar de ello, el archivo se representa en el árbol de configuración del dispositivo
mediante una ruta interna que contiene un hash MD5 y la designación de la
longitud del archivo. Si necesita manejar un archivo así en el NSM, cárguelo de
forma independiente y configúrelo como un objeto compartido. Para incluir el
archivo como parte del objeto del dispositivo en el NSM, se debe establecer un
vínculo entre el nodo en el árbol de configuración del dispositivo y el objeto
compartido de datos binarios. Cuando se establece el vínculo, el hash MD5 y la
longitud se reemplazan por un puntero hacia el objeto compartido.
Después de establecer el vínculo, una directiva de Update Device lleva todos los
archivos de datos binarios que han sido vinculados hacia el dispositivo junto con
el resto de la configuración. No se llevan datos binarios para los nodos que siguen
conteniendo hash MD5 y designadores de longitud.
2. Cargue cada archivo que necesite en la estación de trabajo cliente del NSM.
Necesitará obtener algunos archivos del dispositivo Secure Access. Otros, como
los archivos de configuración ESAP, deben descargarse desde el sitio original.
Use la interfaz web del dispositivo para cargar los archivos binarios desde el
dispositivo Secure Access.
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Amplíe Authentication.
3. Amplíe Signing-In.
9. Haga clic en OK una vez para guardar el vínculo y otra vez para guardar la
configuración.
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Amplíe Authentication.
3. Amplíe Signing-In.
9. Haga clic en OK una vez para guardar el vínculo y otra vez para guardar la
configuración.
https://download.juniper.net/software/av/uac/epupdate_hist.xml.
https://download.juniper.net/software/hc/patchdata/patchupdate.dat.
Para crear un vínculo desde un árbol de configuración del dispositivo Secure Access
a un objeto compartido que contiene un archivo liveupdate del antivirus (AV), haga
lo siguiente:
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Amplíe Authentication.
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Amplíe Authentication.
https://www.juniper.net/customers/csc/software/ive/
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Amplíe Authentication.
7. Haga clic en OK una vez para guardar el vínculo y otra vez para guardar la
configuración.
META-INF/MANIFEST.HCIF
hcif-myPestPatrol.dll
hcif-myPestPatrol.ini
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Amplíe Authentication.
4. En la ficha Host Checker, seleccione la ficha Settings y haga clic en el icono Add
en el cuadro Policies.
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Amplíe Authentication.
4. En la ficha Host Checker, seleccione la ficha Settings y haga clic en el icono Add
en el cuadro Policies.
NOTA: Cuando se cargan applets de Java al NSM, este pide que se lea el acuerdo
legal antes de terminar de instalarlos. Lea atentamente el acuerdo, pues le obliga a
asumir toda la responsabilidad por la legalidad, operación y compatibilidad de los
applets de Java que está cargando.
Para crear un vínculo desde un árbol de configuración del dispositivo Secure Access
a un objeto compartido que contiene un applet de Java, haga lo siguiente:
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Amplíe Users.
7. Haga clic en OK una vez para guardar el vínculo y otra vez para guardar la
configuración.
Para crear un vínculo desde un árbol de configuración del dispositivo Secure Access
a un objeto compartido que contiene un archivo .cab personalizado del cliente de
Citrix, haga lo siguiente:
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Amplíe Users.
49
Guía de administración de Secure Access de Juniper Networks
50
Capítulo 3
Administración de acceso general
51
Guía de administración de Secure Access de Juniper Networks
Puede asociar uno o más territorios de autenticación con una página de inicio de
sesión del IVE. Cuando exista más de un territorio para una página de inicio de
sesión, el usuario debe especificar un territorio antes de enviar sus credenciales.
Cuando el usuario envía sus credenciales, el IVE comprueba la directiva de
autenticación definida para el territorio escogido. El usuario debe cumplir con los
requisitos de seguridad definidos para la directiva de autenticación del territorio.
De lo contrario, el IVE no reenviará las credenciales del usuario al servidor de
autenticación.
Tenga en cuenta que puede especificar los requisitos de seguridad para un rol en
dos lugares: en las reglas de la asignación de roles de un territorio de autenticación
(usando expresiones personalizadas) o al señalar las restricciones en la definición
del rol. El IVE evalúa los requisitos especificados en ambas áreas para asegurarse de
que el usuario los cumple antes de asignarlo a un rol. Consulte “Roles de usuario”
en la página 69.
Tenga en cuenta que puede crear directivas de recursos separadas o puede crear
directivas de recursos automáticas (llamadas directivas automáticas) durante la
configuración del perfil de recursos (recomendado). Para obtener más información,
consulte:
Figura 18: Comprobaciones de seguridad realizada por el IVE durante una sesión
de usuario
1. El usuario escribe la dirección URL de la consola del usuario final del IVE
(como http://empleados.suempresa.com/marketing) en un navegador Web.
6. El IVE evalúa las reglas de la asignación de roles del territorio y determina los
roles a los que puede optar el usuario. El IVE determina la aptitud del usuario
usando la información de los servidores LDAP o RADIUS o el nombre de
usuario del usuario.
8. El IVE crea un “rol de sesión” y determina los permisos para la sesión del
usuario. Si habilita la combinación de permisos, el IVE determina los permisos
para la sesión combinando todos los roles válidos y permitiendo el acceso a los
recursos de cada rol válido. Si no habilita la combinación de permisos, el IVE da
al usuario el primer rol al que él está asignado. Para obtener más información,
consulte “Evaluación de rol de usuario” en la página 70.
10. El IVE evalúa los perfiles y las directivas de recursos relacionadas con la
solicitud del usuario, procesando cada una de forma secuencial hasta que
encuentra el perfil o la directiva que tiene la lista de recursos y los roles
designados que coinciden con la solicitud del usuario. El IVE deniega el acceso
al usuario al recurso si la directiva o el perfil lo especifican así. Por otra parte,
si la directiva o el perfil habilitan el acceso, el IVE intermedia la solicitud del
usuario. Para obtener más información, consulte “Evaluación de las directivas
de recursos” en la página 106.
Network Connect
Telnet/SSH
Java Access
NOTA: Debido a que el IVE evalúa las directivas de recursos de la Web y los
archivos cada vez que el usuario realiza una solicitud para un recurso, la
evaluación dinámica de directivas no es necesaria para estos elementos. El IVE no
usa la evaluación dinámica de directivas para directivas de recursos de reuniones
o de clientes de correo electrónico.
Cuando el usuario intenta entrar a la página de inicio del IVE por primera vez,
el IVE evalúa las directivas del Host Checker y de Cache Cleaner (si las hubiera)
para un territorio.
Cada vez que el usuario realiza una solicitud por un recurso, el IVE evalúa las
directivas de recursos.
Cada vez que cambia el estado del Host Checker y Cache Cleaner en el equipo
del cliente, el IVE evalúa las directivas del Host Checker y de Cache Cleaner
(si las hubiera) para un rol.
Use una restricción para la dirección IP de origen para controlar las direcciones IP
desde las que los usuarios pueden tener acceso a un recurso, a una página de inicio
de sesión de IVE o desde la cual se les pueda asignar a un rol.
Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Source IP
Users > User Roles > Seleccionar rol > General > Restrictions >
Source IP
Allow users to sign in from any IP address: Habilita a los usuarios para
que inicien sesión en el IVE desde cualquier dirección IP para satisfacer el
requisito de administración de acceso.
Allow para permitir que los usuarios inicien sesión desde las
direcciones IP especificadas.
Deny para impedir que los usuarios inicien sesión desde las
direcciones IP especificadas.
iv. Si agrega múltiples direcciones IP, mueva las restricciones de más alta
prioridad al principio de la lista seleccionando la casilla de verificación
junto a la dirección IP y luego haga clic en el botón de la flecha hacia
arriba. Por ejemplo, para denegar el acceso a todos los usuarios de una
red inalámbrica (10.64.4.100) y permitir el acceso a los usuarios de
todas las otras redes (0.0.0.0), mueva la dirección de la red inalámbrica
(10.64.4.100) hacia el principio de la lista y mueva la red (0.0.0.0)
debajo de la red inalámbrica.
Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Browser
Users > User Realms > Seleccionar territorio > Role Mapping >
Selecccionar|Crear regla > Expresión personalizada
Users > User Roles > Seleccionar rol > General > Restrictions >
Browser
Allow all users matching any user-agent string sent by the browser:
Permite a los usuarios tener acceso al IVE o a los recursos utilizando
cualquier navegador Web compatible.
*<browser_string>*
Allow para permitir que los usuarios utilicen un navegador que tenga
un encabezado de agente de usuario que contenga la subcadena
<browser_string>.
Deny para impedir que los usuarios utilicen un navegador que tenga
un encabezado de agente de usuario que contenga la subcadena
<browser_string>.
NOTA:
Las reglas se aplican en orden, por lo que se aplicará la primera regla que
coincida.
El siguiente conjunto de reglas concede acceso a los recursos sólo cuando los
usuarios inician sesión utilizando Internet Explorer 5.5x o Internet Explorer 6.x.
Este ejemplo considera algunos de los principales navegadores distintos a IE que
envían la subcadena 'MSIE' en sus encabezados de agente de usuario:
*Opera*Deny
*AOL*Deny
*MSIE 5.5*Allow
*MSIE 6.*Allow
* Deny
Users > User Realms > Seleccionar territorio > Authentication Policy >
Certificate
Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Certificate
Users > User Realms > Seleccionar territorio > Role Mapping >
Seleccionar|Crear regla > Expresión personalizada
Users > User Roles > Seleccionar rol > General > Restrictions >
Certificate
Desplácese hasta:
Users > User Realms > Seleccionar territorio > Authentication Policy >
Password
Desplácese hasta:
Users > User Realms > Seleccionar territorio > Authentication Policy >
Limits
69
Guía de administración de Secure Access de Juniper Networks
Figura 19: Comprobaciones de seguridad realizadas por el IVE para crear un rol de sesión
1. El IVE inicia una evaluación de reglas con la primera regla de la ficha Role
Mapping del territorio de autenticación en que el usuario ha iniciado sesión
correctamente. Durante la evaluación, el IVE determina si el usuario cumple
las condiciones de la regla. De ser así:
Si la lista de roles válidos contiene sólo un rol, el IVE asigna esa rol al usuario.
De lo contrario, el IVE continúa con el proceso de evaluación.
4. El IVE evalúa el ajuste especificado en la ficha Role Mapping para los usuarios
a quienes se les asigna más de un rol:
Merge settings for all assigned roles: Si elige esta opción, el IVE realiza
una combinación permisiva de todos los roles de usuario válidas a fin de
determinar el rol de sesión general (red) para la sesión de un usuario.
User must select from among assigned roles: Si elige esta opción, el IVE
presenta una lista de roles válidos para un usuario autenticado. El usuario
debe seleccionar un rol de la lista y el IVE asigna al usuario dicho rol
durante la sesión del usuario.
User must select the sets of merged roles assigned by each rule: Si elige
esta opción, el IVE presenta una lista de reglas válidas para un usuario
autenticado (es decir, reglas cuyas condiciones debe cumplir el usuario).
El usuario debe seleccionar una regla de la lista y el IVE realiza una
combinación permisiva de todos los roles asignados a dicha regla.
En el caso de las opciones de interfaz de usuario, el IVE aplica los ajustes que
corresponden con el primer rol de usuario.
En el caso de los tiempos de espera de sesión, el IVE aplica el valor más alto de
todos los roles a la sesión del usuario.
Al combinar dos roles asignados a un usuario (uno que abre los marcadores en
una ventana aparte y otro que los abre en la misma ventana), el rol combinado
abre los marcadores en la misma ventana.
El rol combinado usa el valor más alto que aparece para el tiempo de espera de
conexión HTTP. Haga clic en Users > User Roles > Seleccionar rol > Web >
Options y después en View advanced options.
Una vez que haya creado un rol, puede hacer clic en el nombre del rol para
comenzar a configurarlo usando las instrucciones de las siguientes secciones:
NOTA:
3. En Options, marque las opciones específicas que desea habilitar para ese rol.
Si no selecciona las opciones específicas del rol, el IVE usa los ajustes
predeterminados, como se describe en “Definición de opciones
predeterminadas para roles de usuario” en la página 84. Las opciones
específicas del rol incluyen:
Session Options: Seleccione esta opción para aplicar los ajustes al rol de
la página General > Session Options. Consulte “Especificación de las
opciones de sesión” en la página 76.
4. En Access features, marque las características que desea habilitar paral rol.
Las opciones son:
2. Haga clic en la ficha que corresponde a la opción que desea configurar para el
rol y configúrela según las instrucciones de las siguientes secciones:
NOTA: Debe definir puertos virtuales para aprovechar los alias de IP de origen
basados en roles. Para obtener más información sobre puertos virtuales, consulte
“Configuración de los puertos internos y externos” en la página 706 y
“Configuración de puertos virtuales” en la página 711.
2. Seleccione la VLAN que desea utilizar de la lista VLAN, si es que ha definido los
puertos de este componente en su sistema.
NOTA:
Si se asigna un usuario final a varios roles y el IVE los combina, el IVE asocia
la dirección IP de origen configurada para el primer rol en la lista con el rol
combinado.
1. En la consola de administración, haga clic en Users > User Roles > Nombre
de rol > General > Session Options.
Max. Session Length: Especifique los minutos que una sesión activa
no administrativa puede permanecer abierta antes de que se termine.
El mínimo son seis minutos. El límite de tiempo predeterminado para una
sesión de usuario son sesenta minutos, tras lo cual el IVE termina la sesión
y registra el evento en el registro del sistema. Durante una sesión de
usuario final, antes de alcanzar el límite máximo de la sesión, el IVE solicita
al usuario que vuelva a introducir las credenciales de autenticación, lo que
evita que la sesión termine sin advertencia.
NOTA: Se recomienda que la diferencia entre Idle Timeout y Reminder Time sea
superior a dos minutos. Esto garantiza que aparecerá la ventana emergente de
recordatorio en el momento correcto.
NOTA: Si está utilizando Secure Meeting, puede configurar los límites de sesión de
reunión haciendo clic en Users > Resource Policies > Meetings de la consola de
administración. Consulte “Configuración de los ajustes de reunión a nivel de
sistema” en la página 640.
Por ejemplo, un usuario del IVE puede alcanzar, sin saberlo, el tiempo de
espera por inactividad configurado para su rol mientras usa un cliente de
correo electrónico configurado para que funcione con el IVE, porque el IVE
no recibe datos mientras el usuario redacta el correo. Sin embargo, si se
habilita la advertencia de tiempo de espera de sesión, el IVE le solicita al
usuario que reactive su sesión en el IVE antes de que termine y cierra la
sesión en el IVE del usuario. Esta advertencia da al usuario la oportunidad
de guardar los correos electrónicos que no haya terminado de redactar.
b. Display sign-in page on max session time out: Seleccione esta opción si
desea mostrar una nueva página de inicio de sesión del explorador para el
usuario final cuando termine su sesión. Esta opción sólo aparece cuando
elige habilitar la advertencia de tiempo de espera de sesión.
NOTA:
9. En Upload Logs, seleccione la opción Enable Upload Logs para permitir que el
usuario transmita (cargue) los registros de cliente en el IVE.
NOTA: Haga clic en la página System > Log/Monitoring > Client Logs >
Settings para habilitar completamente los registros del lado cliente para el
usuario. Consulte “Habilitación de registros del lado cliente” en la página 841.
10. Haga clic en Save Changes para aplicar los ajustes al rol.
Para personalizar la página de bienvenida del IVE para los usuarios de roles:
1. Haga clic en Users > User Roles > Nombre de rol > General > UI Options.
NOTA: Sólo puede especificar un archivo JPEG o GIF para la imagen del logotipo
personalizado. No se pueden mostrar apropiadamente otros formatos gráficos en
la ventana de estado JSAM de algunas plataformas de sistemas operativos.
4. En la página Start, especifique la página de inicio que desea que vean los
usuarios después de iniciar sesión y cuando hagan clic en el icono Home de la
barra de herramientas:
Custom page: Seleccione esta opción para mostrar una página de inicio
personalizada y especifique la URL en la página. El IVE vuelve a escribir la
URL y crea una regla de control de acceso para que los usuarios accedan a
la URL. (Tenga en cuanta que los usuarios también pueden introducir la
URL personalizada en el campo Browse del IVE en la barra de
herramientas.) El IVE evalúa la regla de control de acceso después de
evaluar todas las otras directivas, lo que significa que otra directiva puede
denegar el acceso a la URL.
Also allow access to directories below this url: Seleccione esta opción
para permitir que los usuarios obtengan acceso a los subdirectorios de la
URL de la página-personalizada. Por ejemplo, si especifica
http://www.domain.com/, los usuarios también pueden acceder a
http://www.domain.com/dept/.
b. Para colocar un panel por encima o por debajo de otros paneles, haga clic
en Move Up o Move Down.
NOTA: El IVE muestra todos los paneles en Bookmarks Panel Arrangement para
todas las características con licencia sin importar si habilitó la característica
correspondiente para el rol.
6. En la página Help, seleccione las opciones para controlar la página Help que
aparece cuando el usuario hace clic en el botón Help de la barra de
herramientas:
Disable help link: Seleccione esta opción para evitar que los usuarios
muestren la ayuda, retirando el botón Help de la barra de herramientas.
Standard help page: Seleccione esta opción para mostrar la página Help
estándar del IVE para el usuario final.
Custom help page: Seleccione esta opción para mostrar una página Help
personalizada. Especifique la URL para la página de ayuda personalizada
y luego establezca un ancho y altura opcionales para la ventana de la
página de ayuda. El IVE vuelve a escribir la URL y crea una regla de control
de acceso para que los usuarios accedan a la URL. (Tenga en cuanta que
los usuarios también pueden introducir la URL personalizada en el campo
Browse del IVE en la barra de herramientas.) El IVE evalúa la regla de
control de acceso luego de todas las otras directivas, lo que significa
que otra directiva puede denegar el acceso a la URL. (Tenga en cuenta
que cuando elige esta opción, el IVE inhabilita el vínculo Tips junto al
campo Browse.)
Also allow access to directories below this url: Seleccione esta opción
para permitir que los usuarios obtengan acceso a los subdirectorios de la
URL de la página de ayuda personalizada. Por ejemplo, si especifica
http://www.domain.com/help, los usuarios también pueden acceder a
http://www.domain.com/help/pdf/.
Show the browsing toolbar: Seleccione esta opción para mostrar la barra
de herramientas de exploración.
Logo links to: Seleccione una opción para vincular el logotipo de la barra
de herramientas de exploración con una página que aparezca cuando el
usuario hace clic en el logotipo:
NOTA: Si hace clic en Users > User Roles > Nombre de rol > Web > Options y
desmarca la casilla User can add bookmarks; el IVE no mostrará los botones
Bookmark this Page ni Bookmark Favorites en la barra de herramientas de
navegación aunque seleccione las opciones Enable "Add Bookmark" link y
Enable "Bookmark Favorites" link.
NOTA:
11. Haga clic en Save Changes. Los cambios surten efecto de inmediato, pero
puede ser necesario actualizar las sesiones de explorador del usuario actual
para verlos.
12. Haga clic en Restore Factory Defaults para restablecer todas las opciones de
interfaz de usuario en las opciones predeterminadas de fábrica (opcional).
Opciones de sesión
Opciones de UI
NOTA: Si no desea que los roles de usuario vean el aviso de copyright, también
puede desmarcar la casilla de verificación Show copyright notice and “Secured
by Juniper Networks” label in footers para los roles de usuario, en general.
De esa manera, todos los roles posteriores que cree no permitirán que el aviso
aparezca en la UI del usuario final.
Personalización de mensajes
Puede personalizar tres mensajes básicos que se mostrarán a los usuarios finales
cuando inicien sesión en el IVE. Puede cambiar el texto del mensaje y agregar
versiones internacionales de los mensajes en chino (simplificado), chino
(tradicional), francés, alemán, japonés, coreano y español, además de inglés.
All roles: Muestra los marcadores seleccionados para todos los roles
de usuario.
Opción Descripción
Enabled Settings Despliega un gráfico que detalla los mecanismos de acceso remoto
y las opciones generales que han sido habilitadas para los roles
especificados. También muestra los vínculos (las marcas de
verificación) que puede utilizar para obtener el acceso remoto
correspondiente y a las páginas generales de configuración
de opciones.
Restrictions Muestra las restricciones de Host Checker y Cache Cleaner que
debe habilitar para los roles especificados. También muestra
los vínculos que puede utilizar para acceder a las páginas
correspondientes de configuración de Host Checker y Cache
Cleaner.
Meetings Muestra los ajustes de Secure Meeting que configuró para los roles
especificados. También muestra los vínculos que puede utilizar
para acceder a las páginas correspondientes de configuración de
Secure Meeting.
Network Connect Muestra los ajustes de Secure Meeting que configuró para los roles
especificados. También muestra los vínculos que puede utilizar
para acceder a las páginas de configuración correspondientes de
Network Connect.
Role Mapping Rule & Muestra los territorios de autenticación asignados, las condiciones
Realms de reglas de asignación de roles y los ajustes de combinación
permisiva para los roles especificados. También muestra los
vínculos que puede usar para acceder a las páginas de
configuración de asignación de roles y territorios correspondientes.
Bookmarks: All Muestra los nombres y tipos de todos los marcadores que ha
habilitado para los roles especificados. También muestra los
vínculos que puede utilizar para acceder a las correspondientes
páginas de configuración de marcadores. (Tenga en cuenta que si
crea un marcador mediante un perfil de recursos, el vínculo
aparece en la columna Resource. De lo contrario, el vínculo
aparece en la columna Bookmark.)
Bookmarks: Web Muestra los marcadores Web que habilitó para los roles
especificados. También muestra los vínculos que puede utilizar
para acceder a las correspondientes páginas de configuración de
marcadores. (Tenga en cuenta que si crea un marcador mediante
un perfil de recursos, el vínculo aparece en la columna Resource.
De lo contrario, el vínculo aparecerá en la columna de
marcadores Web.)
Bookmarks: Files Muestra los marcadores de archivos de Windows que habilitó para
(Windows) los roles especificados. También muestra los vínculos que puede
utilizar para acceder a las correspondientes páginas de
configuración de marcadores. (Tenga en cuenta que si crea un
marcador mediante un perfil de recursos, el vínculo aparece en
la columna Resource. De lo contrario, el vínculo aparece en la
columna Windows File Bookmark.)
Bookmarks: Files (UNIX) Muestra los marcadores de archivos de UNIX/NFS que habilitó para
los roles especificados. También muestra los vínculos que puede
utilizar para acceder a las correspondientes páginas de
configuración de marcadores. (Tenga en cuenta que si crea un
marcador mediante un perfil de recursos, el vínculo aparece en
la columna Resource. De lo contrario, el vínculo aparecerá en la
columna UNIX File Bookmark.)
Opción Descripción
Bookmarks: Telnet Muestra los marcadores de Telnet/SSH que habilitó para los roles
especificados. También muestra los vínculos que puede utilizar
para acceder a las correspondientes páginas de configuración de
marcadores. (Tenga en cuenta que si crea un marcador mediante
un perfil de recursos, el vínculo aparece en la columna Resource.
De lo contrario, el vínculo aparecerá en la columna Telnet/SSH
Session.)
Bookmarks: Terminal Muestra los marcadores de Terminal Services que habilitó para
Services los roles especificados. También muestra los vínculos que puede
utilizar para acceder a las correspondientes páginas de
configuración de marcadores. (Tenga en cuenta que si crea un
marcador mediante un perfil de recursos, el vínculo aparece en
la columna Resource. De lo contrario, el vínculo aparecerá en la
columna Terminal Services Session.)
ACL Resource Policies: All Muestra las directivas de recursos asociadas a los roles
especificados. Incluye el tipo, nombre, descripción, acción y
recursos de cada directiva. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de directivas.
ACL Resource Policies: Muestra las directivas de recursos Web asociadas a los roles
Web especificados. Incluye el tipo, nombre, descripción, acción y
recursos de cada directiva. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de directivas.
ACL Resource Policies: Muestra las directivas de recursos de archivos de Windows
Files (Windows) asociadas a los roles especificados. Incluye el tipo, nombre,
descripción, acción y recursos de cada directiva. También muestra
los vínculos que puede utilizar para acceder a las correspondientes
páginas de configuración de directivas.
ACL Resource Policies: Muestra las directivas de recursos de archivos de UNIX asociadas a
Files (UNIX) los roles especificados. Incluye el tipo, nombre, descripción, acción
y recursos de cada directiva. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de directivas.
ACL Resource Policies: Muestra las directivas de recursos de JSAM y WSAM asociadas a los
SAM roles especificados. Incluye el tipo, nombre, descripción, acción y
recursos de cada directiva. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de directivas.
ACL Resource Policies: Muestra las directivas de recursos de Telnet/SSH asociadas a los
Telnet roles especificados. Incluye el tipo, nombre, descripción, acción
y recursos de cada directiva. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de directivas.
ACL Resource Policies: Muestra las directivas de recursos de Terminal Services asociadas a
Terminal Services los roles especificados. Incluye el tipo, nombre, descripción, acción
y recursos de cada directiva. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de directivas.
ACL Resource Policies: Muestra las directivas de recursos de Network Connect asociadas a
Network Connect los roles especificados. Incluye el tipo, nombre, descripción, acción
y recursos de cada directiva. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de directivas.
Opción Descripción
Resource Profiles: All Muestra los perfiles de recursos asociados a los roles especificados.
Incluye el tipo, nombre, marcadores y directivas de soporte para
cada perfil. También muestra los vínculos que puede utilizar para
acceder a las correspondientes páginas de configuración de perfiles
de recursos.
Resource Profiles: Web Muestra los perfiles de recursos de la aplicación Web asociados a
Applications los roles especificados. Incluye el nombre, marcadores y directivas
de soporte para cada perfil. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de perfiles de recursos.
Resource Profiles: Web Muestra los perfiles de recursos de applets de Java hospedados
Hosted Java Applets asociados a los roles especificados. Incluye el nombre, marcadores
y directivas de soporte para cada perfil. También muestra los
vínculos que puede utilizar para acceder a las correspondientes
páginas de configuración de perfiles de recursos.
Resource Profiles: Files Muestra los perfiles de recursos de archivos de Windows asociados
(Windows) a los roles especificados. Incluye el nombre, marcadores y
directivas de soporte para cada perfil. También muestra los
vínculos que puede utilizar para acceder a las correspondientes
páginas de configuración de perfiles de recursos.
Resource Profiles: Files Muestra los perfiles de recursos de archivos de UNIX asociados a
(UNIX) los roles especificados. Incluye el nombre, marcadores y directivas
de soporte para cada perfil. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de perfiles de recursos.
Resource Profiles: SAM Muestra los perfiles de recursos de la aplicación de JSAM y WSAM
Client Applications asociados a los roles especificados. Incluye el nombre, marcadores
y directivas de soporte para cada perfil. También muestra los
vínculos que puede utilizar para acceder a las correspondientes
páginas de configuración de perfiles de recursos.
Resource Profiles: SAM Muestra los perfiles de recursos de destino de WSAM asociados a
WSAM destinations los roles especificados. Incluye el nombre, marcadores y directivas
de soporte para cada perfil. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de perfiles de recursos.
Resource Profiles: Muestra los perfiles de recursos de Telnet/SSH asociados a los
Telnet/SSH roles especificados. Incluye el nombre, marcadores y directivas de
soporte para cada perfil. También muestra los vínculos que puede
utilizar para acceder a las correspondientes páginas de
configuración de perfiles de recursos.
Resource Profiles: Muestra los perfiles de recursos de Terminal Services asociados a
Terminal Services los roles especificados. Incluye el nombre, marcadores y directivas
de soporte para cada perfil. También muestra los vínculos que
puede utilizar para acceder a las correspondientes páginas de
configuración de perfiles de recursos.
NOTA: Para los administradores que están acostumbrados a usar una versión del
IVE previa a la 5.3, tenga en cuenta que puede seguir usando el rol IVE y el marco
de directivas de recursos para crear marcadores y directivas asociadas.
Recomendamos de todas maneras que use los perfiles de recursos, ya que estos
proporcionan una estructura de configuración más simple y unificada.
91
Guía de administración de Secure Access de Juniper Networks
1. Crear roles de usuario mediante la página Users > User Roles de la consola de
administración. Para obtener instrucciones, consulte “Configuración de los
roles de usuario” en la página 72.
Definición de recursos
Cuando se define un perfil de recursos, se debe especificar el recurso en particular
que desea configurar. El tipo de perfil que escoja depende del tipo de recurso que
desea configurar, tal como se describe en la tabla siguiente:
Use este tipo de perfil Para configurar este tipo Para obtener instrucciones acerca
de recursos: de recursos: de la configuración, consulte:
Aplicación/páginas web URL a aplicaciones web, “Definición de perfiles de recursos:
servidores web y páginas Aplicaciones web personalizadas” en
web; applets de Java que se la página 392
almacenan en servidores
de terceros
Applet de Java hospedado Los applets de Java que se “Plantillas de applets de Java
cargaron directamente en hospedados” en la página 345
el IVE
Exploración de archivos Servidores, recursos “Definición de perfiles de recursos:
compartidos y rutas de Reescritura de archivo” en la
archivo de Windows y página 465
UNIX/NFS
Aplicación cliente SAM Aplicaciones “Definición de perfiles de recursos:
cliente/servidor WSAM” en la página 498 y
“Definición de perfiles de recursos:
JSAM” en la página 535
Destino WSAM Redes o servidores de “Definición de perfiles de recursos:
destino WSAM” en la página 498
Use este tipo de perfil Para configurar este tipo Para obtener instrucciones acerca
de recursos: de recursos: de la configuración, consulte:
Telnet/SSH Servidores Telnet o SSH “Definición de perfiles de recursos:
Telnet/SSH” en la página 553
Terminal Services Servidores de terminales de “Definición de perfiles de recursos:
Windows y Citrix Vista general de Terminal Services”
en la página 570
NOTA: No se puede configurar aplicaciones mediante Network Connect usando los perfiles
de recursos, sino que debe usar roles y directivas de recursos. Para obtener más información,
consulte “Network Connect” en la página 655.
Al definir recursos, se pueden usar las variables del IVE, como <user> para
relacionar dinámicamente los usuarios con los recursos correctos. Por ejemplo,
se puede especificar el siguiente recurso Web a fin de dirigir a los usuarios hacia
sus propias páginas de la Intranet:
http://yourcompany.intranet/<user>
El usuario final que coincida con el rol Ventas debería ver un nombre de marcador
Intranet for Sales, pero la aplicación de la ACL web será
http://intranet.ejemplo.com/ventas/*.
NOTA:
Para los administradores que están acostumbrados a usar una versión del IVE,
tenga en cuenta que las directivas automáticas son directivas de recursos.
El IVE le permite clasificar y ordenar las directivas automáticas junto con las
directivas de recursos estándar en las páginas Users > Resource Policies de
la consola de administración. Sin embargo, el IVE no le permite tener acceso
a opciones de configuración más detalladas para las directivas automáticas en
esta sección de la consola de administración. En su lugar, si desea cambiar la
configuración de una directiva automática, debe tener acceso a ella a través
del perfil de recursos correspondiente.
Para los administradores que están acostumbrados a usar una versión del
IVE previa a la 5.3, tenga en cuenta que también puede crear directivas de
recursos automáticamente si habilita la opción Auto-allow a nivel de roles.
Sin embargo, tenga en cuenta que nuestra recomendación es que use las
directivas automáticas, ya que se corresponden directamente con el recurso
que se está configurando en lugar de todos los recursos de un tipo en
particular. (También puede preferir habilitar la opción Auto-allow para una
característica de nivel de rol y crear directivas automáticas para los recursos
del mismo tipo. Al hacerlo, el IVE crear directivas para ambos y las muestra
en la página de directivas de recursos correspondiente de la consola de
administración.)
Definición de roles
En un perfil de recursos, se puede asignar roles de usuario al perfil. Por ejemplo,
se puede crear un perfil de recursos que especifique que los miembros del rol
“Clientes” tengan acceso al Centro de Asistencia Técnica de su empresa y que los
miembros del rol “Evaluadores” no lo tengan. Al asignar roles de usuario a un perfil
de recursos, los roles heredan todas las directivas automáticas y marcadores
definidos en el perfil de recursos.
NOTA: Tenga en cuenta que puede asignar roles a un perfil de recursos mediante el
marco de roles y el marco de perfiles de recursos del IVE.
Definición de marcadores
Cuando se crea un perfil de recursos, el IVE crea generalmente un marcador que
apunta al recurso principal del perfil1 (como la página principal de la Intranet de su
empresa). Otra opción es crear marcadores adicionales que apuntan a diversos
sitios en el dominio del recurso principal (como las páginas de ventas y marketing
en la Intranet). Al crear los marcadores, puede asignarlos a roles de usuario para así
controlar los marcadores que ven los usuarios al iniciar sesión en la consola de
usuario final del IVE.
Por ejemplo, puede crear un perfil de recursos que controla el acceso a la intranet
de la empresa. En el perfil, puede especificar:
Luego, puede optar por crear los siguientes marcadores adicionales para asociar
con el perfil de recursos:
1. Los perfiles de recursos WSAM y JSAM no incluyen marcadores, ya que el IVE no puede iniciar las aplicaciones
especificadas en los perfiles de recursos.
Sólo puede asignar marcadores a roles que ya haya asociado con el perfil de
recursos, no todos los roles definidos en el IVE. Para cambiar la lista de roles
asociados al perfil de recurso, utilice los parámetros de la ficha Roles.
Los marcadores simplemente controlan los vínculos que muestra el IVE a los
usuarios, no los recursos a los que los usuarios pueden obtener acceso. En el
ejemplo utilizado anteriormente, un miembro del rol de Sales podría no ver
un vínculo a la página de Intranet Engineering, pero puede acceder a ella
escribiendo http://intranet.com/engineering en la barra de direcciones del
explorador web. Asimismo, si elimina un marcador, los usuarios seguirán
teniendo acceso al recurso definido en el perfil.
Una directiva de recursos es una regla del sistema que especifica los recursos y las
acciones de una característica de acceso en particular. Un recurso puede ser un
servidor o un archivo al que se puede tener acceso mediante un dispositivo IVE
y una acción es “permitir” o “negar” al recurso que lleve a cabo una función. Cada
característica de acceso tiene uno o dos tipos de directiva, que determinan la
respuesta del IVE a una solicitud de usuario o la manera en que se habilita una
característica de acceso (en el caso del Email Client). También se pueden definir
reglas detalladas para una directiva de recursos, lo que le permite evaluar requisitos
adicionales para solicitudes específicas de los usuarios.
Se pueden crear los siguientes tipos de directivas de recursos con las páginas
Resource Policies del IVE:
101
Guía de administración de Secure Access de Juniper Networks
Roles: Lista opcional de roles de usuario a los que se aplica esta directiva.
La configuración predeterminada es aplicar la directiva a todos los roles.
Acción: La acción que debe efectuar el IVE cuando un usuario solicita el recurso
correspondiente de la lista Resource. Una acción puede especificar permitir o
negar un recurso o ejecutar una acción o no, como reescribir contenido web o
permitir conexiones socket de Java.
Reglas detalladas: Lista opcional de elementos que especifica los detalles del
recurso (como la URL específica, ruta en el directorio, archivo o tipo de archivo)
a los que desea aplicar una acción distinta o para las que desea evaluar las
condiciones antes de aplicar la acción. Puede definir más de una regla y
especificar el orden en que el IVE las evalúa. Para obtener más información,
consulte “Creación de reglas detalladas para las directivas de recursos” en la
página 108.
NOTA: Es posible que no vea la opción de permiso automático si está usando una
instalación nueva, si usa perfiles de recursos en lugar de directivas de recursos o si
un administrador ocultó la opción. Para obtener más información sobre esta
opción, consulte “Ajuste de las opciones del sistema” en la página 722.
/intranet
/intranet/home.html
/intranet/elee/public/index.html
/intranet
/intranet/home.html
but NOT /intranet/elee/public/index.html
tcp
udp
icmp
NOTA: Directivas disponibles sólo para Network Connect. Para otras directivas
de recursos con características de acceso, como Secure Application Manager
y Telnet/SSH, no es válido especificar este componente.
IP: a.b.c.d
<username>.danastreet.net:5901-5910
tcp://10.10.149.149:22,23
tcp://10.11.0.10:80
udp://10.11.0.10:*
1. El IVE recibe una solicitud de usuario y evalúa el rol de la sesión del usuario
para determinar si está habilitada la característica de acceso correspondiente.
El “rol de sesión” de un usuario depende del rol o roles que se le asignan al
usuario durante el proceso de autenticación. Las características de acceso
habilitadas para un usuario se determinan mediante la configuración de la
asignación de roles de un territorio de autenticación. (Para obtener más
información, consulte “Evaluación de rol de usuario” en la página 70.)
3. El IVE evalúa y ejecuta las reglas especificadas en las directivas que coinciden.
Se pueden configurar reglas de las directivas para hacer dos cosas:
Especificar los recursos a los que se aplica una acción a un nivel más
granular. Por ejemplo, si especifica un servidor web en los ajustes de la
directiva principal para una directiva de recursos de Web Access, se puede
definir una regla detallada que especifique una ruta en particular en el
servidor y luego cambiar la acción para esta ruta.
Una regla detallada es una extensión de una directiva de recursos que puede
especificar lo siguiente:
Es posible que desee definir una o más reglas detalladas para una directiva cuando
desea que se ejecute una acción basada en una combinación de información
distinta, como por ejemplo:
1. Tenga en cuenta que también puede especificar la misma lista de recursos (como la de la ficha General) para una
regla detallada si el único objetivo de la regla es aplicar condiciones a una solicitud de usuario.
Las reglas detalladas añaden flexibilidad para controlar el acceso a los recursos, ya
que le permiten aprovechar la información de recursos y permisos existente para
especificar requisitos distintos para usuarios distintos a los que se aplica la directiva
de recursos base.
5. En la ficha Detailed Rules, disponga las reglas en el orden en que desea que las
evalúe el IVE. Tenga presente que una vez que el IVE encuentra la coincidencia
entre el recurso solicitado por el usuario y un recurso en la lista Resource de
una regla, realiza la acción especificada y deja de procesar reglas (y otras
directivas de recursos).
2. En la lista Show all policies that apply to, seleccione All Roles o un rol
particular.
3. Haga clic en Update. El IVE muestra las directivas de recursos que están
asignadas a los roles seleccionados.
111
Guía de administración de Secure Access de Juniper Networks
Sólo puede crear una instancia de servidor eTrust Siteminder por IVE.
5. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener más información, consulte
“Definición de directivas de autenticación” en la página 198.
Puede optar por usar la autenticación anónima si piensa que los recursos del
IVE no requieren de seguridad extrema o que las otras medidas de seguridad
proporcionadas mediante el IVE son suficientes. Por ejemplo, puede crear un rol de
usuario con acceso limitado a los recursos internos y autenticarlo con una directiva
que sólo requiera que los usuarios inicien sesión desde una dirección IP que reside
dentro de la red interna. En este método se presupone que si un usuario puede
acceder a su red interna, estará autorizado a ver los recursos limitados
proporcionados a través del rol de usuario.
5. Especifique los territorios que debe usar el servidor para autorizar usuarios.
Para obtener más información, consulte “Definición de directivas de
autenticación” en la página 198.
Le solicita al usuario que genere un nuevo PIN (modo Nuevo PIN) si inicia
sesión en el IVE por primera vez. (El usuario ve mensajes diferentes
dependiendo del método que utilice para iniciar sesión. Si lo hace usando el
complemento SoftID, ve el mensaje de RSA para crear un nuevo PIN; de lo
contrario, ve el mensaje del IVE.)
Redirige al usuario a la página de inicio de sesión estándar del IVE (sólo SoftID)
si el usuario intenta iniciar sesión en la página RSA SecurID Authentication en
un equipo que no tiene instalado el software SecurID.
Cuando un usuario pasa al modo Nuevo PIN o Siguiente token, tiene tres minutos
para introducir la información necesaria antes de que el IVE cancele la transacción
y le notifique que debe volver a introducir las credenciales.
El IVE admite las siguientes características de ACE/Server: Modo Nuevo PIN, modo
Siguiente token, encriptación DES/SDI, encriptación AES, compatibilidad con
ACE/Server esclavo, bloqueo de nombre y clústeres. El IVE también admite los
modos Nuevo PIN y Siguiente token de RSA SecurID a través del protocolo RADIUS.
Para crear una nueva instancia de servidor en el IVE, seleccione ACE Server
en la lista New y haga clic en New Server.
7. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
8. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener más información, consulte
“Definición de directivas de autenticación” en la página 198.
10. Haga clic en Generate Config File. Al agregar el servidor ACE al IVE,
se importará este archivo de configuración.
NOTA:
NOTA: Puede que advierta que el nombre del equipo se llenó previamente con una
entrada en formato vcNNNNHHHHHHHH, donde, en un sistema IVS, NNNN es IVS ID
(suponiendo que tiene una licencia IVS) y HHHHHHHH es la representación
hexadecimal de la dirección IP del IVE. Un nombre exclusivo, ya sea el
proporcionado de forma predeterminada o uno de su elección, puede identificar
más fácilmente sus sistemas en Active Directory. En un sistema que no es IVS, los
primeros seis caracteres del nombre serán ‘vc0000’ porque no hay un IVS ID que
mostrar. Por ejemplo, el nombre podría ser ‘vc0000a1018dF2’ para un sistema
que no es IVS.
NOTA:
Seleccione Use LDAP to get Kerberos realm name si desea que el IVE
recupere el nombre del territorio de Kerberos desde el servidor Active
Directory usando las credenciales de administrador especificadas.
13. Haga clic en Test Configuration para verificar los ajustes de configuración del
servidor Active Directory, como que exista el dominio especificado, que los
controladores especificados sean controladores de dominio de Active Directory,
que funcione el protocolo de autenticación seleccionado, etc. (opcional)
14. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
15. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener más información, consulte
“Creación de un territorio de autenticación” en la página 196.
NOTA:
NOTA:
Normalización de usuario de NT
Con el fin de admitir la autenticación de varios dominios, el IVE usa las credenciales
de NT “normalizadas” al comunicarse con un controlador de dominio de Active
Directory o NT4 para la autenticación. Las credenciales de NT normalizadas
incluyen el nombre del dominio y del usuario: domain\username.
Independientemente de la forma en que el usuario inicia sesión en el IVE, ya sea
sólo con un nombre de usuario o con el formato domain\username, el IVE siempre
trata el nombre de usuario en formato domain\username.
NOTA: Para que la consulta de grupos de NT/AD funcione, el IVE primero intenta
conectarse al dominio usando el nombre de equipo predeterminado. Para que esta
operación sea correcta, debe especificar credenciales de administrador de
dominio válidas en la configuración del servidor Active Directory en el IVE.
Con respecto a las reglas de asignación de roles, el IVE intenta la consulta de grupos
en el siguiente orden:
Por ejemplo, puede optar por autenticar usuarios basándose exclusivamente en sus
atributos de certificados. Si el IVE determina que el certificado del usuario es válido,
inicia la sesión de usuario basado en los atributos del certificado que especifique y
no le solicita al usuario que introduzca un nombre de usuario o contraseña.
Puede optar por autenticar a los usuarios pasando los atributos del certificado del
lado cliente a un segundo servidor de autenticación (como LDAP). En este caso,
el servidor de certificados primero determina si el certificado del usuario es válido.
Luego, el IVE puede usar las reglas de asignación de roles en el nivel del territorio
para comparar los atributos del certificado con los atributos de LDAP del usuario.
Si no encuentra la coincidencia correspondiente, el IVE puede denegar o limitar el
acceso del usuario según sus especificaciones.
1. Use los ajustes de la ficha System > Configuration > Certificates > CA
Certificates para importar el certificado de CA utilizado para firmar los
certificados del lado cliente.
NOTA: Si elige un atributo de certificado con más de un valor, el IVE usa el primer
valor coincidente. Por ejemplo, si introduce <certDN.OU> y el usuario tiene dos
valores para el atributo (ou=management, ou=sales), el IVE usa el valor
“management”. Para usar todos los valores, agregue el atributo SEP a la variable.
Por ejemplo, si introduce <certDN.OU SEP=”:”> el IVE usa “management:sales”.
e. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
3. Si desea verificar los atributos del certificado en un servidor LDAP, use los
ajustes de la página Authentication > Auth. Servers para crear una instancia
de servidor LDAP. Tenga en cuenta que debe usar la sección Finding user
entries en la página de configuración de LDAP para recuperar los atributos
específicos del usuario que desea verificar mediante el certificado.
4. Use los ajustes de las fichas Users > User Realms > Nombre de territorio >
General o Administrators > Admin Realms > Nombre de territorio > General
para especificar los territorios que debe usar el servidor de certificados para
autenticar a los usuarios. (También puede usar los ajustes de estas fichas para
especificar los territorios que debe usar un servidor LDAP para verificar los
atributos del certificado.)
DN base para usuario: El IVE genera un error si falla la búsqueda de nivel base
en el valor DN base.
DN base para grupos: El IVE genera un error si falla la búsqueda de nivel base
en el valor DN base.
4. Especifique el nombre o la dirección IP del servidor LDAP que el IVE usa para
validar a los usuarios.
NOTA: Los servidores LDAP de respaldo deben tener la misma versión que el
servidor LDAP principal. También se recomienda que especifique la dirección IP
de un servidor LDAP de respaldo en lugar de su nombre de host, lo que puede
acelerar el procesamiento de la conmutación por error, ya que se elimina la
necesidad de resolver el nombre de host en una dirección IP.
9. Especifique la cantidad de tiempo que desea que el IVE espere una conexión
con el servidor LDAP principal y luego con cada servidor LDAP de respaldo.
10. Especifique la cantidad de tiempo que desea que el IVE espere los resultados de
la búsqueda de un servidor LDAP conectado.
11. Haga clic en Test Connection para verificar la conexión entre el dispositivo IVE
y los servidores LDAP especificados. (opcional)
CN=Administrator,CN=Users,DC=eng,DC=Juniper,DC=com
DC=eng,DC=Juniper,DC=com
samAccountname=<username> o cn=<username>
14. El IVE admite los grupos dinámicos y estáticos. (Tenga en cuenta que el IVE
sólo admite grupos dinámicos con servidores LDAP). Para habilitar la consulta
de grupos, debe especificar cómo el IVE realiza consultas de grupos en el
servidor LDAP. En Determining group membership, especifique:
member
uniquemember (específico de iPlanet)
Query Attribute para especificar una consulta LDAP que devuelve los
miembros de un grupo dinámico. Por ejemplo:
memberURL
Search all nested groups. Con esta opción, IVE busca primero en el
catálogo de servidores. Si el IVE no encuentra una coincidencia en el
catálogo, consulta LDAP para determinar si un miembro del grupo es
un subgrupo.
Simple bind para enviar las credenciales del usuario en modo transparente
(sin encriptado) a LDAP Directory Service.
16. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
17. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener más información, consulte
“Definición de directivas de autenticación” en la página 198.
Una vez habilitada, el IVE realiza una serie de consultas para determinar la
información de cuentas de usuario, como cuándo se configuró por última vez la
contraseña, si la cuenta está vencida, etc. El IVE realiza esta acción usando su
cliente interno LDAP o Samba. Muchos servidores, como Microsoft Active Directory
o Sun iPlanet, ofrecen una consola de administración para configurar las opciones
de cuentas y contraseñas.
Novell e-Directory
El IVE aplica las directivas de contraseña leyendo sus atributos en el servidor LDAP.
Por lo tanto, para que la administración de contraseñas funcione de forma
adecuada, se deben configurar correctamente los atributos de la directiva de
contraseñas en el servidor backend.
El IVE depende del servidor backend para localizar con exactitud la causa del error
cuando falla una operación de cambio de contraseña. Sin embargo, aunque los
servidores LDAP pueden informar errores de forma precisa a los operadores
humanos, no siempre lo hacen al comunicarse de forma programática con sistemas
como el IVE. Por lo tanto, puede que ocasionalmente los errores comunicados sean
genéricos o crípticos.
Esta sección incluye los siguientes temas con información sobre la característica de
administración de contraseñas de LDAP:
1. Crear una instancia del servidor LDAP mediante la página Authentication >
Auth. Servers de la consola de administración.
Sun iPlanet
Novell eDirectory
Windows NT 4.0
Las siguientes secciones indican problemas específicos relacionados con los tipos
de servidores individuales.
Sun iPlanet
Al seleccionar la opción User must change password after reset en el servidor
iPlanet, también se debe restablecer la contraseña del usuario antes de que esta
función surta efecto. Esta es una limitación de iPlanet.
General
El IVE sólo muestra una advertencia sobre el vencimiento de la contraseña si ésta se
programa para vencer en 14 días o menos. El IVE muestra el mensaje durante cada
intento de inicio de sesión en el IVE. El mensaje de advertencia contiene el número
de días, horas y minutos restantes que el usuario tiene para cambiar su contraseña
antes de que venza en el servidor. El valor predeterminado es 14 días; sin embargo,
puede cambiarlo mediante la página de configuración de Administrators|Users >
Admin Realms|User Realms > Authorization > Password de la consola de
administración.
NOTA:
NOTA: Exija que las contraseñas tengan al menos dos letras si también requieren
una mezcla de mayúsculas y minúsculas.
6. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Users y Admin Users.
2. Haga clic en la base de datos del IVE en la que desee agregar una cuenta
de usuario.
6. Seleccione One-time use (disable account after the next successful sign-in)
si desea limitar al usuario a un solo inicio de sesión. Después de un inicio de
sesión correcto, el estado del inicio de sesión del usuario se configura en
Disabled y el usuario recibe un mensaje de error cuando intenta iniciar sesión
posteriormente. No obstante, puede restablecer manualmente esta opción en la
consola de administración para que permita que el mismo usuario inicie sesión
nuevamente. Si deja esta opción sin marcar, quiere decir que creará un usuario
permanente.
9. Haga clic en Save Changes. El registro del usuario se agrega a la base de datos
del IVE.
3. Introduzca el Username del usuario que desea que administre las cuentas del
servidor de autenticación seleccionado. No es necesario agregar a este usuario
como usuario local en el servidor.
NOTA: Sólo puede usar la autenticación NIS con el IVE si sus contraseñas se
almacenan en el servidor NIS usando los formatos Crypt o MD5. Tenga asimismo
en cuenta que sólo puede agregar una configuración de servidor NIS al IVE, pero
puede usarla para autenticar cualquier número de territorios.
Para crear una nueva instancia de servidor en el IVE, seleccione NIS Server
en la lista New y haga clic en New Server.
6. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
7. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener más información, consulte
“Definición de directivas de autenticación” en la página 198.
Access-Request
Access-Accept
Access-Reject
Access-Challenge
Los usuarios deben usar sus token de respondedor óptico CASQUE para generar el
código de paso correspondiente, introducirlo en el campo Response y hacer clic en
Sign In.
10. Introduzca el intervalo de tiempo que el IVE espera una respuesta del servidor
RADIUS antes del vencimiento de la conexión.
11. Introduzca el número de veces que el IVE intentará establecer una conexión
después del primer intento fallido.
a. Nombre o dirección IP
b. Puerto de autenticación
c. Secreto compartido
d. Puerto de contabilidad
14. Si desea realizar seguimiento de la actividad del usuario del IVE mediante esta
instancia del servidor RADIUS, introduzca la siguiente información en la
sección Radius Accounting:
Se graban dos direcciones IP: una antes de la autenticación con el IVE y otra
devuelta por Network Connect después de la autenticación. Seleccione esta
opción para usar la dirección IP de Network Connect para el atributo Framed-
IP-Address en lugar de la dirección IP autenticada previamente (original).
16. (opcional) Haga clic en New Radius Rule para agregar una regla de desafío
personalizado que determine la acción que se debe tomar para un paquete
entrante.
c. Elija la acción que debe tomar, seleccionando uno de los siguientes botones
de radio:
show NEW PIN page: El usuario debe introducir un nuevo PIN para
su token
show user login page with error: Muestra la página de inicio de sesión
estándar con un mensaje de error incrustado. Esta opción permite
pasar por alto la cadena de mensaje estándar enviada por el IVE y
muestra un mensaje de error personalizado al usuario. Introduzca el
mensaje personalizado en el cuadro de texto Error Message. No existe
un límite máximo de caracteres para este mensaje.
17. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
18. Especifique los territorios que debe usar el servidor para autenticar,
autorizar u otorgar cuentas a los administradores y usuarios. Para obtener
más información, consulte “Definición de directivas de autenticación” en la
página 198.
JSAM
WSAM
Network Connect
Siempre que una sesión de usuario termina, el IVE envía un mensaje de detención
de sesión de usuario al servidor de contabilidad. Una sesión de usuario termina
siempre que el usuario:
El IVE también envía mensajes de detención para todas las subsesiones activas. Los
mensajes de detención para las subsesiones preceden a los mensajes de detención
para la sesión de usuario.
NOTA: Si los usuarios inician sesión en un clúster del IVE, los mensajes de
contabilidad de RADIUS pueden mostrar a los usuarios que inician sesión en
un nodo y cierran sesión en otro.
Las siguientes tres tablas describen los atributos que son comunes para los
mensajes de inicio y detención, atributos que son exclusivos para iniciar mensajes
y atributos que son exclusivos para detenerlos.
Atributo Descripción
User-Name (1) Cadena que el administrador del IVE especifica durante la
configuración del servidor RADIUS.
NAS-IP-Address (4) Dirección IP del IVE.
NAS-Port (5) El IVE configura este atributo en 0 si el usuario inició sesión usando
un puerto interno o en 1 si fue un puerto externo.
Framed-IP-Address (8) Dirección IP de origen del usuario.
NAS-Identifier (32) Nombre configurado para el cliente del IVE bajo la configuración
del servidor RADIUS.
Acct-Status-Type (40) El IVE configura este atributo en 1 para un mensaje de inicio o en 2
para un mensaje de detención en una sesión de usuario o en una
subsesión.
Acct-Session-Id (44) ID de contabilidad único que coincide con los mensajes de inicio
y detención correspondientes a una sesión de usuario o a una
subsesión.
Acct-Multi-Session-Id (50) ID de contabilidad único que puede usar para vincular varias
sesiones relacionadas. Cada sesión vinculada debe tener un
Acct-Session-Id único y el mismo Acct-Multi-Session-Id.
Acct-Link-Count (51) El recuento de vínculos en una sesión de varios vínculos en el
momento en que el IVE genera el registro de contabilidad.
Atributo Descripción
Acct-Authentic (45) El IVE configura este atributo en:
RADIUS: si el usuario se autentica en un servidor RADIUS.
Local: si el usuario se autentica en un servidor de autenticación
local.
Remote: para todo lo demás.
Atributo Descripción
Acct-Session-Time (46) Duración de la sesión del usuario o de la subsesión.
Acct-Terminate-Cause (49) El IVE usa uno de los siguientes valores para especificar el evento
que provocó el término de una sesión de usuario o de una
subsesión:
User Request (1): el usuario cierra sesión manualmente.
Idle Timeout (4): tiempo de espera por inactividad del usuario.
Session Timeout (5): tiempo de espera de sesión máximo del
usuario.
Admin Reset (6): se fuerza la salida del usuario de la página
Active Users.
Atributo Descripción
Acct-Input-Octets Recuento basado en octetos del nivel de sesión de JSAM/WSAM/NC
cuando se terminó la sesión y del nivel de sesión del usuario
cuando la sesión terminó y llegó la hora de la actualización
provisional. Del IVE al cliente.
Acct-Output-Octets Recuento basado en octetos del nivel de sesión de JSAM/WSAM/NC
cuando se terminó la sesión y del nivel de sesión del usuario
cuando la sesión terminó y llegó la hora de la actualización
provisional. Del cliente al IVE.
Para distinguir entre una sesión de usuario y las subsesiones que contiene, examine
Acct-Session-Id y Acct-Multi-Session-Id. En una sesión de usuario, los dos atributos
son iguales. En una subsesión, Acct-Multi-Session-Id es la misma que la sesión de
usuario principal, y el IVE indica la subsesión usando uno de los siguientes sufijos
en Acct-Session-Id:
Atributo Descripción
ARAP-Challenge-Response Enviado en un paquete Access-Accept con Framed-
Protocol de ARAP, e incluye la respuesta al desafío de
acceso telefónico del cliente.
ARAP-Features Enviado en un paquete Access-Accept con Framed-
Protocol de ARAP. Incluye información de la
contraseña que el NAS debe enviar al usuario en un
paquete de marcadores de características de ARAP.
ARAP-Password Enviado en un paquete Access-Request que contiene
Framed- Protocol de ARAP. Sólo se debe incluir una
User-Password, CHAP-Password o ARAP-Password en
Access-Request, o uno o más EAP-Messages.
ARAP-Security Identifica el módulo de seguridad de ARAP que se
usará en un paquete Access-Challenge.
ARAP-Security-Data Contiene un desafío o respuesta del módulo de
seguridad, y se encuentra en los paquetes Access-
Challenge y Access-Request.
ARAP-Zone-Access Indica cómo usar la lista de zonas de ARAP para
el usuario.
Access-Accept Proporciona información de configuración específica
necesaria para iniciar la entrega del servicio al usuario.
Atributo Descripción
Access-Challenge Para enviar al usuario una solicitud que requiera una
respuesta, el servidor RADIUS debe responder a
Access-Request transmitiendo un paquete con el
campo Code configurado en 11 (Access-Challenge).
Access-Reject Si cualquier valor de los atributos recibidos no es
aceptable, entonces el servidor RADIUS debe
transmitir un paquete con el campo Code configurado
en 3 (Access-Reject).
Access-Request Destaca información que especifica el acceso de
usuario a un NAS específico y cualquier servicio
solicitado para ese usuario.
Accounting-Request Destaca información usada para proporcionar
contabilidad para un servicio prestado al usuario.
Accounting-Response Reconoce que Accounting-Request se ha recibido
y grabado correctamente.
Acct-Authentic Indica cómo se autenticó al usuario, ya sea mediante
RADIUS, NAS en sí u otro protocolo de autenticación
remota.
Acct-Delay-Time Indica la cantidad de segundos que el cliente ha
intentado enviar este registro.
Acct-Input-Gigawords Indica la cantidad de veces que el contador Acct-Input-
Octets se ha ajustado a 2^32 durante el transcurso de
la prestación de este servicio.
Acct-Input-Octets Indica la cantidad de octetos que se han recibido
desde el puerto durante la sesión actual.
Acct-Input-Packets Indica la cantidad de paquetes que se han recibido
desde el puerto durante la sesión proporcionada a un
usuario enmarcado.
Acct-Interim-Interval Indica el número de segundos entre cada actualización
provisional en segundos para esta sesión específica.
Acct-Link-Count El recuento de vínculos conocidos que han estado
en una determinada sesión de varios vínculos en el
momento en que se genera del registro de
contabilidad.
Acct-Multi-Session-Id ID de contabilidad único para facilitar la vinculación
junto con sesiones múltiples relacionadas en un
archivo de registro.
Acct-Output-Gigawords Indica la cantidad de veces que el contador Acct-
Output-Octets se ha ajustado en 2^32 durante la
sesión actual.
Acct-Output-Octets Indica la cantidad de octetos que se han enviado
al puerto durante esta sesión.
Acct-Output-Packets Indica la cantidad de paquetes que se han enviado al
puerto durante esta sesión a un usuario enmarcado.
Acct-Session-Id ID de contabilidad único para facilitar la coincidencia
de los registros de inicio y detención en un archivo
de registro.
Acct-Session-Time Indica la cantidad de segundos que el usuario ha
recibido el servicio.
Atributo Descripción
Acct-Status-Type Indica si esta Accounting-Request marca el inicio del
servicio del usuario (Inicio) o el término (Detención).
Acct-Terminate-Cause Indica cómo se terminó la sesión.
Acct-Tunnel-Connection Indica el identificador asignado a la sesión de túnel.
Acct-Tunnel-Packets-Lost Indica el número de paquetes perdidos en un vínculo
determinado.
CHAP-Challenge Contiene el CHAP Challenge enviado por el NAS al
usuario del protocolo de autenticación de
establecimiento de conexión por desafío (CHAP) PPP.
CHAP-Password El valor de respuesta proporcionado por un usuario
del protocolo de autenticación de establecimiento
de conexión por desafío (CHAP) PPP en respuesta
al desafío.
Callback-Id El nombre de la ubicación a la que se llamará, para ser
interpretada por NAS.
Callback-Number La cadena de marcación que se usará para
retrollamada.
Called-Station-Id Permite que el NAS envíe el número de teléfono al que
llamó el usuario, usando la identificación del número
marcado (DNIS) o una tecnología similar.
Calling-Station-Id Permite que el NAS envíe el número de teléfono del
que provino la llamada, usando la identificación
automática del número (ANI) o una tecnología similar.
Class Enviado por el servidor al cliente en Access-Accept
y luego enviado sin modificaciones por el cliente al
servidor de contabilidad como parte del paquete
Accounting-Request, si se admite la contabilidad.
Configuration-Token Para uso en grandes redes de autenticación distribuida
basadas en proxy.
Connect-Info Enviado desde NAS para indicar la naturaleza de la
conexión del usuario.
EAP-Message Encapsula los paquetes del protocolo de acceso
extendido [3] para permitir que NAS autentique a los
usuarios de marcado telefónico mediante EAP sin
tener que comprender el protocolo EAP.
Filter-Id El nombre de la lista del filtro para este usuario.
Framed-AppleTalk-Link El número de red de AppleTalk usado para el vínculo
serie con el usuario, que es otro enrutador AppleTalk.
Framed-AppleTalk-Network El número de red de AppleTalk en que NAS puede
investigar la asignación a un nodo de AppleTalk para
el usuario.
Framed-AppleTalk-Zone La zona predeterminada de AppleTalk que se usará
para este usuario.
Framed-Compression Un protocolo de compresión que se usará para el
vínculo.
Framed-IP-Address La dirección que se configurará para el usuario.
Framed-IP-Netmask La submáscara IP que se configurará para el usuario
cuando sea un enrutador en una red.
Atributo Descripción
Framed-IPv6-Pool Contiene el nombre de un grupo asignado utilizado
para asignar un prefijo IPv6 para el usuario.
Framed-IPv6-Route Información de enrutamiento que se configurará para
el usuario en NAS.
Framed-IPX-Network El número de red IPX que se configurará para
el usuario.
Framed-MTU La unidad de transmisión máxima que se configurará
para el usuario, cuando no la negocia por otros medios
(como PPP).
Framed-Pool El nombre de un grupo de dirección asignado utilizado
para asignar una dirección para el usuario.
Framed-Protocol El marco que se usará para el acceso enmarcado.
Framed-Route Información de enrutamiento que se configurará para
el usuario en NAS.
Framed-Routing El método de enrutamiento para el usuario, cuando
éste es un enrutador en una red.
Idle-Timeout Configura el número máximo de segundos
consecutivos de conexión inactiva permitida para el
usuario antes del término de la sesión o mensaje.
Keep-Alives Use SNMP en lugar de keep-alives.
Login-IP-Host Indica el sistema al que se conectará el usuario,
cuando se incluye el atributo Login-Service.
Login-LAT-Group Contiene una cadena que identifica los códigos
del grupo LAT que este usuario tiene autorización
para usar.
Login-LAT-Node Indica el nodo con que el usuario se conectará
automáticamente mediante LAT.
Login-LAT-Port Indica el puerto con que el usuario se conectará
mediante LAT.
Login-LAT-Service Indica el sistema con que el usuario se conectará
mediante LAT.
Login-Service Indica el servicio que se usará para conectar al usuario
al host de inicio de sesión.
Login-TCP-Port Indica el puerto TCP con que se conectará el usuario,
cuando también esté presente el atributo Login-
Service.
MS-ARAP-Challenge Sólo presente en un paquete Access-Request que
contiene un atributo Framed-Protocol con el valor 3
(ARAP).
MS-ARAP-Password-Change-Reason Indica la razón para el cambio de contraseña iniciada
por el servidor.
MS-Acct-Auth-Type Representa el método usado para autenticar al usuario
de acceso telefónico.
MS-Acct-EAP-Type Representa el tipo de protocolo de autenticación
extensible (EAP) [15] usado para autenticar al usuario
de acceso telefónico.
Atributo Descripción
MS-BAP-Usage Describe si se permite, inhabilita o requiere el uso
de BAP en llamadas nuevas con varios enlaces.
MS-CHAP-CPW-1 Permite que el usuario cambie la contraseña si
ha vencido.
MS-CHAP-CPW-2 Permite que el usuario cambie la contraseña si
ha vencido.
MS-CHAP-Challenge Contiene el desafío enviado por NAS al usuario del
protocolo de autenticación de establecimiento de
conexión por desafío de Microsoft (MS-CHAP).
MS-CHAP-Domain Indica el dominio de Windows NT en que se autenticó
el usuario.
MS-CHAP-Error Contiene los datos de error relacionados con el
intercambio MS-CHAP anterior.
MS-CHAP-LM-Enc-PW Contiene la contraseña de Windows NT encriptada
con el hash de contraseña anterior de LAN Manager.
MS-CHAP-MPPE-Keys Contiene dos claves de sesión para uso con el
protocolo de encriptación punto a punto de
Microsoft (MPPE).
MS-CHAP-NT-Enc-PW Contiene la nueva contraseña de Windows NT
encriptada con el hash de contraseña anterior de
Windows NT.
MS-CHAP-Response Contiene el valor de respuesta proporcionado por
el usuario del protocolo de autenticación de
establecimiento de conexión por desafío (MS-CHAP)
PPP en respuesta al desafío.
MS-CHAP2-CPW Permite que el usuario cambie la contraseña si
ha vencido.
MS-CHAP2-Response Contiene el valor de respuesta proporcionado por un
interlocutor MS- CHAP-V2 en respuesta al desafío.
MS-CHAP2-Success Contiene una cadena de respuesta del autenticador de
42 octetos.
MS-Filter Se usa para transmitir filtros de tráfico.
MS-Link-Drop-Time-Limit Indica el tiempo (en segundos) que un vínculo debe
subutilizarse antes de desecharse.
MS-Link-Utilization-Threshold Representa el porcentaje de utilización de banda
ancha disponible en que debe clasificarse el vínculo
antes de que esté listo para su término.
MS-MPPE-Encryption-Policy Significa si se permite o requiere el uso de la
encriptación.
MS-MPPE-Encryption-Types Significa los tipos de encriptación disponible para uso
con MPPE.
MS-MPPE-Recv-Key Contiene una clave de sesión para uso con el protocolo
de encriptación punto a punto de Microsoft (MPPE).
MS-MPPE-Send-Key Contiene una clave de sesión para uso con el protocolo
de encriptación punto a punto de Microsoft (MPPE).
MS-New-ARAP-Password Transmite la nueva contraseña de ARAP durante una
operación de cambio de contraseña de ARAP.
Atributo Descripción
MS-Old-ARAP-Password Transmite la contraseña de ARAP antigua durante una
operación de cambio de contraseña de ARAP.
MS-Primary-DNS-Server Indica la dirección del servidor de nombre de dominio
(DNS) principal [16, 17] que usará el interlocutor PPP.
MS-Primary-NBNS-Server Indica la dirección del servidor de nombre NetBIOS
(NBNS) principal [18] que usará el interlocutor PPP.
MS-RAS-Vendor Indica el fabricante del equipo cliente RADIUS.
MS-RAS-Version Indica la versión del software cliente RADIUS.
MS-Secondary-DNS-Server Indica la dirección del servidor DNS secundario que
usará el interlocutor PPP.
MS-Secondary-NBNS-Server Indica la dirección del servidor DNS secundario que
usará el interlocutor PPP.
NAS-IP-Address Indica la dirección IP de identificación de NAS que
solicita autenticación del usuario, que debe ser única
para NAS dentro del alcance del servidor RADIUS.
NAS-Identifier Contiene una cadena que identifica el NAS que origina
Access-Request.
NAS-Port Indica el número de puerto físico del NAS que está
autenticando al usuario.
NAS-Port-Id Contiene una cadena de texto que identifica el puerto
del NAS que está autenticando al usuario.
NAS-Port-Type Indica el tipo de puerto físico del NAS que está
autenticando al usuario.
Password-Retry Indica la cantidad de intentos de autenticación que
tiene permitido un usuario antes de desconectarse.
Port-Limit Configura el número máximo de puertos que NAS
proporcionará al usuario.
Prompt Indica a NAS si debe mostrar en pantalla o no la
respuesta del usuario a medida que la introduce.
Proxy-State Un servidor proxy puede enviar este atributo a otro
servidor al reenviar Access-Request. Este atributo se
debe devolver sin modificar en Access-Accept,
Access-Reject o Access-Challenge.
Reply-Message El texto que se puede mostrar al usuario.
Service-Type El tipo de servicio que el usuario ha solicitado o el tipo
de servicio que se le proporciona.
Session-Timeout Configura el número máximo de segundos de servicio
que se proporcionarán al usuario antes del término de
la sesión o mensaje.
State Un paquete debe tener sólo cero o un atributo Select.
El uso del atributo State depende de la
implementación.
Telephone-number El uso de los atributos de RADIUS Calling-Station-Id
y Called-Station-Id, la autorización y los atributos de
túnel posteriores se pueden basar en el número de
teléfono que origina la llamada o el número al que
se llama.
Atributo Descripción
Termination-Action La acción de NAS debe realizarse cuando se completa
el servicio especificado.
Tunnel-Assignment-ID Indica al iniciador de túnel el túnel en particular al que
se asignará una sesión.
Tunnel-Client-Auth-ID Especifica el nombre usado por el iniciador de túnel
durante la fase de autenticación del establecimiento
del túnel.
Tunnel-Client-Endpoint Contiene la dirección del término del iniciador
del túnel.
Tunnel-Link-Reject Marca el rechazo del establecimiento de un nuevo
vínculo en un túnel existente.
Tunnel-Link-Start Marca la creación de un vínculo de túnel.
Tunnel-Link-Stop Marca la destrucción de un vínculo de túnel.
Tunnel-Medium-Type El medio de transporte para usar al crear un túnel para
esos protocolos (como L2TP) que pueden operar en
varios transportes.
Tunnel-Medium-Type El medio de transporte para usar al crear un túnel para
esos protocolos (como L2TP) que pueden operar en
varios transportes.
Tunnel-Password Una contraseña que se usará para autenticarse en un
servidor remoto.
Tunnel-Preference Si el servidor RADIUS devuelve más de un conjunto de
atributos de encapsulamiento en el iniciador de túnel,
debe incluir este atributo en cada conjunto para
indicar la preferencia relativa asignada a cada túnel.
Tunnel-Private-Group-ID El ID de grupo para una sesión encapsulada en
particular.
Tunnel-Reject Marca el rechazo del establecimiento de un túnel con
otro nodo.
Tunnel-Server-Auth-ID Especifica el nombre usado por el terminador de túnel
durante la fase de autenticación del establecimiento
del túnel.
Tunnel-Server-Endpoint La dirección del término de servidor del túnel.
Tunnel-Start Marca el establecimiento de un túnel con otro nodo.
Tunnel-Stop Marca la destrucción de un túnel hacia o desde otro
nodo.
Tunnel-Type Los protocolos de encapsulamiento que se usarán
(en caso de un iniciador de túnel) o el protocolo de
encapsulamiento en uso (en caso de un terminador
de túnel).
User-Name El nombre del usuario que se autenticará.
User-Password La contraseña del usuario que se autenticará o los
comentarios de éste posteriores a Access-Challenge.
“Configuración del IVE para que funcione con SiteMinder” en la página 172
NOTA:
Puede elegir la versión de servidor eTrust SiteMinder que desea que sea
compatible cuando cree una instancia de servidor. Puede elegir la versión 5.5,
que admite las versiones 5.5 y 6.0, o puede elegir la versión 6.0, que sólo
admite la versión 6.0. No existe diferencia en la funcionalidad de servidor
de autenticación SiteMinder según en la versión que seleccione. Esta opción
controla la versión de Netegrity SDK que se debe usar. Se recomienda que
haga coincidir el modo de compatibilidad con la versión del servidor de
directivas.
NOTA:
Para obtener más información sobre cómo hacer que el IVE maneje la
reautenticación, consulte “Creación de un esquema de autenticación de SiteMinder
para el IVE” en la página 167.
Inicia sesión mediante la página de inicio de sesión estándar del IVE: El IVE
primero comprueba el nombre de usuario que devuelve el servidor de directivas
en su encabezado de respuesta OnAuthAccept. Si SiteMinder no define un
nombre de usuario, el IVE usa el nombre que el usuario introdujo durante el
inicio de sesión. En caso contrario, si ni SiteMinder ni el usuario proporcionan
un nombre de usuario porque el usuario se autentica usando un certificado
cliente, el IVE usa el valor UserDN configurado por el servidor de directivas.
Una vez que el IVE determina el nombre de usuario que usará, lo guarda en la
memoria caché de su sesión y hace referencia a éste cuando el usuario desea
obtener acceso a recursos adicionales (como se explica en “Información general
sobre eTrust SiteMinder” en la página 161).
NOTA: Las instrucciones que se muestran aquí son para la versión 5.5 del servidor
de directivas SiteMinder. Las instrucciones pueden variar levemente si usa una
versión de producto diferente.
Para configurar SiteMinder para que funcione con el IVE, debe realizar los
siguientes procedimientos:
EncryptAgentName=no
FCCCompatMode=no
Basic Template
NOTA:
Si selecciona X509 Client Cert Template o X509 Client Cert and Basic
Authentication, debe importar el certificado al IVE mediante la ficha
System > Certificates > Trusted Client CAs. Para obtener más información,
consulte “Uso de CA de cliente de confianza” en la página 758.
1. Si usa la autenticación de SecurID, debe elegir la plantilla de formulario HTML de SecurID (en lugar de la
plantilla de SecurID). Al elegir esta opción se habilita el servidor de directivas para que envíe códigos de error
de inicio de sesión de ACE al IVE.
Si desea que el IVE vuelva a autenticar usuarios que solicitan recursos con un
nivel de protección superior al que tienen autorizado el acceso, debe introducir
los siguientes ajustes:
NOTA: Al guardar los cambios, ive=1 desaparece del objetivo. Esto es normal.
El servidor de directivas incluye ive=1 en la URL completa del esquema de
autenticación que envía al IVE, para que pueda verla en el campo Parameter de
la ficha Advanced.
NOTA:
Para obtener información sobre la configuración del IVE para manejar varios
esquemas de autenticación, consulte “Configuración del IVE para que
funcione con varios esquemas de autenticación” en la página 172.
2. Expanda el dominio que creó para el IVE. Para obtener más información,
consulte “Creación de un dominio de SiteMinder para el IVE” en la página 169.
5. En el campo Agent, seleccione el agente Web que creó para el IVE. Para
obtener más información, consulte “Configuración del agente de SiteMinder”
en la página 166.
3. Haga clic con el botón secundario en el territorio que creó para el IVE (como se
explica en “Creación de un territorio de SiteMinder para el IVE” en la
página 169) y elija Create Rule under Realm.
6. Seleccione Enabled.
3. Haga clic con el botón derecho del ratón en Responses y seleccione Create
Response.
2. Crear una instancia del servidor de directivas SiteMinder del IVE para todos los
esquemas de autenticación que desee usar. Para obtener instrucciones,
consulte “Definición de una instancia de servidor eTrust SiteMinder” en la
página 174.
3. Especificar los territorios del IVE que debe usar la instancia del servidor de
directivas SiteMinder del IVE para autenticar y autorizar a los administradores
y usuarios. Para obtener instrucciones, consulte “Creación de un territorio de
autenticación” en la página 196.
Especifique una URL de inicio de sesión del IVE que coincida con la URL de
recurso protegido de SiteMinder en el servidor de directivas. Haga coincidir
parte de la ruta de la URL con el filtro de recursos de SiteMinder en la
configuración del territorio de SiteMinder. Por ejemplo, puede especificar
*/ACE/ como URL de inicio de sesión del IVE para que coincida con una
URL de SiteMinder de XYZ/ACE, donde XYZ es el nombre de un territorio.
Seleccione el territorio del IVE que especificó que debe usar el servidor de
directivas SiteMinder.
El usuario inicia sesión en el IVE usando una de las URL de inicio de sesión del IVE.
El IVE envía la URL del recurso protegido a SiteMinder, y según el recurso,
SiteMinder determina qué tipo de esquema usará para autenticar al usuario. El IVE
recopila las credenciales que requiere el esquema de autenticación y las pasa a
SiteMinder para su autenticación.
1. Defina los recursos que el servidor SiteMinder debe proteger. Cada uno de estos
recursos hereda un nivel de protección de un esquema de autenticación de
SiteMinder correspondiente. Para obtener instrucciones, consulte “Creación de
un territorio de SiteMinder para el IVE” en la página 169.
2. Cree una instancia del servidor de directivas SiteMinder del IVE para todos los
recursos protegidos y los niveles de protección correspondientes que desea
permitir. Para obtener instrucciones, consulte “Definición de una instancia de
servidor eTrust SiteMinder” en la página 174.
3. Especifique qué territorio del IVE debe usar la instancia del servidor de
directivas SiteMinder del IVE. Para obtener instrucciones, consulte “Creación de
un territorio de autenticación” en la página 196.
Una URL de inicio de sesión del IVE que coincida con la URL de recurso
protegido del servidor de directivas. Haga coincidir parte de la ruta de la
URL con el filtro de recursos de SiteMinder. Por ejemplo, puede definir las
siguientes URL:
https://employees.yourcompany.com/sales
https://employees.yourcompany.com/engineering
Seleccione el territorio del IVE que especificó que debe usar el servidor de
directivas SiteMinder.
Opción Descripción
Name Introduzca un nombre para identificar la instancia de servidor.
Policy Server Introduzca el nombre o la dirección IP del servidor de directivas
SiteMinder que desea usar para autenticar usuarios.
Backup Server(s), Introduzca una lista delimitada por comas de los servidores de
Failover Mode directivas de respaldo (opcional). A continuación, elija un modo de
conmutación por error:
Seleccione Yes para el que el dispositivo IVE use el servidor de
directivas principal, excepto que falle.
Seleccione No para que el dispositivo IVE distribuya la carga entre
todos los servidores de directivas especificados.
Agent Name, Introduzca un secreto compartido y el nombre del agente especificado
Secret en “Configuración del agente de SiteMinder” en la página 166. Tenga en
cuenta que distinguen mayúsculas de minúsculas.
Compatible with Elija un una versión de servidor SiteMinder. La versión 5.5 admite las
versiones 5.5 y 6.0. La versión 6.0 admite sólo la versión 6.0 de la API
del servidor SiteMinder. El valor predeterminado es servidores de
directivas 5.5.
On logout, redirect to Especifique una URL a la que se redirigirá a los usuarios cuando cierren
sesión en el IVE (opcional). Si deja este campo vacío, los usuarios verán
la página de inicio predeterminada del IVE.
Nota: El campo On logout, redirect to se incluye en la versión del
producto para compatibilidad con versiones anteriores, pero está
prevista su eliminación. Si desea redirigir a los usuarios a una página
de inicio de sesión diferente cuando cierren sesión, se recomienda
encarecidamente usar la característica de páginas de inicio de sesión
personalizables. Para obtener más información, consulte el manual
Custom Sign-In Pages Solution Guide.
Protected Resource Especifique el recurso protegido predeterminado que se especificó en
“Creación de un territorio de SiteMinder para el IVE” en la página 169.
Si no crea directivas de inicio de sesión para SiteMinder, el IVE usa esta
URL predeterminada para configurar el nivel de protección del usuario
para la sesión. El IVE también usa la URL predeterminada si desea
seleccionar la opción Automatic Sign-In. Si los usuarios inician sesión
en la URL “*” (página de inicio predeterminada del IVE), introduzca
cualquier URL (“/IVE-authentication” es el valor predeterminado) para
configurar el nivel de protección en el valor predeterminado del IVE.
Si crea directivas de inicio de sesión para SiteMinder, el IVE usa estas
directivas de inicio de sesión en lugar de la URL predeterminada.
Nota: Debe introducir una barra diagonal (/) al comienzo del recurso
(por ejemplo, “/ive-authentication”).
Opción Descripción
Resource Action (Sólo lectura) Para nuevas instancias de servidor SiteMinder, el IVE
configura la acción del recurso en GET. Si la instancia de SiteMinder
se actualiza de una instancia 3.x, el IVE usa la acción del recurso
(por ejemplo, GET, POST o PUT) que eligió previamente. Tenga en
cuenta que para cambiar una acción de recurso existente a GET, debe
eliminar la instancia de servidor SiteMinder y crear una nueva instancia
que use GET.
Ajustes de cookies de SMSESSION
Cookie Domain Introduzca el dominio de cookies del IVE. (Un dominio de cookies es el
dominio en que las cookies del usuario están activas; el IVE envía las
cookies al explorador del usuario en este dominio).
Nota:
Varios dominios deben usar un punto inicial y estar separados por
coma. Por ejemplo: .ventas.miorg.com, .marketing.miorg.com
Los nombres de dominio distinguen mayúsculas de minúsculas.
No puede usar caracteres comodín.
Por ejemplo, si define “.juniper.net”, el usuario debe acceder al IVE
como “http://ive.juniper.net” para asegurarse de que su cookie de
SMSESSION se envíe de vuelta al IVE.
Protocol (Sólo lectura) Indica que el IVE usa el protocolo HTTPS para enviar
cookies al explorador de Web del usuario.
IVE Cookie Domain Introduzca los dominios de Internet a los que el IVE envía la cookie de
SMSESSION usando las mismas pautas descritas en el campo Cookie
Domain. (Un dominio de cookies de IVE habilita un inicio de sesión
único en varios dominios de cookies. Permite que la información del
usuario se transfiera cuando se diríjase de un dominio a otro). Si
configuró un proveedor de cookies para permitir inicios de sesión
únicos en varios dominios de cookies, introduzca el dominio o el
proveedor de cookies. De lo contrario, introduzca los dominios de
los agentes Web para los que se desean inicios de sesión únicos.
Por ejemplo: .juniper.net
Protocol Elija HTTPS para enviar las cookies de forma segura si otros agentes
Web se configuran para aceptar cookies seguras o HTTP para enviar las
cookies de una forma no segura.
Opción Descripción
Ajustes de autenticación de SiteMinder
Automatic Sign-In Seleccione la opción Automatic Sign-In para que los usuarios que
tienen una cookie de SMSESSION válida inicien sesión
automáticamente en el IVE. Luego, seleccione el territorio de
autenticación al que se asignarán los usuarios. Si selecciona esta opción,
tenga en cuenta que:
Si el nivel de protección asociado con una cookie de SMSESSION del
usuario es diferente del nivel de protección del territorio del IVE, el
IVE usa el nivel de protección asociado con la cookie.
Para habilitar un inicio de sesión único de otro agente Web en el IVE,
el IVE debe validar una cookie de SMSESSION existente creada por
un agente Web estándar.
El IVE admite las siguientes limitaciones de territorio y rol con la
característica Automatic Sign-in: Host Checker, Cache Cleaner,
dirección IP, explorador, y comprobaciones de límite de usuarios
simultáneos. Las restricciones de certificado y contraseña no se
admiten puesto que no se pueden aplicar a los usuarios que inician
sesión automáticamente.
El IVE no admite la característica Automatic Sign-in para los roles de
administrador. Esta característica sólo se encuentra disponible para
los usuarios finales.
Opción Descripción
If Automatic Sign In fails, redirect to
Introduzca una URL alternativa para los usuarios que inician sesión
en el IVE mediante el mecanismo de inicio de sesión automático que
se explica en “Automatic Sign-In” en la página 177. El IVE redirige a
los usuarios a la URL especificada si el IVE no realiza la autenticación
y no se recibe una respuesta de redireccionamiento del servidor de
directivas SiteMinder. Si deja este campo vacío, se solicita a los
usuarios que vuelvan a iniciar sesión en el IVE.
Nota:
Los usuarios que inician sesión a través de la página de inicio de
sesión del IVE siempre son redirigidos a la página de inicio de
sesión del IVE si se produce un error en la autenticación.
Si usa la opción de UI personalizables (Custom Pages) que se
explica en el manual Custom Sign-In Pages Solution Guide, tenga en
cuenta que el IVE redirige a welcome.cgi en dos casos diferentes.
Debe representar ambos casos especiales en la página
personalizada:
Tiempos de espera por sesión y por inactividad:
/dana-na/auth/welcome.cgi?p=timed-out
Error en la validación de la cookie:
/dana-na/auth/welcome.cgi?p=failed
Si usa una directiva de acceso sólo con autorización, debe introducir una
URL alternativa en este campo sin importar si selecciona la opción
Automatic Sign In. Los usuarios son redirigidos a esta URL cuando falla
la validación de la cookie de SMSESSION o si no existen cookies de
SMSESSION. Para obtener más información sobre las directivas de
acceso sólo con autorización.
Authenticate using Elija esta opción si desea llevar a cabo la autenticación usando el agente
custom agent Web personalizado del IVE. Tenga en cuenta que si selecciona esta
opción, también debe:
Actualizar todos los agentes Web estándar en la versión de
mantenimiento trimestral (QMR) del agente de Siteminder para
aceptar las cookies creadas por el IVE. Si ejecuta los agentes Web de
SiteMinder versión 5, use el parche urgente QMR5. El IVE es
compatible con la versión 5.x y posterior de los agentes de
SiteMinder. Las versiones anteriores de los agentes de SiteMinder son
susceptibles a errores en la validación de la cookie.
Configure el atributo Accept Third Party Cookie (AcceptTPCookie) en
Yes en el archivo de configuración del agente Web (webagent.conf) o
en 1 en el registro de Windows para el servidor Web IIS. La ubicación
del atributo depende de la versión de SiteMinder y del servidor Web
que use. Para obtener más información, consulte la documentación
proporcionada con el servidor SiteMinder.
Opción Descripción
Authenticate using Elija esta opción si desea publicar las credenciales de usuario en un
HTML form post agente Web estándar que haya configurado en lugar de contactarse
directamente con el servidor de directivas SiteMinder. Si selecciona esta
opción, el agente Web se contacta con el servidor de directivas para
determinar la página de inicio de sesión correspondiente para mostrar
al usuario. Para configurar el IVE para que “actúe como un explorador”
que publica las credenciales en el agente Web estándar, debe introducir
la información definida a continuación. La forma más fácil de buscar
esta información es:
1. Abrir un explorador de Web e introducir la URL del agente Web
estándar que desea usar. Por ejemplo, http://webagent.juniper.net
2. Anote la URL de la página de inicio de sesión de SiteMinder que
aparece. Por ejemplo:
http://webagent.juniper.net/siteminderagent/forms/login.fcc?TYPE=
33554433&REALMOID=06-2525fa65-5a7f-11d5-9ee0-
0003471b786c&GUID=&SMAUTHREASON=0&TARGET=$SM$http
%3a%2f%2fwebagent%2ejuniper%2enet%2fportal%2findex%2ejsp
3. Extraiga la información de la URL para introducirla en los campos que
aparecen a continuación.
Nota:
No puede usar los modos Nuevos PIN de SecurID y Siguiente token,
la autenticación de certificados del lado cliente ni las capturas SNMP
con la opción Authenticate using HTML form post.
La opción Authorize While Authenticating no se puede aplicar con
la opción HTML form post.
Puede autenticar usuarios usando esta opción, pero si desea
autorizarlos, debe seleccionar Authenticate using custom agent.
Opción Descripción
Web Agent
Nombre del agente Web desde el cual el IVE obtendrá las cookies de
SMSESSION. No se permite una dirección IP para este campo.
(Especificar la dirección IP como el agente Web evita que algunos
exploradores acepten cookies). En la URL de la página de inicio de
sesión del agente Web, éste aparece después del protocolo. Por
ejemplo, en la URL que aparece en “Authenticate using HTML form
post” en la página 179, el agente Web es: webagent.juniper.net
Port
Puerto 80 para HTTP o puerto 443 para HTTPS.
Path
Ruta de la página de inicio de sesión del agente Web. Tenga en cuenta
que la ruta debe comenzar con un carácter de barra diagonal (/). En la
URL de la página de inicio de sesión del agente Web, la ruta aparece
después del agente Web. Por ejemplo, en la URL que aparece en
“Authenticate using HTML form post” en la página 179, la ruta es:
/siteminderagent/forms/login.fcc
Parameters
Parámetros posteriores que se envían cuando un usuario inicia
sesión. Las variables comunes de SiteMinder que puede usar son
_ _USER_ _, _ _PASS_ _ y _ _TARGET_ _. Estas variables se reemplazan
por el nombre de usuario y la contraseña introducidos por el usuario
en la página de inicio de sesión del agente Web y por el valor
especificado en el campo Target. Existen parámetros
predeterminados para login.fcc; si ha efectuado personalizaciones,
es posible que deba cambiar estos parámetros.
Delegate Elija esta opción si desea delegar la autenticación a un agente estándar.
authentication to Cuando el usuario accede a la página de inicio de sesión del IVE, el IVE
a standard agent determina la URL de FCC asociada con el esquema de autenticación del
recurso protegido. El IVE redirige al usuario a esa URL, ajustando la URL
de inicio de sesión del IVE como destino. Después de realizar una
autenticación correcta con el agente estándar, se configura una cookie
de SMSESSION en el explorador del usuario y se redirige de vuelta al
IVE. El IVE inicia la sesión del usuario automáticamente y establece una
sesión del IVE. Para obtener información sobre la configuración del
esquema de autenticación, consulte “Creación de un esquema de
autenticación de SiteMinder para el IVE” en la página 167.
NOTA:
Debe habilitar la opción Automatic Sign-In para usar esta
característica.
Si habilita esta opción y un usuario ya tiene una cookie de
SMSESSION válida cuando intenta acceder a un recurso, el IVE
intenta iniciar sesión automáticamente usando la cookie de
SMSESSION existente. Si la cookie no es válida, el IVE borra la cookie
de SMSESSION y las cookies del IVE correspondientes y presenta al
usuario una página de “tiempo de espera”. El IVE delega
correctamente la autenticación cuando el usuario hace clic en la
opción “volver a iniciar sesión”.
Si selecciona esta opción, el esquema de autenticación debe tener
una URL de FCC asociada.
Opción Descripción
Authorize requests Seleccione esta opción si desea usar las reglas del servidor de directivas
against SiteMinder SiteMinder para autorizar las solicitudes del recurso Web del usuario. Si
policy server selecciona esta opción, asegúrese de crear las reglas correspondientes
en SiteMinder que comiencen con el nombre del servidor, seguido de
una barra diagonal, como: "www.yahoo.com/", "www.yahoo.com/*" y
"www.yahoo.com/r/f1". Para obtener más información, consulte la
documentación proporcionada con el servidor SiteMinder.
Si utiliza una directiva de acceso sólo con autorización, debe seleccionar
esta opción e introducir valores para las tres siguientes opciones
(se describen a continuación) para que funcione correctamente la
característica de proxy inverso. Para obtener más información sobre
las directivas de acceso sólo con autorización, consulte “Definición de
directivas de acceso sólo con autorización” en la página 215.
If authorization fails, Introduzca una URL alternativa a la que se redirigirán los usuarios si el
redirect to IVE no autoriza y no se recibe una respuesta de redireccionamiento del
servidor de directivas SiteMinder. Si deja este campo vacío, se solicita a
los usuarios que vuelvan a iniciar sesión en el IVE.
Nota:
Si usa una directiva de acceso sólo con autorización, debe
introducir una URL alternativa en este campo sin importar si
selecciona la opción Authorize requests against SiteMinder policy
server. Los usuarios son redirigidos a esta URL cuando se produce
un error de denegación de acceso. Para obtener más información
sobre las directivas de acceso sólo con autorización, consulte
“Definición de directivas de acceso sólo con autorización” en la
página 215.
Opción Descripción
Resource for Introduzca un recurso en el agente Web al que el IVE redirigirá a los
insufficient usuarios cuando no tengan los permisos correspondientes.
protection level Cuando un usuario accede a un recurso con un nivel de protección
mayor que el de la cookie de SMSESSION, obtiene una página de inicio
de sesión seguro. Tras volver a autenticarse, obtiene una cookie de
SMSESSION con un mayor nivel de protección y es redirigido a una
página Web. El tipo de página Web que muestra el IVE depende del
método utilizado para volver a autenticar usuarios*:
Un agente Web estándar con "FCCCompatMode = yes"
Si configura el modo de compatibilidad con el recopilador de
credenciales de formularios (FCC) del agente Web** en Yes, los
usuarios serán redirigidos a la página que especifique en el campo
Resource for insufficient protection level.
Nota:
- Debe redirigir a los usuarios a una página en el agente Web
estándar. El IVE no puede dirigir al usuario al recurso original que
desea acceder.
- No es necesario que introduzca toda la URL que lleva al recurso (por
ejemplo:
https://ventas.suempresa.com/,DanaInfo=www.stdwebagent.com+inde
x.html): sólo debe introducir el recurso (index.html).
Un agente Web estándar con "FCCCompatMode = no"
Si configura el modo de compatibilidad con el recopilador de
credenciales de formularios (FCC) del agente Web** en Yes, los
usuarios serán redirigidos a la página que especifique en el campo
Resource for insufficient protection level. O bien, si deja este
campo vacío, el usuario es redirigido al recurso original que desea
acceder.
El IVE
Si vuelve a autenticar usuarios mediante el IVE, los usuarios son
redirigidos a la página intermedia del IVE descrita en
“Reautenticación de usuarios con niveles insuficientes de protección”
en la página 164. Tenga en cuenta que si desea que el IVE redirija al
usuario al recurso original que deseaba acceder, debe habilitar la
opción Browser request follow through en la página Users > User
Roles > [Territorio] > General > Session Options de la consola de
administración. (Si deja este campo vacío, pero no habilita la opción
Browser request follow through, el IVE redirige al usuario a la página
de marcadores estándar del IVE.)
* Para obtener más información sobre cómo especificar un método de
reautenticación, consulte “Creación de un esquema de autenticación de
SiteMinder para el IVE” en la página 167.
** Cuando un usuario realiza una solicitud a un recurso protegido,
SiteMinder lo enruta a un recolector de credenciales de formularios
(FCC) que invoca un formulario Web en el servidor de directivas para
recopilar las credenciales.
Ignore authorization Introduzca las extensiones de archivo correspondientes a los tipos que
for files with no requieren autorización. Debe introducir las extensiones de cada tipo
extensions de archivo que desea pasar por alto, separándolos con una coma. Por
ejemplo, introduzca “.gif, .jpeg, .jpg, .bmp” para pasar por alto varios
tipos de imágenes. No puede usar caracteres comodín (como *, *.* o .*)
para pasar por alto un rango de tipos de archivo.
Opción Descripción
Poll Interval Introduzca el intervalo en que el IVE sondea el servidor de directivas
Siteminder para comprobar una clave nueva.
Max. Connections Controla el número máximo de conexiones simultáneas que el IVE
puede establecer con el servidor de directivas. El ajuste predeterminado
es 20.
Max. Requests/ Controla el número máximo de solicitudes que la conexión del servidor
Connection de directivas maneja antes de que el IVE finalice la conexión. Si fuese
necesario, realice ajustes para mejorar el funcionamiento. El ajuste
predeterminado es 1000.
Idle Timeout Controla el número máximo de minutos que una conexión con el
servidor de directivas puede permanecer inactiva (la conexión no
maneja solicitudes) antes de que el IVE finalice la conexión. El ajuste
predeterminado “none” indica que no existe un límite de tiempo.
Authorize while Especifica que el IVE debe buscar atributos de usuario en el servidor de
Authenticating directivas inmediatamente después de la autenticación para determinar
si el usuario está realmente autenticado. Por ejemplo, si el servidor
eTrust autentica usuarios basándose en un ajuste del servidor LDAP,
puede seleccionar esta opción para indicar que el IVE debe autenticar
usuarios mediante el servidor eTrust y autorizarlos mediante el servidor
LDAP antes de otorgarles acceso. Si el usuario no realiza la autenticación
o autorización, será redirigido a la página configurada en el servidor
de directivas.
Nota:
Si no selecciona esta opción y tiene opciones de autorización
configuradas mediante la ficha Policy Users > Exclude de la utilidad
de configuración del servidor de directivas, un usuario al que haya
denegado el acceso puede autenticarse correctamente en el IVE.
El IVE comprueba sus derechos de autorización y deniega el acceso
sólo cuando el usuario intenta acceder a un recurso protegido.
El IVE envía el mismo recurso al servidor de directivas para su
autorización y autenticación.
Esta opción no se admite con la opción Authenticate using HTML
form post descrita en “Authenticate using HTML form post” en la
página 179 o la opción Automatic sign-in descrita en “Automatic
Sign-In” en la página 177.
Enable Session Grace Puede eliminar el nivel máximo de verificación de la cookie de
Period, SMSESSION de un usuario cada vez que éste solicita el mismo recurso
indicando que el IVE debe considerar válida la cookie por un período de
Validate cookie every tiempo determinado. Durante dicho período, el IVE supone que la
N seconds cookie en memoria caché es válida en lugar de volver a validarla en el
servidor de directivas. Si no selecciona esta opción, el IVE comprueba la
cookie de SMSESSION del usuario en cada solicitud. Tenga en cuenta
que el valor introducido no afecta a la sesión ni la comprobación del
tiempo de espera por inactividad.
Opción Descripción
Ignore Query Data De forma predeterminada, cuando un usuario solicita un recurso, el IVE
envía toda la URL para ese recurso al servidor de directivas (incluido el
parámetro de consulta, si hubiese alguno). Por ejemplo, el IVE puede
enviar la siguiente URL al servidor de directivas:
http://foo/bar?param=value. (Los datos de la consulta aparecen después
del carácter ? en la URL. Dentro de esta URL, param=value representa el
parámetro de consulta.)
El IVE coloca en memoria caché el resultado de la solicitud de
autorización durante 10 minutos, incluyendo el parámetro de consulta.
Si el usuario solicita el mismo recurso que se especificó en la URL en
memoria caché, la solicitud arroja un error pues una parte de la consulta
de la URL en memoria caché no coincide con la nueva solicitud. El IVE
deberá volver a contactarse con el servidor de directivas para efectuar
una solicitud que incluya el nuevo parámetro de consulta.
Si selecciona la opción Ignore Query Data, el IVE no coloca en memoria
caché el parámetro de consulta en la URL. Por lo tanto, si un usuario
solicita el mismo recurso como se especificó en la URL en memoria
caché, la solicitud no debe arrojar un error. Por ejemplo, si habilita la
opción Ignore Query Data, las siguientes URL se consideran el mismo
recurso:
http://foo/bar?param=value1
http://foo/bar?param=value2
Habilitar esta opción puede mejorar el rendimiento.
Accounting Port El valor introducido en este campo debe coincidir con el valor del puerto
de contabilidad introducido mediante la consola de administración del
servidor de directivas. De forma predeterminada, este campo coincide
con el ajuste predeterminado 44441 del servidor de directivas.
Authentication Port El valor introducido en este campo debe coincidir con el valor del puerto
de autenticación introducido mediante la consola de administración del
servidor de directivas. De forma predeterminada, este campo coincide
con el ajuste predeterminado 44442 del servidor de directivas.
Authorization Port El valor introducido en este campo debe coincidir con el valor del puerto
de autorización introducido mediante la consola de administración del
servidor de directivas. De forma predeterminada, este campo coincide
con el ajuste predeterminado 44443 del servidor de directivas.
Flush Cache Se usa para borrar la memoria caché del recurso del IVE, que guarda
en memoria caché la información de autorización del recurso durante
10 minutos.
Para usar los atributos de usuario de SiteMinder para la asignación de roles del IVE:
3. En la ficha Role Mapping del IVE, cree una regla basada en los atributos de
usuario del IVE que hacen referencia a una cookie de atributo de usuario de
SiteMinder.
También puede usar la siguiente sintaxis para hacer referencia a una cookie de
atributo de usuario SiteMinder en una expresión personalizada para una regla
de asignación de roles:
userAttr.<cookie-name>
Por ejemplo:
Confirme que la hora de sistema del IVE esté sincronizada con la hora del
sistema del servidor SiteMinder. Si las dos horas de sistema son muy
divergentes, los ajustes de tiempo de espera pueden funcionar de forma
incorrecta, rechazando sus intentos de iniciar sesión.
El perfil POST requiere que elabore un formulario HTML que pueda contener la
declaración SAML y que se pueda enviar mediante una acción del usuario final o
una acción de script, usando el método HTTP POST. Para ver los detalles de este
método, consulte “Uso del escenario del perfil POST” en la página 189.
4. El usuario hace clic en el vínculo del sitio de origen, que dirige a un recurso en
un servidor que está protegido de forma oculta del IVE.
Las tareas principales que debe completar para admitir el IVE como la parte de
confianza con el perfil de artefacto son:
6. El usuario selecciona una opción del menú o un vínculo que dirige a un recurso
o aplicación en un sitio Web de destino.
9. El explorador, debido a una acción del usuario o por una acción de envío
automático, envía un HTTP POST que contiene la respuesta SAML al servicio
de declaración del consumidor del sitio Web de destino.
12. El IVE, en el sitio de destino, verifica que el usuario esté autorizado a acceder al
sitio de destino y al recurso TARGET.
Las tareas principales que debe completar para admitir el IVE como la parte de
confianza con el perfil POST son:
GET http://10.56.1.123:8002/xferSvc?TARGET=http://www.dest.com/sales.htm
NOTA:
Puede usar el código de estado 302 para indicar que el recurso solicitado
reside temporalmente en una URL diferente.
No debe exponer la URL de declaración del consumidor, excepto sobre SSL 3.0
o TLS 1.0. De lo contrario, los artefactos transmitidos podrían estar disponibles
en texto plano para un atacante.
4. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
El certificado que seleccione debe ser el mismo que usó para firmar la
respuesta de SAML en el sitio de origen. El sitio de origen puede enviar este
certificado junto con la respuesta de SAML, dependiendo de la configuración
del sitio de origen. De forma predeterminada, el sistema realiza la verificación
de firma de la respuesta de SAML, primero en el certificado configurado
localmente. Si un certificado no se configuró localmente en el servidor de
autenticación SAML, el sistema lleva a cabo la verificación de la firma en el
certificado que se incluye en la respuesta de SAML del sitio de origen.
5. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
195
Guía de administración de Secure Access de Juniper Networks
5. Seleccione When editing, start on the Role Mapping page si desea que quede
seleccionada la ficha Role Mapping al abrir el territorio para su edición.
6. En Servers, especifique:
NOTA: Si el servidor LDAP está inactivo, la autenticación del usuario falla. Puede
encontrar mensajes y advertencias en los archivos de registro de eventos. Con un
servidor de atributos inactivo, la autenticación de usuario no falla, sino que la lista
de grupos o atributos para la asignación de roles y evaluación de directivas está
vacía.
a. Use la opción Refresh interval para especificar la frecuencia con que desea
que el IVE debe llevar a cabo una evaluación automática de directivas a
todos los usuarios de territorios actualmente en sesión. Especifique los
minutos (de 5 a 1440).
b. Seleccione Refresh roles para actualizar los roles de todos los usuarios de
este territorio. (Esta opción no controla el ámbito del botón Refresh Now.)
Use el botón Refresh Now en ocasiones en que los usuarios no puedan verse
afectados.
9. Haga clic en Save Changes para crear el territorio en el IVE. Aparecen las fichas
General, Authentication Policy y Role Mapping del territorio de autenticación.
If the specified condition is|is not true, then map the user to the selected roles.
1. Especifique el tipo de condición en que desea basar la regla. Las opciones son:
Nombre de usuario
Atributo de usuario
Asociación de grupo
Expresiones personalizadas
b. Especificar a qué deben equivaler los valores, lo que puede incluir una lista
de nombres de usuario, valores de atributos de usuario de un servidor
RADIUS o LDAP, valores de certificado del lado cliente (estáticos o
comparados con atributos de LDAP), grupos de LDAP o expresiones
personalizadas predefinidas.
El IVE compila una lista de roles válidos que se pueden asignar al usuario, que se
especifican mediante las reglas de asignación de roles que cumple el usuario. A
continuación, el IVE evalúa la definición de cada rol a fin de determinar si el usuario
cumple las restricciones de roles. El IVE usa esta información para recopilar una
lista de roles válidos, que corresponden a roles cuyos requisitos cumple el usuario.
Finalmente, el IVE lleva a cabo una combinación permisiva de los roles válidos o
presenta una lista de roles válidos para el usuario, dependiendo de la configuración
especificada en la ficha Role Mapping del territorio.
3. Haga clic en New Rule para acceder a la página Role Mapping Rule, que
proporciona un editor en línea para definir la regla.
NOTA: Si agrega más de una expresión personalizada a la misma regla, el IVE crea
I una regla “OR” para dichas expresiones. Por ejemplo, puede agregar las siguientes
expresiones a una sola regla:
Expresión 1: cacheCleanerStatus = 1
Según estas expresiones, un usuario coincidiría con esta regla si el Cache Cleaner
se estaba ejecutando en su sistema O (OR) si inició sesión en el IVE entre las 8:00
y las 5:00.
b. Especificar a qué deben equivaler los valores, lo que puede incluir una lista
de nombres de usuario del IVE, valores de atributos de usuario de un
servidor RADIUS, SiteMinder o LDAP, valores de certificado del lado cliente
(estáticos o valores de atributos de LDAP), grupos de LDAP o expresiones
personalizadas predefinidas.
b. Seleccione Stop processing rules when this rule matches si desea que el
IVE deje de evaluar las reglas de asignación de roles si el usuario cumple las
condiciones especificadas para esta reglas.
7. Haga clic en Save Changes para crear la regla en la ficha Role Mapping.
Una vez finalizada la creación de las reglas:
Ordénelas según la forma en que quiere que el IVE las evalúe. Esta tarea es
especialmente importante si desea detener el procesamiento de las reglas
de asignación de roles una vez encontrada una coincidencia.
También puede usar la ficha Groups para especificar grupos. Debe especificar
el Nombre completo totalmente calificado (FQDN) de un grupo, como
cn=Gerentesdecalidad, ou=HQ, ou=Juniper, o=com, c=US, pero puede
asignar una etiqueta para este grupo que aparece en la lista Groups. Tenga en
cuenta que sólo puede acceder a esta ficha si accede al catálogo de servidores
de un servidor LDAP.
Figura 24: Catálogo de servidores > Ficha Attributes: Agregar un atributo para LDAP
Figura 25: El atributo agregado al catálogo de servidores está disponible para la regla de
asignación de roles
Figura 26: Catálogo de servidores > Ficha Groups: Agregar grupos de LDAP
Figura 27: Catálogo de servidores > Ficha Groups: Agregar grupos de Active Directory
Figura 28: Catálogo de servidores > Ficha Expressions: Agregar una expresión
personalizada
All realms: Muestra los ajustes seleccionados para todos los territorios
de usuarios.
Las directivas de inicio de sesión definen las URL que los usuarios y los
administradores utilizan para acceder a IVE y las páginas de inicio de sesión que
ven. El IVE tiene dos tipos de directivas de inicio de sesión: una para usuarios y otra
para administradores. Cuando se configuran las directivas de inicio de sesión se
asocian territorios, páginas de inicio de sesión y direcciones URL.
Por ejemplo, con el fin de permitir a todos los usuarios iniciar sesión en el IVE,
se deben agregar todos los territorios de autenticación de usuario a la directiva de
inicio de sesión del usuario. Puede también optar por modificar la URL estándar
que los usuarios finales utilizan para tener acceso al IVE y la página de inicio de
sesión que ellos ven. O bien, si tiene una licencia adecuada, puede crear directivas
de inicio de sesión para múltiples usuarios, habilitando a diferentes usuarios para
iniciar sesión en diferentes URL y páginas.
Además, los dispositivos equipados con una licencia Secure Meeting vienen con una
URL de reunión. Puede usar esta URL para controlar la página de inicio de sesión
que los usuarios ven cuando inician sesión en una reunión en el dispositivo IVE. Si
tiene la licencia apropiada, también puede crear páginas de inicio de sesión para
reunión adicionales, habilitando diferentes usuarios de Secure Meeting para que
inicien sesión en diferentes URL y páginas.
Los miembros del territorio “Partners” pueden iniciar sesión en el IVE con la
URL: partner1.yourcompany.com y partner2.yourcompany.com. Los usuarios que
inician sesión en la primera URL ven la página de inicio “partners1”, aquellos
que inician sesión en la segunda URL ven la página de inicio de sesión
“partners2”.
Los miembros del territorio “Local” (local) y “Remote” (remoto) pueden iniciar
sesión en el IVE con la URL: employees.yourcompany.com. Cuando lo hacen, ven
la página de inicio de sesión “Employees”.
211
Guía de administración de Secure Access de Juniper Networks
Los miembros del territorio “Admin Users” pueden iniciar sesión en el IVE con
la URL: access.yourcompany.com/super. Cuando lo hacen, ven la página de
inicio de sesión “Administrators”.
NOTA: Si un usuario trata de iniciar sesión mientras hay otra sesión de usuario
activa con las mismas credenciales de inicio de sesión, el IVE muestra una página
de advertencia que muestra la dirección IP de la sesión existente y dos botones:
Continue y Cancel. Al hacer clic en el botón Cancel, el usuario termina el proceso
de inicio de sesión actual y es enviado nuevamente a la página Sign-in. Al hacer
clic en el botón Continue, el IVE crea la nueva sesión de usuario y finaliza la
sesión existente.
NOTA: Al activar múltiples URL de inicio de sesión, tenga en cuenta que en algunos
casos el IVE debe usar cookies en el equipo del usuario para determinar qué
URL de inicio de sesión y página de inicio de sesión correspondiente mostrar
al usuario. El IVE crea estas cookies cuando el usuario inicia sesión en el IVE.
(Cuando un usuario inicia sesión en el IVE, el IVE responde con una cookie que
incluye el territorio de inicio de sesión de la URL. Entonces el IVE adjunta esta
cookie a cada solicitud del IVE que el usuario hace). Generalmente, estas cookies
aseguran que el IVE muestre al usuario la URL y la página de inicio de sesión
correctas. Por ejemplo, si un usuario inicia sesión en el IVE con la URL
http://yourcompany.net/employees y luego su sesión caduca, el IVE usa
la cookie para determinar que debe mostrar la URL de inicio de sesión
http://yourcompany.net/employees y la página correspondiente al usuario cuando
solicita otro recurso del IVE.
No obstante, en casos aislados, es posible que la cookie del equipo del usuario no
coincida con el recurso al que se trata de tener acceso. El usuario puede iniciar
sesión en una URL y luego tratar de tener acceso a un recurso que está protegido
por una URL diferente. En este caso, el IVE muestra la URL de inicio de sesión y la
página de inicio de sesión correspondiente que el usuario utilizó recientemente.
Por ejemplo, un usuario puede iniciar sesión en el IVE con la URL de inicio de
sesión http://yourcompany.net/employees. A continuación puede tratar de tener
acceso a un recurso del IVE mediante un vínculo en un servidor externo, como
https://yourcompany.net/partners/dana/term/winlaunchterm.cgi?host=<termsrvIP >.
También puede tratar de abrir un marcador que haya creado durante otra sesión,
como
https://yourcompany.net/partners/,DanaInfo=.awxyBmszGr3xt1r5O3v.,SSO=U+.
En estos casos, el IVE mostrará la URL y la página de inicio de sesión
http://yourcompany.net/employees al usuario, en lugar de la URL o página de inicio
de sesión asociadas al vínculo externo o marcador guardado al que se está
tratando de tener acceso.
212
Capítulo 9: Directivas de inicio de sesión
2. (Opcional) Modificar una página de inicio de sesión existente o crear una nueva
utilizando las opciones de la página Authentication > Signing In > Sign-in
Pages de la consola de administración.
3. Especificar una directiva de inicio de sesión que asocie un territorio, una URL
de inicio de sesión y una página de inicio de sesión a los ajustes de la página
Authentication > Signing In > Sign-in Policies de la consola de
administración.
4. Si distingue entre URL mediante nombres de host, debe asociar cada nombre
de host con su propio certificado o cargar un certificado comodín en el IVE
utilizando las opciones de la página System > Configuration > Certificates >
Device Certificates.
2. Para crear una nueva directiva de inicio de sesión haga clic en New URL.
También puede editar una directiva existente haciendo clic en una URL en la
columna Administrator URLs o User URLs.
Para especificar que todas las URL de administrador deben usar la página
de inicio de sesión, introduzca */admin.
NOTA: Sólo puede utilizar caracteres comodín (*) al comienzo de la parte del
nombre de host en la URL. El IVE no reconoce comodines en la ruta de la URL.
7. (Sólo URL del usuario) En el campo Meeting URL, seleccione la URL de reunión
que usted quiere asociar a esta directiva de inicio de sesión. El IVE aplica la URL
de reunión especificada a cualquier reunión creada por un usuario que inicia
sesión en esta URL de usuario.
User types the realm name: El IVE asigna la directiva de inicio de sesión
a todos los territorios de autenticación, pero no proporciona una lista de
territorios entre los cuales el usuario o el administrador puedan elegir, sino
que el usuario o administrador deben introducir manualmente su nombre
de territorio en la página de inicio de sesión.
Con un acceso sólo con autorización, se selecciona el rol del usuario. El IVE actúa
como un servidor proxy inverso y realiza la autorización respecto al servidor
Netegrity SiteMinder para cada petición.
Con acceso sólo con autorización, no hay SSO desde el IVE. Su infraestructura de
AAA de terceros controla el SSO.
2. Para crear una nueva directiva de acceso sólo con autorización, haga clic en
New URL y seleccione authorization only access. También puede editar una
directiva existente haciendo clic en una URL en la columna Virtual Hostname.
Sólo las siguientes opciones de rol de usuario se aplican al acceso sólo con
autorización.
Permitir exploración de sitios Web SSL no fiables (Users > User Roles >
Nombre de rol > Web > Options > View advanced options)
Tiempo de espera de conexión de HTTP (Users > User Roles > Nombre
de rol > Web > Options > View advanced options)
Restricciones de IP de origen (Users > User Roles > Nombre de rol >
General > Restrictions)
Restricciones de exploración (Users > User Roles > Nombre de rol >
General > Restrictions)
2. Para crear una nueva directiva de inicio de sesión haga clic en New URL.
También puede editar una directiva existente haciendo clic en una URL en la
columna Meeting URLs.
3. Seleccione Meeting.
Si desea habilitar a los usuarios para iniciar sesión en las reuniones con
todos los nombres de host definidos en la URL de usuario asociada, use
el carácter comodín * en su definición de URL de reunión. Por ejemplo,
podría asociar los siguientes host a la URL de usuario.
YourInternalServer.YourCompany.net
YourExternalServer.YourCompany.com
http://YourInternalServer.YourCompany.net/OnlineConference
http://YourExternalServer.YourCompany.com/OnlineConference
Si crea una URL de reunión que incluye el carácter comodín * y activa las
notificaciones de correo electrónico, el IVE crea la URL de reunión en el
correo electrónico de notificación con el nombre de host especificado por
el usuario cuando inicia sesión en el IVE. Por ejemplo, un usuario podría
iniciar sesión en el IVE con la siguiente URL del ejemplo anterior:
http://YourInternalServer.YourCompany.net
http://YourInternalServer.YourCompany.net/OnlineConference
Tenga en cuenta que puesto que el vínculo de correo electrónico hace
referencia a un servidor interno, los usuarios fuera de la red no pueden
tener acceso a la reunión.
Si sólo desea habilitar a los usuarios para que inicien sesión en reuniones
con un subconjunto de los nombres de host definidos en la URL de usuario
asociada o si desea requerir que los usuarios utilicen una URL
completamente diferente para iniciar sesión en reuniones, no incluya el
carácter comodín en la definición de la URL de reunión. En lugar de ello,
cree una definición de URL de reunión específica.
YourExternalServer.YourCompany.com/OnlineConference
6. En la lista Sign-in Page, seleccione la página de inicio de sesión que desea que
aparezca a todos los usuarios cuando tengan acceso a las reuniones con esta
directiva. Puede seleccionar las páginas predeterminadas que vienen con el
IVE, una variación de las páginas de inicio de sesión estándar o páginas
personalizadas que cree con la característica UI personalizable. Para obtener
más información, consulte “Configuración de las páginas de inicio de sesión
estándares” en la página 221.
Si indica las directivas en este orden en la página Sign-in Policies, el IVE nunca
evalúa ni utiliza la segunda directiva porque la primera URL abarca la segunda.
Aunque un administrador inicie sesión con la URL yourcompany.com/admin, el IVE
muestra la página de inicio de sesión del administrador predeterminada. Sin
embargo, si indica las directivas en el orden opuesto, el IVE muestra la página de
inicio de sesión de administrador personalizada a los administradores que tienen
acceso al IVE con la URL yourcompany.com/admin.
3. Haga clic en las flechas arriba y abajo para cambiar la ubicación de la directiva
seleccionada en la lista.
Páginas de inicio de sesión estándar: Estas páginas son creadas por Juniper
y se incluyen con todas las versiones del IVE. Puede modificar las páginas de
inicio de sesión estándar a través de la ficha Authentication > Signing In >
Sign-in Pages de la consola de administración. Para obtener más información,
consulte “Configuración de las páginas de inicio de sesión estándares” en la
página 221.
Para obtener más información sobre las páginas de inicio personalizadas, consulte
el manual Custom Sign-In Pages Solution Guide.
Puede modificar estas páginas o crear páginas nuevas que contengan texto,
logotipos, colores y texto de mensajes de error personalizados con los ajustes
de la ficha Authentication > Signing In > Sign-in Pages de la consola de
administración.
2. Si está:
3. (Sólo páginas nuevas) En Page Type, especifique si ésta es una página de acceso
de administrador o usuario o una página de reunión.
9. Haga clic en Save Changes. Los cambios tendrán efecto inmediatamente, pero
los usuarios con sesiones activas podrían necesitar actualizar sus exploradores
Web.
NOTA: Haga clic en Restore Factory Defaults para restablecer la página de inicio
de sesión, la página principal de usuario de IVE y el aspecto de la consola de
administración.
Los mecanismos restantes (SAML, eTrust SiteMinder y Email Client) usan métodos
únicos para activar SSO desde el IVE a la aplicación admitida. Para obtener más
información, consulte:
Users > User Realms > Seleccionar territorio > Authentication Policy >
Password
1. Especificar un IVE nombre de host que termina con el mismo prefijo que su
recurso protegido usando configuraciones en la página System > Network >
Overview de la consola de administración. (El IVE comprueba los nombres de
host para asegurar que sólo está activando SSO a sitios dentro de la misma
Intranet.)
2. Permitir que los usuarios accedan a recursos Web, especificar los sitios a los
cuales desea que el IVE envíe credenciales, crear directivas automáticas que
permiten el inicio de sesión único de intermediación de autenticación básica
y crear marcadores a los recursos seleccionados usando configuraciones en la
página Users > Resource Profiles > Web Application/Pages > [Perfil] de la
consola de administración.
3. Si desea que los usuarios tengan acceso a servidores Web mediante un proxy,
configure el IVE para reconocer los servidores y proxies adecuados usando
configuraciones en las siguientes páginas de la consola de administración:
a. Use configuraciones de la página Users > Resource Policies > Web >
Web proxy > Servers para especificar qué servidores Web desea proteger
con el proxy.
b. Use configuraciones de la página Users > Resource Policies > Web >
Web proxy > Policies para especificar qué proxies desea usar y qué
servidores (arriba) desea que protejan los proxies. Puede especificar
recursos individuales en el servidor o el servidor entero.
NOTA: El IVE admite proxies Web que realizan autenticación NTLM. Sin embargo,
no se admite el siguiente caso. existe un proxy entre el IVE y el servidor de back-
end y éste realiza la autenticación de NTLM.
1. Especificar un nombre de host de IVE que termine con el mismo sufijo que su
recurso protegido usando configuraciones en la página System > Network >
Overview de la consola de administración. (El IVE comprueba los nombres de
host para asegurar que sólo está activando SSO a sitios situados dentro de la
misma Intranet.)
Users > Resource Profiles > File Browsing Resource Profiles > [Perfil]
3. Si desea que los usuarios tengan acceso a servidores Web mediante un proxy,
configure el IVE para reconocer los servidores y proxies adecuados usando
configuraciones en las siguientes páginas de la consola de administración:
a. Use configuraciones de la página Users > Resource Policies > Web >
Web proxy > Servers para especificar qué servidores Web desea proteger
con el proxy.
b. Use configuraciones de la página Users > Resource Policies > Web >
Web proxy > Policies para especificar qué proxies desea usar y qué
servidores (arriba) desea que protejan los proxies. Puede especificar
recursos individuales en el servidor o el servidor entero.
Observe que se muestra “Ace server” entre llaves dado que el nombre del servidor
de autenticación contiene espacios.
Web SSO, Terminal Services o Telnet/SSH: El IVE envía las credenciales que
especifica mediante la consola de administración como <username> (que envía
las credenciales principales del usuario al recurso) o <username[2]> (que envía
las credenciales secundarias del usuario al recurso). O si el usuario ha
introducido un nombre de usuario y contraseña diferentes a través de la
consola de usuario final, el IVE envía las credenciales especificadas por
el usuario.
NOTA:
Para obtener más información sobre cómo el IVE usa autenticación múltiple dentro
del proceso de autenticación y autorización más grande de IVE, consulte “Vista
general de las directivas, reglas, restricciones y condiciones” en la página 52.
Configuración de SAML
El IVE le permite transmitir información de usuario y estado de sesión entre el IVE
y otro sistema de administración de accesos fiable que admita (SAML). SAML
proporciona un mecanismo para que dos sistemas diferentes creen e intercambien
información de autenticación y autorización usando un marco XML, minimizando
la necesidad de que los usuarios tengan que volver a introducir sus credenciales
cuando tienen acceso a múltiples aplicaciones o dominios1. El IVE admite SAML
versión 1.1.
Los intercambios de SAML dependen de una relación fiable entre dos sistemas
o dominios. En los intercambios, un sistema actúa como una autoridad SAML
(también llamada parte confirmadora o respondedor SAML) que confirma la
información sobre el usuario. El otro sistema actúa como una parte receptora
(también llamada receptor SAML) que confía en la declaración (también llamada
confirmación) proporcionada por la autoridad SAML. Si elige confiar en la autoridad
SAML, la parte receptora autentica o autoriza al usuario basado en la información
proporcionada por la autoridad SAML.
1. El Secure Access Markup Language es desarrollado por Security Services Technical Committee (SSTC) de la
organización de estándares OASIS. Para obtener información general técnica de SAML, consulte el sitio Web de
OASIS: http://www.oasis-open.org/committees/download.php/5836/sstc-saml-tech-overview-1.1-draft-03.pdf
The IVE as the SAML receiver: El usuario inicia sesión en otro sistema en la red
primero, y el IVE es el receptor SAML, que confía en el otro sistema para
autenticación y autorización del usuario.
NOTA:
2. El IVE envía una solicitud HTTP o HTTPS GET al ACS: El IVE intercepta la
solicitud y comprueba si ha realizado la operación SSO necesaria para cumplir
la solicitud. Si no lo ha hecho, el IVE crea una declaración de autenticación y
transmite una variable de consulta HTPP llamada artefacto al servicio de
confirmación de usuarios.
https://<IVEhostname>/dana-ws/saml.ws
La solicitud incluye el título de la declaración transmitido en el paso anterior.
NOTA: El IVE sólo admite artefactos de tipo 0x0001. Este tipo de artefacto
transmite una referencia a la ubicación del sitio de origen (es decir, el ID de origen
del IVE), en lugar de enviar la ubicación en sí. Para manejar artefactos de tipo
0x0001, el servicio de confirmación de usuarios deben mantener una tabla que
asigna ID de origen a las ubicaciones de sitios de origen de socios.
6. El IVE envía la cookie al servidor Web: El IVE guarda en caché la cookie para
manejar futuras solicitudes. Seguidamente, el IVE envía la cookie en una
solicitud HTTP al servidor Web cuyo nombre de dominio coincide con el
dominio en la cookie. El servidor Web abre la sesión sin pedir credenciales
al usuario.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Use the SAML SSO defined below: El IVE ejecuta una solicitud de inicio de
sesión único (SSO) a la URL especificada usando los datos especificados en
la sección SAML SSO details. El IVE hace la solicitud de SSO cuando un
usuario intenta tener acceso a un recurso de SAML especificad en la lista
de Resources.
Use Detailed Rules: Para especificar una o más reglas detalladas para
esta directiva.
NOTA: Si introduce una URL que comienza con HTTPS, debe instalar la CA raíz del
servicio de confirmación de usuarios en el IVE (como se explica en “Configuración
de certificados” en la página 250).
Issuer: Introduzca una cadena única que el IVE pueda usar para identificar
cuando genere confirmaciones (por lo general, su nombre de host).
NOTA: Si selecciona esta opción, debe instalar CA raíz del servicio de confirmación
de usuarios en el IVE (como se explica en “Configuración de certificados” en la
página 250).
12. Cookie Domain: Introduzca una lista de dominios separados por coma a los
cuales enviar la cookie de SSO.
14. En la página SAML SSO Policies, ordene las directivas en el orden en el que
desee que el IVE las evalúe. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la acción especificada y detiene las
directivas de procesamiento.
4. El IVE envía la cookie al servidor Web: El IVE guarda en caché la cookie para
manejar futuras solicitudes. Seguidamente, el IVE envía la cookie en una
solicitud HTTP al servidor Web cuyo nombre de dominio coincide con el
dominio en la cookie. El servidor Web abre la sesión sin pedir credenciales
al usuario.
NOTA: Si configura el IVE para usar perfiles POST, debe instalar la CA raíz del
servicio de confirmación de usuarios en el IVE y determinar qué método usa el
servicio de confirmación de usuarios para aprobar el certificado (como se explica
en “Configuración de certificados” en la página 250).
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Use the SAML SSO defined below: El IVE ejecuta una solicitud de inicio de
sesión único (SSO) a la URL especificada usando los datos especificados en
la sección SAML SSO details. El IVE hace la solicitud de SSO cuando un
usuario intenta tener acceso a un recurso de SAML especificad en la lista
de Resources.
Use Detailed Rules: Para especificar una o más reglas detalladas que se
apliquen a esta directiva.
Issuer: Introduzca una cadena única que el IVE pueda usar para identificar
cuando genere confirmaciones (por lo general, su nombre de host).
11. Cookie Domain: Introduzca una lista de dominios separados por coma a los
cuales enviar la cookie de SSO.
13. En la página SAML SSO Policies, ordene las directivas en el orden en el que
desee que el IVE las evalúe. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la acción especificada y detiene las
directivas de procesamiento.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Use the SAML Access Control checks defined below: El IVE ejecuta una
comprobación de control de acceso a la URL especificada usando los datos
especificados en la sección SAML Access Control Details.
Use Detailed Rules: Para especificar una o más reglas detalladas para
esta directiva.
SAML Web Service URL: Introduzca la URL del servidor SAML del sistema
de administración de accesos. Por ejemplo, https://hostname/ws.
Issuer: Introduzca el nombre de host del emisor, que suele ser el nombre
de host del sistema de administración de accesos.
NOTA: Debe introducir una cadena única que el servicio Web de SAML Web utiliza
para identificarse en confirmaciones de autorización (como se explica en
“Configuración de un emisor” en la página 250).
NOTA: Debe enviar un nombre de usuario o atributo que el servicio Web de SAML
reconocerá (como se explica en “Configuración de la identidad de usuario” en la
página 253).
NOTA: Si selecciona esta opción, debe instalar el certificado del servidor Web de
IVE en el servidor Web del sistema de administración de accesos y determinar
qué método usa el servicio Web de SAML para aprobar el certificado (como se
explica en “Configuración de certificados” en la página 250).
14. En la página SAML Access Control Policies, ordene las directivas en el orden
en el que desee que el IVE las evalúe. Tenga presente que una vez que el IVE
compara el recurso solicitado por el usuario con un recurso en una lista de
Resource de la directiva (o una regla detallada), realiza la acción especificada
y detiene las directivas de procesamiento.
A continuación se presenta una lista con los diferentes tipos de transacciones y URL
que debe configurar para cada cual:
Configuración de un emisor
Antes de aceptar una declaración de otro sistema, una entidad habilitada por SAML
debe confiar en el emisor de la declaración. Puede controlar en qué emisores confía
un sistema especificando cadenas únicas de los emisores fiables durante la
configuración del sistema. (Cuando envía una declaración, un emisor se identifica a
sí mismo al incluir su cadena única en la declaración. Las aplicaciones habilitadas
por SAML generalmente usan nombres de hosts para identificar emisores, pero el
estándar SAML permite que las aplicaciones usen cualquier cadena.) Si no configura
un sistema para reconocer una cadena única de un emisor, el sistema no aceptará
esas declaraciones del emisor.
Configuración de certificados
Dentro de las transacciones de SSL, el servidor debe presentar un certificado al
cliente y después el cliente debe comprobar (como mínimo) que confía en la
autoridad de certificado que emitió el certificado del servidor antes de aceptar la
información. Puede configurar todas las transacciones de SAML de IVE para usar
SSL (HTTPS). Las siguientes secciones tienen una lista de los diferentes tipos de
transacciones y requisitos de certificados para cada una.
Sending artifacts over an SSL connection (HTTPS GET requests): Si opta por
enviar artefactos al sistema de administración de accesos usando una conexión
de SSL, debe instalar el certificado de CA raíz del sistema de administración de
accesos en el IVE. (En una conexión de SSL, el iniciador debe confiar en el
sistema al cual se está conectando). Al instalar el certificado de CA del sistema
de administración de accesos en el IVE, asegura que el IVE confiará en la CA
que emitió el certificado del sistema de administración de accesos.) Puede
instalar la CA raíz desde la página System > Configuration > Certificates >
Trusted Client CAs en la consola de administración. Para obtener más
información, consulte “Uso de CA de cliente de confianza” en la página 758.
Si no desea enviar artefactos a través de una conexión SSL, no necesita instalar
ningún certificado adicional.
Sending Sending POST data over an SSL connection (HTTPS): Si elige enviar
declaraciones al sistema de administración de accesos usando una conexión de
SSL, debe instalar el certificado de CA raíz del sistema de administración de
accesos en el IVE. (En una conexión de SSL, el iniciador debe confiar en el
sistema al cual se está conectando). Al instalar en el IVE el certificado del
sistema de administración de accesos, asegura que el IVE confiará en la CA que
emitió el certificado del sistema de administración de accesos.) Puede instalar
la CA raíz desde la página System > Configuration > Certificates > Trusted
Client CAs en la consola de administración. Para obtener más información,
consulte “Uso de CA de cliente de confianza” en la página 758. Si no desea
enviar declaraciones post a través de una conexión SSL, no necesita instalar
ningún certificado adicional.
Para asegurar que dos sistemas estén transmitiendo información común sobre
usuarios, debe especificar qué información debe transmitir el IVE usando opciones
en la sección User Identity de la página Users > Resource Policies > Web >
SAML SSO > [Directiva] > General (para obtener más información, consulte
“Configuración de SAML” en la página 234) y la página Users > Resource
Policies > Web > SAML ACL > [Directiva] > General de la consola de
administración. Elija un nombre de usuario o atributo que reconozca el sistema
de administración de accesos.
1. Configure una directiva de recurso Web para una URL mediante las fichas
Users > Resource Policies > Web > SAML ACL y Users > Resource
Policies > Web > SAML SSO en la consola de administración. Para obtener
más información, consulte “Configuración de SAML” en la página 234.
Trusted Computing Group (TCG) es una organización sin fines de lucro fundada en
el 2003 para desarrollar, definir y promover estándares abiertos para tecnologías de
computación y seguridad fiables con habilitación de hardware en diversas
plataformas, dispositivos periféricos y otros. TCG tiene más de 100 miembros entre
los que se cuentan proveedores de componentes, desarrolladores de software,
proveedores de sistemas y operadores de redes.
Trusted Network Connect (TNC) es un grupo perteneciente a TCG que creó una
arquitectura y un conjunto de estándares para verificar la integridad y el
cumplimiento de directivas en el punto final durante o después de una solicitud de
acceso de red. Muchos de los miembros del TCG participaron en la definición y
especificación de la arquitectura del TNC. El TNC definió varias interfaces estándar
que permiten que componentes de distintos fabricantes funcionen juntos de
manera segura. La arquitectura del TNC está diseñada para aprovechar estándares
y tecnologías establecidos, como 802 1X, RADIUS, IPsec, EAP y TLS/SSL.
Para obtener más información acerca de TNC, visite
www.trustedcomputinggroup.org.
Por ejemplo, se puede escoger que se detecten virus antes de otorgar acceso
a cualquiera de los territorios del IVE, lanzar el software en el sistema si es
necesario, asignar el usuario a roles según las directivas particulares que están
definidas en su propia DLL y después restringir más el acceso a los distintos
recursos de acuerdo con la existencia de un software de detección de spyware.
255
Guía de administración de Secure Access de Juniper Networks
256
Capítulo 11
Host Checker
Host Checker es un agente del lado cliente que realiza comprobaciones de los
puntos finales en los hosts que se conectan al IVE. Puede invocar el Host Checker
antes de mostrar al usuario la página de inicio de sesión del IVE y cuando evalúe
una regla de asignación de roles o una directiva de recursos.
Los IMC son módulos de software que Host Checker ejecuta en el equipo cliente.
Los IMC son responsables de recopilar la información de, por ejemplo, antivirus,
antispyware, administración de parches, cortafuegos y otra información de
seguridad y de configuración para un equipo cliente.
Los IMV son módulos de software que se ejecutan en el IVE y que son responsables
de comprobar un aspecto en particular de la integridad de un punto final.
También puede configurar Host Checker para supervisar los IMC de terceros
instalados en los equipos cliente usando IMV de terceros que se instalan en
un servidor de IMV remoto. Para obtener más información, consulte “Uso de
Comprobadores de medición de integridad de terceros” en la página 289.
NOTA:
El IVE y Host Checker cumplen con las normas emitidas por el subgrupo
Trusted Network Connect (TNC) de Trusted Computing Group. Para obtener
más información acerca de IMV e IMC, visite www.trustedcomputinggroup.org.
El IVE puede buscar propiedades de los puntos finales en los hosts usando varios
tipos de reglas; por ejemplo, reglas que comprueban la presencia e instalan
protección contra malware; reglas predefinidas que buscan software antivirus,
cortafuegos, malware, spyware, sistemas operativos específicos, DLL de terceros,
puertos, procesos, archivos, valores de la clave de registro, el nombre del NetBIOS,
la dirección MAC o el certificado del equipo cliente.
Para aplicar las directivas de Host Checker cuando el usuario tenga acceso
por primera vez al IVE, implemente las directivas a nivel de territorio
usando las páginas Administrators > Admin Realms > Seleccionar
territorio > Authentication Policy > Host Checker o Users > User
Realms > Seleccionar territorio > Authentication Policy > Host Checker
de la consola de administración.
4. Especifique la manera en la que los usuarios pueden tener acceso al agente del
lado cliente de Host Checker que aplica las directivas que usted define:
Si existe más de una sesión válida del IVE desde el mismo sistema y se usa
Host Checker en esas sesiones, todas las sesiones finalizarán cuando un usuario se
desconecte de una de las sesiones. Para evitar esto, desactive Host Checker en las
sesiones que no lo necesitan.
NOTA: Los usuarios deben tener privilegios de administrador para que Host
Checker aplique la directiva de control de conexiones en el equipo del cliente.
NOTA: Tenga en cuenta que no puede modificar esta directiva, sólo puede
habilitarla o inhabilitarla. También tenga en cuenta que debido a que no puede
modificar esta directiva, el IVE no la muestra en la sección Policies de la página
Authentication > Endpoint Security > Host Checker junto con las otras
directivas que sí se pueden configurar.
NOTA: Los equipos de los usuarios deben tener acceso al sitio de Whole Security
(update.wholesecurity.com) para que Confidence Online pueda descargar de forma
periódica los últimos archivos de definición.
NOTA:
5. Haga clic en Save Changes. El IVE habilita las siguientes directivas avanzadas
de detección de malware para la defensa de los puntos finales:
Si cuenta con licencias GINA y Whole Security, debe recordar que GINA se
ejecuta antes de que el usuario inicie sesión en Windows y que la descarga del
software Confidence Online de Whole Security ocurre después de que el
usuario inicia sesión en Windows. Por lo tanto, Whole Security no realiza la
protección contra malware establecida hasta después que Windows inicia
sesión. Si usa Network Connect, Host Checker, GINA y Whole Security,
pero el usuario final no está en modo de usuario cuando su sistema intenta
iniciar Host Checker, es posible que reciba mensajes de error. Asegúrese de
que el sistema está configurado para iniciar GINA antes del inicio de sesión de
Windows y para iniciar Whole Security después del inicio de sesión.
Cuando cree las directivas, debe definir el nombre de la directiva y crear reglas
predefinidas o crear reglas personalizadas que ejecuten comprobaciones
específicas. De manera opcional, puede especificar la forma en que Host Checker
debe evaluar las distintas reglas dentro de una directiva única.
4. Cree una o más reglas para asociarlas con la directiva siguiendo las
instrucciones de las secciones a continuación:
5. Especifique la forma en que Host Checker debe evaluar las distintas reglas
dentro de la directiva usando las instrucciones en “Evaluación de varias reglas
en una directiva única de Host Checker” en la página 284.
Predefined: AntiVirus: Seleccione esta opción para crear una regla que
busque el software antivirus que usted especifique y para especificar las
opciones de corrección. Consulte “Configuración de una regla de antivirus
predefinida con opciones de corrección” en la página 269.
Predefined: Firewall: Seleccione esta opción para crear una regla que
busque el software de cortafuegos que usted especifique y para especificar
las opciones de corrección. Consulte “Configuración de una regla de
cortafuegos predefinida con opciones de corrección” en la página 272.
Predefined: Malware: Seleccione esta opción para crear una regla que
busque el software de protección contra malware que usted especifique.
Predefined: Spyware: Seleccione esta opción para crear una regla que
busque el software de protección contra spyware que usted especifique.
Consulte “Configuración de una regla predefinida de Spyware” en la
página 273.
Predefined: OS Checks: Seleccione esta opción para crear una regla que
busque sistemas operativos Windows y las versiones mínimas del paquete
de actualización que usted especifique. (Cualquier paquete de actualización
de versión igual o mayor a la que usted especifique cumplirá con la
directiva.) Consulte
Para crear una regla de Host Checker usando reglas de comprobación de sistemas
operativos predefinidas o reglas de malware predefinidas:
3. En Rule Settings, elija una de las siguientes opciones y haga clic en Add:
Predefined Malware
Predefined OS Checks
7. En Optional, seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva de los puntos finales. Si esta
casilla de verificación está seleccionada y ocurre un cambio en el estado de
cumplimiento de un punto final que ha iniciado sesión correctamente,
el IVE establecerá la conexión nuevamente para reevaluar las asignaciones de
territorio o de roles.
También puede supervisar las directivas para asegurarse de que los puntos finales
que inician sesión se mantengan en el estado de cumplimiento y para corregir el
punto final a otro rol o territorio dependiendo del estado actual.
No todos los productos de los proveedores de software antivirus admiten todas las
opciones de corrección. Al seleccionar el botón de la opción Require any
supported product podrá ver todos los proveedores y productos disponibles que se
admiten.
la casilla de verificación está activa (se puede hacer clic) si su producto admite
la acción.
10. Si su producto está admitido, seleccione la casilla de verificación para todas las
acciones de corrección que desee aplicar.
11. En Optional, seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva de los puntos finales. Si esta
casilla de verificación está seleccionada y ocurre un cambio en el estado de
cumplimiento de un punto final que ha iniciado sesión correctamente,
el IVE establecerá la conexión nuevamente para reevaluar las asignaciones de
territorio o de roles.
12. Haga clic en Save Changes para guardar la regla de antivirus y aplicar la
corrección de antivirus.
Después de aplicar la regla de Host Checker con las acciones de corrección del
cortafuegos, Host Checker puede intentar habilitar el cortafuegos en el equipo
cliente si un punto final intenta iniciar sesión sin que dicho cortafuegos se esté
ejecutando.
7. En Optional, seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva de los puntos finales. Si esta
casilla de verificación está seleccionada y ocurre un cambio en el estado de
cumplimiento de un punto final que ha iniciado sesión correctamente,
el IVE establecerá la conexión nuevamente para reevaluar las asignaciones de
territorio o de roles.
Después de aplicar la regla de Host Checker, si un punto final intenta iniciar sesión
sin el spyware requerido, la regla de Host Checker no se cumplirá.
No todos los productos de spyware admiten esta opción. Podrá ver todos los
productos disponibles usando los botones de opción Require any supported product
o Require specific products/vendors.
8. Elija las opciones “Require any supported product from a specific vendor”
o “Require specific products” para seleccionar su spyware.
9. En Optional, seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva de los puntos finales. Si esta
casilla de verificación está seleccionada y ocurre un cambio en el estado de
cumplimiento de un punto final que ha iniciado sesión correctamente,
el IVE establecerá la conexión nuevamente para reevaluar las asignaciones de
territorio o de roles.
10. Haga clic en Save Changes para guardar las reglas de spyware.
Para configurar el IVE de modo que importe automáticamente las listas actuales de
supervisión de la versión de la firma de virus y de supervisión de la versión de
administración de parches desde el sitio de pruebas de Juniper:
https://download.juniper.net/software/av/uac/epupdate_hist.xml
https://download.juniper.net/software/hc/patchdata/patchupdate.dat
https://download.juniper.net/software/av/uac/epupdate_hist.xml
https://download.juniper.net/software/hc/patchdata/patchupdate.dat
NOTA: Si usa su propio servidor de pruebas para almacenar las listas actuales,
debe cargar el certificado de raíz de confianza del CA que firmó el certificado del
servidor de pruebas del IVE. Para obtener más información, consulte “Carga de
certificados de CA del servidor de confianza” en la página 775.
NOTA: Debe crear directivas explícitamente para cada sistema operativo que desee
permitir. Por ejemplo, si crea una directiva para Host Checker en Windows,
pero no crea una para Mac o Linux, los usuarios que inicien sesión en el IVE desde
un equipo Mac o Linux no cumplirán con la directiva de Host Checker y, por lo
tanto, no podrán tener acceso al territorio, rol o recurso al que está aplicando
Host Checker.
4. En Rule Settings, elija las opciones en las siguientes secciones y haga clic en
Add. Aparecerá la página Add Custom Rule para el tipo de regla.
Custom: Remote IMV: Use este tipo de regla para configurar el software de
medición de integridad que un cliente debe ejecutar para verificar un
aspecto especial de la integridad del cliente, como su sistema operativo,
el nivel de parche o la protección de virus.
3rd Party NHC Check (solo en Windows): Use este tipo de regla para
especificar la ubicación de un DLL personalizado. Host Checker se
comunica con el DLL para realizar comprobaciones personalizadas del lado
cliente. Si el DLL devuelve un valor acertado al Host Checker, entonces el
IVE considera que la regla se cumplió. En la página de configuración de
3rd Party NHC Check:
ii. Introduzca la ubicación del DLL en los equipos cliente (ruta y nombre
de archivo).
Ports: Use este tipo de regla para controlar las conexiones de red que un
cliente puede generar durante una sesión. Este tipo de reglas asegura que
determinados puertos estén abiertos o cerrados en el equipo cliente antes
de que el usuario pueda tener acceso al IVE. En la página de configuración
de Ports:
ii. Introduzca una lista delimitada por comas (sin espacios) de puertos
o intervalos de puertos, como: 1234,11000-11999,1235.
iii. Seleccione Required para requerir que estos puertos estén abiertos en
el equipo cliente o Deny para requerir que estén cerrados.
iv. En Optional, seleccione Monitor this rule for change in result para
supervisar continuamente el cumplimiento de la directiva de los
puntos finales. Si esta casilla de verificación está seleccionada y ocurre
un cambio en el estado de cumplimiento de un punto final que ha
iniciado sesión correctamente, el IVE establecerá la conexión
nuevamente para reevaluar las asignaciones de territorio o de roles.
Process: Use este tipo de regla para controlar el software que un cliente
puede generar durante una sesión. Este tipo de reglas asegura que
determinados procesos se estén ejecutando o no en el equipo cliente antes
de que el usuario pueda tener acceso a recursos protegidos por el IVE.
En la página de configuración de Processes:
NOTA: Para sistemas Linux, Macintosh y Solaris, el proceso que se está detectando
se debe iniciar usando una ruta absoluta.
good*.exe
iii. Seleccione Required para solicitar que este proceso se ejecute o Deny
para solicitar que este proceso no se ejecute.
File: Use este tipo de regla para asegurar que determinados archivos estén
presentes o no en el equipo cliente antes de que el usuario pueda tener
acceso al IVE. También puede usar comprobaciones de archivos para
evaluar la antigüedad y el contenido (a través de las sumas de
comprobaciones MD5) de los archivos requeridos y permitir o denegar
acceso dependiendo de ello. En la página de configuración de Files:
*.txt
<%windir%>\bad-file.txt
iii. Seleccione Required para solicitar que este archivo esté presente en el
equipo cliente o Deny para solicitar que este archivo no esté presente.
vii. Seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva en los puntos finales.
Si esta casilla de verificación está seleccionada y ocurre un cambio en
el estado de cumplimiento de un punto final que ha iniciado sesión
correctamente, el IVE establecerá la conexión nuevamente para
reevaluar las asignaciones de territorio o de roles.
Registry Setting (Solo en Windows): Use este tipo de regla para controlar
las imágenes, ajustes del sistema y ajustes de software del equipo
corporativo que debe tener un cliente para entrar al IVE. Este tipo de reglas
asegura que determinadas claves de registro estén configuradas en el
equipo cliente antes de que el usuario pueda tener acceso al IVE. También
puede usar comprobaciones del registro para evaluar la antigüedad de los
archivos requeridos y permitir o denegar acceso dependiendo de ello.
En la página de configuración de Registry Settings:
vii. En Optional, seleccione Monitor this rule for change in result para
supervisar continuamente el cumplimiento de la directiva de los
puntos finales. Si esta casilla de verificación está seleccionada y ocurre
un cambio en el estado de cumplimiento de un punto final que ha
iniciado sesión correctamente, el IVE establecerá la conexión
nuevamente para reevaluar las asignaciones de territorio o de roles.
NetBIOS (sólo en Windows pero no incluye Windows Mobile): use este tipo
de regla para comprobar el nombre del NetBIOS del equipo cliente antes de
que el usuario pueda tener acceso al IVE. En la página de configuración de
NetBIOS:
ii. Introduzca una lista delimitada por comas (sin espacios) de nombres
del NetBIOS. El nombre puede tener hasta 15 caracteres. Puede usar
caracteres comodín en el nombre y no distingue mayúsculas de
minúsculas. Por ejemplo, md*, m*xp y *xp coincidirán con MDXP.
iii. Seleccione Required para requerir que el nombre del NETBIOS del
equipo cliente coincida con los nombres que usted especifique,
o Deny para requerir el nombre no coincida con ninguno.
MAC Address (sólo en Windows): Use este tipo de regla para comprobar las
direcciones MAC en el equipo cliente antes de que el usuario pueda tener
acceso al IVE. En la página de configuración de MAC Address:
ii. Introduzca una lista delimitada por comas (sin espacios) de direcciones
MAC en la forma XX:XX:XX:XX:XX:XX donde cada X es un número
hexadecimal. Por ejemplo:
00:0e:1b:04:40:29
00:0e:1b:*:*:*
00:0e:1b:04:40:*9
iii. Seleccione Required para solicitar que una dirección MAC del equipo
cliente concuerde con las direcciones que usted especifique,
o seleccione Deny para solicitar que todas las direcciones no
concuerden. Un equipo cliente tendrá al menos una dirección MAC
para cada conexión de red, tal como Ethernet, inalámbrica y VPN.
El requisito de esta regla se cumple si hay una concordancia entre
cualquiera de las direcciones especificadas y cualquiera de las
direcciones MAC del equipo cliente.
NOTA: Debido a que la dirección MAC puede cambiar en algunas tarjetas de red,
esta comprobación no garantiza que un equipo cliente cumpla los requisitos de la
directiva de Host Checker.
NOTA: Si se instala en el equipo cliente más de un certificado que coincida con los
criterios especificados, el cliente de Host Checker transmite al IVE el primer
certificado que encuentra para que éste lo valide.
En una regla de Custom File para Windows, puede usar las siguientes variables de
entorno para especificar la ruta del directorio a un archivo:
Tabla 16: Variables de entorno para especificar una ruta del directorio en Windows
En una regla de Custom File para Macintosh, Linux y Solaris, puede usar las
siguientes variables de entorno para especificar la ruta del directorio a un archivo:
Tabla 17: Variables de entorno para especificar una ruta del directorio en Macintosh,
Linux y Solaris
Ejemplo del valor en Linux
Variable de entorno Ejemplo del valor en Macintosh y Solaris
<%java.home%> /System/Library/Frameworks/JavaVM /local/local/java/j2sdk1.4.1_02/
.framework/ Versions/1.4.2/Home jre
<%java.io.tmpdir%> /tmp /tmp
<%user.dir%> /Users/admin /home-shared/cknouse
<%user.home%> /Users/admin /home/cknouse
NOTA: Aunque las variables de entorno tienen el mismo formato que las directivas
Toolkit Template, no son intercambiables y debe tener cuidado de no confundirlas.
All of the above rules: Seleccione esta opción para especificar que el
equipo del usuario debe devolver un valor acertado para todas las reglas de
la directiva a fin de obtener acceso.
Any of the above rules: Seleccione esta opción para especificar que el
equipo del usuario debe devolver un valor acertado para cualquiera de las
reglas de la directiva a fin de obtener acceso.
Custom: Seleccione esta opción para personalizar las reglas que el equipo
del usuario debe cumplir para obtener acceso. Luego, cree la regla
personalizada usando las instrucciones del siguiente paso.
Use los operadores AND o && para requerir que dos reglas o grupos de
reglas devuelvan un valor acertado.
Use los operadores OR o || para requerir que alguna de dos reglas o grupos
de reglas devuelva un valor acertado.
Host Checker usa una lista de las versiones de parches más actuales de los
proveedores para reglas predefinidas en la directiva de Host Checker.
Cuando un punto final se conecta por primera vez con el IVE, se descargan del IMC
las últimas versiones de los archivos y bibliotecas de datos hacia el equipo host.
La comprobación inicial tarda entre 10 a 20 segundos en ejecutarse, dependiendo
de la velocidad del vínculo. Si está obsoleto, estos archivos se actualizan de forma
automática en comprobaciones sucesivas. Si es la primera vez que el punto final se
conecta al IVE con la directiva de evaluación de parches, y la conexión es Layer 2,
no se podrá descargar el IMC necesario para la comprobación Patch Assesment.
En este caso, deberá configurar un rol de corrección que muestre las instrucciones
que le ordenen al usuario que reintente con la conexión Layer 3 o que se ponga en
contacto con el administrador.
5. Haga clic en Add bajo Rule Settings. Aparecerá la página Add Custom Rule:
Patch assessment.
Si selecciona All Products, Host Checker buscará todos los parches expuestos
en el punto final.
La opción Scan for specific patches le permite escoger desde una lista de
parches disponibles.
El IVE y Host Checker cumplen con los estándares emitidos por TNC. Para obtener
más información acerca de TNC, IMV e IMC, visite
www.trustedcomputinggroup.org.
Puede configurar Host Checker para que supervise los IMC de terceros, que
cumplen con las normas de TNC, instalados en los equipos cliente. Para hacerlo,
debe hacer lo siguiente:
2. Especifique el servidor IMV remoto para que el IVE se pueda comunicar con él.
Consulte “Especificación del servidor IMV remoto” en la página 293.
3. Instale los IMV de terceros en el servidor IMV y los IMC correspondientes en los
sistemas del cliente.
Si no tiene una autoridad de certificación, puede seguir estos pasos para crear
una CA y luego crear un certificado de servidor para el servidor IMV remoto.
http://www.slproweb.com/products/Win32OpenSSL.html
cd \openssl
md certs
cd certs
md demoCA
md demoCA\newcerts
edit demoCA\index.txt
iii. Presione las teclas ALT-F y luego la tecla S para guardar el archivo.
iv. Presione las teclas ALT-F y luego la tecla X para salir del editor.
edit demoCA\serial
vii. Presione las teclas ALT-F y luego la tecla S para guardar el archivo.
viii. Presione las teclas ALT-F y luego la tecla X para salir del editor.
set path=c:\openssl\bin;%path%
Por ejemplo:
Country Name: US
State or Province Name: CA
Locality Name: Sunnyvale
Organization Name: XYZ
Org. Unit Name: IT
Common Name: ic.xyz.com
Email Address: user@xyz.com
[ca]
default_ca = demoCA
[demoCA]
dir = ./demoCA
database = $dir/index.txt
new_certs_dir = $dir/newcerts
certificate = $dir/cacert.pem
serial = $dir/serial
private_key = $dir/ca.key
default_days = 365
default_md = md5
policy = policy_any
email_in_dn = no
name_opt = ca_default
cert_opt = ca_default
copy_extensions = none
[ policy_any ]
countryName = supplied
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
vii. Escriba el siguiente comando para generar una clave privada RSA para
el servidor IMV remoto:
viii. Escriba el siguiente comando para generar un CSR para el servidor IMV
remoto:
Country Name:
State or Province Name:
Locality Name:
Organization Name:
Organizational Unit Name:
Common Name: [IPAddress]
Email Address:
A challenge password:
An optional company name:
xi. Presione “y” dos veces cuando se le solicite para generar el certificado.
Este certificado es válido por 365 días de forma predeterminada. Si
desea modificar la duración del certificado, cambie el parámetro
default_days en el archivo demoCA.cnf, o use el parámetro –days en el
comando openssla ca para especificar una duración distinta.
xii. Escriba el siguiente comando para agregar la clave del servidor IMV
remoto y el certificado en un archivo PKCS#12 (use su propia
contraseña):
5. En el servidor IMV remoto, escoja Programs > Juniper Networks > Remote
IMV Server > Remote IMV Server Configurator en el menú Start.
13. Haga clic en Import Trusted Server CA y busque el certificado de servidor que
usó en el servidor IMV remoto.
14. Agregue el nuevo servidor IMV remoto en “Especificación del servidor IMV
remoto” en la página 293.
4. En Remote IMV, haga clic en New IMV para especificar el IMV de terceros.
a. Cree una etiqueta para el IMV usando los campos Name y (opcionalmente)
Description.
b. En el campo IMV Name, introduzca el nombre del IMV. Este nombre debe
coincidir con el “nombre legible” en la clave de registro conocida del IMV
en el servidor IMV remoto. Para obtener más información acerca de
nombres legibles y la clave de registro conocida, visite
www.trustedcomputinggroup.org.
6. Especifique la forma en que Host Checker debe evaluar las distintas reglas
dentro de la directiva usando las instrucciones en “Evaluación de varias reglas
en una directiva única de Host Checker” en la página 284.
Una regla requerida devolverá Allow si coincide y Deny si no se cumple. Una regla
Deny devolverá Deny si coincide, y Allow si no se cumple. Si escoge la opción Any of
the above rules en la directiva de Host Checker, la regla se entenderá como
cumplida si al menos una de las reglas devuelve Allow. Si escoge All of the above
rules, entonces la regla se entenderá como cumplida si todas las reglas devuelven
Allow. En cualquier caso, si el resultado de una regla de cumplimiento no se puede
completar por alguna razón, esa regla se considerará como no cumplida.
rule1 OR rule2
es equivalente a:
META-INF/MANIFEST.HCIF
hcif-myPestPatrol.dll
hcif-myPestPatrol.ini
3. Cargar el o los paquetes de Host Checker al IVE siguiendo las instrucciones que
se encuentran en “Habilitación de directivas personalizadas del lado del
servidor” en la página 296. Puede cargar varios paquetes de directivas al IVE,
cada uno con un archivo MANIFEST.HCIF diferente.
Host Checker crea túneles para todas las definiciones de túneles en todos los
archivos MANIFEST.HCIF, siempre y cuando las definiciones sean únicas. Para
ver la lista de definiciones de túneles de acceso de autenticación previa para un
paquete de directivas, haga clic en el nombre del paquete de directivas bajo 3rd
Party Policy en la página Host Checker Configuration. El IVE muestra una lista
de las definiciones de túneles bajo Host Checker Preauth Access Tunnels en la
página 3rd Party Policy.
Para permitir una directiva personalizada del Host Checker del lado del servidor:
6. Haga clic en Save Changes. El IVE agrega las directivas definidas en el archivo
zip a la lista de directivas de la página del Host Checker.
Rol: Cuando el IVE determina la lista de roles válidos para las que puede
asignar un administrador o un usuario, evalúa las restricciones de cada rol para
determinar si requiere que el equipo del usuario se adhiera a determinadas
directivas de Host Checker. Si es así, y el equipo del usuario no sigue las
directivas de Host Checker especificadas, el IVE no asignará al usuario dichos
roles a menos que configure acciones correctivas para ayudar al usuario a
lograr que su equipo cumpla las directivas. Puede configurar la asignación de
roles usando los ajustes de la página Users > User Realms > Seleccionar
territorio > Role Mapping. Puede configurar restricciones a nivel de rol en la
página Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Host Checker de la consola de administración o en la página
Users > User Roles> Seleccionar rol > General > Restrictions >
Host Checker.
Puede especificar que el IVE evalúe las directivas del Host Checker sólo cuando el
usuario intenta tener acceso por primera vez al territorio, rol o recurso al que hace
referencia la directiva del Host Checker. Como alternativa, puede especificar que el
IVE evalúe de forma periódica las directivas a través de la sesión del usuario. Si elige
evaluar periódicamente las directivas del Host Checker, el IVE asigna de forma
dinámica los usuarios a los roles y les permite acceder a nuevos recursos en función
de la evaluación más reciente.
Tenga en cuenta que el Host Checker sólo realiza revisiones a nivel de territorio
cuando el usuario inicia sesión por primera vez en el IVE. Si el estado del
sistema del usuario cambia durante su sesión, el IVE no lo expulsa del territorio
actual ni le permite tener acceso a un territorio nuevo basado en el nuevo
estado del sistema.
a. Desplácese hasta:
b. Escoja una de las siguientes opciones para todas las directivas disponibles o
para directivas individuales que aparecen en la columna Available Policies:
a. Desplácese hasta:
Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Host Checker
Users > User Roles > Seleccionar rol > General > Restrictions >
Host Checker
Allow all users: No requiere que el Host Checker esté instalado para
que el usuario cumpla el requisito de acceso.
a. Desplácese hasta: Users > User Realms > Seleccionar territorio > Role
Mapping.
e. En la sección ...then assign these roles, seleccione los roles que el IVE
debe asignar a los usuarios cuando cumplan los requisitos especificados en
la expresión personalizada y luego haga clic en Add.
f. Seleccione Stop processing rules when this rule matches si desea que
el IVE deje de evaluar las reglas de asignación de roles si el usuario cumple
satisfactoriamente con los requisitos definidos en esta reglas.
a. Desplácese hasta: Users > Resource Policies > Seleccionar recurso >
Seleccionar directiva > Detailed Rules.
b. Haga clic en New Rule o seleccione una regla existente desde la lista
Detailed Rules.
También puede escoger incluir un mensaje a los usuarios (llamado una cadena de
motivos) que Host Checker o un comprobador de medición de integridad (IMV)
devuelve y explica los motivos por los que el equipo cliente no cumple los requisitos
de las directivas de Host Checker.
Por ejemplo, el usuario puede ver una página de corrección que contenga las
siguientes instrucciones personalizadas, un vínculo a recursos y las cadenas de
motivos:
1. Symantec
Instructions: You do not have the latest signature files. Click here to download
the latest signature files.
Para cada directiva de Host Checker, puede configurar dos tipos de acciones de
corrección:
Puede habilitar estas acciones correctivas tanto en las directivas del lado cliente
como de lado del servidor. Para obtener instrucciones acerca de la configuración,
consulte “Creación y configuración de nuevas directivas del lado cliente” en la
página 267 o “Habilitación de directivas personalizadas del lado del servidor” en la
página 296.
Tomar las acciones apropiadas para hacer que su equipo cumpla con la
directiva y luego hacer clic en el botón Try Again en la página de
corrección. Host Checker comprueba nuevamente si el equipo del
usuario cumple con la directiva.
NOTA: Si no configura el IVE con al menos un territorio que permita acceso sin
aplicar una directiva de Host Checker, el usuario debe hacer que su equipo cumpla
con la directiva antes de iniciar sesión en el IVE.
3. Especifique las acciones de corrección que desee que Host Checker realice si el
equipo de un usuario no cumple con los requisitos de la directiva actual:
keylogger.exe
MD5: 6A7DFAF12C3183B56C44E89B12DBEF56
Delete Files: Escriba los nombres de los archivos que desee eliminar si el
equipo del usuario no cumple con los requisitos de la directiva. (No puede
usar caracteres comodín en el nombre del archivo.) Escriba un nombre de
archivo por línea. Por ejemplo:
c:\temp\bad-file.txt
/temp/bad-file.txt
NOTA: Al enviar cadenas de motivos, revela a los usuarios las comprobaciones que
el IMV realiza en el equipo cliente.
Puede cargar hasta cuatro versiones del complemento al IVE, pero el IVE usa sólo
una versión a la vez (llamada la versión activa). Si fuese necesario, puede volver a la
versión activa anterior del complemento.
https://www.juniper.net/customers/csc/software/ive/
NOTA:
Figura 34: Host Checker crea un túnel desde un cliente a un servidor de directivas detrás
del IVE
Dentro del archivo MANIFEST.HCIF, debe incluir una definición por línea, con una
línea en blanco entre cada definición, usando el siguiente formato:
HCIF-Main: <DLLName>
HCIF-Policy: <PolicyName>
HCIF-IVE-Tunnel: <client-loopback>:port <policy-server>:port
donde:
donde:
O bien, puede usar un nombre de host para el cliente, como en este ejemplo:
Debe incluir una línea en blanco entre cada línea del archivo MANIFEST.HCIF
y puede usar un punto y coma al comienzo de una línea para indicar un
comentario. Por ejemplo:
HCIF-Main: myPestPatrol.dll
HCIF-Policy: myFileCheck
HCIF-Policy: myPortCheck
; Tunnel definitions
HCIF-IVE-Tunnel: 127.0.0.1:3220 mysygate.company.com:5500
HCIF-IVE-Tunnel: 127.1.1.1:3220 mysygate2.company.com:5500
HCIF-IVE-Tunnel: mysygate.company.com:3220 mysygate3.company.com:5500
http://support.microsoft.com/default.aspx?scid=kb;en-us;884020
NOTA: Si implementa un DLL de terceros del lado cliente o del lado del servidor,
recuerde lo siguiente:
Descomprima el paquete del DLL de terceros del lado del servidor y agregue
las definiciones de túneles al archivo MANIFEST.HCIF que contiene las
directivas para el DLL de terceros. (El DLL debe usar la misma dirección y
puerto <client-loopback> o el nombre del servidor que usted especifique en el
archivo MANIFEST.HCIF.)
2. En Options:
NOTA: Si introduce un valor cero, Host Checker sólo se ejecuta en el equipo cliente
cuando el usuario inicia sesión por primera vez en el IVE.
Puede usar dos métodos para instalar Host Checker en el sistema de un usuario:
Si el IVE no puede instalar el control ActiveX debido a que éste está desactivado
en el sistema del usuario, el IVE intentará instalar Host Checker usando Java.
Para hosts Macintosh y Linux, el IVE siempre usa el método de entrega de Java.
El método de entrega de Java requiere sólo privilegios de usuario, pero Java
debe estar habilitado en el sistema del usuario. Para el explorador Firefox en
Linux, deben estar instalados el complemento y el tiempo de ejecución de Java.
NOTA: Debido a ciertas anomalías con JVM, es posible que Host Checker no se
If y instale y aparezca un mensaje de error. Si esto ocurre, haga clic en Try Again.
La instalación siguiente debería ser satisfactoria.
NOTA: Para instalar Host Checker, los usuarios deben tener los privilegios
adecuados, como se describe en el manual Client-side Changes Guide en el
Customer Support Center de Juniper Networks. Si el usuario no cuenta con estos
privilegios, use el Servicio de instalador Juniper disponible en la página
Maintenance > System > Installers de la consola de administración para omitir
este requisito.
3. En la lista Show, haga clic en Downloaded ActiveX controls para mostrar todos
los controles ActiveX.
Host Checker debe estar instalado para el usuario del dominio que GINA de
Network Connect usa para la conexión. De lo contrario, este usuario de
dominio no puede usar GINA para iniciar sesión si se requiere de Host Checker
Ponga el ejecutable en un repositorio seguro para que los usuarios con los
derechos de administrador apropiados puedan descargar e instalar la versión
correcta.
NOTA: Debido a que estas configuraciones son globales, el IVE escribe un archivo
de registro para todos los clientes que usan la característica para la que usted
habilitó la creación de registros del lado cliente. Además, el IVE no elimina los
registros del lado cliente. Los usuarios deben eliminar los registros de forma
manual desde sus clientes. Para obtener más información acerca del lugar donde
IVE instala los archivos de registro, consulte el manual Client-side Changes Guide en
el Customer Support Center de Juniper Networks.
Para especificar los ajustes globales de la creación de registro del lado cliente:
2. Seleccione las características deseadas para las cuales el IVE escribe los
registros del lado cliente.
3. Haga clic en Save Changes para guardar estos ajustes de forma global.
NOTA: Para los sistemas IVE 5.x nuevos, todas las opciones están inhabilitadas de
forma predeterminada. Si actualiza el IVE de una configuración 3.x, todas las
opciones de registro están habilitadas de forma predeterminada.
Elimina los datos y recursos del espacio de trabajo cuando finaliza la sesión.
Garantiza que ningún objeto del ayudante del explorador se quede enganchado
en un proceso de Internet Explorer antes de iniciarlo.
El IVE alberga el binario del Secure Virtual Workspace, que descarga el sistema
cliente desde el IVE cada vez que el usuario se conecta. Secure Virtual Workspace
crea un sistema de archivos virtuales y un registro virtual en el cliente.
Usted define y configura las aplicaciones que pueden ejecutarse dentro de Secure
Virtual Workspace. Por ejemplo, puede configurar los siguientes tipos de
configuraciones de aplicación:
NOTA: Secure Virtual Workspace no funciona cuando Sametime 7.5 de IBM se está
ejecutando en el escritorio predeterminado. Sametime 7.5 de IBM cambia los
usuarios automáticamente al escritorio predeterminado desde el espacio de
trabajo virtual.
Admite el uso de Secure Virtual Workspace junto con Host Checker, que se
iniciará automáticamente dentro del espacio de trabajo seguro.
NOTA: Debido a que los datos de la sesión Secure Virtual Workspace se almacenan
en el escritorio real del usuario final, debe implementar la característica de
persistencia sólo si cada uno de los usuarios finales usa siempre el mismo equipo
cliente.
NOTA: No se han tomado precauciones para asegurar que no pueda configurar una
asignación de URL de inicio de sesión a más de un territorio configurado con una
directiva de SVW. Si configura asignaciones múltiples a más de un territorio, los
resultados son impredecibles. Debe configurar explícitamente el escritorio virtual
seguro para permitir que sólo una directiva de SVW se evalúe en el usuario final.
Printers: Seleccione esta opción para permitir el acceso del usuario final a
las impresoras de red.
Network Share Access: Seleccione esta opción para permitir el acceso del
usuario final a las unidades compartidas de red.
Desktop Persistence: Seleccione esta opción para permitir que los usuarios
finales mantengan Secure Virtual Workspace a través de las sesiones de los
clientes sólo en los sistemas de archivo NTFS.
NOTA:
Si selecciona esta opción, tenga en cuenta que si hay varios usuarios usando
la misma contraseña para encriptar su espacio de trabajo SVW en el mismo
host, podrían tener acceso al almacenamiento de datos persistente protegido
por esa contraseña estática. Recomendamos que los usuarios usen
contraseñas fuertes cuando aseguren el almacenamiento de datos
persistentes en SVW en sistemas de usuarios múltiples.
Control panel: Selecciónela para permitir que el usuario final tenga acceso
al panel de control de Windows dentro de Secure Virtual Workspace.
Run menu: Selecciónela para permitir que el usuario final tenga acceso
al menú de ejecución de Windows dentro de Secure Virtual Workspace.
Task manager: Selecciónela para permitir que el usuario final tenga acceso
al Administrador de tareas (taskmgr.exe) y a los procesos del sistema de
Windows dentro de Secure Virtual Workspace.
NOTA:
Para especificar las opciones de seguridad para una directiva de Secure Virtual
Workspace nueva:
4. Especifique el tipo de clave de encriptación AES que el IVE usa para habilitar
Secure Virtual Workspace en el cliente. Las opciones disponibles son claves de
encriptación de 128, 192 y 256 bits.
4. En Options, especifique:
Entre las URL disponibles están la URL de inicio de sesión del usuario
predeterminada y cualquier URL que defina en Authentication > Signing
in > Sign-in Policies. La primera vez que SVW lleva al usuario al espacio
de trabajo virtual e inicia un explorador, el usuario accede al IVE desde una
URL de inicio de sesión. De forma predeterminada, la URL de inicio de
sesión es la misma que el usuario introdujo para iniciar la sesión del IVE.
Puede configurar una URL de inicio de sesión distinta a través de
esta opción.
Application.exe
MD5: 6A7DFAF12C3183B56C44E89B12DBEF56
MD5: 9S3AJ912CC3183B56C44E89B12DI2AC9
Cache Cleaner corresponde a un agente del lado cliente de Windows que elimina
los datos residuales, como los archivos temporales o memorias caché de
aplicaciones, que quedan en el equipo del usuario después de una sesión del IVE.
Por ejemplo, si un usuario inicia sesión en el IVE desde un equipo público con
Internet y abre un documento de Microsoft Word mediante un complemento del
explorador, Cache Cleaner elimina la copia temporal del archivo Word guardada en
la memoria caché del explorador (carpeta Windows) una vez que finaliza la sesión.
Al eliminar la copia, Cache Cleaner impide que los usuarios de otro equipo público
encuentren y abran el documento Word después de que el usuario del IVE finaliza
la sesión.
Cache Cleaner también impide que los exploradores Web guarden de forma
permanente los nombres de usuario, contraseñas y direcciones Web que los
usuarios introducen en los formularios Web. Al impedir que los exploradores
guarden indebidamente en su memoria caché esta información, Cache Cleaner
evita que la información confidencial del usuario se guarde en sistemas no fiables.
331
Guía de administración de Secure Access de Juniper Networks
Specified files and folders: Si desea habilitar a sus usuarios para que puedan
acceder a aplicaciones cliente-servidor en sus sistemas locales,
es recomendable configurar Cache Cleaner para que borre los archivos y
carpetas temporales que crean las aplicaciones en los sistemas de los usuarios.
NOTA: Si configura Cache Cleaner para que elimine los archivos de un directorio,
Cache Cleaner borra todos los archivos, entre ellos los que el usuario ha guardado
explícitamente en el directorio y los que ya se encontraban ahí antes de iniciarse
la sesión del IVE.
2. En Options:
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\FormSuggest Passwords
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\FormSuggest Passwords\FormSuggest PW Ask
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\ DisablePasswordCaching
a. Especifique:
NOTA: Al especificar los archivos y las carpetas que desea borrar, tenga en cuenta
lo siguiente:
Cache Cleaner utiliza una cookie llamada DSPREAUTH para enviar el estado
del cliente al IVE. Si borra esta cookie del cliente del usuario, Cache Cleaner
no funciona correctamente. Para evitar problemas, no especifique directorios
de Internet Explorer, como <userhome>\Local Settings\Temporary Internet
Files\*, en la ruta del archivo o de la carpeta. Tenga en cuenta que Cache
Cleaner de todos modos borra todo el contenido de la memoria caché de
Internet Explorer del host del IVE y de los demás hosts especificados en el
cuadro Hostnames, sin importar los directorios que especifique en Files
and Folders.
En el caso del explorador Firefox, Cache Cleaner borra sólo los directorios que
especifique en Files and Folders.
5. Haga clic en Save Changes para guardar estos ajustes de forma global.
Si existe más de una sesión válida del IVE en el mismo sistema, y se usa Cache
Cleaner en esas sesiones, todas las sesiones finalizarán cuando un usuario se
desconecte de una de las sesiones. Para evitar esto, desactive Cache Cleaner en las
sesiones que no lo necesitan.
Rol: Cuando el IVE determina la lista de roles válidos a los que puede asignar
un administrador o un usuario, evalúa las restricciones de cada una de ellos
para determinar si requieren la ejecución de Cache Cleaner en la estación de
trabajo del usuario. Si es así, y el equipo del usuario ya está ejecutando Cache
Cleaner, el IVE no asigna el usuario a dicho rol. Puede controlar los roles que el
IVE asigna a un usuario mediante los ajustes de Users > User Realms >
Seleccionar territorio > Role Mapping. Seleccione una regla o créela, y
seleccione Custom Expressions. Puede configurar restricciones a nivel de
territorio en la página Users > User Roles > Rol > General > Restrictions >
Cache Cleaner de la consola de administración.
Puede especificar que el IVE evalúe las directivas de Cache Cleaner sólo cuando el
usuario intenta tener acceso por primera vez al territorio, rol o recurso al que hace
referencia la directiva del Cache Cleaner. También puede usar los ajustes de la ficha
Authentication > Endpoint Security > Cache Cleaner a fin de especificar que el IVE
reevalúe de forma periódica las directivas de la sesión del usuario. Si opta por
evaluar periódicamente las directivas de Cache Cleaner, el IVE asigna de forma
dinámica los usuarios a los roles y le permite a los usuarios obtener acceso a
nuevos recursos basado en la evaluación más reciente.
1. Evaluación inicial: Cuando un usuario intenta abrir por primera vez la página
de inicio de sesión del IVE, éste determina si Cache Cleaner se está ejecutando
en el equipo del usuario. El IVE realiza una evaluación inicial
independientemente de si ha implementado las directivas de Cache Cleaner a
nivel de territorio, rol o directiva de recursos.
Si el usuario sale de la página de inicio de sesión del IVE después de que Cache
Cleaner se comienza a ejecutar, pero antes de iniciar sesión en el IVE,
Cache Cleaner continúa ejecutándose en el equipo del usuario hasta que
finalice el tiempo de espera del proceso de Cache Cleaner.
Tenga en cuenta que el IVE sólo realiza revisiones a nivel de territorio de Cache
Cleaner cuando el usuario inicia sesión por primera vez en el IVE. Si el estado
del sistema del usuario cambia durante su sesión, el IVE no lo expulsa del
territorio actual ni le permite tener acceso a un territorio nuevo basado en el
nuevo estado del sistema.
5. Limpieza final: Cache Cleaner lleva a cabo una limpieza final y restaura los
ajustes de registro cuando:
Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Cache Cleaner
Users > User Roles > Seleccionar rol > General > Restrictions >
Cache Cleaner
a. Seleccione Users > User Realms > Seleccionar territorio > Role
Mapping > Seleccionar o crear regla > Expresión personalizada.
a. Seleccione Users > Resource Policies > Selecciona recurso > Seleccionar
directiva > Detailed Rules > Seleccionar o Crear regla > Campo de
condición
Habilite la instalación automática a través de la página Users > User Realms >
Territorio > Authentication Policy > Cache Cleaner de la consola de administración
para permitirle al IVE intentar instalar Cache Cleaner en el sistema del usuario.
Cuando lo hace, el IVE evalúa la opción a nivel de territorio cuando el usuario abre
la página de inicio de sesión de IVE y luego determina si la versión actual de Cache
Cleaner está instalada en el equipo del usuario. Si Cache Cleaner no está instalado,
el IVE intentará instalarlo mediante ActiveX o Java.
Cuando un usuario inicia sesión en el IVE, éste intenta instalar un control ActiveX
en el sistema del usuario. Si el IVE instala correctamente el control ActiveX,
el control administra la instalación del programa Cache Cleaner.
Si el IVE no puede instalar el control ActiveX debido a que el usuario no cuenta con
privilegios de administrador o de usuario avanzado, o debido a que ActiveX está
desactivado en el sistema del usuario, el IVE intenta instalar Cache Cleaner
mediante Java. El método de Java requiere sólo privilegios de usuario, pero Java
debe estar habilitado en el sistema del usuario.
NOTA: Si se está ejecutando Microsoft Vista en el sistema del usuario, éste debe
hacer clic en el enlace de configuración que aparece durante el proceso de
instalación para continuar instalando el cliente de configuración y Cache Cleaner.
En todos los otros sistemas operativos Microsoft, el cliente de configuración y
Cache Cleaner se instalan automáticamente.
Si el IVE no puede usar el método de Java debido a que Java está inhabilitado en el
sistema del usuario, muestra un mensaje de error que informa al usuario de que su
sistema no permite la instalación de las aplicaciones ActiveX o Java, por lo que
algunas de las funciones de seguridad de acceso no se pueden ejecutar.
NOTA:
Para instalar Cache Cleaner, los usuarios deben contar con los privilegios
correspondientes descritos en el manual Secure Access Client-Side Changes
Guide en el Juniper Networks Customer Support Center. Si el usuario no
cuenta con privilegios, use el Servicio de instalador de Juniper disponible en la
página Maintenance > System > Installers de la consola de administración
para omitir este requisito.
NOTA: Debido a que estas configuraciones son globales, el IVE escribe un archivo
de registro para todos los clientes que usan la característica para la que se habilitó
la creación de registros del lado cliente. Además, el IVE no elimina los registros del
lado cliente. Los usuarios deben eliminar los registros de forma manual desde sus
clientes. Para obtener más información acerca del lugar donde IVE instala los
archivos de registro, consulte el manual Secure Access Client-Side Changes Guide en
el Customer Support Center de Juniper Networks.
Para especificar los ajustes globales de la creación de registro del lado cliente:
1. Seleccione System > Log/Monitoring > Client Logs > Settings en la consola
de administración.
2. Seleccione las características deseadas para las cuales el IVE escribe los
registros del lado cliente.
3. Haga clic en Save Changes para guardar estos ajustes de forma global.
NOTA: Para los nuevos sistemas IVE de versión 5.x, todas las opciones están
inhabilitadas de forma predeterminada. Si actualiza el IVE de una configuración
versión 3.x, todas las opciones de registro están habilitadas de forma
predeterminada.
343
Guía de administración de Secure Access de Juniper Networks
Este tema contiene la siguiente información sobre los applets de Java en el IVE:
NOTA: El IVE permite hospedar applets de Java usando las plantillas de perfil de
recursos Web (descritas en estos temas) así como los perfiles de recursos de
Terminal Services. Para obtener instrucciones sobre cómo hospedar los applets de
Java mediante los perfiles de recursos de Terminal Services, consulte “Definición
de directivas automáticas del applet de Java hospedado” en la página 573.
1. Especifique los applets que desea cargar, cree marcadores en el IVE que hagan
referencia a los applets cargados y especifique las funciones que pueden tener
acceso a los marcadores usando los ajustes de la página Users > Resource
Profiles > Web de la consola de administración. Para obtener instrucciones,
consulte “Definición de perfiles de recursos: applets de Java hospedados” en la
página 350.
Por ejemplo, quizás le interese usar el IVE para que intermedie el tráfico entre un
sistema IBM AS/400 de la red y los emuladores de terminal 5250 individuales de los
equipos de los usuarios. Para configurar el IVE para que intermedie este tráfico,
obtenga el applet de Java del emulador de terminal 5250. Después, podrá cargar
este applet en el IVE y crear una página Web simple que haga referencia al applet.
Después de crear la página Web con el IVE, el IVE creará un marcador
correspondiente al que los usuarios puede acceder mediante sus páginas
principales.
NOTA:
Para asegurar la compatibilidad con las máquinas virtuales de Java (JVM) de Sun y
Microsoft, debe cargar los archivos .jar y .cab en el IVE. (La JVM de Sun usa archivos
.jar, mientras que la JVM de Microsoft usa archivos .cab.)
NOTA:
Cuando carga los applets de Java en el IVE, el IVE le solicita leer un contrato
legal antes de terminar de instalar los applets. Lea este contrato con
detención; le obliga a asumir la responsabilidad absoluta respecto de la
validez, operación y compatibilidad de los applets de Java que cargó.
Puede cargar applets de Java en el IVE mediante los perfiles de recursos. Para
obtener instrucciones, consulte “Definición de perfiles de recursos: applets de
Java hospedados” en la página 350.
NOTA: El IVE vuelve a actuar y firmar sus applets de Java cargados siempre que
cambie (es decir, importe, renueve o elimine) el certificado de firma de código
correspondiente en el IVE.
Creación de páginas HTML que hacen referencia a los applets de Java cargados
Cuando cargue un applet de Java en el IVE, debe crear una página Web simple que
haga referencia al applet. Los usuarios pueden acceder a esta página Web mediante
un marcador en sus páginas principales del IVE o desde servidores Web externos
(como se explica en “Acceso a los marcadores de applet de Java” en la página 349).
La página Web debe contener una definición de página HTML simple que haga
referencia al applet de Java cargado. La página Web también puede contener
cualquier HTML y JavaScript adicional que elija. El IVE puede generar parte de la
página Web, incluyendo la definición de página HTML y las referencias al applet de
Java. (Sin embargo, tenga en cuenta que el IVE no está al tanto de todos los
parámetros específicos del applet que requiere su applet, por lo tanto, debe buscar
y llenar estos parámetros usted mismo). Cuando el IVE genera este HTML, crea
marcadores para cualquier valor sin definir y le solicita que llene los valores
necesarios.
Puede crear estas páginas Web con los perfiles de recursos de carga de applet de
Java. Para obtener instrucciones, consulte “Definición de marcadores del applet de
Java hospedado” en la página 352.
Bookmarks on the IVE end user console: Cuando crea una página Web
que hace referencia a los applets de Java cargados, el IVE crea un vínculo
correspondiente a la página Web y muestra ese vínculo en la sección
Bookmarks de la consola del usuario final del IVE. Los usuarios que asignan
el rol correspondiente pueden hacer clic en el vínculo para obtener acceso al
applet de Java.
Links on external Web servers: Los usuarios pueden establecer vínculos con
los marcadores del applet de Java desde un servidor Web externo haciendo
clic en las URL correctas. Cuando el usuario introduce la URL de un marcador
(o hace clic en un vínculo externo que contiene la URL), el IVE le solicita al
usuario que introduzca su nombre de usuario y contraseña del IVE. Si se
autentica de forma correcta, el IVE le permite acceder al marcador. Puede crear
la URL en el marcador de applet de Java usando la sintaxis descrita en las
siguientes líneas:
https://IVE_hostname/dana/home/launchwebapplet.cgi?bmname=bookmark
Nombre
https://IVE_hostname/dana/home/launchwebapplet.cgi?id=<resourceID>&bmna
me=bookmarkName
NOTA:
a. Haga clic en New Applet para agregar un applet a esta lista. O bien,
seleccione un applet existente y haga clic en Replace (para reemplazar un
applet existente con uno nuevo) o Delete (para eliminar un applet del IVE).
NOTA:
El IVE sólo permite que elimine applets que no se encuentran en uso por
un perfil de recursos Web o Terminal Services.
c. Busque el applet que desea cargar en el IVE. Puede cargar applets (archivos
.jar o .cab) o archivos de almacenamiento (archivos .zip, .jar y .tar) que
contengan applets y todos los recursos que los applets necesitan (sólo para
applets nuevos y reemplazados).
6. Use los ajustes de la sección Autopolicy: Java Access Control para habilitar el
acceso si los applets de Java requieren conexiones de socket. Para obtener
información detallada, consulte “Definición de una directiva automática de
control de acceso a Java” en la página 404.
Para configurar los marcadores del perfil de recursos del applet de Java hospedado:
1. Seleccione Users > Resource Profiles > Web > Seleccionar perfil
de recurso > Bookmarks en la consola de administración.
NOTA: Aunque por lo general es más fácil crear un marcador de sesión de perfil de
recursos mediante la página de configuración del perfil de recursos, puede optar
por crear una con la página de roles de usuario si ya ha creado un perfil de
recursos. Para obtener instrucciones, consulte “Creación de marcadores de applets
de Java hospedados mediante la página de roles de usuario” en la página 353.
4. Haga clic en Generate HTML para crear una definición de página HTML que
incluya referencias a sus applets de Java. A continuación, llene todos los
atributos y parámetros requeridos usando las pautas de los siguientes temas:
6. En las opciones de Display, haga clic en Bookmark opens new window para
permitir que el IVE abra automáticamente el recurso Web en una nueva
ventana del explorador. Tenga en cuenta que esta funcionalidad se aplica
sólo a los marcadores de rol y no a los marcadores creados por el usuario.
A continuación, seleccione las siguientes opciones si desea ocultar los
elementos UI al usuario:
Do not display the browser address bar: Seleccione esta opción para
eliminar la barra de direcciones de la ventana del explorador. Esta
característica fuerza todo el tráfico web a través del IVE impidiendo que
los usuarios del rol especificado escriban una nueva URL en la barra de
direcciones, lo que pasa por alto al IVE.
Do not display the browser toolbar: Seleccione esta opción para eliminar
el menú y la barra de herramientas del explorador. Esta característica
elimina todos los menús, botones de exploración y marcadores de la
ventana del explorador para que el usuario navegue sólo a través del IVE.
7. En Roles, especifique las funciones para las que desea mostrar el marcador
si configurará el marcador mediante las páginas de perfiles de recursos:
1. Seleccione Users > Roles > Seleccionar rol > Web > Bookmarks en la
consola de administración.
3. Seleccione Pick a Web Resource Profile en la lista Type. (El IVE no muestra
esta opción si no ha creado un perfil de recursos del applet de Java hospedado.)
5. Haga clic en OK. (Si aún no ha asociado el rol seleccionado con el perfil de
recursos, el IVE realiza la asociación de forma automática. El IVE también
habilita cualquier directiva de control de acceso para el rol que requiere el perfil
de recursos.)
6. Si este rol aún no ha sido asociado con el perfil de recursos seleccionado, el IVE
muestra un mensaje informativo. Si ve este mensaje, haga clic en Save
Changes para agregar este rol a la lista de roles del perfil de recursos y para
actualizar las directivas automáticas del perfil, según se requiera. A
continuación, repita el paso anterior para crear el marcador.
NOTA: El IVE genera los parámetros que sabe que necesitará. Sin embargo, tenga
en cuenta que el IVE no está al tanto de todos los parámetros específicos que
requiere su applet; por lo tanto, debe buscar y llenar estos parámetros usted
mismo.
code: indica qué clase de archivo invocar en el applet de Java. Use este valor
para designar la función principal del applet de Java. Ejemplo:
applet code="com.citrix.JICA"
<img src="<<CODEBASE>>path/to/file">
<img src="<<CODEBASE>>/path/to/file">
archive: indica qué archivo de almacenamiento (es decir, archivo .jar, .cab o .zip)
debe buscar el explorador de Web. Ejemplo:
archive="JICAEngN.jar"
Además de los atributos requeridos que se indicaron con anterioridad, puede usar
los siguientes atributos opcionales al crear un marcador de applet de Java:
name="CitrixJICA"
port: especifica, para las sesiones de terminal, el puerto al que debe conectarse
el IVE.
width and height: indica el tamaño de la ventana del applet de Java. Ejemplo:
width="640" height="480"
align="top"
Puede usar las variables del IVE para pasar los valores al applet de Java encerrando
los nombres de variables entre paréntesis angulados dobles. Por ejemplo, puede
elegir pasar los valores <<username>> y <<password>> al applet de Java. Para
obtener una lista de las variables disponibles en el IVE, consulte “Variables del
sistema y ejemplos” en la página 1046.
Si encuentra una página Web que contiene un applet que desea usar, vaya al sitio de
demostración y vea el origen en la página que ejecuta el applet de Java. Dentro del
origen, busque la etiqueta applet. Elija el atributo code en el origen y determine si
contiene algún parámetro especial que deba pasar al explorador. En la mayoría de
los casos, debe copiar y pegar el atributo code y sus parámetros correspondientes
directamente en el campo HTML del marcador del IVE. Sin embargo, tenga en
cuenta que si el parámetro hace referencia a un recurso en el servidor Web local,
no podrá copiar y pegar la referencia en el marcador del IVE porque el IVE no tiene
acceso a los otros recursos locales del servidor Web. Al copiar y pegar parámetros
de otro origen, siempre compruebe los valores de los parámetros.
NOTA:
Además del método descrito aquí, también puede usar los perfiles de recursos
de Terminal Services para hospedar las versiones de Java de los clientes Citrix
ICA en el IVE. Para obtener instrucciones, consulte “Definición de directivas
automáticas del applet de Java hospedado” en la página 573.
Para permitir que el cliente Citrix JICA 9.5 pueda usar característica de carga de
applets de Java:
Caso de uso: creación de un marcador de applet de Java Citrix JICA 9.5 357
Guía de administración de Secure Access de Juniper Networks
358 Caso de uso: creación de un marcador de applet de Java Citrix JICA 9.5
Capítulo 13: Plantillas de applets de Java hospedados
<html>
<head>
<title>CitrixJICA Applet.</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<!--
Notas:
1) << CODEBASE >> es un valor de sistema que se
reemplazará en el momento en que se inicie el applet.
No modifique este valor.
2) Modifique los valores restantes, según sea necesario.
3) Asegúrese de que todos los nombres/valores de atributos estén
encerrados en comillas dobles.
-->
<body>
<applet code="com.citrix.JICA"
codebase="<< CODEBASE >>"
archive="JICAEngN.jar,JICA-sicaN.jar,cryptojN.jar,JICA-configN.jar,JICA-
coreN.jar"
width="640" height="480"
name="CitrixJICA" align="top">
<param name="code" value="com.citrix.JICA">
<param name="codebase" value="<< CODEBASE >>">
<param name="archive" value="JICAEngN.jar,JICA-sicaN.jar,cryptojN.jar,JICA-
configN.jar,JICA-coreN.jar">
<param name="cabbase" value="cryptojM.cab,JICA-
configM.cab,JICAEngM.cab,JICA-sicaM.cab,JICA-coreM.cab">
<param name="name" value="CitrixJICA">
<param name="width" value="640">
<param name="height" value="480">
<param name="align" value="top">
<!--
Especifique parámetros adicionales aquí después del comentario.
<param name="paramname" value="paramvalue">
-->
<param name="Address" value="__PLEASE_SPECIFY__">
<param name="Username" value="<< user >>">
<param name="password" value="<< password >>">
<param name="EncryptionLevel" value="1">
<param name="BrowserProtocol" value="HTTPonTCP">
</applet>
</body>
</html>
Caso de uso: creación de un marcador de applet de Java Citrix JICA 9.5 359
Guía de administración de Secure Access de Juniper Networks
360 Caso de uso: creación de un marcador de applet de Java Citrix JICA 9.5
Capítulo 14: Plantillas de Citrix
Capítulo 14
Plantillas de Citrix
Debe usar la plantilla Web de Citrix si ya tiene instalada la interfaz Web de Citrix
en su entorno o si usa un servidor Web para hospedar los archivos ICA. Consulte
“Perfiles de recursos” en la página 91.
Las siguientes tablas describen las diferencias al utilizar el proxy Citrix Terminal
Services, JSAM y WSAM para tener acceso a Citrix:
362 Comparación de los mecanismos de acceso del IVE para la configuración de Citrix
Capítulo 14: Plantillas de Citrix
Tabla 19: Acceso al servidor de interfaz Web de Citrix mediante plantillas de perfil de recursos web
Comparación de los mecanismos de acceso del IVE para la configuración de Citrix 363
Guía de administración de Secure Access de Juniper Networks
Tabla 19: Acceso al servidor de interfaz Web de Citrix mediante plantillas de perfil de recursos web
Tabla 20: Acceso a servidores de interfaz Web no de Citrix mediante mecanismos de acceso estándar del IVE
364 Comparación de los mecanismos de acceso del IVE para la configuración de Citrix
Capítulo 14: Plantillas de Citrix
5. Introduzca la URL del servidor Web que hospeda los archivos ICA en el campo
Web Interface (NFuse) URL. Use el formato: [protocolo://]host[:puerto][/ruta].
Por ejemplo, introduzca la URL de un servidor NFuse, la interfaz Web para un
servidor Citrix Metaframe Presentation o un servidor Web del cual el IVE puede
descargar applets de Citrix Java o archivos cab de Citrix. (El IVE utiliza la URL
especificada para definir el marcador predeterminado del perfil de recursos de
Citrix.) Puede introducir una URL de directorio o una URL de archivo. Para
obtener directrices detalladas sobre cómo aplicar formato a recursos Web,
consulte “Definición de URL de base” en la página 394.
Java ICA Client with Web Interface (NFuse): Seleccione esta opción
si implementó la interfaz Web de Citrix para MPS (es decir, NFuse) para
entregar clientes Java ICA.
Java ICA Client without Web Interface (NFuse): Seleccione esta opción
si implementó un servidor Web genérico para entregar clientes Java ICA.
Non-Java ICA Client with Web Interface (NFuse): Seleccione esta opción
si implementó la interfaz Web de Citrix para MPS (es decir, NFuse) para
usar cualquiera de los diferentes clientes (Java, ActiveX, local).
El IVE usa los valores que introduce para crear automáticamente una directiva
de recursos correspondiente que permite el acceso a los recursos necesarios:
Si selecciona Java ICA Client with o without Web Interface, el IVE crea
una directiva de recursos de Java ACL correspondiente que permite que los
applets Java se conecten con los servidores Metaframe especificados.
Si selecciona Non-Java ICA Client with Web Interface y luego ICA client
connects over WSAM o JSAM (abajo), el IVE crea una directiva de recursos
SAM correspondiente, que permite a los usuarios tener acceso a los
servidores a los servidores Metaframe especificados.
Si selecciona Non-Java ICA Client with Web Interface y luego ICA client
connects over CTS, el IVE crea directivas de recursos de Terminal Services
y Java correspondientes, que permite a los usuarios tener acceso a los
servidores a los servidores Metaframe especificados.
9. (Sólo clientes Java ICA.) Si implementó Citrix con un cliente Java ICA, seleccione
la casilla de verificación Sign applets with uploaded code-signing
certificate(s) para volver a iniciar los recursos especificados con el certificado
cargado a través de la página System > Configuration > Certificates >
Code-signing Certificates de la consola de administración. (Para obtener
instrucciones, consulte “Uso de certificados de firma de código” en la
página 776.)
Al seleccionar esta opción, el IVE usa todos los valores “allow” que introduzca
en la directiva automática de control de acceso Web del perfil de recursos para
crear automáticamente una directiva de recursos de firma de código
correspondiente. En esta directiva, el IVE usa los recursos Web especificados
para crear una lista de servidores de confianza.
10. (Sólo clientes ICA no de Java) Si implementó Citrix con un cliente ICA no de
Java con una interfaz Web, debe usar el proxy Juniper Networks Citrix Terminal
Services, Secure Application Manager o Network Connect para ofrecer tráfico
seguro a los servidores Metaframe en lugar del motor de intermediación de
contenido. Para ofrecer tráfico seguro a través de Network Connect, consulte
las instrucciones en “Network Connect” en la página 655.
Para ofrecer tráfico seguro a través del proxy Juniper Citrix Terminal Services o
de Secure Application Manager, seleccione una de las siguientes opciones en la
sección ICA Client Access:
ICA client connects over CTS Client: Seleccione esta opción para ofrecer
tráfico seguro de Citrix a través del cliente de Citrix Terminal Services (si
los usuarios utilizan clientes ActiveX) o el motor de reescritura Java (si los
usuarios utilizan clientes Java) del IVE. (Al seleccionar esta opción, el IVE
habilita automáticamente la opción Terminal Services de la página Users >
User Roles > Seleccionar rol > General > Overview de la consola de
administración.)
ICA client connects over WSAM: Seleccione esta opción para ofrecer
tráfico seguro mediante WSAM. (Al seleccionar esta opción, el IVE habilita
automáticamente la opción Secure Application Manager de la página Users
> User Roles > Seleccionar rol > General > Overview de la consola de
administración.)
ICA client connects over JSAM: Seleccione esta opción para ofrecer tráfico
seguro mediante JSAM. Luego, configure las siguientes opciones:
ii. Citrix Ports: Especifique los puertos en los cuales escuchan los
servidores Metaframe.
(Al seleccionar la opción ICA client connects over JSAM, el IVE habilita
automáticamente la opción Secure Application Manager en la página
Users > User Roles > Seleccionar rol > General > Overview de la consola
de administración.)
NOTA: No se puede habilitar WSAM y JSAM para el mismo rol. Por lo tanto,
si intenta crear un perfil de recursos de Citrix que utilice uno de estos mecanismos
de acceso (por ejemplo, JSAM), y otro perfil asociado con el rol ya usa el otro
mecanismo de acceso (por ejemplo, WSAM), el IVE no habilita el nuevo
mecanismo de acceso (JSAM) para el rol. Tenga en cuenta además que sólo puede
usar WSAM o JSAM para configurar el acceso a una aplicación de Citrix por rol
de usuario.
11. (Sólo para clientes ICA no de Java con interfaz Web.) Si desea permitir a los
usuarios tener acceso a los recursos locales, como impresoras y unidades a
través de las sesiones de su interfaz Web de Citrix, seleccione la casilla de
verificación Configure access to local resources. Luego, seleccione las
siguientes opciones:
NOTA:
12. Seleccione la casilla de verificación Autopolicy: Web Access Control para crear
una directiva que permita o deniegue a los usuarios el acceso a los recursos
especificados en el campo URL de la interfaz Web (NFuse). (De forma
predeterminada, el IVE crea automáticamente una directiva que permita el
acceso a los recursos y a todos los subdirectorios.) Para obtener información
detallada, consulte “Definición de una directiva automática de control de
acceso web” en la página 395.
15. Seleccione los roles de la ficha Roles a los que se aplica el perfil de recursos
de Citrix y haga clic en Add.
Capítulo 15
Plantillas de Lotus iNotes
5. En el cuadro Base URL, introduzca la URL del recurso Lotus iNotes del cual
desea controlar el acceso. Use el formato: [protocolo://]host[:puerto][/ruta].
El IVE utiliza la URL especificada para definir el marcador predeterminado del
perfil de recursos Lotus iNotes. Puede introducir una URL de directorio o una
URL de archivo. Para obtener directrices detalladas sobre cómo aplicar formato
a recursos Web, consulte “Definición de URL de base” en la página 394.
6. En los ajustes de iNotes, seleccione Allow caching on client para que los
exploradores web almacenen en el equipo del usuario datos que nos lo
identifican, como los archivos de Javascript y CSS. Seleccione Minimize
caching on client para permitir al IVE enviar un encabezado cache-control:
no-store o un encabezado cache-control:no-cache según el explorador web del
usuario y el tipo de contenido. Esto es lo mismo que el almacenamiento en
caché inteligente. Consulte “Definición de directivas de recursos:
almacenamiento en caché” en la página 433.
371
Guía de administración de Secure Access de Juniper Networks
372
Capítulo 15: Plantillas de Lotus iNotes
11. Marque la casilla de verificación Autopolicy: Single Sign-On para pasar datos al
IVE tales como el nombre de usuario y la contraseña para la aplicación Lotus
iNotes. Para crear la directiva automática de inicio de sesión único, siga las
instrucciones de “Definición de una directiva automática de inicio de sesión
único” en la página 397.
13. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
Lotus iNotes y haga clic en Add.
373
Guía de administración de Secure Access de Juniper Networks
374
Capítulo 16: Plantillas de Microsoft OWA
Capítulo 16
Plantillas de Microsoft OWA
El IVE admite intermediación de tráfico con Microsoft OWA a través de una plantilla
de perfil de recursos de reescritura web, JSAM, WSAM, y Network Connect. Este
tema describe cómo configurar el acceso mediante la plantilla de reescritura web.
Los valores predefinidos varían según la versión de OWA seleccionada y se basan en
la implementación más común de los servidores.
3. Seleccione Microsoft OWA 2000, Microsoft OWA 2003 o Microsoft OWA 2007
en la lista Type.
5. Introduzca en el cuadro Base URL la URL del recurso OWA para el que desea
controlar el acceso. Use el formato: [protocolo://]host[:puerto][/ruta]. El IVE
utiliza la URL especificada para definir el marcador predeterminado del perfil
de recursos OWA. Puede introducir una URL de directorio o una URL de archivo.
Para obtener directrices detalladas sobre cómo aplicar formato a recursos Web,
consulte “Definición de URL de base” en la página 394.
375
Guía de administración de Secure Access de Juniper Networks
a. (OWA 2000 y OWA 2003.) Seleccione Allow caching on client para que los
exploradores web guarden en la máquina del usuario datos independientes
del usuario, tales como archivos Javascript y CSS.
b. (OWA 2000 y OWA 2003.) Seleccione Minimize caching on client para que
el IVE envíe un encabezado cache-control:no-store o un encabezado cache-
control:no-cache (no guardar contenido o volver a validar el contenido
guardado cada vez que se solicite) según el explorador web del usuario
y el tipo de contenido. Esto es lo mismo que el almacenamiento en caché
inteligente.
7. En Autopolicy: Web Access Control, cree una directiva que permita o niegue
el acceso de los usuarios al recurso Web (y todos sus subdirectorios) que se
muestran en el campo Resource.
376
Capítulo 16: Plantillas de Microsoft OWA
NOTA: Para permitir que los usuarios abran y guarden archivos adjuntos
de distintos tipos en OWA, se debe configurar la directiva correcta de
almacenamiento de recursos. Por ejemplo, si la directiva de almacenamiento
se configura en Smart, los usuarios finales no podrán guardar archivos .htm
o .html en el disco.
12. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.
377
Guía de administración de Secure Access de Juniper Networks
378
Capítulo 17: Plantillas de Microsoft Sharepoint
Capítulo 17
Plantillas de Microsoft Sharepoint
5. Introduzca en el cuadro Base URL la URL del recurso Sharepoint para el que
desea controlar el acceso. Use el formato: [protocolo://]host[:puerto][/ruta]. El
IVE utiliza la URL especificada para definir el marcador predeterminado del
perfil de recursos Sharepoint. Puede introducir una URL de directorio o una
URL de archivo. Para obtener directrices detalladas sobre cómo aplicar formato
a recursos Web, consulte “Definición de URL de base” en la página 394.
379
Guía de administración de Secure Access de Juniper Networks
7. En Autopolicy: Web Access Control, cree una directiva que permita o niegue
el acceso de los usuarios al recurso Web (y todos sus subdirectorios) que se
muestra en el cuadro Resource.
8. (Opcional) Haga clic en Show ALL autopolicy types para crear otras directivas
automáticas que perfeccionen el acceso al recurso. Luego, proceda a crear las
directivas automáticas utilizando las instrucciones que aparecen en los
siguientes temas:
380
Capítulo 17: Plantillas de Microsoft Sharepoint
10. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.
381
Guía de administración de Secure Access de Juniper Networks
382
Capítulo 18
Reescritura web
383
Guía de administración de Secure Access de Juniper Networks
SSO remoto
1. Cree perfiles de recursos que permitan el acceso a los sitios web, cree directivas
automáticas de soporte (como directivas de inicio de sesión único y directivas
de control de acceso a Java) según sea necesario, incluya marcadores que se
vinculen a los sitios web, y asigne las directivas y los marcadores a roles de
usuarios usando los ajustes de la página Users > Resource Profiles> Web
Application Pages de la consola de administración. Para obtener instrucciones,
consulte:
a. Cree directivas de recursos que permitan el acceso a los sitios web usando
los ajustes de la página Users > Resource Policies> Web > Web ACL de
la consola de administración. Para obtener instrucciones, consulte
“Definición de directivas de recursos: acceso web” en la página 424.
c. Determine qué roles de usuario pueden obtener acceso a los sitios web
para los que desea proporcionar intermediación, y permita el acceso web
a dichos roles mediante la página Users > User Roles > Seleccionar rol >
General > Overview de la consola de administración. Para obtener
instrucciones, consulte “Configuración de las opciones generales del rol” en
la página 73.
d. Crear marcadores para sus sitios web usando los ajustes de la página
Users > User Roles > Seleccionar rol > Web > Bookmarks de la consola
de administración. Para obtener instrucciones, consulte “Definición de los
ajustes de rol: URL web” en la página 415.
e. Según sea necesario, habilite las opciones generales web que corresponden
a los tipos de contenido web a los que está proporcionando intermediación
(como Java) usando los ajustes de la página Users > User Roles >
Seleccionar rol > Web > Options de la consola de administración. Para
obtener instrucciones, consulte “Especificación de opciones generales de
exploración web” en la página 418.
Web access control: Las directivas de acceso web controlan a qué recursos
Web pueden acceder los usuarios para conectarse a Internet, intranet o
extranet. Para obtener instrucciones acerca de la configuración, consulte
“Definición de una directiva automática de control de acceso web” en la
página 395 (recomendado) o “Definición de directivas de recursos: acceso
web” en la página 424.
Rewriting: Las directivas de reescritura especifican los recursos para los que el
IVE no debe proporcionar intermediación, debe proporcionar intermediación
en grado mínimo (según se explica en “Información general de proxy
passthrough” en la página 389), o sólo debe proporcionar intermediación
selectivamente. Para obtener instrucciones acerca de la configuración, consulte
“Definición de una directiva automática de reescritura” en la página 406
(recomendado) o “Definición de directivas de recursos: reescritura” en la
página 443.
Web proxy: (Sólo directivas de recursos) Las directivas de recursos proxy web
especifican los servidores proxy web para los cuales el IVE debe proporcionar
intermediación de contenido. Tenga en cuenta que el IVE proporciona
intermediación tanto a proxy de reenvío como a proxy inverso, pero sólo
permite el inicio de sesión único a proxy de confianza. Para obtener
instrucciones sobre la configuración, consulte “Definición de directivas de
recursos: proxy web” en la página 456.
Directiva Form POST: Este tipo de directiva de SSO remoto especifica la URL de
la página de inicio de sesión de una aplicación en la cual desea registrar los
datos del IVE y los datos para registrar. Estos datos pueden incluir el nombre de
usuario y la contraseña primaria y secundaria del IVE del usuario (según se
explica en “Información general de credenciales de inicios de sesión múltiples”
en la página 226), así como también datos de sistema almacenados por
variables de sistema (como se describe en “Variables del sistema y ejemplos”
en la página 1046). También puede especificar si los usuarios pueden o no
modificar esta información.
NOTA: Use la característica de SSO remoto para transferir datos a aplicaciones con
acciones POST estáticas en sus formularios HTML. No es práctico usar SSO
remoto con aplicaciones que usan acciones URL POST que cambian con
frecuencia, vencimientos según el tiempo o acciones POST que se generan en el
momento de la creación del formulario.
NOTA:
Las URL de proxy passthrough deben ser nombres de host. Rutas de nombres
de host no son compatibles.
a. Crear directivas de recursos que permitan el acceso a los sitios web usando
los ajustes de la página Users > Resource Policies > Web > Web ACL de
la consola de administración. Para obtener instrucciones, consulte
“Definición de directivas de recursos: acceso web” en la página 424.
d. Crear marcadores para sus sitios web usando los ajustes de la página
Users > User Roles > Seleccionar rol > Web > Bookmarks de la consola
de administración. Para obtener instrucciones, consulte “Definición de los
ajustes de rol: URL web” en la página 415.
Server: oracle.companynetwork.net
Port: 8000
IVE port: 11000
Server: oracle.companynetwork.net
Port: 8000
IVE alias: oracle.yourcompany.com
6. En la sección Autopolicy: Web Access Control, cree una directiva que permita
o niegue a los usuarios acceder al recurso especificado en el campo Base URL.
(De forma predeterminada, el IVE crea automáticamente una directiva que
permite el acceso al recurso Web y a todos sus subdirectorios.) Para obtener
información detallada, consulte “Definición de una directiva automática de
control de acceso web” en la página 395.
7. (Opcional) Haga clic en Show ALL autopolicy types para crear directivas
automáticas adicionales que permitan ajustar con mayor precisión el acceso
al recurso. Luego, proceda a crear las directivas automáticas utilizando las
instrucciones que aparecen en las siguientes secciones:
9. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.
[protocol://]host[:port][/path]
Ruta (optional): Al especificar una ruta para una URL de base, el IVE no permite
caracteres especiales. Si especifica una ruta, debe usar el delimitador “/”.
Por ejemplo: http://www.juniper.net/sales.
2. Si está disponible, haga clic en el botón Show ALL autopolicy types para que
aparezcan las opciones de configuración de la directiva automática.
[protocol://]host[:ports][/path]
IP: a.b.c.d
Path (opcional): Al especificar una ruta para una directiva automática de control
de acceso web, puede usar un carácter *, que significa que TODAS las rutas
coinciden. (El IVE no admite otros caracteres especiales.) Si especifica una ruta,
debe usar el delimitador “/”. Por ejemplo:
http://www.juniper.net/sales
http://www.juniper.net:80/*
https://www.juniper.net:443/intranet/*
2. Si está disponible, haga clic en el botón Show ALL autopolicy types para que
aparezcan las opciones de configuración de la directiva automática.
NOTA: La reescritura web sólo admite NTLM v1. La exploración de archivos admite
tanto NTLM v1 como NTLM v2.
Remote SSO: Habilita al IVE para colocar los datos que especifica (incluidos
nombres de usuario, contraseñas y datos de sistema almacenados por
variables del IVE) en aplicaciones web. Esta opción también permite
especificar encabezados y cookies personalizados para colocar en
aplicaciones web. Para obtener instrucciones detalladas de configuración,
consulte “Especificación de opciones de directiva automática de SSO
remoto” en la página 400.
1. Cree una directiva automática de SSO y seleccione Basic Auth o NTLM, según
se explica en “Definición de una directiva automática de inicio de sesión único”
en la página 397.
NOTA: Si desea que el IVE coloque automáticamente valores a una URL específica
cuando un usuario final haga clic en un marcador del IVE, el recurso que
introduzca aquí debe coincidir exactamente con la URL que especifique en el
campo Base URL o Web Interface (NFuse) URL del perfil de recursos.
Para especificar los datos de usuario para colocar, introduzca los datos en
los campos siguientes y haga clic en Add:
2. Si está disponible, haga clic en el botón Show ALL autopolicy types para que
aparezcan las opciones de configuración de la directiva automática.
Cuando selecciona esta opción, el IVE hace que los archivos de medios y
los archivos zip funcionen adecuadamente al quitar los encabezados cache-
control del servidor de origen. Por ejemplo, la lógica siguiente busca “msie”
o “windows-media-player” en encabezados de agente de usuario para
eliminar encabezados de respuesta cache o cache-control:no-store y
permitir que los archivos sean almacenables en caché:
NOTA: Los archivos Citrix .ica y QuickPlace tienen un tratamiento especial. Los
archivos Citrix .ica sólo tienen cache-control:private cuando el almacenamiento
inteligente en caché está habilitado. Los archivos QuickPlace que no coinciden con
una regla especificada (que tiene prioridad) tienen CCNS y cache-control:private.
NOTA:
Allow socket access: Para permitir que los applets de Java se conecten
a los servidores (y opcionalmente a los puertos) de la lista Resource.
Deny socket access: Para impedir que los applets de Java se conecten a los
servidores (y opcionalmente a los puertos) de la lista Resource.
host[:ports]
IP: a.b.c.d
Use IVE port: Si selecciona esta opción, especifique un puerto de IVE único
en el rango 11000-11099. El IVE escucha las peticiones de cliente al
servidor de la aplicación en el puerto especificado del IVE y reenvía las
peticiones al puerto del servidor de la aplicación especificado en el campo
Base URL.
NOTA:
Para hacer que Sharepoint funcione correctamente a través del IVE, debe
seleccionar la casilla de verificación Override automatic cookie handling en
Internet Explorer en Tools Internet options > Privacy > Advanced Privacy
Settings si se cumplen las siguientes condiciones:
Habilitar cookies persistentes mediante la página Users > User Roles >
Seleccionar rol > General > Session Options de la consola de
administración.
8. Si selecciona:
Use IVE port, también debe abrir el tráfico al puerto del IVE especificado
para el servidor de la aplicación en el cortafuegos corporativo.
5. En el campo Client Port, introduzca el puerto en el que JSAM debe escuchar las
conexiones de la aplicación del cliente.
Normalmente, el valor del puerto local es el mismo valor que el puerto del
servidor; el valor del puerto local generalmente sólo es distinto para usuarios de
Linux o Macintosh que desean agregar aplicaciones para reenvío de puerto que
usa puertos bajo 1024.
2. Si está disponible, haga clic en el botón Show ALL autopolicy types para que
aparezcan las opciones de configuración de la directiva automática.
Por ejemplo, puede crear un perfil de recursos que controla el acceso a la intranet
de la empresa. En el perfil, puede especificar:
Luego, puede seleccionar crear los siguientes marcadores adicionales para asociar
con el perfil de recursos:
Sólo puede asignar marcadores a roles que ya haya asociado con el perfil de
recursos, no todos los roles definidos en el IVE. Para cambiar la lista de roles
asociados al perfil de recurso, utilice los parámetros de la ficha Roles.
Los marcadores simplemente controlan los vínculos que muestra el IVE a los
usuarios, no los recursos a los que los usuarios pueden obtener acceso. En el
ejemplo utilizado anteriormente, un miembro del rol de Sales podría no ver
un vínculo a la página de Intranet Engineering, pero puede acceder a ella al
introducir http://intranet.com/engineering en la barra de direcciones del
explorador web.
Para obtener más información sobre los marcadores del perfil de recursos, consulte
“Definición de marcadores” en la página 98.
a. Diríjase a la página Users > Resource Profiles > Web > Seleccionar perfil
de recurso > Bookmarks en la consola de administración.
a. Diríjase a la página Users > User Roles > Seleccionar rol > Web >
Bookmarks en la consola de administración.
c. En la lista Type, elija Pick a Web Resource Profile. (El IVE no muestra esta
opción si no ha creado un perfil de recursos Web.)
e. Haga clic en OK. (Si aún no ha asociado el rol seleccionado con el perfil de
recursos, el IVE realiza la asociación de forma automática. El IVE también
habilita cualquier directiva de control de acceso para el rol que requiere el
perfil de recursos.)
NOTA: Asegúrese de introducir una URL única en este campo. Si crea dos
marcadores que contienen la misma URL, el IVE elimina uno de los marcadores
de la vista del usuario final. Aún podrá ver ambos marcadores, pero en la consola
del administrador.
Do not display browser address bar: Seleccione esta opción para eliminar
la barra de direcciones de la ventana del explorador. Esta característica
fuerza todo el tráfico web a través del IVE impidiendo que los usuarios del
rol especificado escriban una nueva URL en la barra de direcciones, con lo
que se pasa por alto al IVE.
1. Diríjase a la página Users > User Roles > Seleccionar rol > Web >
Bookmarks de la consola de administración.
5. Haga clic en OK. (Si aún no ha asociado el rol seleccionado con el perfil de
recursos, el IVE realiza la asociación de forma automática.)
6. Haga clic en Save Changes o en Save + New para agregar otra opción.
7. (Opcional) Para modificar las propiedades del marcador, haga clic en el vínculo
en la columna Resource de la página de roles. Luego, haga clic en el vínculo del
marcador en la página del perfil de recursos y actualice los ajustes del marcador
usando las instrucciones en “Definición de un marcador web” en la página 412.
1. En la consola de administración, seleccione Users > User Roles > Rol >
Web > Bookmarks.
NOTA: Asegúrese de introducir una URL única en este campo. Si crea dos
marcadores que contienen la misma URL, el IVE elimina uno de los marcadores
de la vista del usuario final. Aún podrá ver ambos marcadores, pero en la consola
del administrador.
Only this URL para permitir que los usuarios accedan sólo a la URL.
Everything under this URL para permitir que el usuario acceda a cualquier
ruta en la URL.
Do not display the menu and the toolbar para eliminar el menú y la barra
de herramientas del explorador. Esta característica elimina todos los
menús, botones de exploración y marcadores de la ventana del explorador
para que el usuario navegue sólo a través del IVE.
8. Haga clic en Save Changes o Save + New para agregar otra opción.
2. Seleccione User can type URLs in IVE browse bar si desea permitir que los
usuarios introduzcan URL en la página de bienvenida y exploren sitios de
Internet.
3. Seleccione User can add bookmarks si desea permitir que los usuarios creen
marcadores web personales en la página de bienvenida del IVE.
http://www.msn.com/
https://mycompanyserver.com/,DanaInfo=www.msn.com,SSO=U+
https://i5.asglab.juniper.net/,DanaInfo=.awxyCqxtGkxw,SSO=U+
NOTA:
3. Seleccione Allow Java applets si desea permitir que los usuarios accedan a
páginas web que contienen applets de Java del lado cliente. El servidor IVE
aparece para el servidor de la aplicación como un explorador que usa SSL.
El IVE administra transparentemente las solicitudes HTTP y las conexiones TCP
iniciadas por un applet de Java y administra los applets de Java firmados.
5. Seleccione Persistent cookies para permitir que los usuarios personalicen sus
experiencias de exploración habilitándolos para mantener cookies persistentes.
De forma predeterminada, el IVE limpia las cookies web que se almacenan
durante la sesión del usuario. Un usuario puede eliminar las cookies a través de
la página Advanced Preferences si se habilita esta opción.
Si anula la selección de esta casilla, es posible que los usuarios no se den cuenta
de que su sesión en el IVE todavía está activa y que para volver al IVE, deben
usar el botón Back del explorador. Los usuarios deben volver al IVE para cerrar
la sesión. Si solamente cierran la ventana del explorador, sus sesiones
permanecen activas hasta que expira el límite de tiempo de la sesión.
7. Seleccione Allow browsing untrusted SSL Web servers para permitir que los
usuarios accedan a sitios web que no son de confianza a través del IVE. Los
sitios web que no son de confianza son aquellos cuyos certificados de servidor
no están instalados a través de la ficha System > Configuration >
Certificates > Trusted Servers CAs de la consola de administración. Para
obtener más información, consulte “Uso de CA del servidor de confianza” en la
página 774.
NOTA: Si una página web tiene referencias internas a archivos en una etiqueta
SCRIPT y estos archivos se hospedan en diferentes servidores HTTPS que tienen
certificados SSL que no son de confianza para el IVE, la página web no se muestra
correctamente. En estos casos, la opción Warn users about the certificate
problems debe inhabilitarse.
Si habilita esta opción, puede especificar las opciones que el IVE ofrece a los
usuarios cuando acceden a un sitio web que no es de confianza:
NOTA: Si opta por permitir que los usuarios accedan a sitios web que no son de
confianza sin ver una advertencia, el IVE registra un mensaje en el registro de
acceso del usuario cada vez que el usuario accede a un sitio que no es de
confianza. Además, tenga en cuenta que si un usuario selecciona suprimir las
advertencias, también puede eliminar los ajustes persistentes de los sitios web
que no son de confianza mediante la opción Delete Passwords de la ficha
System > Preferences > Advanced en la consola del usuario final.
8. Seleccione Rewrite file:// URLs para configurar al IVE para que reescriba las
URL file://, de modo que se enruten a través de la CGI de exploración de
archivos del IVE.
9. Seleccione Rewrite links in PDF files para configurar el IVE para reescribir los
hipervínculos en archivos PDF.
NOTA: Los valores de tiempo de espera de conexión más altos pueden agotar los
recursos del IVE si las aplicaciones no cierran correctamente las conexiones o
demoran mucho tiempo en cerrarlas. A menos que una aplicación requiera un
valor de tiempo de espera mayor, recomendamos aceptar el valor
predeterminado.
Resources: Una directiva de recursos debe especificar uno o más recursos a los
que se aplica dicha directiva. Al escribir una directiva web, debe especificar
servidores web o URL específicas, según se explica en la sección siguiente.
Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evalúa estas directivas que corresponden a la solicitud.
Actions: Cada uno de los tipos de directivas de recursos ejecuta una acción
específica, ya sea permitir o denegar un recurso, así como realizar o no realizar
una acción, como reescribir un contenido, volver a firmar un applet o colocar
datos web. También puede escribir reglas detalladas que impongan más
condiciones a la petición de un usuario. Consulte “Escritura de una regla
detallada” en la página 109.
El motor de la plataforma del IVE que evalúa las directivas de recursos requiere que
los recursos que aparecen en la lista de Resources de una directiva sigan un
formato canónico, como se explica en “Especificación de los recursos para una
directiva de recursos” en la página 103.
Esta sección esboza las consideraciones especiales que debe tener en cuenta al
especificar un recurso Web usando el formato canónico.
Formato canónico:
[protocolo://]host[:puertos][/ruta]
1. Si no configura las directivas de recursos de reescritura, el IVE continúa el proceso de evaluación usando las
directivas que se aplican a la solicitud del usuario.
IP: a.b.c.d
Path (opcional): si falta la ruta, se supone un asterisco (*), lo que significa que
TODAS las rutas coinciden. Si se especifica una ruta, se requiere el delimitador
“/”. No se admiten otros caracteres especiales. Por ejemplo:
http://www.juniper.com:80/*
https://www.juniper.com:443/intranet/*
*.yahoo.com:80,443/*
%.danastreet.net:80/share/users/<username>/*
1. En la consola de administración, elija Users > Resource Policies > Web >
Web ACL.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
Esta sección contiene las siguientes instrucciones para crear directivas de recursos
de inicio de sesión único:
NOTA: La solicitud HTTP inicial generada para un servidor protegido NTLM debe
ser para una solicitud que produce contenido HTML. Si SSO no está habilitado o si
las credenciales de SSO fallan, el IVE responde con una página HTML para obtener
las credenciales de usuario. Si el explorador espera contenido no HTML, rechaza la
respuesta y falla la navegación al recurso.
4. En la página Basic Auth and NTLM policies, haga clic en New Policy.
NOTA: Si desea que el IVE envíe automáticamente valores a una URL específica
cuando un usuario final haga clic en un marcador del IVE, el recurso que
introduzca aquí debe coincidir exactamente con la URL que especifique en la
página Users > User Roles > Rol > Web > Bookmarks de la consola de
administración.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
NOTA:
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
10. En la página Basic Auth and NTLM policies, ordene las directivas en el orden
en el que desee que el IVE las evalúe. Tenga presente que una vez que el IVE
compara el recurso solicitado por el usuario con un recurso en una lista de
Resource de la directiva (o una regla detallada), realiza la acción especificada
y detiene las directivas de procesamiento.
NOTA: Si desea que el IVE envíe automáticamente valores a una URL específica
cuando un usuario final haga clic en un marcador del IVE, el recurso que
introduzca aquí debe coincidir exactamente con la URL que especifique en la
página Users > User Roles > Rol > Web > Bookmarks de la consola de
administración.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
Seleccione Deny direct login for this resource si no desea que los usuarios
puedan acceder directamente a la URL.
11. En la página Form POST Policies, ordene las directivas en el orden en el que
desee que el IVE las evalúe. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la acción especificada y detiene las
directivas de procesamiento.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Cuando selecciona esta opción, el IVE hace que los archivos de medios y
los archivos zip funcionen correctamente al eliminar los encabezados
cache-control del servidor de origen. Por ejemplo, la lógica siguiente busca
“msie” o “windows-media-player” en encabezados de agente de usuario para
eliminar encabezados de respuesta cache o cache-control:no-store y
permitir que los archivos sean almacenables en caché:
NOTA: Los archivos .ica Citrix y QuickPlace tienen un tratamiento especial. Los
archivos .ica Citrix siempre se pueden almacenar en caché y también tienen
cache-control-private. Los archivos QuickPlace que no coinciden con una regla
especificada (que tiene prioridad) tienen CCNS y cache-control:private.
Use esta opción cuando desea que el usuario final tenga la capacidad
de descargar y abrir un archivo que será abierto por otra aplicación de
terceros. Por ejemplo, los archivos zip y wav se almacenan en el disco
y los abre otra aplicación.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
10. En la página Web Caching Policies, ordene las directivas en el orden en el que
desee que el IVE las evalúe. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la acción especificada y detiene las
directivas de procesamiento.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Allow socket access: Para permitir que los applets de Java se conecten
a los servidores (y opcionalmente a los puertos) de la lista Resources.
Deny socket access: Para impedir que los applets de Java se conecten a los
servidores (y opcionalmente a los puertos) de la lista Resources.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
10. En la página Java Access Policies, ordene las directivas en el orden en el que
desee que el IVE las evalúe. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la acción especificada y detiene las
directivas de procesamiento.
Para ver un ejemplo de directiva de recursos Web, consulte las figuras que se
incluyen en “Definición de directivas de recursos: Información general” en la
página 422.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Resign applets using applet certificate: Para permitir que los applets de
Java se conecten a los servidores (y opcionalmente a los puertos) de la lista
Resources.
Resign applets using default certificate: Para impedir que los applets de
Java se conecten a los servidores (y opcionalmente a los puertos) de la lista
Resources.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
10. En la página Java Signing Policies, ordene las directivas en el orden en el que
desee que el IVE las evalúe. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la acción especificada y detiene las
directivas de procesamiento.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
NOTA: La opción Don’t rewrite content: Do not redirect to target Web server
permite a los usuarios descargar datos de recursos de red a través del IVE,
pero omite el motor de reescritura del IVE en el proceso. Recomendamos usar
esta característica sólo al reescribir applets de Java firmados, no otros tipos de
contenido. Para otros tipos de contenido, como HTML y Javascript, use la opción
Don’t rewrite content: Redirect to target Web server para descargar un applet
a través del IVE, habilitando, de este modo, las conexiones directas a recursos
de red.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
NOTA:
Para hacer que Sharepoint funcione correctamente a través del IVE, debe
seleccionar la casilla de verificación Override automatic cookie handling en
Internet Explorer en Tools Internet options > Privacy > Advanced Privacy
Settings si se cumplen las siguientes condiciones:
Habilitar cookies persistentes mediante la página Users > User Roles >
Seleccionar rol > General > Session Options de la consola de
administración.
Use IVE port: Si selecciona esta opción, especifique un puerto de IVE único
en el rango 11000-11099. El IVE escucha las peticiones de cliente al
servidor de la aplicación en el puerto especificado del IVE y reenvía las
peticiones al puerto del servidor de la aplicación especificado en el
campo URL.
Rewrite XML: Si selecciona esta opción, el IVE reescribe las URL incluidas
en el contenido XML. Si inhabilita esta opción, el IVE transmite sin cambios
el contenido XML al servidor.
Rewrite external links: Si selecciona esta opción, el IVE reescribe todas las
URL. Si inhabilita esta opción, el IVE sólo reescribe las URL que contienen
un nombre de host especificado en la directiva de proxy passthrough.
Block cookies from being sent to the browser: Si selecciona esta opción,
el IVE bloquea las cookies destinadas al explorador del cliente. El IVE
almacena localmente las cookies y las envía a las aplicaciones cuando
se solicitan.
11. Si selecciona:
Use IVE port, abra el tráfico al puerto del IVE especificado para el servidor
de la aplicación en el cortafuegos corporativo.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Allow Custom Headers: Seleccione esta opción para evitar que el IVE
bloquee los encabezados a exploradores (clientes) y servidores backend.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
Class ID: Las páginas web generalmente usan un ID de clase para incluir un
control ActiveX. Un ID de clase es una cadena única y constante que identifica
de forma inequívoca un control ActiveX.
Language: Las páginas web pueden usar HTML estático o dinámico (usando
JavaScript) para incluir un control ActiveX. Cuando una página web usa HTML
estático, el IVE puede reescribir los parámetros ActiveX especificados en el IVE
mientras proporciona intermediación del tráfico, dado que toda la información
requerida se transmite entre el explorador del usuario y el servidor web de la
aplicación. Sin embargo, cuando una página web usa HTML dinámico para
incluir un control ActiveX, la página extrae frecuentemente información del
cliente y luego genera HTML para incluir el control ActiveX. Por lo tanto,
el IVE debe ejecutar un script en el explorador del usuario para obtener la
información que necesita para reescribir los parámetros ActiveX especificados.
Parameter name: Debe especificar el nombre del parámetro que desea que
el IVE reescriba. Puede encontrar los parámetros al buscar la etiqueta de
parámetros dentro de la etiqueta del objeto. Por ejemplo, puede encontrar
una película flash incluida en una página mediante el siguiente código:
Rewrite URL and response (Static and dynamic HTML): El IVE reescribe
la URL especificada en el cliente, además de la reescritura en el IVE. El IVE
también reescribe cualquier respuesta del servidor web que solicita la URL.
Tenga en cuenta que debe seleccionar esta opción si la página web incluye
el control ActiveX que usa HTML dinámico.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
En las últimas dos directivas, se incluye un comodín (*) en la ruta para considerar
diferentes versiones de OWA.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
10. En la página Web Proxy Policies, ordene las directivas en el orden en el que
desee que el IVE las evalúe. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la acción especificada y detiene las
directivas de procesamiento.
NOTA:
Para obtener una descripción detallada del protocolo HTTP 1.1, consulte
Hyptertext Transfer Protocol -- HTTP 1.1 specification de World Wide Web
Consortium.
El IVE sólo se comunica con servidores de red mediante el protocolo HTTP 1.1
si el cliente también se comunica mediante el protocolo HTTP 1.1. Si el cliente
usa el protocolo HTTP 1.0, el IVE se comunica con servidores backend
mediante el protocolo HTTP 1.0, sin tener en cuenta si el protocolo HTTP 1.1
está habilitado.
El IVE incluye una directiva predeterminada que inhabilita HTTP 1.1 para
todos los recursos. Si desea usar HTTP 1.1 para todos los recursos, redefina la
directiva “*:*/*” o cree una nueva directiva para habilitar el protocolo HTTP
1.1 y colóquela al comienzo de la lista de directivas. Si elimina esta directiva
predeterminada (y cualquier otra directiva que inhabilite HTTP 1.1), el IVE usa
HTTP 1.0 para todos los recursos.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Deny all Cross Domain Access: Para denegar el acceso a dominio cruzado
sin tener en cuenta si se usa o no el objeto XMLHttpRequest en la llamada.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
NOTA: Esta opción no se aplica a los nombres de host que incluyen comodines
y parámetros.
5. Seleccione Case sensitive matching for the Path and Query string
components in Web resources si desea solicitarle a los usuarios que
introduzcan una URL que distinga entre mayúsculas y minúsculas para un
recurso. Por ejemplo, utilice esta opción cuando traslade datos de un nombre
de usuario o una contraseña a una URL.
1. Diríjase a Users > Resource Policies > Web > Tipo de directiva.
5. Introduzca el recurso del cual desea controlar el acceso. Observe que el formato
del recurso variará dependiendo del tipo de perfil de recurso que cree:
7. (Opcional) Haga clic en Show ALL autopolicy types para crear directivas
automáticas adicionales que permitan ajustar con mayor precisión el acceso
al recurso. Luego, proceda a crear las directivas automáticas utilizando las
instrucciones que aparecen en las siguientes secciones:
9. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.
Recursos de Windows:
\\server[\share[\path]]
Recursos de Unix:
server[/path]
Se necesitan dos barras invertidas que precedan a los recursos de Windows que
no sean Nfs.
\\juniper.com\dana
\\10.11.0.10\share\web
\\10.11.254.227\public\test.doc
juniper.com/dana
10.11.0.10/share/web
10.11.254.227/public/test.doc
Read-only: Seleccione esta opción para permitir que los usuarios vean pero
no editen el recurso especificado.
Para obtener una lista de los tipos de datos que IVE comprime, consulte “Tipos
de datos admitidos” en la página 1025.
Sólo puede asignar marcadores a roles que ya haya asociado con el perfil de
recursos, no todos los roles definidos en el IVE. Para cambiar la lista de roles
asociados al perfil de recurso, utilice los parámetros de la ficha Roles.
Los marcadores simplemente controlan los vínculos que muestra el IVE a los
usuarios, no los recursos a los que los usuarios pueden obtener acceso. Por
ejemplo, si habilita el acceso a un directorio de Windows, pero no crea un
marcador para dicho directorio, los usuarios pueden acceder al directorio a
través de Windows Explorer.
Para obtener más información sobre los marcadores del perfil de recursos, consulte
“Definición de marcadores” en la página 98.
a. Diríjase a la página Users > Resource Profiles > Files > Seleccionar perfil
de recurso > Bookmarks en la consola de administración.
a. Diríjase a la página Users > User Roles > Seleccionar rol > Files >
Windows Bookmarks|Unix Bookmarks en la consola de administración.
c. En la lista Type, elija File Resource Profile. (El IVE no muestra esta opción
si no ha creado un perfil de recurso de archivo.)
e. Haga clic en OK. (Si aún no ha asociado el rol seleccionado con el perfil de
recursos, el IVE realiza la asociación de forma automática. El IVE también
habilita cualquier directiva de control de acceso para el rol que requiere el
perfil de recursos.)
Cuando los usuarios del IVE se encuentran explorando archivos en un servidor Dfs,
este servidor utiliza los datos de configuración del sitio almacenados en Active
Directory para devolver las referencias Dfs al IVE en el orden correcto. Las
referencias de los servidores más cercanos son dispuestas en la parte superior de la
lista a diferencia de las referencias de los servidores que se encuentran más
alejados. Los clientes intentan las referencias en el orden en que son recibidas. Si se
recibe una petición de un cliente que reside en una subred que no se encuentre en
la lista, el servidor no sabrá de dónde proviene el cliente y devolverá la lista de
referencias al cliente en un orden arbitrario. Esto podría provocar que las solicitudes
Dfs del IVE (que en este caso actúa como el cliente) accedan a un servidor mucho
más lejano. A su vez, esta situación podría causar serios retrasos, especialmente si
el IVE intenta acceder a un servidor inalcanzable desde la subred en la que reside el
IVE. Si el IVE se instala en una subred que no se encuentra en la lista del servidor
Dfs, el administrador de Dfs puede utilizar la herramienta “Active Directory Sites
and Services” en el controlador de dominio para agregar la subred del IVE en el
lugar apropiado.
NOTA:
4. Para Access, haga clic en Enable auto-allow access to this bookmark si desea
que el IVE cree automáticamente una directiva de recurso para Windows
Access. Tenga en cuenta que esta funcionalidad se aplica sólo a los marcadores
de rol y no a los marcadores creados por el usuario. Luego seleccione:
5. Haga clic en Save Changes o Save + New para agregar otra opción.
2. Bajo Windows Network Files, especifique qué opciones desea habilitar para
los usuarios:
User can browse network file shares: En caso de estar habilitada, los
usuarios podrán ver y crear marcadores para los recursos en los recursos
de archivo compartidos de Windows que estén disponibles.
User can add bookmarks: En caso de estar habilitada, los usuarios podrán
ver y crear marcadores para los recursos en los recursos de archivo
compartidos de Windows que estén disponibles.
Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evalúa estas directivas que corresponden a la solicitud.
Actions: Cada uno de los tipos de directivas de recursos ejecuta una acción
específica, ya sea permitir o denegar un recurso, así como realizar o no realizar
una acción, como permitir que un usuario escriba un directorio. También puede
escribir reglas detalladas que impongan más condiciones a la petición de un
usuario. Consulte “Escritura de una regla detallada” en la página 109.
El motor IVE que evalúa las directivas de recursos necesita que el recurso
enumerado en una lista de directiva Resources siga un formato canónico.
“Para escribir una directiva de recurso SSO para Windows” en la página 479
Formato canónico:
\\servidor[\recurso compartido[\ruta]]
Si falta la ruta, se asume una barra inclinada (/), lo que significa que solamente
coinciden las carpetas del nivel superior-. Por ejemplo:
\\%.danastreet.net\share\<username>\*
\\*.juniper.com\dana\*
\\10.11.0.10\share\web\*
\\10.11.254.227\public\%.doc
1. En la consola de administración, elija Users > Resource Policies > Files >
Access > Windows.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
1. En la consola de administración, elija Users > Resource Policies > Files >
SSO > Windows.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a los roles
de la lista Selected roles. Asegúrese de agregar roles a esta lista desde la
lista Available roles.
Prompt for user credentials: El IVE actúa como intermediario para para
compartir archivos al imponer una autenticación en el IVE la primera vez
que un usuario intenta acceder a un recurso compartido. El usuario
introduce las credenciales y éstas se almacenan en el IVE. Si las
credenciales fallan posteriormente, el IVE vuelve a solicitar al usuario sus
credenciales.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
El IVE está preequipado con dos directivas de compresión de archivos (*:*/*) que
comprimen todos los datos de archivo aplicables. Puede habilitar estas directivas a
través de las páginas Resource Policies > Files > Compression de la consola de
administración.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
1. En la consola de administración, elija Users > Resource Policies > Files >
Options.
2. Seleccione:
NOTA: Esta opción no se aplica a los nombres de host que incluyen comodines y
parámetros.
Use NTLM v1, NTLM v1 will be used for all NTLM negotiations:
Seleccione esta opción para utilizar solamente NTLM V1 para la
autenticación de recursos compartidos de archivos.
Use NTLM v2, NTLM v2 will be used for all NTLM negotiations:
Seleccione esta opción para utilizar solamente NTLM V2 para la
autenticación de recursos compartidos de archivos.
Puede crear marcadores de UNIX/NFS que aparezcan en la página principal del IVE.
Puede introducir el nombre de usuario del IVE en la ruta URL para proporcionar un
acceso rápido a los directorios de red del usuario.
NOTA: En este campo, asegúrese de introducir un único servidor y ruta. Si crea dos
marcadores que contengan el mismo servidor o cadena de ruta concatenada, el
IVE elimina uno de los marcadores de la vista del usuario final. Aún podrá ver
ambos marcadores, pero en la consola del administrador.
4. Para Access, haga clic en Enable auto-allow access to this bookmark si desea
que el IVE cree automáticamente una directiva de recurso para UNIX/NFS.
Tenga en cuenta que esta funcionalidad se aplica sólo a los marcadores de rol y
no a los marcadores creados por el usuario. Luego seleccione:
5. Haga clic en Save Changes o Save + New para agregar otra opción.
2. Bajo UNIX Network Files, especifique qué opciones desea habilitar para
los usuarios:
User can browse network file shares: En caso de estar habilitada, los
usuarios podrán ver y crear marcadores para los recursos en los recursos
de archivo compartidos disponibles de UNIX.
User can add bookmarks: En caso de estar habilitada, los usuarios podrán
ver y crear marcadores para los recursos en los recursos de archivo
compartidos disponibles de UNIX.
Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evalúa estas directivas que corresponden a la solicitud.
Actions: Cada uno de los tipos de directivas de recursos ejecuta una acción
específica, ya sea permitir o denegar un recurso, así como realizar o no realizar
una acción, como permitir que un usuario escriba un directorio. También puede
escribir reglas detalladas que impongan más condiciones a la petición de un
usuario. Consulte “Escritura de una regla detallada” en la página 109.
El motor IVE que evalúa las directivas de recursos necesita que el recurso
enumerado en una lista de directiva Resources siga un formato canónico.
Formato canónico:
servidor[/ruta]
Si falta la ruta, se asume una barra invertida (\), lo que significa que solamente
coinciden las carpetas del nivel superior. Por ejemplo:
%.danastreet.net/share/users/<username>/*
*.juniper.com/dana/*
10.11.0.10/web/*
10.11.254.227/public/%.txt
1. En la consola de administración, elija Users > Resource Policies > Files >
Access > Unix/NFS.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
El IVE está preequipado con dos directivas de compresión de archivos (*:*/*) que
comprimen todos los datos de archivo aplicables. Puede habilitar estas directivas a
través de las páginas Resource Policies > Files > Compression de la consola de
administración.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
2. Seleccione:
NOTA: Esta opción no se aplica a los nombres de host que incluyen comodines
y parámetros.
491
Guía de administración de Secure Access de Juniper Networks
Recomendamos que use los perfiles de recursos para configurar WSAM (como
se describe antes). Sin embargo, si no desea usar los perfiles de recursos, puede
configurar WSAM con los ajustes de la directiva de rol y recursos en las
siguientes páginas de la consola de administración:
a. (Opcional) Configure las opciones a nivel de rol, por ejemplo, si el IVE debe
iniciar y actualizar automáticamente WSAM con los ajustes de la página
Users > User Roles > SAM > Options de la consola de administración.
Para obtener instrucciones, consulte “Especificación de opciones WSAM a
nivel de recurso” en la página 510.
4. Si desea habilitar o inhabilitar los registros del lado cliente para WSAM,
configure las opciones correspondientes mediante la ficha System >
Configuration > Security > Client-side Logs de la consola de administración.
Para obtener instrucciones, consulte “Habilitación de registros del lado cliente”
en la página 841.
NOTA: Si se está ejecutando Microsoft Vista en el sistema del usuario, éste debe
hacer clic en el vínculo de configuración que aparece durante el proceso de
instalación para continuar instalando el cliente de configuración y WSAM.
En todos los demás sistemas operativos Microsoft, el cliente de configuración
y WSAM se instalan automáticamente.
NOTA: Para obtener información acerca de los directorios en los cuales se ejecutan
los mecanismos de entrega de WSAM, los archivos que éstos instalan en el equipo
del usuario, las ubicaciones de archivo de registro, los derechos que los usuarios
deben tener para ejecutar cada uno de estos mecanismos de entrega y los ajustes
del explorador que los usuarios deben activar, consulte el manual Client-side
Changes Guide en Juniper Networks Customer Support Center.
4. El usuario inicia una aplicación o pide datos de un servidor que usted configuró
a través de WSAM. Cuando la aplicación cliente o el proceso tratan de
conectarse al recurso, WSAM intercepta la petición. WSAM intercepta las
llamadas de conexión TCP y UDP desde las aplicaciones y las consultas DNS
para los nombres de host de servidor de destino.
NOTA:
Si usted activó la opción Persistent Session en la ficha Users > User Roles >
Rol > General > Session Options, el IVE guarda en caché el nombre de
usuario y la contraseña en la cookie de sesión persistente después de la
primera autenticación exitosa. Esto genera un riesgo de seguridad potencial,
puesto que el iniciador de WSAM utiliza la información almacenada en la
cookie de sesión persistente para todos los intentos de inicio de sesión
posteriores durante la sesión existente aunque finalice la conexión WSAM.
Para obtener más información sobre las sesiones persistentes, consulte
“Especificación de las opciones de sesión” en la página 76.
Para tener acceso al cuadro de diálogo Secure Application Manager, los usuarios
sólo necesitan hacer doble clic en el icono WSAM de la barra de tareas de Windows:
Para obtener más información sobre los perfiles de recursos, consulte “Perfiles de
recursos” en la página 91. Para obtener más información sobre WSAM, consulte
“Información general de WSAM” en la página 493.
NOTA:
Cuando cree perfiles de recursos WSAM, tenga en cuenta que los perfiles de
recursos no contienen marcadores. Para tener acceso a las aplicaciones y
servidores que WSAM intermedia, los usuarios primero deben iniciar WSAM y
luego iniciar la aplicación o servidor especificados con los métodos estándar
(como el menú Start de Windows o un icono de escritorio). Para obtener
información acerca del inicio automático de WSAM cuando el usuario inicia
sesión en el IVE, consulte “Especificación de opciones WSAM a nivel de rol”
en la página 506.
1. Diríjase a la página Users > Resource Profiles > SAM > Client Applications
en la consola de administración.
NOTA: Sólo puede utilizar WSAM para configurar acceso a una aplicación estándar
una vez por rol de usuario. Por ejemplo, puede activar una configuración de
Microsoft Outlook y una configuración de Lotus Notes para el rol “Usuarios”.
NOTA: El IVE admite varios mecanismos para intermediar tráfico a las aplicaciones
de Lotus Notes, Microsoft Outlook y Citrix. Para obtener más información,
consulte:
6. En la sección Autopolicy: SAM Access Control, cree una directiva que permita
o deniegue a los usuarios tener acceso al servidor que hospeda la aplicación
especificada.
8. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.
1. Diríjase a la página Users > Resource Profiles > SAM > WSAM Destinations
en la consola de administración.
7. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.
Use la ficha Applications para especificar aplicaciones y servidores para los cuales
WSAM otorgue seguridad de tráfico. Cuando WSAM se descarga a un PC cliente,
éste contiene la información que se configura en la ficha Applications para el rol.
Después de que un usuario inicia Secure Application Manager, WSAM intercepta las
peticiones desde las aplicaciones cliente a los servidores de su red interna y las
peticiones desde los procesos que se ejecutan en el cliente hasta los hosts internos.
Estos recursos se definen en la ficha Applications mediante la configuración de
dos listas:
Lista WSAM allowed servers: Esta lista contiene hosts a los cuales desea
que WSAM proporcione un tráfico de cliente/servidor seguro entre el cliente
y el IVE.
1. En la consola de administración, elija Users > User Roles > Seleccionar rol >
SAM > Applications.
NOTA: El IVE admite varios mecanismos para intermediar tráfico a las aplicaciones
de Lotus Notes, Microsoft Outlook y Citrix. Para obtener más información,
consulte:
NOTA: Tenga en cuenta que con el fin de acceder a recursos compartidos usando
WSAM con NetBIOS, necesita especificar explícitamente el nombre de NetBIOS
del servidor (cadena alfanumérica de hasta 15 caracteres) en dos lugares: en la
página Add Server y en una directiva de recursos de SAM. (Actualmente los
comodines no son compatibles). También puede activar la opción Auto-allow
application servers de la ficha SAM > Options y luego el IVE crea
automáticamente una directiva de recursos de SAM que permite acceder a
este servidor.
ii. También es posible especificar la ruta del archivo y el hash MD5 del
archivo ejecutable. Si introduce un valor de hash MD5, WSAM verifica
que el valor de la suma de comprobación del ejecutable corresponde a
este valor. Si el valor no corresponde, WSAM notifica al usuario que la
identidad de la aplicación no se pudo verificar y no reenvía conexiones
de la aplicación al IVE.
1. En la consola de administración, elija Users > User Roles > Seleccionar rol >
SAM > Applications.
4. Especifique el nombre de host del servidor (se aceptan los comodines “*” o “?”)
o un par IP/máscara de red. Especifique varios puertos para un host como
entradas separadas. Para obtener información sobre las variables y atributos
del sistema que puede usar en este campo, consulte “Uso de variables del
sistema en territorios, roles y directivas de recursos” en la página 1054.
1. En la consola de administración, elija Users > User Roles > Seleccionar rol >
SAM > Applications.
6. Seleccione Save Changes para agregar a la lista la aplicación que se pasa por
alto o Save + New para guardar la aplicación que se pasa por alto y crear otra
aplicación que se pasa por alto.
apache.exe
apache*
licadmin.exe
vni.exe
lmgrd.exe
TNSLSNR.EXE
ORACLE.EXE
Agntsrvc.exe
ONRSD.EXE
Pagntsrv.exe
ENCSVC.EXE
Agntsvc.exe
sqlplus.exe
sqlplusw.exe
EiSQLW.exe
Sqlservr.exe
Sqlmangr.exe
inetinfo.EXE
svchost.exe
LSASS.EXE
CSRSS.EXE
WINLOGON.EXE
SERVICES.EXE
spoolsv.exe
hostex32.exe
xstart.exe
idsd.exe
dsTermServ.exe
dsCitrixProxy.exe
dsNcService.exe
dsNetworkConnect.exe
1. En la consola de administración, elija Users > User Roles > Seleccionar rol >
SAM > Options.
Prompt for username and password for intranet sites: Si activa esta
opción, el IVE requiere que los usuarios introduzcan sus credenciales de
inicio de sesión antes de conectarse a los sitios de su red interna. Esta
opción cambia el ajuste de zona de intranet de Internet Explorer, de tal
manera que este programa solicita al usuario las credenciales de inicio de
sesión en red siempre que éste desea acceder a un sitio de intranet.
Session start script and Session end script: Si desea ejecutar un lote,
aplicación o archivo de servicio Win32 cuando la sesión de WSAM
comienza o finaliza, introduzca el nombre y la ruta para el archivo. Por
ejemplo, si desea finalizar una aplicación y luego reiniciarla, puede usar
PSKILL.exe (una utilidad de terceros que finaliza los procesos en los
sistemas locales o remotos).
NOTA: Si activa la opción Session start script o Session end script, tenga en
cuenta lo siguiente:
Recursos: Una directiva de recursos debe especificar uno o más recursos en los
que se aplica la directiva. Al escribir una directiva de SAM, debe especificar los
servidores de aplicaciones a los que un usuario se puede conectar.
Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evalúa estas directivas que corresponden a la solicitud. Las
directivas de recursos de SAM se aplican a las solicitudes de los usuarios
realizadas a través de la versión JSAM o WSAM.
El motor de la plataforma del IVE que evalúa las directivas de recursos requiere que
los recursos que aparecen en la lista de Resources de una directiva sigan un
formato canónico, como se explica en “Especificación de los recursos para una
directiva de recursos” en la página 103.
Policy applies to ALL roles: Use esta opción para aplicar esta directiva
a todos los usuarios.
Policy applies to SELECTED roles: Elija esta opción para aplicar esta
directiva sólo a los usuarios que estén asignados a roles en la lista
Selected roles. Asegúrese de agregar funciones a esta lista desde la lista
Available roles.
Policy applies to all roles OTHER THAN those selected below: Elija esta
opción para aplicar esta directiva a todos los usuarios excepto a aquellos a
quienes asigne a los roles en la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Allow socket access: Elija esta opción para otorgar acceso a los servidores
de aplicaciones especificados en la lista Resources.
Deny socket access: Elija esta opción para denegar acceso a los servidores
de aplicaciones especificados en la lista Resources.
Use Detailed Rules: Elija esta opción para especificar una o más reglas
detalladas para esta directiva. Para obtener más información, consulte
“Escritura de una regla detallada” en la página 109.
Cuando habilita esta opción, el IVE compila una lista de los nombres de host
especificados en el campo Resources de cada directiva de recursos de SAM. El IVE
aplica la opción a su lista integral de nombres de host.
NOTA: Esta opción no se aplica a los nombres de host que incluyen comodines
y parámetros.
1. En la consola de administración, elija Users > Resource Policies > SAM >
Options.
Argumento Acción
-start Inicia la conexión a WSAM.
-stop Finaliza la conexión a WSAM.
-signout Finaliza la conexión a WSAM y la sesión de usuario del IVE.
-version Muestra información de la versión de WSAM y luego sale de la
aplicación.
-help Muestra los argumentos disponibles.
-noupgrade Cancela la actualización automática del software WSAM.
-reboot Reinicia automáticamente si se lo solicita una actualización. Si
no se establece un flag de reinicio, WSAM sale y no se reinicia
durante una actualización. Asegúrese de establecer el flag de
reinicio si WSAM opera de forma automática en un equipo
remoto.
-u <username> Especifica el nombre de usuario.
-p <password> Especifica la contraseña para autenticación.
-loginscript file Especifica la ubicación y nombre del archivo de script que se
debe ejecutar cuando se inicia WSAM. Este comando tiene
prioridad sobre el archivo de script especificado en la página
Users > User Roles > Seleccionar rol > SAM > Options.
-postscript file Especifica la ubicación y nombre del archivo de script que se
debe ejecutar cuando se sale de WSAM. Este comando tiene
prioridad sobre el archivo de script especificado en la página
Users > User Roles > Seleccionar rol > SAM > Options.
-c <certificate name> Especifica el certificado enviado por el usuario para
autenticación. Tenga en cuenta que el usuario sólo puede usar
esta opción si tiene instalado un certificado SSL válido en el IVE.
Si el IVE utiliza un certificado autofirmado, el usuario debe
importar ese certificado a su explorador.
-u <URL> Especifica la URL de inicio de sesión para el IVE.
-r <realm> Especifica el territorio al cual el IVE envía las credenciales del
usuario.
-verbose Solicita a los usuarios entradas a través de cuadros de diálogo.
La Tabla 36 incluye los posibles códigos que el iniciador de WSAM devuelve al salir.
Código Descripción
0 Éxito
1 Argumentos no válidos
2 No se pudo conectar
Código Descripción
3 Credenciales no válidas
4 Rol no especificada (las credenciales se asignan múltiples roles)
5 Error de autenticación previa (no se cargó Host Checker o el limpiador
de caché)
6 La instalación falló
7 Reinicio necesario (si no se especifica “-reboot”)
8 No se puede realizar una actualización de software necesaria
10 El IVE no admite esta característica
12 No se pudo autenticar el certificado del cliente
100 No se pudo detener Secure Application Manager
101 No se puede iniciar Secure Application Manager debido a un conflicto
de software provocado por otro Layered Service Provider
NOTA: Si se especifican los scripts que se ejecutarán en la página Users > User
Roles > Seleccionar rol > SAM > Options de la consola de administración,
el script configurado no se ejecuta si un usuario invoca manualmente el WSAM
mediante el iniciador y especifica un script diferente.
Para iniciar manualmente un script después de que comienza una sesión de WSAM:
Para iniciar manualmente un script después de que finaliza una sesión de WSAM:
NOTA:
Encierre con comillas las variables del sistema, las rutas de archivos y los
nombres de archivo
Por ejemplo:
:error_invalid_args
@echo invalid arguments
goto done
:error_connect
@echo could not connect
goto done
:error_credentials
@echo invalid credentials
goto done
:error_role
@echo invalid role
goto done
:error_preauth
@echo pre auth version checking
goto done
:error_install
@echo install failed
goto done
:error_reboot
@echo reboot required
goto done
:error_success
@echo Secure Application Manager has started
goto done
:done
Recomendamos que use los perfiles de recursos para configurar JSAM (como
se describe antes). No obstante, si no desea usar los perfiles de recursos, puede
configurar JSAM con los ajustes de la directiva de rol y los recursos de las
siguientes páginas de la consola de administración:
3. Si desea habilitar o inhabilitar los registros del lado cliente para JSAM, configure
las opciones correspondientes mediante la ficha System > Configuration >
Security > Client-side Logs de la consola de administración. Para obtener
instrucciones, consulte “Habilitación de registros del lado cliente” en la
página 841.
3. JSAM encapsula y reenvía todas las peticiones de cliente al IVE sobre SSL.
1. Sólo sistema operativo Windows 98: si la propiedad “Close on Exit” está desactivada en el cuadro DOS, que se
abre durante el proceso de inicio de JSAM (para ejecutar el proceso “restore.bat”), el cuadro DOS no se cierra
después de que el archivo de lote ha terminado de ejecutarse. El usuario debe cerrar manualmente el cuadro
DOS antes de que el proceso de inicio de JSAM se pueda completar.
NOTA:
app1;app1.company.com;127.0.0.1
exchange;exchange.company.com;127.0.0.1
NOTA: Los clientes IVE dividen la lista de excepciones proxy de Internet Explorer.
Admitimos la mayoría de las excepciones que admite Internet Explorer, con las
siguientes limitaciones:
para un único puerto, el IVE asigna una dirección IP de bucle invertido única a cada
aplicación.
Debe habilitar estas asociaciones entre las direcciones IP de bucle invertido y los
servidores de aplicaciones en un puerto específico de una de las siguientes
maneras:
Permita que el IVE edite el archivo hosts en el sistema del cliente con
asignaciones IP de bucle invertido. El IVE hace una copia del archivo hosts
actual y luego crea un archivo hosts nuevo con las asignaciones IP de bucle
invertido. Cuando el usuario termina la sesión, el IVE borra el archivo hosts
nuevo y restaura el archivo hosts original.
Los usuarios deben tener los privilegios adecuados en sus equipos para que el
IVE edite el archivo hosts. Para obtener más información, consulte “Resolución
de nombres de host como Localhost” en la página 524.
app1.mycompany.com - 127.0.1.10
app2.mycompany.com - 127.0.1.11
app3.mycompany.com - 127.0.1.12
app2.mycompany.com - 127.0.1.10
app3.mycompany.com - 127.0.1.11
app2.mycompany.com - 127.0.1.11
app3.mycompany.com - 127.0.1.12
Si asigna una dirección IP de bucle invertido mientras crea una nueva aplicación,
el IVE verifica la dirección para ver si existen conflictos con las otras aplicaciones
configuradas en el mismo rol. Si otra aplicación utiliza la misma dirección, el IVE
muestra un mensaje de error que indica que se introdujo otra dirección IP.
Si dos o más roles se asignan a la misma aplicación y sólo un rol utiliza una
dirección IP estática de bucle invertido, JSAM utiliza sólo la dirección IP estática
de bucle invertido y se vincula sólo a un socket definido estáticamente en el
cliente.
Con el fin de que JSAM edite el archivo hosts del usuario, éste debe tener la
autoridad apropiada en el equipo cliente:
Los usuarios de Linux (RedHat) deben iniciar el explorador que iniciará JSAM
como root.
Si los usuarios no tienen los privilegios adecuados en sus equipos, JSAM no puede
editar automáticamente el archivo hosts, evitando la resolución de nombre en
localhost.
Las alternativas para los usuarios que no tienen los privilegios adecuados son:
Los usuarios configuran una aplicación cliente para usar la dirección localhost
asignada por el IVE donde generalmente especifican el nombre de host del
servidor de aplicaciones en la aplicación cliente. Para obtener más información,
consulte “Determinación de la dirección de bucle invertido asignada al IVE” en
la página 522.
Sin embargo, para que el IVE realice una asignación de host automática, los
usuarios de equipos deben tener los privilegios apropiados en sus equipos (tal como
se explica en “Resolución de nombres de host como Localhost” en la página 524).
Si los usuarios de los equipos no tienen estos privilegios, debe asegurarse de que los
nombres del servidor de aplicaciones interno se resuelven externamente como
localhost de un equipo mediante la adición de entradas en su servidor DNS externo
que apunta a Internet tales como:
127.0.0.1 app1.company-a.com
127.0.0.1 app2.company-b.com
127.0.0.1 exchange1.company-a.com
127.0.0.1 exchange1.company-b.com
Los usuarios pueden iniciar el explorador que iniciará JSAM como root.
NOTA: Debido al diseño del código Sun JVM, los usuarios de Macintosh no pueden
volver a iniciar JSAM en la misma sesión de usuario de Safari. Con el fin de volver
a iniciar JSAM, el usuario debe salir de Safari y luego volver a iniciar JSAM.
Observe también que el IVE no admite Outlook a través de SVW, puesto que las
aplicaciones de Outlook requieren cambios en la clave de registro de HKLM. Para
obtener más información, consulte “Habilitación de Secure Virtual Workspace” en
la página 321.
Con el fin de que esta característica funcione con los usuarios remotos, los ajustes
de red del equipo del usuario deben resolver el nombre de los servidores Exchange
incorporados en el cliente Outlook como el equipo local (127.0.0.1, la dirección IP
localhost predeterminada). Recomendamos que configure el IVE para resolver
automáticamente los nombres de host de servidor Exchange como localhost
actualizando temporalmente el archivo hosts en un equipo cliente a través de la
opción de asignación de host automática.
4. El IVE desencapsula los datos del cliente y revisa la petición MAPI para
encontrar el Exchange Server de destino. La petición luego se reenvía al
servidor de destino.
Figura 39: Java Secure Application Manager y compatibilidad mejorada con Lotus Notes
4. El IVE desencapsula los datos del cliente y revisa la petición de Lotus Notes para
encontrar el servidor de Lotus Notes de destino. La petición luego se reenvía al
servidor de destino.
JSAM está configurado para usar Lotus Notes como una aplicación estándar.
Después de que un usuario explora un servidor Citrix Web Interface for MetaFrame
y selecciona una aplicación, el servidor envía un archivo ICA al cliente. Cuando el
IVE reescribe el archivo ICA, éste reemplaza los nombres de host y las direcciones
IP con direcciones IP de bucle invertido previamente proporcionadas. A
continuación, el cliente ICA envía peticiones de la aplicación a una de las
direcciones IP de bucle invertido. Secure Application Manager encapsula los datos
y los envía al IVE. El IVE desencapsula los datos y los envía al servidor MetaFrame
a través del puerto 1494 o 2598 (dependiendo del cliente).
NOTA:
NOTA:
Estas instrucciones suponen que usted no está utilizando Citrix Web Interface
for Citrix Presentation Server (antes conocido como servidor NFuse). Para
obtener información acerca de servidores de presentación, consulte
“Compatibilidad con aplicaciones estándar: Citrix Web Interface for
MetaFrame (NFuse Classic)” en la página 530.
Para especificar aplicaciones publicadas para que JSAM realice el reenvío de puerto:
Para configurar el servidor Citrix MetaFrame para que funcione con el IVE:
1. Abra el entorno del programa Citrix y elija la opción Add ICA Connection.
3. En la pantalla siguiente:
1. Desactive Citrix NFuse como aplicación estándar a través de la página Users >
Resource Profiles > Web > Web Applications/Pages de la consola de
administración.
NOTA:
2. Especifique las aplicaciones para que JSAM realice reenvío de puerto agregando
una aplicación personalizada a través de JSAM. Utilice las instrucciones de la
sección “Definición de perfiles de recursos: JSAM” en la página 535. Cuando
agregue la aplicación personalizada, recuerde la siguiente configuración:
Server name: Para CSG, debe introducir el nombre DNS completo del
servidor de puerta de enlace segura de Citrix, no su dirección IP.
Server port: Para CSG, introduzca 443. Si tiene varios servidores de puerta
de enlace segura de Citrix, debe configurarlos todos en el mismo puerto.
Client port: Para CSG, introduzca 443. (Cree una entrada para el puerto 80
y otra para el puerto 443).
7. Agregue un marcador a la página de inicio del IVE para los usuarios finales que
lleve a la lista de servidores de puerta de enlace segura de Citrix y use la
característica de reescritura selectiva del IVE para desactivar la reescritura para
la dirección URL.
Si no desea crear un marcador a través del IVE, sólo indique a los usuarios que
obtengan acceso a la URL desde la barra de direcciones del explorador Web en
lugar de usar la barra de direcciones del IVE.
Para obtener más información sobre los perfiles de recursos, consulte “Perfiles de
recursos” en la página 91. Para obtener más información sobre JSAM, consulte
“Información general de JSAM” en la página 516.
NOTA: Cuando cree perfiles de recursos de JSAM, tenga en cuenta que los perfiles
de recursos no contienen marcadores. Por lo tanto, los usuarios finales no verán
un vínculo para la aplicación configurada en la interfaz de usuario final. Para tener
acceso a las aplicaciones y servidores que JSAM intermedia, los usuarios primero
deben iniciar JSAM y luego iniciar la aplicación especificada con los métodos
estándar (como el menú Start de Windows o un icono de escritorio). Para obtener
información acerca del inicio automático de JSAM cuando el usuario inicia sesión
en el IVE, consulte “Especificación de opciones JSAM a nivel de rol” en la
página 543.
Observe además que cuando usted habilita JSAM o WSAM a través de directivas
automáticas de reescritura para perfiles de recursos web, el IVE crea
automáticamente directivas automáticas de JSAM o WSAM para usted. Estas
directivas SAM sólo se pueden ver a través del perfil de recursos web apropiado,
no mediante las páginas de perfil de recursos SAM de la consola de
administración. Para obtener más información, consulte “Definición de una
directiva automática de reescritura” en la página 406.
1. Diríjase a la página Users > Resource Profiles > SAM > Client Applications
en la consola de administración.
NOTA: Para desactivar el cambio de registro realizado por JSAM y restaurar la copia
original del archivo etc/hosts, los usuarios deben desinstalar el cliente JSAM
mediante los ajustes de la página Preferences > Applications de la consola de
usuario final. Para reactivar el cambio, es necesario reiniciar.
NOTA:
NOTA:
Sólo puede utilizar JSAM para configurar acceso a una aplicación Lotus Notes
por rol de usuario.
NOTA:
NOTA: Sólo puede utilizar JSAM para configurar acceso a una aplicación Microsoft
Outlook por rol de usuario.
NOTA:
NOTA:
Sólo puede usar JSAM para configurar la exploración del archivo NetBIOS una
vez por rol de usuario.
7. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.
Use la ficha Applications para especificar las aplicaciones para las cuales JSAM
otorga seguridad de tráfico. Observe que para que JSAM funcione, la aplicación
cliente necesita conectarse al equipo local en que JSAM se ejecuta como el servidor
de aplicaciones.
1. En la consola de administración, elija Users > User Roles > Seleccionar rol >
SAM > Applications.
4. Elija:
NOTA:
Custom application—
NOTA: Para desactivar el cambio de registro realizado por JSAM y restaurar la copia
original del archivo etc/hosts, los usuarios deben desinstalar el cliente JSAM
mediante los ajustes de la página Preferences > Applications de la consola de
usuario final. Para reactivar el cambio, es necesario reiniciar.
NOTA:
6. Agregue dominios DNS al IVE si tiene varios dominios internos, como company-
a.com and company-b.com, de manera que los nombres como app1.company-
a.com y app2.company-b.com se resuelvan correctamente:
1. En la consola de administración, elija Users > User Roles > Seleccionar rol >
SAM > Options.
3. En Java SAM Options, seleccione las opciones que desea habilitar para los
usuarios:
User can add applications: Si esta opción está activada, los usuarios
pueden agregar aplicaciones. Para que los usuarios agreguen aplicaciones,
necesitan saber el nombre DNS del servidor de aplicaciones y los puertos
de cliente/servidor.
Esta característica es útil si usted activa aplicaciones que requieren JSAM, pero
no quiere que los usuarios ejecuten JSAM innecesariamente. Sin embargo, esta
característica requiere que los usuarios tengan acceso a la URL a través de la página
de inicio de IVE. Si los usuarios introducen la URL en el campo Address del
explorador, el IVE no atenderá la solicitud.
NOTA: El IVE ofrece estrecha integración con Citrix. Si especifica a Citrix como una
aplicación JSAM estándar, el IVE inicia automáticamente JSAM cuando un usuario
selecciona un archivo ICA aunque la URL no esté configurada como una directiva
de recursos.
Policy applies to ALL roles: Use esta opción para aplicar esta directiva
a todos los usuarios.
Policy applies to SELECTED roles: Elija esta opción para aplicar esta
directiva sólo a los usuarios que estén asignados a roles en la lista
Selected roles. Asegúrese de agregar funciones a esta lista desde la lista
Available roles.
Policy applies to all roles OTHER THAN those selected below: Elija esta
opción para aplicar esta directiva a todos los usuarios excepto a aquellos a
quienes asigne a los roles en la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Launch JSAM for this URL: El IVE descarga Java Secure Application
Manager al cliente y luego sirve la URL solicitada.
Don't Launch JSAM for this URL: El IVE no descarga Java Secure
Application Manager al cliente para la URL solicitada. Esta opción es útil si
desea desactivar temporalmente el inicio automático de JSAM para las URL
especificadas.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
Recursos: Una directiva de recursos debe especificar uno o más recursos en los
que se aplica la directiva. Al escribir una directiva de SAM, debe especificar los
servidores de aplicaciones a los que un usuario se puede conectar.
Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evalúa estas directivas que corresponden a la solicitud. Las
directivas de recursos de SAM se aplican a las solicitudes de los usuarios
realizadas a través de la versión JSAM o WSAM.
El motor de la plataforma del IVE que evalúa las directivas de recursos requiere que
los recursos que aparecen en la lista de Resources de una directiva sigan un
formato canónico, como se explica en “Especificación de los recursos para una
directiva de recursos” en la página 103.
1. En la consola de administración, elija Users > Resource Policies > SAM >
Access.
Policy applies to ALL roles: Use esta opción para aplicar esta directiva
a todos los usuarios.
Policy applies to SELECTED roles: Elija esta opción para aplicar esta
directiva sólo a los usuarios que estén asignados a roles en la lista Selected
roles. Asegúrese de agregar funciones a esta lista desde la lista Available
roles.
Policy applies to all roles OTHER THAN those selected below: Elija esta
opción para aplicar esta directiva a todos los usuarios excepto a aquellos a
quienes asigne a los roles en la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Allow socket access: Elija esta opción para otorgar acceso a los servidores
de aplicaciones especificados en la lista Resources.
Deny socket access: Elija esta opción para denegar acceso a los servidores
de aplicaciones especificados en la lista Resources.
Use Detailed Rules: Elija esta opción para especificar una o más reglas
detalladas para esta directiva. Para obtener más información, consulte
“Escritura de una regla detallada” en la página 109.
Cuando habilita esta opción, el IVE compila una lista de los nombres de host
especificados en el campo Resources de cada directiva de recursos de SAM. El IVE
aplica la opción a su lista integral de nombres de host.
NOTA: Esta opción no se aplica a los nombres de host que incluyen comodines
y parámetros.
1. En la consola de administración, elija Users > Resource Policies > SAM >
Options.
NOTA: Al comunicarse sobre una sesión encriptada de Secure Shell (SSH), tenga en
cuenta que la características Telnet/SSH no admite el uso de la combinación de
caracteres ^J. (Algunas aplicaciones usan esta combinación de caracteres para
justificar el texto). Si desea usar esta combinación de caracteres, recomendamos
que busque un applet de Java que la admita y cargue ese applet mediante el IVE
usando la característica de applets de Java hospedados.
551
Guía de administración de Secure Access de Juniper Networks
c. Crear marcadores para sus servidores de Telnet y SSH usando los ajustes de
la página Users > User Roles > Seleccionar rol > Telnet/SSH > Access
de la consola de administración.
a. (Opcional) Permitir que los usuarios creen sus propias conexiones a las
sesiones de Telnet y SSH usando los ajustes de la página Users > User
Roles > Seleccionar rol > Telnet/SSH > Options de la consola de
administración.
b. (Opcional) Permitir que el IVE haga coincidir las direcciones IP con los
nombres de host y inhabilite la opción de marcadores con permiso
automático usando los ajustes de la página Users > Resource Policies >
Telnet/SSH > Options de la consola de administración.
3. En la lista Type, especifique el tipo de sesión (Telnet o SSH) para este perfil
de recursos.
10. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.
Sólo puede asignar marcadores a roles que ya haya asociado con el perfil de
recursos, no todos los roles definidos en el IVE. Para cambiar la lista de roles
asociados al perfil de recurso, utilice los parámetros de la ficha Roles.
Los marcadores simplemente controlan los vínculos que muestra el IVE a los
usuarios, no los recursos a los que los usuarios pueden obtener acceso. Por
ejemplo, si habilita el acceso a un servidor de Telnet mediante un perfil de
recursos, pero no crea un marcador correspondiente en ese servidor, aun así
el usuario puede obtener acceso al servidor introduciéndolo en el campo
Address de la página principal de IVE.
Para obtener más información sobre los marcadores del perfil de recursos, consulte
“Definición de marcadores” en la página 98.
a. Diríjase a la página Users > User Roles > Seleccionar rol > Telnet/SSH >
Sessions en la consola de administración.
c. En la lista Type, elija Telnet/SSH Resource Profile. (El IVE no muestra esta
opción si no ha creado un perfil de recursos de Telnet/SSH.)
e. Haga clic en OK. (Si aún no ha asociado el rol seleccionado con el perfil de
recursos, el IVE realiza la asociación de forma automática. El IVE también
habilita cualquier directiva de control de acceso para el rol que requiere el
perfil de recursos.)
1. Elija Users > User Roles > Seleccionar rol > Telnet/SSH > Sessions en la
consola de administración.
3. En la lista Type, elija Standard. (El IVE sólo muestra la lista Type si ha creado un
perfil de recursos de Telnet/SSH.)
NOTA:
Cuando permite que los usuarios naveguen hasta una sesión de terminal, tenga en
cuenta que pueden usar dos métodos diferentes:
Usar la página principal del IVE: Los usuarios pueden introducir el servidor
y el puerto al que quieren obtener acceso en el campo Address de la página
principal del IVE. Los formatos válidos para la URL son:
Telnet://host:port
SSH://host:port
https://iveserver/dana/term/newlaunchterm.cgi?protocol=telnet&host=termsrv.yo
urcompany.com&port=23&username=jdoe&fontsize=12&buffer=800&size=80x25
1. En la consola de administración, elija Users > User Roles > Seleccionar rol >
Telnet/SSH > Options.
2. Habilite User can add sessions para permitir que los usuarios definan sus
propios marcadores de sesión y que naveguen hasta una sesión de terminal
usando la sintaxis telnet://, ssh:// y /dana/term/newlaunchterm.cgi syntax.
Cuando habilite esta opción, aparecerá el botón Add Terminal Session en la
página Terminal Sessions la próxima vez que el usuario actualice la página de
bienvenida del IVE.
3. Habilite Auto-allow role Telnet/SSH sessions para permitir que el IVE otorgue
acceso automático a los recursos definidos en el marcador de la sesión (en
lugar de tener que crear directivas de recursos). Tenga en cuenta que sólo se
aplica a los marcadores de rol, no a los marcadores de usuario.
Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evalúa estas directivas que corresponden a la solicitud.
El motor del IVE que evalúa las directivas de recursos requiere que los recursos que
aparecen en una lista Resources de la directiva sigan un formato canónico, como se
explica en “Especificación de los recursos para una directiva de recursos” en la
página 103.
Policy applies to ALL roles: Use este campo para aplicar esta directiva
a todos los usuarios.
Policy applies to SELECTED roles: Use este campo para aplicar esta
directiva sólo a los usuarios que estén asignados a funciones en la lista
Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Policy applies to all roles OTHER THAN those selected below: Use este
campo para aplicar esta directiva a todos los usuarios excepto aquellos a
quienes asigne a las funciones en la lista Selected roles. Asegúrese de
agregar funciones a esta lista desde la lista Available roles.
Allow access: Use este campo para otorgar acceso a los servidores
especificados en la lista Resources.
Deny access: Use este campo para denegar el acceso a los servidores
especificados en la lista Resources.
Use Detailed Rules: Use este campo para especificar una o más reglas
detalladas para esta directiva. Consulte “Escritura de una regla detallada”
en la página 109 en la página 220 para obtener más información.
Cuando habilita esta opción, el IVE compila una lista de los nombres de host
especificados en el campo Resources de cada directiva de recursos de Telnet/SSH.
El IVE aplica la opción a su lista integral de nombres de host.
NOTA: Esta opción no se aplica a los nombres de host que incluyen comodines
y parámetros.
Recomendamos que use los perfiles de recursos para configurar los servicios de
terminal (según se describe aquí). Sin embargo, si no desea usar los perfiles de
recursos, puede configurar la característica Terminal Services usando ajustes de
directivas de rol y recursos en las siguientes páginas de la consola de
administración:
a. (Opcional) Habilite a los usuarios para que definan sus propias sesiones de
los servicios de terminal, especifique los dispositivos locales a los que los
usuarios se pueden conectar y establezca opciones de visualización y
rendimiento usando los ajustes de la página Users > User Roles >
Seleccionar rol > Terminal Services > Options de la consola de
administración. Para obtener instrucciones, consulte “Especificación de las
opciones generales de Terminal Services” en la página 612. Si elige
habilitar a los usuarios para que definan sus propias sesiones de servicios
de terminal, también deberá crear las directivas de recursos o los perfiles
de recursos correspondientes que permitan el acceso a los recursos
especificados, como se explicó anteriormente en este tema.
3. (Sólo en Citrix) Especifique dónde el IVE debe obtener el cliente Citrix para
cargarlo a los sistemas de los usuarios a través de los ajustes de la página
Users > User Roles > Seleccionar rol > Terminal Services > Options de la
consola de administración. Para obtener instrucciones, consulte “Especificación
de las opciones generales de Terminal Services” en la página 612.
Los usuarios pueden obtener acceso a los recursos de los servicios de terminal
a través de uno de los siguientes métodos:
Direcciones URL desde otros sitios Web: En la mayoría de los casos, los
usuarios tienen acceso a los marcadores de la sesión directamente desde la
consola del usuario final del IVE. Si no desea requerir a los usuarios que inicien
sesión en la consola de usuario final del IVE para tener acceso a los enlaces de
los servicios de terminal, puede crear direcciones URL en otros sitios Web que
apunten a los marcadores de sesión que ya ha creado en el IVE. O bien, puede
crear direcciones URL que incluyan todos los parámetros que desea pasar al
programa Terminal Services, como los parámetros del host, de los puertos y de
la ventana del terminal.
Barra de navegación del IVE: Además de permitir a los usuarios enlazar con
vínculos de los servicios de terminal a través de marcadores y direcciones URL,
también puede habilitarlos para que tengan acceso a estos recursos a través de
la barra de navegación del IVE en los sistemas Windows. Los usuarios pueden
obtener acceso a los servidores Citrix MetaFrame o NFuse introduciendo
ica://hostname en la casilla de navegación. O bien, los usuarios pueden obtener
acceso a los servicios de terminal de Microsoft o a las sesiones de escritorio
introduciendo rdp://hostname en la casilla de navegación.
El IVE le permite cargar una versión de Java del cliente RDP o ICA a través del
perfil de recursos de los servicios de terminal (pero no el rol). Si ha cargado un
cliente al IVE y especificado que el IVE siempre lo utilice para ejecutar las
sesiones de terminal de sus usuarios, el IVE inicia el cliente Java especificado.
Cuando el IVE confirma que hay un proxy instalado en el equipo del usuario,
el proxy intenta invocar el cliente RDP o ICA para Windows. Si lo logra,
el cliente inicia la sesión de servicios de terminal del usuario y el proxy
intermedia el tráfico de la sesión.
NOTA:
Para obtener más información acerca de los archivos específicos que instala
el IVE cuando habilita la característica Terminal Services, además de los
derechos necesarios para instalar y ejecutar los clientes asociados,
consulte el manual Client-side Changes Guide en Customer Support Center
de Juniper Networks.
2. Cuando el cliente ICA intenta iniciar una aplicación publicada en el equipo del
usuario, usa el parámetro HTTPBrowserAddress para conectarse con el
navegador principal.
4. En el IVE, cargue el archivo ICA usando los ajustes para archivo de cualquiera
de las siguientes páginas de la consola de administración:
Users > User Roles > Seleccionar rol > Terminal Services > Sessions
NOTA:
Al crear alguno de estos tipos de perfiles de recursos, tenga en cuenta que también
puede crear marcadores de sesión de servicios de terminal. Un marcador de sesión
de servicios de terminal define la información del servidor de terminal a la que los
usuarios se pueden conectar y (opcionalmente) define las aplicaciones que ellos
pueden usar en el servidor de terminal. Cuando cree un perfil de recursos a un
servidor de terminal Windows o Citrix usando un archivo ICA predeterminado,
el IVE crea automáticamente un marcador de sesión que enlaza al host que usted
especifica en el perfil de recursos. El IVE le permite modificar este marcador de
sesión y crear marcadores de sesión adicionales en el mismo host. Los marcadores
de sesión que usted define aparecen en el panel Terminal Services de la consola del
usuario final para los usuarios que asignan al rol correspondiente.
Sólo puede asignar marcadores de sesión a roles que ya haya asociado con el
perfil de recursos, no a todas los roles definidos en el IVE. Para cambiar la lista
de roles asociados al perfil de recursos, utilice los parámetros de la ficha Roles.
Para obtener más información sobre los marcadores del perfil de recursos, consulte
“Definición de marcadores” en la página 98.
2. Haga clic en New Profile. O bien, seleccione un perfil existente desde la lista.
10. En la ficha Roles, seleccione roles a los que se aplica el perfil de recursos y haga
clic en Add.
a. Haga clic en New Applet para agregar un applet a esta lista. O bien,
seleccione un applet existente y haga clic en Replace (para reemplazar un
applet existente con uno nuevo) o Delete (para eliminar un applet del IVE).
NOTA:
El IVE sólo permite que elimine applets que no se encuentran en uso por un
perfil de recursos Web o de servicios de terminal.
c. Busque el applet que desea cargar en el IVE. Puede cargar applets (archivos
.jar o .cab) o archivos de almacenamiento (archivos .zip, .jar y .tar) que
contengan applets y todos los recursos que los applets necesitan. (Esto se
aplica sólo para applets nuevos o reemplazados.)
4. Cree una definición de página HTML en la casilla HTML que incluya referencias
para sus applets de Java. El tamaño máximo del archivo HTML que se puede
especificar es 25k. A continuación, llene todos los atributos y parámetros
requeridos usando las pautas de las siguientes secciones:
También puede agregar cualquier código HTML o JavaScript adicional que elija
a esta definición de página Web. El IVE vuelve a introducir todo el código que
introduzca en esta casilla.
5. Seleccione Use this Java applet as a fallback mechanism para usar este applet
sólo cuando el cliente Windows no pueda iniciar. O bien, seleccione Always use
this Java applet para usar este applet sin importar si el cliente Windows inicia
o no.
1. Seleccione la página Users > Resource Profiles > Terminal Services >
Seleccionar perfil de recurso > Bookmarks en la consola de administración.
NOTA: Aunque por lo general es más fácil crear un marcador de sesión de perfil
de recursos mediante la página de configuración del perfil de recursos, también
puede elegir crear una con la página de roles de usuario. Para obtener
instrucciones, consulte “Creación de un marcador de Terminal Services de
Windows mediante la página User Roles” en la página 577.
5. Transmita las credenciales del usuario del IVE al servidor del terminal para que
los usuarios puedan iniciar sesión en el servidor del terminal sin tener que
introducir las credenciales de forma manual. Puede hacer esto mediante las
opciones de configuración en el área Session de la página de configuración de
los marcadores. Consulte “Definición de las opciones de SSO para la sesión de
servicios de terminal de Windows” en la página 578.
9. Especifique los roles para los que desea mostrar los marcadores de sesión si
configura el marcador de sesión mediante las páginas de perfiles de recursos,
en Roles:
1. Seleccione la página Users > User Roles > Seleccionar rol > Terminal
Services > Sessions en la consola de administración.
5. Haga clic en OK. (Si aún no ha asociado el rol seleccionado con el perfil de
recursos, el IVE realiza la asociación de forma automática. El IVE también
habilita cualquier directiva de control de acceso para el rol que requiere el
perfil de recursos.)
8. Use las instrucciones de los temas siguientes para configurar los ajustes
del marcador.
3. Seleccione una opción desde la lista desplegable Screen Size si desea cambiar
el tamaño de la ventana de los servicios de terminal en la estación de trabajo
del usuario. (De forma predeterminada, el IVE establece el tamaño de la
ventana en pantalla completa.)
Tenga en cuenta también que para restaurar el archivo hosts a su estado original
después de ejecutar la ventana de servicios de terminal, el usuario debe cerrar
adecuadamente su aplicación. De lo contrario, es posible que otras aplicaciones
que usan el archivo hosts (como JSAM y Host Checker) no funcionen
adecuadamente. El usuario también puede restaurar su archivo hosts a su estado
original al reiniciando el sistema o cambiando el nombre al archivo hosts de
respaldo (hosts_ive.bak).
4. Seleccione color de 8-bit, 15-bit, 16-bit, 24-bit o de 32-bit desde la lista Color
Depth si desea cambiar la profundidad del color de los datos de la sesión de
terminal. (De forma predeterminada, el IVE configura la profundidad del color
en 8 bits.)
Para definir las aplicaciones a las que el usuario puede tener acceso:
Introduzca el nombre alias del servidor (sólo para servidores que ejecutan
Windows 2008 y posteriores) en la casilla Alias name.
NOTA: Puede usar las variables de sesión del IVE como <username> y <password>
en las casillas Path to application y Working directory. Por ejemplo, cuando
especifica una ruta de la aplicación, puede incluir la variable <username> para
personalizar la ubicación. Por ejemplo: C:\Documents and
Settings\<username>\My Documents. Para obtener una lista completa de variables
de sesión válidas para el IVE, consulte “Variables del sistema y ejemplos” en la
página 1046.
NOTA:
Para definir los recursos locales a los que los usuarios pueden tener acceso:
3. Seleccione Connect local drives para conectar la unidad local del usuario con
el servidor de terminal, permitiéndole al usuario copiar la información desde el
servidor de terminal a sus directorios locales del cliente.
4. Seleccione Connect local printers para conectar las impresoras locales del
usuario con el servidor de terminal, permitiéndole al usuario imprimir
información desde el servidor de terminal en su impresora local.
5. Seleccione Connect COM Ports para conectar los puertos COM del usuario
al servidor de terminal, permitiendo la comunicación entre el servidor de
terminal y los dispositivos en sus puertos serie.
6. Seleccione Allow Clipboard Sharing para permitir que los contenidos del
portapapeles se compartan entre el equipo host del usuario y el servidor de
terminal. Debido a limitaciones en las versiones del cliente RDP anteriores
a la 6.0, al desmarcar la opción Allow Clipboard Sharing se inhabilitarán
automáticamente las opciones Connect local drives, Connect local printers
y Connect COM Ports.
7. Seleccione Connect smart cards para permitir que los usuarios usen tarjetas
inteligentes para autenticar sus sesiones de escritorio remoto.
NOTA: Las tarjetas inteligentes son compatibles con Remote Desktop Protocol de
Microsoft versión 5.1 y posteriores.
NOTA: Las opciones de sonido son compatibles con Remote Desktop Protocol de
Microsoft versión 5.1 y posteriores.
NOTA: Las opciones de este tema se aplican sólo a los marcadores de Terminal
Services de Windows.
Para definir los ajustes de visualización para las sesiones de los usuarios:
3. Seleccione Desktop background para mostrar un fondo con papel tapiz a los
usuarios. Si no selecciona esta opción, el fondo estará vacío.
6. Seleccione Themes para permitir que los usuarios agreguen temas de Windows
en sus ventanas del servidor de terminal.
8. Seleccione Font Smoothing (RDP 6.0 onwards) para suavizar el texto y hacerlo
más fácil de leer. Esta opción sólo funciona en equipos con Windows Vista que
ejecuten clientes RDP de versión 6.0 o posterior.
Para crear un perfil de recursos de Terminal Services de Citrix que use los ajustes
ICA predeterminados:
2. Haga clic en New Profile. O bien, seleccione un perfil existente desde la lista.
11. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.
1. Seleccione Users > Resource Profiles > Terminal Services > Seleccionar
perfil de recurso > Bookmarks en la consola de administración.
NOTA: Aunque por lo general es más fácil crear un marcador de sesión de perfil
de recursos mediante la página de configuración del perfil de recursos, también
puede optar por crear una con la página de roles de usuario. Para obtener
instrucciones, consulte “Creación de un marcador de servicios de terminal de
Citrix mediante la página User Roles” en la página 585.
5. Transmita las credenciales del usuario del IVE al servidor del terminal para que
los usuarios puedan iniciar sesión en el servidor del terminal sin tener que
introducir las credenciales de forma manual. Puede hacer esto usando las
opciones de configuración en el área Session de la página de configuración de
los marcadores. Consulte “Definición de las opciones de SSO para la sesión de
servicios de terminal de Citrix” en la página 587.
8. Especifique los roles para los que desea mostrar el marcador de sesión si
configurará el marcador de sesión mediante las páginas de perfiles de recursos,
en Roles:
1. Seleccione la página Users > User Roles > Seleccionar rol > Terminal
Services > Sessions en la consola de administración.
3. Elija Terminal Services Resource Profile en la lista Type. (El IVE no muestra
esta opción si no ha creado un perfil de recursos de servicios de terminal.)
5. Haga clic en OK. (Si aún no ha asociado el rol seleccionado con el perfil de
recursos, el IVE realiza la asociación de forma automática. El IVE también
habilita cualquier directiva de control de acceso para el rol que requiere el perfil
de recursos.)
6. Si este rol aún no ha sido asociado con el perfil de recursos seleccionado, el IVE
muestra un mensaje informativo. Si ve este mensaje, haga clic en Save
Changes para agregar este rol a la lista de roles del perfil de recursos y para
actualizar las directivas automáticas del perfil, según se requiera. A
continuación, repita el paso anterior para crear el marcador de sesión.
8. Use las instrucciones de los temas siguientes para configurar los ajustes
del marcador.
3. Seleccione una opción desde la lista desplegable Screen Size si desea cambiar
el tamaño de la ventana de los servicios de terminal en la estación de trabajo
del usuario. (De forma predeterminada, el IVE establece el tamaño de la
ventana en pantalla completa.)
4. Seleccione color de 8-bit, 15-bit, 16-bit, 24-bit o de 32-bit desde la lista Color
Depth si desea cambiar la profundidad del color de los datos de la sesión de
terminal. (De forma predeterminada, el IVE configura la profundidad del color
en 8 bits.)
Para definir las aplicaciones a las que el usuario puede tener acceso:
Introduzca el nombre alias del servidor en el campo Alias Name (sólo para
servidores que ejecutan Windows 2008 y posteriores).
NOTA: Puede usar las variables de sesión del IVE como <username> y <password>
en las casillas Path to application y Working directory. Por ejemplo, cuando
especifica una ruta de la aplicación, puede incluir la variable <username>
para personalizar la ubicación. Por ejemplo: C:\Documents and
Settings\<username>\My Documents. Para obtener una lista completa de variables
de sesión válidas para el IVE, consulte “Variables del sistema y ejemplos” en la
página 1046.
NOTA: Para que los ajustes Connect Devices tengan efecto, también deben
habilitarse en el servidor MetaFrame. Por ejemplo, si habilita Connect Drives
en el IVE, pero lo inhabilita en el servidor MetaFrame, entonces éste bloqueará
el acceso a las unidades locales. Tenga en cuenta que si desmarca la casilla de
verificación Configure access to local resources, los ajustes del servidor
MetaFrame tendrán efecto.
Para definir los recursos locales a los que los usuarios pueden tener acceso:
3. Seleccione Connect local drives si desea conectar la unidad local del usuario
con el servidor de terminal, permitiéndole al usuario copiar la información
desde el servidor de terminal a sus directorios locales del cliente.
5. Seleccione Connect COM Ports si desea conectar los puertos COM del usuario
al servidor de terminal, permitiendo la comunicación entre el servidor de
terminal y los dispositivos en sus puertos serie.
NOTA: Para habilitar la conexión entre el IVE y la granja de servidores Citrix, debe
usar el protocolo TCP/IP+HTTP para navegar y especificar el puerto y la dirección
IP del servidor MetaFrame de Citrix o NFuse. El IVE no admite el reenvío de
puertos UDP.
Para crear un perfil de recursos de Citrix que use un archivo ICA personalizado:
2. Haga clic en New Profile. O bien, seleccione un perfil existente desde la lista.
4. Especifique en la casilla ICA File el archivo ICA que contiene los parámetros de
la sesión que desea usar. Tenga en cuenta que puede descargar y personalizar
los siguientes archivos ICA desde el IVE:
El archivo ICA que viene con el IVE: Para personalizar este archivo,
haga clic en el enlace Open, guarde el archivo en su equipo local,
personalice el archivo según lo necesite y vuelva a cargarlo al IVE usando
la opción Browse. Si personaliza este archivo, debe volver incluir los
siguientes parámetros en él default.ica: <CITRIX_CLIENT_NAME>, <APPDATA>
y <TARGET_SERVER>.
NOTA:
Antes de cargar el archivo ICA, debe probarlo para confirmar que inicia la
sesión Citrix correctamente. Para realizar la prueba, cree un archivo ICA
y acceda directamente a él. Si el archivo muestra la sesión de Citrix
correctamente, entonces debe funcionar a través del IVE.
Cuando utilice tecnología de reescritura Java para pasar los applets de JICA de
Citrix a través del IVE, debe configurar el parámetro proxyType en el archivo
ICA como None (incluso si un proxy del lado cliente está configurado en el
navegador).
c. Elija Allow para permitir el acceso a los recursos especificados o Deny para
bloquear el recurso especificado de la lista Action.
9. En la casilla Roles, seleccione los roles a las que se aplica el perfil de recursos
y haga clic en Add.
1. Seleccione Users > Resource Profiles > Terminal Services > Seleccionar
perfil de recurso > Bookmarks en la consola de administración.
NOTA: Aunque por lo general es más fácil crear un marcador de sesión de perfil
de recursos mediante la página de configuración del perfil de recursos, también
puede elegir crear una con la página de roles de usuario. Para obtener
instrucciones, consulte “Creación de un marcador de servicios de terminal de
Citrix mediante la página User Roles” en la página 585.
3. Transmita las credenciales del usuario del IVE al servidor del terminal para que
los usuarios puedan iniciar sesión en el servidor del terminal sin tener que
introducir las credenciales de forma manual. Puede hacer esto mediante las
opciones de configuración en el área Session de la página de configuración de
los marcadores. Consulte “Definición de las opciones de SSO para la sesión de
servicios de terminal de Citrix” en la página 587.
5. En Roles, especifique los roles a los que desea mostrar los marcadores
de sesión:
Con el IVE, estas aplicaciones publicadas se muestran en la página de índice del IVE
como marcadores de servicios de terminal.
6. Haga clic en la casilla de verificación Use SSL for connecting to Citrix XML
Service para enviar la contraseña a través de SSL en vez de un texto puro.
NOTA: Aunque el texto puro es compatible, recomendamos que siempre use SSL
para evitar problemas de seguridad.
c. Elija Allow para permitir el acceso a los recursos especificados o Deny para
bloquear el recurso especificado de la lista Action.
11. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.
NOTA: Aunque por lo general es más fácil crear un marcador de sesión de perfil
de recursos mediante la página de configuración del perfil de recursos, también
puede optar por crear una con la página de roles de usuario. Para obtener
instrucciones, consulte “Creación de un marcador de servicios de terminal de
Citrix mediante la página User Roles” en la página 585.
NOTA: Aunque por lo general es más fácil crear un marcador de sesión de perfil de
recursos mediante la página de configuración del perfil de recursos, puede crear
una mediante la página de roles de usuario. Consulte “Creación de un marcador
de servicios de terminal de Citrix mediante la página User Roles” en la
página 585.
5. En Session, puede configurar el IVE para que transmita las credenciales del
usuario desde el IVE al servidor de terminal para que el usuario no tenga que
introducir manualmente su nombre de usuario y contraseña. Consulte
“Definición de las opciones de SSO para la sesión de servicios de terminal de
Citrix” en la página 587.
Connect local drives: Conecte la unidad local del usuario con el servidor
de terminal, permitiéndole al usuario copiar la información desde el
servidor de terminal a sus directorios locales del cliente.
Seleccione Connect COM Ports: Conecte los puertos COM del usuario al
servidor de terminal, permitiendo la comunicación entre el servidor de
terminal y los dispositivos en sus puertos serie.
7. En Roles, especifique los roles a los que desea mostrar los marcadores
de sesión:
Puede usar dos métodos distintos para crear los marcadores de sesión de servicios
de terminal:
También puede habilitar a los usuarios para que creen sus propios marcadores de
sesión en la página de inicio de IVE y navegar a los servidores de terminal usando la
barra de navegación del IVE. O bien, puede crear enlaces desde sitios externos a los
marcadores de servicios de terminal.
1. Seleccione Users > User Roles > Rol > Terminal Services > Sessions en la
consola de administración.
(Sólo sesiones existentes). También puede usar el enlace Open para abrir el
archivo ICA predeterminado del IVE, que luego puede guardar en el equipo
local y personalizar según necesite. Si personaliza este archivo, debe volver
incluir los siguientes parámetros en él default.ica: <CITRIX_CLIENT_NAME>,
<APPDATA> y <TARGET_SERVER>.
Citrix using custom ICA file: Habilita una sesión de servicios de terminal
en un servidor MetaFrame de Citrix o un servidor NFuse que rige una
granja de servidores Citrix. Cuando selecciona esta opción, el IVE usa los
parámetros de sesión definidos en el archivo ICA personalizado
especificado y elimina los elementos de configuración de Session
Reliability, Start Application y Connect Devices de la página actual.
NOTA: Debido a que el IVE no admite el reenvío de puertos UDP, debe usar
el protocolo TCP/IP+HTTP para navegar y especificar el puerto del servidor
MetaFrame de Citrix o NFuse y la dirección IP para habilitar la conexión entre
el IVE y la granja de servidores Citrix.
7. En los campos Client Port y Server Port, introduzca los puertos en los que se
comunica el cliente del usuario y en el que recibe la comunicación el servidor
de terminal.
10. Si sólo quiere permitir que los usuarios tengan acceso a aplicaciones específicas
en el servidor del terminal, utilice las opciones de configuración incluidas en la
sección Start Application de la página de configuración de los marcadores.
Además, puede usar los ajustes de esta sección para definir las opciones de
inicio automático y de fiablilidad de la sesión. Para obtener más información,
consulte “Definición de los ajustes de la aplicación para la sesión de Terminal
Services” en la página 605.
11. (Sólo para Terminal Services de Windows y Citrix que usen ICA
predeterminado) Si desea permitir a los usuarios que tengan acceso a los
recursos locales como impresoras y unidades a través de la sesión del terminal,
use las opciones de configuración de la sección Connect Devices de la página
de configuración de los marcadores. Para obtener más información, consulte
“Definición de las conexiones de dispositivo para la sesión de servicios
de terminal” en la página 606.
3. Seleccione una opción desde la lista desplegable Screen Size si desea cambiar
el tamaño de la ventana de los servicios de terminal en la estación de trabajo
del usuario. (De forma predeterminada, el IVE establece el tamaño de la
ventana en pantalla completa.)
Tenga en cuenta también que para restaurar el archivo hosts a su estado original
después de ejecutar la ventana de servicios de terminal, el usuario debe cerrar
adecuadamente su aplicación. De lo contrario, es posible que otras aplicaciones
que usan el archivo hosts (como JSAM y Host Checker) no funcionen
adecuadamente. El usuario también puede restaurar su archivo hosts a su estado
original reiniciando el sistema o cambiando el nombre del archivo de hosts de
respaldo (hosts_ive.bak).
4. Seleccione color de 8 bits, 15 bits, 16 bits, 24 bits, o 32 bits desde la lista Color
Depth si desea cambiar la profundidad del color de los datos de sesión de
terminal. (De forma predeterminada, el IVE configura la profundidad del color
en 8 bits.)
Para definir las aplicaciones a las que el usuario puede tener acceso:
NOTA: Puede usar variables de sesión del IVE como <username> y <password>
en los campos Path to application y Working directory. Por ejemplo, cuando
especifica una ruta de la aplicación, puede incluir la variable <username> para
personalizar la ubicación. Por ejemplo: C:\Documents and Settings\<username>\
My Documents. Para obtener una lista completa de variables de sesión válidas para
el IVE, consulte “Variables del sistema y ejemplos” en la página 1046.
NOTA:
Para definir los recursos locales a los que los usuarios pueden tener acceso:
3. Seleccione Connect local drives para conectar la unidad local del usuario con
el servidor de terminal, permitiendo al usuario copiar la información desde el
servidor de terminal a sus directorios locales del cliente.
5. Seleccione Connect COM Ports para conectar los puertos COM del usuario
al servidor de terminal, permitiendo la comunicación entre el servidor de
terminal y los dispositivos en sus puertos serie.
NOTA: Las opciones para tarjetas inteligentes y sonido son compatibles con
Remote Desktop Protocol de Microsoft versión 5.1 y posteriores.
NOTA: Las opciones de esta sección se aplican sólo a los marcadores de Terminal
Services de Windows.
Para definir los ajustes de visualización para las sesiones de los usuarios:
8. Seleccione Font Smoothing (RDP 6.0 onwards) para suavizar el texto y hacerlo
más fácil de leer. Esta opción sólo funciona en equipos con Windows Vista que
ejecuten clientes RDP de versión 6.0 o posterior.
Dirección URL que incluye todos los parámetros necesarios: Cree una
dirección URL que incluya todos los parámetros que desea transmitir al
programa de servicios de terminal, como los parámetros del host, del puerto
y de la ventana de terminal. Al crear la dirección URL, use la siguiente sintaxis:
https://<IVE>/dana/term/winlaunchterm.cgi?<param1>=<value1>&<param2>=<
value2>
Cuando cree la dirección URL, puede usar los nombres de parámetro que
distinguen mayúsculas de minúsculas descritos en la Tabla 37. Si desea incluir
más de un parámetro en el marcador de sesión, únalos en una cadena usando
el símbolo “&”. Por ejemplo:
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=yourtermserver.yourdo
main.com&type=Windows&clientPort=1094&serverPort=3389&user=john&passw
ord=abc123&screenSize=fullScreen
https://<IVE>/dana/term/winlaunchterm.cgi?bmname=<bookmarkName>
NOTA: Cuando use el IVE para almacenar los marcadores de sesión de Terminal
Services, debe:
Habilitar la opción User can add sessions en la página Users > User Roles >
Seleccionar rol > Terminal Services > Options. Si no selecciona esta opción,
los usuarios no podrán enlazar a los marcadores de sesión de Terminal
Services desde sitios externos.
Cree una directiva que evite que el IVE reescriba el enlace y la página que
contiene el enlace usando los ajustes de la página Users > Resource
Policies > Web > Rewriting > Selective Rewriting de la consola de
administración. Para obtener instrucciones, consulte “Creación de una
directiva de recursos de reescritura selectiva” en la página 443.
Tabla 37: Nombres de parámetros de marcadores de sesión de servicios de terminal que no distinguen mayúsculas
de minúsculas
Nombre de
parámetro Descripción y valores posibles Ejemplo
host Requerido. Nombre de host o https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
dirección IP del servidor de mServer
terminal de Windows o de
Metaframe
type Tipo de servidor de terminal. https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
Algunos valores posibles son mServer&type=Windows
Windows o Citrix.
clientPort Puerto con el que se comunica el https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
cliente del usuario. mServer&clientPort=1094
Tabla 37: Nombres de parámetros de marcadores de sesión de servicios de terminal que no distinguen mayúsculas
de minúsculas (continuación)
Nombre de
parámetro Descripción y valores posibles Ejemplo
password Contraseña para transmitir al https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
servidor de terminal. mServer&user=jDoe&password=<password>
Tabla 37: Nombres de parámetros de marcadores de sesión de servicios de terminal que no distinguen mayúsculas
de minúsculas (continuación)
Nombre de
parámetro Descripción y valores posibles Ejemplo
connectComPorts Especifica si el usuario puede https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
conectar puertos COM al servidor mServer&connectComPorts=Yes
de terminal. Valores posibles:
Yes
No
Tabla 37: Nombres de parámetros de marcadores de sesión de servicios de terminal que no distinguen mayúsculas
de minúsculas (continuación)
Nombre de
parámetro Descripción y valores posibles Ejemplo
fontsmoothing Especifica si se suavizará el texto https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
para facilitar la lectura. Esta opción mServer&fontsmoothing=Yes
sólo funciona en equipos con
Windows Vista que ejecuten
clientes RDP de versión 6.0 o
posterior. Valores posibles:
Yes
No
1. En la consola de administración, seleccione Users > User Roles > Rol >
Terminal Services > Options.
Downloaded from the Citrix web site: El IVE instala la última versión del
cliente ICA desde el sitio Web de Citrix:
http://download2.citrix.com/files/en/products/client/ica/current/wficac.cab
Downloaded from the IVE: Use el botón Browse para navegar al cliente
ICA en su red local. Cuando carga el cliente, el IVE lo usa como el
predeterminado y lo descarga a los sistemas de los usuarios cuando sea
necesario. También debe especificar el número de versión exacto del
cliente ICA.
Downloaded from a URL: El IVE instala el cliente ICA que usted elige
desde el sitio Web especificado. También debe especificar el número de
versión exacto del cliente ICA.
NOTA:
Si elige descargar un cliente ICA desde el sitio Web o dirección URL de Citrix,
el IVE asegura la transacción descargada al procesar la dirección URL a través
del Motor de intermediación de contenido del IVE. Por lo tanto, debe
seleccionar un sitio al que pueda tener acceso el IVE y que esté habilitado para
los usuarios dentro de este rol.
[wfica.ocx]
file-win32-x86=thiscab
clsid={238F6F83-B8B4-11CF-8771-00A024541EE3}
FileVersion=8,00,24737,0
[wfica32.exe]
file-win32-x86=thiscab
FileVersion=8,00,24737,0
3. Habilite la opción User can add sessions para permitir que los usuarios definan
sus propios marcadores de sesión de terminal y que tengan acceso a los
servidores de terminal a través de la barra de navegación del IVE en la página
de inicio del IVE. Cuando habilite esta opción, aparecerá el botón Add Terminal
Services Session en la página Terminal Services la próxima vez que el usuario
actualice la consola del usuario del IVE.
5. Si desea permitir a los usuarios que habiliten el acceso a los dispositivos locales
mediante los marcadores que ellos crean, seleccione las siguientes opciones de
la sección Allow users to enable local resources defined below:
Users can connect drives: Permite que los usuarios creen marcadores que
conectan sus unidades locales con el servidor de terminal, permitiéndole al
usuario copiar la información desde el servidor de terminal a sus
directorios locales de cliente.
User can connect printers: Permite que los usuarios creen marcadores
que conectan sus impresoras locales con el servidor de terminal,
permitiéndole al usuario imprimir la información desde el servidor
de terminal en su impresora local.
User can connect COM Ports: Permite que los usuarios creen marcadores
que conecten sus puertos COM con el servidor de terminal, permitiendo la
comunicación entre el servidor de terminal y los dispositivos en sus
puertos serie.
NOTA:
User can connect smart cards: Permita a los usuarios utilizar lectores de
tarjetas inteligentes conectadas a su sistema para autenticar su sesión de
escritorio remoto.
User can connect sound devices: Permita a los usuarios redirigir el audio
desde la sesión de escritorio remoto a su sistema local.
NOTA: Las tarjetas inteligentes que redirigen audio son compatibles con Remote
Desktop Protocol de Microsoft versión 5.1 y posteriores.
Cuando habilita la característica Terminal Services para un rol, debe crear directivas
de recursos que especifiquen los servidores remotos a los que puede obtener
acceso un usuario. Puede crear directivas de recursos mediante la interfaz estándar
(según se describe en esta sección) o mediante los perfiles de recursos (método
recomendado).
Recursos: Una directiva de recursos debe especificar uno o más recursos en los
que se aplica la directiva. Cuando escriba una directiva de Terminal Services,
deberá especificar el servidor de terminal al que los usuarios se pueden
conectar.
Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evalúa estas directivas que corresponden a la solicitud.
El motor de la plataforma del IVE que evalúa las directivas de recursos requiere que
los recursos que aparecen en la lista de Resources de una directiva sigan un
formato canónico, como se explica en “Especificación de los recursos para una
directiva de recursos” en la página 103.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o más reglas detalladas para esta
directiva. Para obtener más información, consulte “Escritura de una regla
detallada” en la página 109.
Cuando habilita esta opción, el IVE compila una lista de los nombres de host
especificados en el campo Resources de cada directiva de recursos de Terminal
Services. El IVE aplica la opción a su lista integral de nombres de host.
NOTA: Esta opción no se aplica a los nombres de host que incluyen comodines
y parámetros.
Secure Meeting permite a los usuarios del IVE programar y realizar de forma segura
reuniones en línea entre ellos y otros que no usen el IVE. Durante las reuniones, los
usuarios pueden compartir sus escritorios y aplicaciones con otros a través de una
conexión segura, permitiendo a todos los participantes de la reunión compartir
instantáneamente datos electrónicos en pantalla. Los asistentes a las reuniones
también pueden colaborar de forma segura controlando desde una ubicación
remota el escritorio de otro usuario y a través de un chat de texto mediante una
ventana de aplicación aparte que no interfiere con la presentación.
1. Especifique una identidad de red para el IVE a través de la página System >
Network > Overview de la consola de administración. Secure Meeting utiliza
este nombre de host al construir la URL de la reunión para propósitos de
notificaciones por correo electrónico. Para obtener instrucciones, consulte
“Configuración de los ajustes de la red” en la página 702.
Use los ajustes de la página Users > User Roles > Seleccionar rol >
General para habilitar Secure Meeting a nivel de rol. Para obtener
instrucciones, consulte “Definición de los ajustes de rol: Secure Meeting”
en la página 633.
Use los ajustes de la página Users > User Roles > Seleccionar rol >
Meetings > Options para configurar las restricciones de reuniones a nivel
de rol. Para obtener instrucciones, consulte “Definición de los ajustes de
rol: Secure Meeting” en la página 633.
3. Especifique los servidores de autenticación a los que pueden tener acceso los
creadores de la reunión y en los que pueden buscar mediante los ajustes de las
siguientes páginas de la consola de administración:
Use los ajustes de la página Users > User Roles > Seleccionar rol >
Meetings > Auth Servers para especificar los servidores de autenticación
a los que pueden tener acceso los creadores de la reunión y en los que
pueden buscar. Para obtener instrucciones, consulte “Especificación de los
servidores a los que pueden acceder los creadores de reuniones” en la
página 638.
Use los ajustes de la página Authentication > Signing In > Sign-in Pages
para personalizar las páginas que ven los asistentes a la reunión al iniciar
sesión en una reunión.
5. Configure los ajustes de la reunión a nivel de sistema, entre ellos los tiempos de
espera de sesión, la información de servidor SMTP, los ajustes de huso horario y
los de profundidad de color mediante las opciones de la página System >
Configuration > Secure Meeting de la consola de administración. Para
obtener instrucciones, consulte “Configuración de los ajustes de reunión a nivel
de sistema” en la página 640.
6. Si desea habilitar el registro del lado cliente, use los ajustes de las siguientes
páginas de la consola de administración:
Use los ajustes de la página System > Log/Monitoring > Client Logs >
Settings de la consola de administración para habilitar el registro del lado
cliente. Debe habilitar esta opción para generar registros para los usuarios
finales del IVE y para los asistentes a la reunión. Para obtener
instrucciones, consulte “Habilitación de registros del lado cliente” en la
página 841.
Use los ajustes de la página Users > User Roles > Seleccionar rol >
General > Session Options de la consola de administración para que los
asistentes a la reunión puedan cargar sus archivos de registro directamente
en el IVE, en lugar de tener que empaquetarlos y enviárselos por correo
electrónico. Para obtener instrucciones, consulte “Configuración de los
ajustes de reunión a nivel de sistema” en la página 640.
Use los ajustes de la página System > Log/Monitoring > Uploaded Logs
de la consola de administración para ver los registros que los usuarios
envían al IVE. Para obtener instrucciones, consulte “Visualización de
registros cargados del lado cliente” en la página 844.
NOTA: Secure Meeting instala los archivos del cliente en diferentes directorios del
sistema operativo y privilegios. Para obtener más información, consulte el manual
Client-side Changes Guide en el Juniper Networks Customer Support Center.
Programación de reuniones
Todas las reuniones en línea de Secure Meeting debe programarlas un usuario del
IVE. El creador de la reunión especifica los detalles de la reunión, como nombre de
la reunión, descripción, hora de inicio, fecha de inicio, frecuencia, duración,
contraseña y una lista de invitados.
Las reuniones MySecureMeeting le permiten crear reuniones con URL estáticas para
un tipo específico (por ejemplo, reuniones de estado semanales). No es necesario
programar este tipo de reuniones. El director comienza la reunión, y los invitados
introducen la URL para asistir a ella. Para obtener más información, consulte
“Creación de reuniones MySecureMeeting” en la página 632.
3. Usar la ficha Secure Meeting para introducir los detalles acerca del IVE en que
se debe programar la reunión, además de las credenciales de inicio de sesión,
territorio y la contraseña de una reunión del usuario.
NOTA: Debido a las limitaciones con Microsoft Outlook, no todos los detalles de la
reunión se llenan entre Microsoft Outlook y el IVE. Por ejemplo, si el usuario
programa una reunión a través del IVE, Microsoft Outlook no muestra la reunión
en su calendario. Para obtener una lista completa de las reuniones, consulte el
documento Secure Meeting for Outlook, disponible en el sistema de ayuda del
usuario final del IVE, así como también el instalador del complemento de Secure
Meeting para Outlook.
NOTA: La ficha Appointment tiene una casilla de verificación con la etiqueta This
is an online meeting using…, que no se relaciona con el servidor de la reunión ni
el complemento de Secure Meeting para Outlook, y no la puede utilizar el
complemento de terceros.
6. Outlook envía correos electrónicos de invitación a los invitados que usan texto
y el enlace de URL de la reunión construido por el complemento de Secure
Meeting para Outlook. Además, Outlook agrega la reunión a los calendarios de
Outlook de los invitados a la reunión. Este elemento del calendario incluye toda
la información estándar registrada por Outlook, además de la ficha adicional
Secure Meeting, que contiene la información especificada por el creador de la
reunión en la ficha Secure Meeting. Tenga en cuenta que el IVE no envía un
correo electrónico adicional mediante el servidor SMTP. Para obtener más
información, consulte “Envío de correos electrónicos de notificación” en la
página 625.
7. Para eliminar una reunión, haga clic en Delete Meeting from Server en la ficha
Secure Meeting. La reunión no se elimina haciendo clic en Delete del
formulario de Outlook.
Si los usuarios programan reuniones a través de la consola de usuario final del IVE,
debe habilitar un servidor SMTP en la página Users > Resource Policies >
Meetings de la consola de administración para poder enviar correos electrónicos de
notificación a los invitados. Al hacerlo, Secure Meeting obtiene direcciones de
correo electrónico de las siguientes fuentes:
Si la persona que crea una reunión en Secure Meeting usa invitaciones por correo
electrónico y tiene acceso al IVE mediante una URL que no sea el nombre de
dominio completamente calificado (por ejemplo, https://ive, no
https://ive.empresa.com), la invitación por correo electrónico puede mostrar
https://ive en la información de la invitación y no el verdadero nombre de host.
Como resultado de ello, es posible que los destinatarios de correos electrónicos no
puedan tener acceso al enlace del correo electrónico. Le recomendamos configurar
la identidad de la red del IVE. Si se configuran, las invitaciones de Secure Meeting
usan dicho nombre de host.
Para entrar en una reunión, los invitados de Secure Meeting deben dirigirse hasta
el sitio de la reunión del servidor de Secure Meeting (IVE) mediante uno de los
siguientes métodos:
Use el enlace que aparece en la página Meetings (sólo invitados del IVE).
Para obtener la URL de una reunión, su creador puede buscar en la página Join
Meeting. También, si elige el uso de la URL predeterminada de la reunión, cualquier
invitado a la reunión puede determinar la URL correcta introduciendo los valores
correspondientes en la siguiente URL:
https://<YourIVE>/meeting/<MeetingID>
Donde:
https://connect.acmegizmo.com/meeting/86329712
https://connect.acmegizmo.com/meetings/chris/weeklyStatus
Una vez que se dirigieron al sitio de la reunión, los usuarios autenticados del IVE
pueden entrar directamente a la reunión; no es necesario que introduzcan un
nombre de usuario ni una contraseña para tener acceso al sitio de la reunión en
el IVE debido a que ya se les autenticó a través del IVE.
Sin embargo, los usuarios que no son del IVE deben introducir un nombre y una
contraseña en la página de inicio de sesión dado que aún no se les autentica.
Secure Meeting autentica a los asistentes que no son usuarios del IVE según las ID
y contraseñas de la reunión que introducen en la página de inicio de sesión. (Tenga
en cuenta que el IVE no usa los nombres de los invitados para su autenticación; sólo
usa los nombres para mostrarlos durante la reunión.)
Cuando un invitado decide entrar en una reunión, Secure Meeting descarga o inicia
un cliente de Windows o un applet de Java en el sistema del invitado. Este
componente del lado cliente contiene un visor de reuniones, herramientas de
presentación y una aplicación de mensajes de texto. Una vez que Secure Meeting
inicia el cliente de Windows o el applet de Java en el escritorio del usuario, éste se
convierte en un asistente a la reunión y puede comenzar a participar de ella.
Por ejemplo, si el CFO de su empresa optar por realizar una reunión con la
comunidad de analistas de la empresa, puede optar por ocultar los nombres de los
asistentes a fin de mantener la confidencialidad de sus identidades. Además, puede
optar por desactivar el chat de texto para que los asistentes a la reunión no
interrumpan la presentación del CFO.
Puede inhabilitar el chat de texto y habilitar los nombres ocultos de los roles de
cada uno de los usuarios. También, puede especificar que los creadores de la
reunión dentro del rol puedan decidir si Secure Meeting oculta los nombres de los
asistentes o no. Si lo hace, los creadores de la reunión pueden elegir esta opción en
las siguientes situaciones:
Si usted o el creador de la reunión opta por ocultar los nombres de los asistentes,
los usuarios de Secure Meeting sólo podrán ver sus propios nombres y los del
director y presentador de la reunión. Para obtener más información, consulte
“Dirección de reuniones” en la página 629 y “Presentación de reuniones” en la
página 630.
La funcionalidad del chat de Secure Meeting sólo admite usuarios que usen
codificación en el mismo idioma (según los ajustes del explorador Web) en una sola
reunión. El uso de una codificación diferente ocasionará la generación de texto
incomprensible. Las invitaciones a la reunión se envían según el ajuste de idioma
del explorador Web del creador al crear o guardar las reuniones.
Dirección de reuniones
El director de la reunión corresponde a un usuario del IVE que se encarga de iniciar
la reunión. Secure Meeting le otorga al director las siguientes responsabilidades y
capacidades que le ayudarán a realizar eficazmente su reunión:
Presentación de reuniones
Una vez que el presentador comienza a compartir, se abre automáticamente un
visor de reuniones en todos los escritorios de los asistentes a la reunión y muestra
las aplicaciones compartidas del presentador1. Secure Meeting otorga al
presentador las siguientes capacidades que le ayudarán a realizar una presentación
eficaz a los demás usuarios:
1. Secure Meeting no puede mostrar el contenido del escritorio del presentador de la reunión si éste está
bloqueado.
1. El creador de la reunión puede cambiar los ajustes predeterminados para una reunión instantánea o de apoyo
volviendo a la página Meeting Details después de crear la reunión.
https://<YourIVE>/<MySecureMeetingRoot>/<userToken>/<MeetingID>
Donde:
https://my.company.com/meetings/chris/
https://my.company.com/meetings/room1
https://my.company.com/meetings/chris.andrew
https://my.company.com/meetings/chris/weeklystaff
632 Información general de Secure Meeting
Capítulo 23: Secure Meeting
Todas las reuniones pasadas aparecen en la página Meetings del usuario, facilitando
la ubicación de una reunión específica y la recuperación de detalles de reuniones.
Una vez que se dirigieron al sitio de la reunión, los usuarios autenticados del IVE
pueden entrar directamente a la reunión; no es necesario que introduzcan un
nombre de usuario ni una contraseña para tener acceso al sitio de la reunión en el
IVE debido a que ya se autenticaron a través del IVE.
Sin embargo, los usuarios que no son del IVE deben introducir un nombre y una
contraseña en la página de inicio de sesión dado que aún no se les autentica.
MySecureMeeting autentica a los asistentes que no son usuarios del IVE según las
ID y contraseñas de la reunión que introducen en la página de inicio de sesión.
(Tenga en cuenta que el IVE no usa los nombres de los invitados para su
autenticación; sólo usa los nombres para mostrarlos durante la reunión.)
2. Seleccione un rol.
Password must have one or more digits: Seleccione esta opción para que
las contraseñas deban tener al menos un dígito.
Password must have one or more letters: Seleccione esta opción para que
las contraseñas deban tener al menos una letra.
Do not allow hiding of attendee names: Seleccione esta opción para que
aparezcan siempre los nombres de los asistentes a la reunión.
Hide attendee names: Seleccione esta opción para que se oculten siempre
los nombres de los asistentes a la reunión. Tenga en cuenta que, al
seleccionar esta opción, Secure Meeting igual revela los nombres del
director y presentador de la reunión a otros asistentes a ella.
Disable remote control (more secure): Seleccione esta opción para limitar
el control del escritorio y de las aplicaciones del presentador de la reunión
exclusivamente al presentador.
12. En Secure Chat, indique si desea o no permitir a los usuarios chatear durante
sus reuniones:
Allow secure chat (more functional): Seleccione esta opción para habilitar
el chat en las reuniones que crean los usuarios asignados a este rol.
Disable secure chat (more secure): Seleccione esta opción para inhabilitar
el chat en las reuniones que crean los usuarios asignados a este rol.
NOTA: Si cambia este ajuste durante el curso de una reunión (es decir, después de
que algún usuario haya entrado en la reunión), Secure Meeting no aplica el ajuste
modificado a la reunión en curso.
13. (sólo reuniones estándar) En Secure Meeting for Outlook, seleccione la casilla
de verificación Allow users to download Secure Meeting for Outlook Plugin si
desea permitir que los usuarios programen reuniones seguras a través de
Microsoft Outlook (como se explica en “Programación de reuniones” en la
página 622).
14. En Meeting Policy Settings, indique si desea o no restringir los recursos usados
por los usuarios de Secure Meeting:
NOTA: El IVE también limita el número de reuniones a las que los usuarios pueden
asistir. Un usuario individual sólo puede asistir a una reunión a la vez por equipo y
no puede asistir a más de 10 reuniones consecutivas en un período de 3 minutos.
Estos límites se suman a los de la reunión y del usuario definidos por la licencia
Secure Meeting.
15. Haga clic en Save Changes. El IVE agrega un enlace Meeting a las páginas
principales de puertas de enlace seguro de los usuarios en el rol especificado.
Por ejemplo, puede especificar que los siguientes roles puedan programar el
siguientes número de reuniones:
Ingeniería: 25 reuniones
Administración: 50 reuniones
Si Joe asigna todos estos roles (en el orden en que aparecen), e intenta programar
una reunión, Secure Meeting primero comprueba si se llegó al límite de reunión
programado para Ingeniería. Si es así, Secure Meeting comprueba el cupo de la
reunión de Administración. Si se llegó al límite, Secure Meeting comprueba el límite
para el rol Ventas. Sólo una vez que se llega al límite de estos roles, Secure Meeting
muestra un mensaje a Joe diciéndole que se alcanzó el límite de reuniones
programado y que no puede crear una reunión. No se puede limitar el número de
reuniones ni de usuarios en reunión a nivel de territorio.
Especificación de los servidores a los que pueden acceder los creadores de reuniones
Puede especificar los servidores de autenticación a los que pueden acceder los
creadores de la reunión y en que pueden buscar si desean invitar a otros usuarios
del IVE a las reuniones. Al especificar los servidores, puede seleccionar cualquiera
de los servidores de autenticación que habilitó a través de la página
Authentication > Auth. Servers de la consola de administración.
Al habilitar creadores de reuniones, Secure Meeting les muestra las siguientes fichas
en el cuadro de diálogo Add Invitees:
NOTA: Si habilita un servidor LDAP, tenga en cuenta que se debe poder buscar en
él. También tenga en cuenta que puede usar las opciones de la ficha
Authentication > Auth. Servers > Seleccionar servidor LDAP > Meetings para
especificar los atributos LDAP individuales que debe mostrar Secure Meeting a los
creadores de la reunión cuando realizan búsquedas en una base de datos LDAP.
Para obtener más información, consulte “Especificación de los servidores a los
que pueden acceder los creadores de reuniones” en la página 638.
Para especificar los servidores de autenticación a los que pueden tener acceso los
usuarios y en que pueden buscar al programar una reunión:
2. Seleccione un rol.
Idle Timeout: Use este campo para especificar los minutos que la sesión
de una reunión puede permanecer inactiva antes de finalizar.
Max. Session Length: Use este campo para especificar los minutos que la
sesión de una reunión puede permanecer abierta antes de finalizar.
3. En la sección Upload logs, seleccione Enable Upload Logs para permitir a los
usuarios ajenos al IVE cargar registros de la reunión.
NOTA: Si selecciona la opción Upload Logs, también debe usar los ajustes de la
página System > Log/Monitoring > Client Logs > Settings de la consola de
administración para habilitar el registro del lado cliente. Para obtener
instrucciones, consulte “Habilitación de registros del lado cliente” en la
página 841.
NOTA: El cambio de este token afecta sólo a los usuarios que no han creado
reuniones. Los usuarios que ya han creado MySecureMeetings conservan sus
ajustes de token existentes.
Para ver una lista de las direcciones URL de MySecureMeeting que los usuarios
ya han creado, consulte System > Status > Meeting Schedule. Elija
MySecureMeeting URLs en el menú desplegable View.
NOTA: Si habilita un servidor SMTP para usar con Secure Meeting, también debe
definir un nombre de host virtual para su dispositivo IVE en el campo Hostname
de la ficha System > Network > Overview. Secure Meeting usa el nombre que
especificó al llenar los correos electrónicos de notificación con direcciones URL de
la reunión y al hacer llamadas SMTP. Si su IVE se corresponde con varios nombres
y no define un nombre de host virtual, es posible que deba restringir el nombre
con que los usuarios IVE inician sesión antes de crear una reunión. Por ejemplo,
si su IVE se corresponde con un nombre interno (como sales.acmegizmo.com) al
cual se pueda acceder sólo desde el interior del cortafuegos de su empresa y otro
nombre (como partners.acmegizmo.com) al cual se pueda acceder de todos lados,
los usuarios del IVE deben iniciar sesión en partners.acmegizmo.com para poder
crear reuniones. De lo contrario, los invitados que no son de IVE recibirán correos
electrónicos de notificación que contengan vínculos a un IVE al cual no se pueden
conectar.
NOTA: Cuando un usuario inicia sesión en IVE, Secure Meeting determina su huso
horario ejecutando un componente de ActiveX llamado “Captador de huso
horario” (“Timezone Grabber”) en su equipo.
8. Configure los ajustes de Secure Meeting para los roles de cada uno mediante
las instrucciones en “Definición de los ajustes de rol: Secure Meeting” en la
página 633.
Consulte el PDF Secure Meeting Error Messages: El PDF Secure Meeting Error
Messages en el Juniper Networks Customer Support Center enumera los errores
que puede detectar cuando configura o usa Secure Meeting y explica cómo
manejarlos.
Problemas conocidos
Creación de clústeres
Las reuniones Secure Meeting en curso se suspenden si se crea un clúster durante
la reunión.
System > Status > Overview: Use esta página para ver el uso de la capacidad
del sistema en un dispositivo IVE. Para obtener instrucciones, consulte
“Esquemas XML de los gráficos del panel de la administración central” en la
página 718.
System > Status > Meeting Schedule: Use esta página para ver qué usuarios
están actualmente en una reunión y expulsarlos si es necesario. Para obtener
instrucciones, consulte “Programación de reuniones” en la página 622.
Opción Secure Email Client: Si tiene la opción Secure Email Client, el IVE
admite el protocolo de acceso a mensajes en Internet (IMAP4), el protocolo de
oficina postal (POP3) y el protocolo simple de transferencia de correo (SMTP).
El IVE se sitúa entre el cliente remoto y el servidor de correo y sirve como proxy de
correo electrónico seguro. El cliente remoto usa el IVE como un servidor de correo
(virtual) y envía el correo mediante un protocolo SSL. El IVE termina las conexiones
SSL desde el cliente y reenvía el tráfico de correo desencriptado dentro de la LAN
hacia el servidor de correo. Luego, el IVE convierte el tráfico desencriptado desde el
servidor de correo en tráfico S-IMAP (Secure IMAP o IMAP seguro), S-POP (Secure
POP o POP seguro) y S-SMTP (SMTP seguro) respectivamente y lo transporta
mediante SSL al cliente de correo electrónico.
647
Guía de administración de Secure Access de Juniper Networks
Los usuarios que necesiten acceso remoto al correo electrónico normalmente están
en una de estas dos categorías:
clientes IMAP
clientes POP
Cuando se trabaja con clientes Outlook Express o Netscape en modo IMAP, ocurre
lo siguiente con la administración de carpetas:
Arrastren los mensajes que desean borrar a la carpeta Deleted Items que
se encuentra debajo de Local Folders (estas son carpetas
predeterminadas). Esta carpeta se sincroniza con la carpeta Deleted Items
del servidor Exchange, lo que permite recuperar los mensajes borrados
posteriormente.
Además, los mensajes enviados pasan a la carpeta Sent (u otra definida por el
usuario). Si el usuario desea que los mensajes enviados aparezcan en la carpeta
Sent Items del servidor Microsoft Exchange, debe arrastrarlos manualmente
desde la carpeta Netscape Sent a la carpeta Sent Items.
1. El cliente Outlook 2000 solo admite una configuración del servidor de correo, que en este caso sería el modo
MAPI nativo, con objeto de impedir que se utilice el mismo cliente para tener acceso remoto. El cliente
Outlook 2002 admite configuraciones de servidor MAPI e IMAP simultáneas pero no admite acceso IMAP
cuando la cuenta MAPI está fuera de línea, lo que impide a los usuarios externos recuperar correo electrónico.
NOTA: Cuando se usa el IVE para tener acceso a Outlook Web Access se protege el
servidor web IIS de Outlook Web Access de ataques típicos, tales como Nimda, y
por ende es más seguro que subir el Outlook Web Access directamente a Internet.
4. Cree una directiva de recursos que especifique los ajustes del servidor de correo
según las instrucciones de la sección “Definición de directivas de recursos:
Email Client” en la página 652.
El IVE admite varios servidores de correo. Se puede exigir a todos los usuarios que
usen un servidor de correo predeterminado o se les puede permitir especificar un
servidor de correo SMTP, IMAP o POP predeterminado. Si se les permite especificar
un servidor de correo personalizado, deben especificar los ajustes del servidor
mediante el IVE. El IVE administra los nombres de usuario del correo electrónico
para evitar conflictos entre nombres.
Para redactar una directiva de recursos para el servidor de correo del Email Client:
La opción Network Connect otorga acceso remoto seguro de nivel de red basado en
SSL a todos los recursos de aplicación de la empresa con el IVE por el puerto 443.
Cuando el usuario inicia Network Connect, éste transmite todo el tráfico desde o
hacia el cliente por un túnel Network Connect seguro. (Consulte la Figura 40 en la
página 657.) La única excepción corresponde al tráfico iniciado por otras
características activadas por el IVE, como la exploración Web, exploración de
archivos y Telnet/SSH. Si no desea habilitar otras características del IVE para
determinados usuarios, cree un rol de usuario para el cual sólo esté habilitada la
opción Network Connect y compruebe que los usuarios asignados a este rol no
estén también asignados a otros roles que hayan habilitado otras características
del IVE.
655
Guía de administración de Secure Access de Juniper Networks
Puede asegurarse de que la LAN remota del usuario no se pueda conectar con
recursos corporativos internos negando el acceso de usuario a la subred local
(configurada en la ficha Users > User Roles > Seleccionar rol > Network
Connect). Si no permite el acceso a una subred local, un dispositivo IVE finalizará
las sesiones de Network Connect iniciadas por clientes con rutas estáticas definidas.
También puede exigirles a los clientes que ejecuten soluciones de seguridad de
punto final, como un cortafuegos personal, antes de iniciar una sesión de acceso
remoto de nivel de red. Host Checker, que realiza comprobaciones de seguridad de
punto final en hosts que se conectan con un dispositivo IVE, puede verificar si los
clientes usan un software de seguridad de punto final. Para obtener más
información, consulte “Host Checker” en la página 257.
NOTA: Network Connect agrega una entrada de archivo hosts para admitir el
siguiente caso:
656
Capítulo 25: Network Connect
657
Guía de administración de Secure Access de Juniper Networks
NOTA: Debe habilitar Network Connect para un rol determinado si desea que un
usuario asignado a dicho rol pueda usar GINA durante el acceso a Windows.
4. Especifique una dirección IP para el proceso del lado del servidor Network
Connect para usarse en todas las sesiones de usuario de Network Connect de la
página System > Network > Network Connect de la consola de
administración. Para obtener detalles, consulte “Aprovisionamiento de la red
para Network Connect” en la página 668.
6. Si desea habilitar o inhabilitar el acceso del lado cliente para Network Connect,
configure las opciones correctas de la ficha System > Configuration >
Security > Client-side Logs de la consola de administración. Para obtener
instrucciones, consulte “Habilitación de registros del lado cliente” en la
página 841.
NOTA: Para instalar Network Connect, los usuarios deben contar con los privilegios
adecuados descritos en la Client-side Changes Guide (Guía de cambios del lado
cliente) del Juniper Customer Support Center. Si el usuario no cuenta con estos
privilegios, use el Servicio de instalador Juniper disponible en la página
Maintenance > System > Installers de la consola de administración para omitir
este requisito.
Permita iExplorer.exe.
Para obtener más información sobre la eliminación del control Juniper ActiveX,
consulte “Eliminación del control ActiveX de Juniper” en la página 317.
b. Si el equipo cliente cuenta con una versión anterior del software Network
Connect, actualice los componentes de Network Connect de acuerdo con la
versión más reciente e instale la versión más reciente de UI del IVE.
NOTA: Para obtener información sobre applets Java válidos, archivos y registros
de instalación, y directorios de sistemas operativos en que se pueda ejecutar
mecanismos de entrega, consulte la Client-side Changes Guide (Guía de cambios
del lado cliente) del Juniper Networks Customer Support Center.
3. Una vez instalado, el agente Network Connect envía una petición al dispositivo
IVE para que inicialice una conexión con una dirección IP del conjunto de
direcciones IP previamente proporcionado (definido en las directivas de
recursos de perfiles de conexión de Network Connect aplicables al rol del
usuario).
El agente Network Connect del lado cliente se comunica con el dispositivo IVE, que,
a su vez, envía peticiones del cliente a los recursos de la empresa.
User signs in to
IVE via Network
Connect
No
GINA installation
Network Connect No Yes completed and
Does user choose
installed without user asked
to enable GINA?
GINA capability whether or not to
reboot at this time
El proceso de instalación de GINA se lleva a cabo una vez y requiere que el usuario
reinicie el sistema para poder habilitar la capacidad de inicio de sesión GINA.
A partir de dicha sesión, GINA avisa al usuario si se debe iniciar o no Network
Connect en cada inicio de sesión de Windows. Cuando el usuario inicia sesión
en Network Connect, a menos que se especifique lo contrario, GINA pasa las
credenciales de inicio de sesión de Windows del usuario al IVE para una
autenticación antes de establecer el túnel de Network Connect.
Windows
User launches credentials User connected
Windows on client presented to IVE to network
for authentication
Yes Yes
GINA
Yes
Yes sign-in appears. Yes
Does client have Was the tunnel Is user signed in to
Does user want to
network connectivity? established? Windows NT domain?
launch Network
Connect?
No No No No
User signs in to
Attempt user
Windows using User signs in to
credential
cached credentials, no Windows using
verification three
GINA sign-in cached credentials
times only.
displayed, and no and connected to
If unable to
network connectivity LAN only authenticate,
established
display error
message and
connect to LAN
Cuando un usuario inicia sesión en el IVE a través de GINA Juniper, si la versión del
cliente de Network Connect presente en el equipo del usuario coincide con la del
IVE, GINA Juniper establece una conexión Network Connect con el IVE. Si las
versiones de Network Connect no coinciden, GINA Juniper no establece una
conexión de Network Connect con el IVE. Antes de la versión 5.4, GINA Juniper
muestra una advertencia de discrepancia de versiones y permite a los usuarios
iniciar sesión en el escritorio de Windows con sus credenciales en caché. Con la
versión 5.4 y posterior, GINA Juniper permite a los usuarios iniciar sesión en el
escritorio de Windows mediante sus credenciales en caché; luego, inicia un cliente
red independiente. Los usuarios inician sesión en el IVE, y el cliente de Network
Connect correspondiente se descarga automáticamente en el equipo del usuario
y se inicia.
Debe ver el icono de acceso de red. Si sólo ve los mosaicos estándar de usuario
de Windows, haga clic en la opción Switch user bajo los mosaicos estándar de
credenciales de Windows para ver el icono de acceso de red.
NOTA: Aunque los usuarios opten por no iniciar Network Connect, el instalador
de Network Connect igual instala automáticamente la aplicación de cliente en su
equipo, pero no inicia Network Connect. Una vez instalada la aplicación cliente,
los usuarios pueden optar por desinstalarla manualmente a través de su página
inicial de puerta de enlace segura o de las opciones de carpeta disponibles en el
menú Start de Windows.
NOTA: Los usuarios deben iniciar sesión en Windows antes de que transcurran
Usted 5 minutos a partir de la reaparición de la pantalla de inicio de sesión, o antes de
que la directiva de Host Checker determine que el período terminó, lo que ocurra
primero. Si no, puede terminar el tiempo de espera de su conexión de Network
Connect, y no podrán iniciar sesión en Windows a través de un túnel seguro.
Aparece un error si se termina el tiempo de espera de la conexión de Network
Connect.
1. Los usuarios deben acceder a su equipo local con sus credenciales almacenadas
en la caché del dominio. Su equipo debe formar parte de un dominio de
Windows.
2. Los usuarios deben iniciar Network Connect y hacer clic en Tools en la página
de inicio de sesión de Network Connect.
Cuando inicia una sesión de Network Connect de un usuario, el IVE usa un perfil
que coincide con la asociación del rol del usuario que contenga la dirección IP,
DNS y los ajustes de WINS.
Proveedor ¿Compatible?
Cisco Sí
Nortel Sí
NS Remote Sí
Intel Sí
Checkpoint Sí
Si desea instalar Network Connect en un cliente que presente una aplicación cliente
de VPN incompatible, debe desinstalar la aplicación incompatible antes de instalar
o iniciar Network Connect en el cliente.
NOTA: Si los usuarios de Network Connect desactivan el registro del lado cliente
(incluso si el registro está activado en el IVE), el cliente no registra nueva
información de registro del lado cliente. Si el usuario activa la función de registro,
y seguidamente, el IVE se configura para inhabilitar el registro del lado cliente,
el cliente no registra nueva información de registro del lado cliente.
En el caso de los clientes remotos que usan un servidor proxy para acceder a
Internet, todas las peticiones HTTP generadas por el explorador y destinadas al
IVE (como el tráfico de transporte de NCP) pasan por un proxy explícito o por
un archivo PAC al que accede el cliente remoto. Debido a la presencia de un
proxy explícito o a que un acceso a un archivo PAC ya se proporcionó en el lado
cliente, el cliente configura el proxy local temporal antes de intentar establecer
una sesión.
En el caso de los clientes remotos que usan un proxy para acceder a recursos
corporativos en una red corporativa, pero que aún pueden conectarse
directamente a Internet sin un proxy, Network Connect identifica los ajustes del
proxy en el cliente aunque no se pueda acceder al servidor proxy hasta que
Network Connect establezca una conexión. Una vez que establece una
conexión, Network Connect crea el proxy local temporal.
Si los usuarios emiten una petición para unirse a un grupo de multicast, el IVE envía
un mensaje IGMP join al enrutador o conmutador de multicast local en nombre del
cliente. Además, el IVE guarda las consultas de peticiones de grupos de IGMP en la
caché para que cada vez que un enrutador de multicast de la red pida información
al IVE sobre el grupo de IGMP, éste le responda con el conjunto actual de peticiones
de usuario y grupo de multicast. Si un enrutador o conmutador no recibe una
respuesta del IVE, la información del grupo de multicast para el IVE se elimina
de la tabla de reenvío del enrutador o conmutador.
1. En la consola de administración, elija Users > User Roles > Rol >
Network Connect.
Disable Split Tunneling: Todo el tráfico de la red que proviene del cliente
pasa por el túnel de Network Connect. Cuando Network Connect establece
correctamente una conexión con el IVE, éste elimina todas las rutas locales
predefinidas (cliente) de subred y entre hosts que puedan causar división
de encapsulamiento. Si se hacen cambios a la ruta del cliente durante una
sesión activa de Network Connect, el IVE finaliza la sesión.
Enable Split Tunneling with route change monitor: Una vez iniciada una
sesión de Network Connect, si se realizan cambios en las combinaciones
de dirección IP/máscara de red dirigidas al tráfico a través de Network
Connect en la tabla de rutas del cliente, se finaliza la sesión. Esta opción
retiene el acceso a los recursos locales, como las impresoras.
NOTA:
Require NC to start when logging into Windows: Una vez que se instala
GINA, esta opción inicia automáticamente la función de inicio de sesión de
Network Connect en todo inicio de sesión de usuario de Windows.
NOTA: Debe habilitar Network Connect para un rol determinado si desea que
un usuario asignado a dicho rol pueda usar GINA durante el acceso a Windows.
NOTA:
El cliente debe ser un miembro del mismo dominio que el servidor remoto
para que NC pueda copiar los scripts de inicio y término. Si el servidor no
conoce las credenciales del cliente, la copia de scripts se interrumpe, y NC
no le pide al usuario introducir nombre de usuario y contraseña.
Windows sólo admite scripts con la extensión .bat, .cmd o .exe. Para ejecutar
un script .vbs, el usuario debe contar con un archivo de lote para invocar el
script .vbs.
El cliente de Network Connect hace una copia del script de término una vez
configurado el túnel y guarda el script en un directorio temporal a fin de
asegurar que, si se interrumpe la conexión de red, se pueda seguir usando
el script de término para finalizar la sesión de Network Connect.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Allow access: Seleccione esta opción para otorgar acceso a los recursos
especificados en la lista Resources.
Deny access: Seleccione esta opción para denegar el acceso a los recursos
especificados en la lista Resources.
Use Detailed Rules: Seleccione esta opción para definir las normas de
directivas de recursos que ponen restricciones adicionales a los recursos
especificados. Para obtener más información, consulte “Escritura de una
regla detallada” en la página 109.
Por ejemplo, para asignar todas las direcciones del rango entre 172.20.0.0 y
172.20.3.255, especifique 172.20.0.0-3.255. Para asignar todas las direcciones
de una clase C, especifique 10.20.30.0/24.
NOTA:
UDP port: Proporcione el puerto de IVE a través del cual piensa dirigir
el tráfico de la conexión de UDP. El número de puerto predeterminado
es 4500.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Automatic (URL for PAC file on another server): Especifica la URL del
servidor en el cual reside el archivo PAC y la frecuencia (en minutos) con
que Network Connect solicita al servidor una versión actualizada del
archivo PAC. Puede configurar Network Connect para que busque archivos
PAC actualizados con una frecuencia de hasta 1 minuto. El período de
actualización predeterminado es de 5 minutos. Si especifica un valor de
0 minutos, Network Connect nunca solicita al servidor un archivo PAC.
El archivo PAC debe residir en un servidor Web, no en el PC local.
NOTA: Network Connect limita el tamaño de los archivos PAC internos (del lado
servidor) a 30 K.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Allow access: Seleccione esta opción para otorgar acceso a los recursos
especificados en la lista Resources.
Use Detailed Rules (available after you click ‘Save Changes’): Seleccione
esta opción para definir las normas de directivas de recursos que ponen
restricciones adicionales a los recursos especificados. Para obtener más
información, consulte “Escritura de una regla detallada” en la página 109.
Host Checker y Cache Cleaner están configurados, y verifican los equipos de los
usuarios después del inicio de sesión del IVE e inician las sesiones de Network
Connect.
Todos los usuarios requieren acceso a tres servidores de gran capacidad en las
oficinas centrales corporativas con los siguientes atributos:
udp://10.2.3.64-127:80,443
udp://10.2.3.192-255:80,443
Los anchos de banda garantizado y máximo se definen a nivel de rol. Este límite
se aplica a todos los usuarios del rol y asegura que todos ellos reciban al menos la
cantidad garantizada de ancho de banda, pero no más que la cantidad máxima
configurada. Cuando los usuarios se asignan a múltiples roles, se usa el límite
mayor. Si no se define un ancho de banda garantizado a un rol, los usuarios en
dicho rol aún pueden iniciar sesión, pero no tienen garantizado ningún ancho de
banda. Es decir, su ancho de banda garantizado se configura en cero.
Para que el IVE no permita más ancho de banda que el total disponible, la
capacidad de iniciar túneles de Network Connect está restringida. Los usuarios
pueden iniciar Network Connect sólo si está disponible el ancho de banda
garantizado para su rol. Una vez que los usuarios inician una sesión de Network
Connect, nunca pierden la conexión debido a restricciones de ancho de banda.
Un nivel de privilegio controla esta restricción, que aparece en la siguiente tabla.
Por ejemplo, los usuarios asignados a un nivel de privilegio bajo pueden iniciar
Network Connect si el total actual de uso de ancho de banda de Network Connect
es menor que el 50% del ancho de banda máximo configurado de Network
Connect del IVE. Los usuarios asignados al nivel de privilegio máximo pueden
iniciar Network Connect en cualquier momento, siempre que haya disponible algún
ancho de banda de IVE.
Cuando un usuario intenta iniciar una conexión de Network Connect, la suma del
ancho de banda garantizado de todas las conexiones abiertas de Network Connect
se divide por el total de ancho de banda configurado de Network Connect de IVE.
Si el valor resultante es menor que el nivel de privilegio configurado de este usuario;
luego, se establece la conexión de Network Connect del usuario. De lo contrario,
se deniega la petición de conexión de Network Connect. Por ejemplo, si el privilegio
del usuario es del 75% y el consumo actual calculado es del 70%, se establece la
conexión de Network Connect del usuario. Si el consumo actual calculado es del
80%, se deniega la petición de conexión de Network Connect del usuario, y éste
recibe un código de error 23791.
A NC
connection
request is
received
NC bandwidth
management
is enabled
Yes
Is the user
allowed per
privilege?
Yes
No
Is there enough
No bandwidth left to allow
the user the
No guaranteed minimum
bandwidth?
Yes
El porcentaje actual del ancho de banda usado se calcula y compara con los
niveles de privilegio de la directiva de administración de ancho de banda
de los roles asignados.
La directiva del rol 2 cuenta con un ancho de banda mínimo garantizado mayor
que el rol 3; por lo tanto, gana el rol 2. El usuario recibe un ancho de banda
mínimo garantizado de 200 mbps y un ancho de banda máximo garantizado
de 400 mbps.
Sin embargo, si el total actual de ancho de banda usado es del 92%, sólo el
privilegio del rol 3 permite al usuario configurar el túnel de NC; por lo tanto, se usa
la directiva de administración de ancho de banda del rol 3. Así, el usuario cuenta
con un ancho de banda mínimo garantizado de 100 mbps y un ancho de banda
máximo garantizado de 400 mbps.
Limitaciones
La administración del ancho de banda puede no funcionar correctamente en las
siguientes condiciones:
NOTA: El ancho de banda máximo debe ser menor o igual que el valor máximo
calculado para el dispositivo.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegúrese de agregar roles a esta lista desde la lista
Available roles.
Especificación de filtros IP
Puede especificar filtros IP para que el IVE los aplique a los conjuntos IP de Network
Connect en la ficha System > Network > Network Connect de la consola de
administración. Un conjunto IP corresponde a un rango específico de direcciones IP
disponibles para peticiones de Network Connect (que se explica en “Network
Connect” en la página 655).
2. Valide el sistema:
10. Guarde los ajustes regionales y de GINA en el archivo config.ini del usuario.
i. Configuración regional
a. Desinstale el controlador.
a. dsNcAdmin.dll
b. dsNcDiag.dll
c. versioninfo.ini
Argumento Acción
-version Muestra la información de versión del iniciador de NC,
luego sale.
-help Muestra la información disponible sobre argumentos.
-u <nombre de usuario> Especifica el nombre de usuario.
-p <contraseña> Especifica la contraseña para autenticación.
-url <URL de IVE> Especifica la información de URL del IVE.
-r <territorio> Especifica el territorio al cual el IVE envía las credenciales
del usuario.
-c <certificate name> Especifica el certificado que se debe usar para la
autenticación del usuario en lugar de nombre de usuario
y contraseña. Para el <nombre del certificado>, use la
cadena especificada en el campo Issued To del certificado.
Para usar la autenticación de certificados con el iniciador de
NC, primero debe configurar el IVE para permitir al usuario
iniciar sesión a través de la autenticación de certificados del
usuario. También debe confiar en la CA de cliente fiable del
IVE (consulte “Uso de CA de cliente de confianza” en la
página 758) e instale el certificado del lado cliente
correspondiente en los exploradores de Web de sus usuarios
finales antes de ejecutar el iniciador de NC.
Al usar el argumento -c, también especifique los argumentos
-url y -r <territorio>.
Si el certificado no es válido, el iniciador de NC muestra un
mensaje de error en la línea de comandos y registra un
mensaje en el archivo nclauncher.log.
-d <DSID> Transfiere una cookie al iniciador de NC a partir de otro
mecanismo de autenticación una vez que arranca el
iniciador de NC.
-signout Finaliza el túnel de NC y cierra la sesión del usuario actual.
-stop Finaliza el túnel de NC.
Por ejemplo, puede distribuir una aplicación de inicio de sesión simple a sus
usuarios finales. La aplicación puede capturar el nombre de usuario y contraseña
del usuario final, el recurso de IVE al que intentan llegar y el territorio al cual están
asignados.
La Tabla 42 incluye los posibles códigos de retorno que nclauncher regresa al salir.
Código Descripción
-1 (-Detener/-Cerrar sesión) Network Connect no se está ejecutando.
Ocurrió un error del sistema.
0 Network Connect se inició.
1 Argumentos no válidos.
2 Network Connect no puede conectarse con la puerta de enlace
segura.
3 Network Connect no puede autenticarse con el servidor.
4 El rol especificado no es válido o no existe.
5 Network Connect no se puede ejecutar debido a que no se pudo
iniciar la aplicación de autenticación previa.
6 La instalación de Network Connect falló.
8 Network Connect no pudo realizar una actualización necesaria del
software.
10 El servidor con el cual intenta conectarse no admite esta
característica.
12 Network Connect no pudo autenticar el certificado del cliente.
nc.windows.app.23792
Si el usuario final encuentra este error (o nc.windows.app.1023), no se podrá
conectar al IVE.
En el cliente
El error puede indicar una instalación fallida de Java en el cliente. Dígale al
cliente que desinstale el JRE y que lo vuelva a instalar.
Uno o más de los terceros clientes del equipo de su usuario final pueden tener
defectos o estar interrumpiendo la conexión. Deberá revisar sus clientes,
o pedirle al usuario que lo haga, como clientes de VPN, antivirus, cortafuegos
personales, spyware y otros tipos de clientes de seguridad de punto final.
La carpeta \Documents and Settings del equipo del usuario final puede estar
encriptada. Network Connect no puede instalarse en un directorio encriptado.
En el IVE
Asegúrese de que la consulta de nombre de DNS para el IVE no se resuelva con
su dirección IP pública o privada.
<user_home>/.juniper_networks/ncLinuxApp.jar
<user_home>/.juniper_networks/network_connect/*.*
699
Guía de administración de Secure Access de Juniper Networks
700
Capítulo 26
Administración general del sistema
Puertos de enlace
Puertos SFP
Puertos de administración
VLAN
Características de clústeres
Aceleración de SSL
Instaladores de WSAM
Además, es posible que se deban realizar tareas más específicas que abarquen
múltiples temas. En esos casos, puede encontrar instrucciones en los resúmenes de
tareas:
Puertos de enlace
De forma predeterminada y sólo en el SA 6000, el IVE usa enlaces de varios puertos
para proporcionar protección en caso de errores. El enlace describe una tecnología
en la que se agregan dos puertos físicos a un grupo lógico. Al enlazar dos puertos en
el IVE se aumentan las capacidades de conmutación por error al cambiar
automáticamente el tráfico hacia el puerto secundario cuando el puerto primario
presenta errores.
Utilice los ajustes que aparecen en esta ficha para configurar los ajustes generales
de la red. El área Status muestra el estado de sólo lectura de los siguientes
elementos:
NOTA:
En estos campos puede introducir una lista delimitada por comas de los
dominios DNS; el IVE los busca en el orden en que aparecen.
4. En Windows Networking:
5. En Bandwidth Management:
El puerto externo, también conocido como la interfaz externa, administra todas las
peticiones de los usuarios que iniciaron sesión en el IVE desde fuera de la LAN, por
ejemplo, desde Internet. Antes de enviar un paquete, el IVE determina si el paquete
está asociado con una conexión TCP iniciada por un usuario a través de la interfaz
externa. Si es el caso, el IVE envía el paquete a la interfaz externa. Todos los demás
paquetes van a la interfaz interna.
Las rutas que especifica para cada interfaz se aplican después de que el IVE
determina si va a usar la interfaz interna o la externa. El IVE no inicia ninguna
petición desde la interfaz externa, y esta interfaz no acepta ninguna otra conexión
(excepto las conexiones de tracerout y ping). Todas las peticiones a cualquier
recurso se emiten desde la interfaz interna. (Para obtener más información,
consulte “Configuración de los ajustes generales de la red” en la página 703.)
Para modificar los ajustes de la red para el puerto interno (interfaz de LAN):
1. En la consola de administración, elija System > Network > Internal Port >
Settings.
NOTA: La mayoría de los campos de esta página se rellenan previamente con los
ajustes especificados durante la instalación del IVE.
4. En el campo ARP Ping Timeout, especifique cuánto tiempo debe esperar el IVE
respuestas a las peticiones del protocolo de resolución de direcciones (ARP)
antes de que se agote el tiempo de espera. Los dispositivos IVE en clúster
envían peticiones de ARP1 a las puertas de enlace de otros dispositivos IVE para
determinar si se comunican correctamente entre sí.
NOTA: Utilice los ajustes predeterminados de MTU (1500), a menos que deba
cambiar los ajustes para la resolución de problemas.
1. En la consola de administración, elija System > Network > Port 1 > Settings.
2. En Use Port, seleccione Enable.
3. En la sección Port Information, introduzca la dirección IP, la máscara de red
y la información predeterminada de la puerta de enlace para el puerto externo
del IVE. Normalmente, debe utilizar los ajustes de la página Internal Port >
Settings y luego debe cambiar la información del puerto interno a una puerta
de enlace, máscara de red y dirección IP local.
4. En el campo Link Speed, especifique la combinación dúplex y la velocidad que
desea usar para el puerto externo.
5. En el campo ARP Ping Timeout, especifique cuánto tiempo debe esperar el IVE
respuestas a las peticiones del protocolo de resolución de direcciones (ARP)
antes de que se agote el tiempo de espera. Los dispositivos IVE en clúster
envían peticiones de ARP2 a las puertas de enlace de otros dispositivos IVE para
determinar si se comunican correctamente entre sí.
NOTA: Si sus IVE están en clúster, el intervalo de tiempo de espera que especifica
está sincronizado en todo el clúster. Sin embargo, en clústeres de múltiples sitios,
puede dar prioridad a estos ajustes para los nodos individuales del clúster,
utilizando las opciones de la página System > Clustering. Si no está ejecutando el
IVE en un entorno de clústeres, el IVE no usa el ajuste ARP Ping Timeout.
1. El IVE realiza dos peticiones ARP, una a la puerta de enlace en el puerto interno y otra a la puerta de enlace en el
puerto externo, cuando trata de establecer comunicaciones en el clúster.
2. El IVE realiza dos peticiones ARP, una a la puerta de enlace en el puerto interno y otra a la puerta de enlace en el
puerto externo, cuando trata de establecer comunicaciones en el clúster.
NOTA: Utilice los ajustes predeterminados de MTU (1500), a menos que deba
cambiar los ajustes para la resolución de problemas.
1. Seleccione System > Network > Port [#] (External Port) y luego la ficha
Settings.
NOTA: La mayoría de los campos de esta página se rellenan previamente con los
ajustes especificados durante la instalación del IVE.
5. En el campo ARP Ping Timeout, especifique cuánto tiempo debe esperar el IVE
respuestas a las peticiones del protocolo de resolución de direcciones (ARP)
antes de que se agote el tiempo de espera. Los dispositivos IVE en clúster
envían peticiones de ARP1 a las puertas de enlace de otros dispositivos IVE para
determinar si se comunican correctamente entre sí.
6. En el campo ARP Ping Timeout, especifique cuánto tiempo debe esperar el IVE
respuestas a las peticiones del protocolo de resolución de direcciones (ARP)
antes de que se agote el tiempo de espera.
NOTA: Utilice los ajustes predeterminados de MTU (1500), a menos que deba
cambiar los ajustes para la resolución de problemas.
Configuración de VLAN
El IVE permite crear VLAN para la empresa. Las VLAN son ampliamente utilizadas
en los sistemas virtuales, como se describe en “Configuración de una red de área
local virtual (VLAN)” en la página 932. También puede crear una VLAN para usarla
en un entorno en el que haya implementado un IVE para que todos los usuarios
finales de su empresa puedan usarlo (también se requiere una licencia IVS para este
escenario).
El tráfico que proviene a través del front-end, es decir, el tráfico entrante, no tiene
etiquetas VLAN. El IVE la etiqueta a un mensaje después de su llegada a través de
uno de los puertos del IVE.
Cada VLAN se asigna a un ID de VLAN, que forma parte de una etiqueta compatible
con la norma IEEE 802.1Q que se agrega a cada trama Ethernet saliente. El ID de
VLAN identifica de forma exclusiva a todo el tráfico entrante. Este etiquetado
permite que el sistema dirija todo el tráfico a la VLAN correcta y que aplique las
directivas respectivas a ese tráfico.
1. El IVE realiza dos peticiones ARP, una a la puerta de enlace en el puerto interno y otra a la puerta de enlace en el
puerto externo, cuando trata de establecer comunicaciones en el clúster.
Debe definir un puerto de VLAN para cada VLAN. Asigne el ID de la VLAN específica
al definir el puerto de la VLAN.
Para cada VLAN que configure, el IVE virtualizado proporciona una interfaz única
y lógica de VLAN, o un puerto, en la interfaz interna. No existe relación entre la
dirección IP del puerto interno y la dirección IP de cualquier puerto de VLAN. Cada
puerto de VLAN tiene su propia tabla de rutas.
Se debe asignar el puerto interno al sistema raíz y se debe marcar como la VLAN
predeterminada. Además, las interfaces de VLAN se pueden asignar al sistema raíz.
Sin embargo, todos los servidores de autenticación configurados para el sistema
raíz deben tener rutas en la tabla de rutas del puerto interno, incluso si los
servidores son alcanzables a través de interfaces de VLAN. Las rutas a servidores
alcanzables a través de interfaces de VLAN deben tener la puerta de enlace del
siguiente salto establecida en la puerta de enlace configurada para la interfaz de
VLAN, y el puerto de salida definido como el puerto de VLAN.
Port Name. Debe ser único en todos los puertos de VLAN que define en el
sistema o el clúster.
Cuando crea un nuevo puerto de VLAN, el sistema crea dos rutas estáticas de forma
predeterminada:
1. Seleccione System > Network > VLANs para abrir la ficha VLAN Network
Settings.
2. Haga clic en New Port. Si está ejecutando un clúster, debe crear la VLAN para
todo el clúster y no solamente uno para un nodo único.
4. Introduzca un ID de VLAN.
NOTA: El ID de VLAN debe estar entre 1 y 4094 y debe ser único en el sistema.
Utilice los puertos virtuales cuando use un IVE configurado con una licencia IVS.
En resumen, puede utilizar puertos virtuales con diversos fines, dependiendo del
puerto físico en el que basa el puerto virtual:
La Ficha del puerto puede ser para cualquiera de los puertos 1, 2, 3, 4, los
puertos internos o externos o el puerto de administración.
La Ficha del puerto puede ser para cualquiera de los puertos 1, 2, 3, 4, los
puertos internos o externos o el puerto de administración.
2. En la lista desplegable Settings for, seleccione Entire cluster y luego haga clic
en Update.
4. Introduzca un nombre único para el puerto virtual y haga clic en Save Changes.
El IVE agrega el nombre del puerto virtual a la lista de Virtual Ports
y proporcione acceso a cada nodo en el clúster.
6. Haga clic en Save Changes. La página Virtual Ports vuelve a la ficha de puertos
virtuales. Si es necesario, vuelva a seleccionar Entire cluster en la lista
desplegable Settings for y repita los dos últimos pasos de este procedimiento.
Para obtener más información acerca del uso de los puertos virtuales en los
clústeres, consulte “Implementación de dos nodos en un clúster activo/pasivo” en la
página 877.
1. Cree puertos virtuales en la página Network > Internal Port > Virtual Ports
de la consola de administración, como se describe en “Configuración de
puertos virtuales” en la página 711.
2. Modifique uno o más roles para que apunten a los puertos virtuales, en la
página Users > Roles > Nombre del rol > General > Source IP de la consola
de administración, como se describe en “Especificación de alias de IP de origen
basados en roles” en la página 75.
1. Utilice los ajustes de la ficha System > Network > Internal Port para crear
puertos virtuales. Para obtener instrucciones, consulte “Configuración de
puertos virtuales” en la página 711.
2. Utilice los ajustes de la página System > Configuration > Certificates >
Device Certificates de la consola de administración para importar los
certificados de servidor que desea utilizar para validar los certificados de
usuario. Utilice también esta ficha para especificar los puertos que el IVE debe
asociar con los certificados. Para obtener instrucciones, consulte “Asociación de
un certificado con un puerto virtual” en la página 757.
Puede agregar rutas estáticas, si desea indicar una ruta específica que el IVE debe
usar para enrutar las peticiones. Necesita especificar una dirección DNS, una puerta
de enlace y una dirección IP válida. La métrica es una manera de comparar varias
rutas para establecer la preferencia. Generalmente, mientras menor sea el número,
de 1 a 15, mayor es la preferencia. Por lo tanto, se elegirá una ruta con una métrica
de 2 antes que otra que tenga una métrica de 14. El valor de métrica cero (0)
identifica una ruta que no se debe utilizar.
Como consecuencia, necesita configurar rutas estáticas a esos puertos. Los puertos
aparecen en el menú de puertos desplegable como puerto 2 y puerto 3. Para
obtener más información acerca de la configuración de rutas estáticas, consulte
“Configuración de las rutas estáticas para el tráfico de red” en la página 714.
2. Seleccione una tabla de rutas de destino desde el menú desplegable View route
table for:.
Las tablas de rutas de destino pueden estar disponibles para el puerto interno,
el puerto externo, el puerto de administración, el puerto 2 y el puerto 3, según
la plataforma de hardware que está configurando, o para cada VLAN que haya
definido.
Static entries: Puede agregar una entrada de ARP estática al caché asociado
con la dirección IP y MAC. El IVE almacena entradas estáticas durante los
reinicios y vuelve a reactivarlos después de los reinicios. Las entradas estáticas
siempre están presentes en el IVE.
Dynamic entries: La red “aprende” las entradas ARP dinámicas durante el uso
y la interacción normal con otros dispositivos de red. El IVE guarda en caché las
entradas dinámicas por hasta 20 minutos y las elimina durante un reinicio
o cuando se eliminan de manera manual.
Puede ver y eliminar las entradas estáticas y dinámicas desde el caché ARP, así
como también agregar entradas estáticas. Si tiene un clúster de IVE, tenga en
cuenta de que la información del caché ARP es específica para el nodo. El IVE sólo
sincroniza la información del caché ARP en clústeres que no son de múltiples sitios.
La Ficha del puerto puede ser para cualquiera de los puertos 1, 2, 3, 4, los
puertos internos o externos o el puerto de administración.
NOTA: Si agrega una entrada que contiene una dirección IP existente, el IVE
sobrescribe la entrada existente con su nueva entrada. Tenga en cuenta también
que el IVE no verifica la validez de las direcciones MAC.
Para especificar los nombres de host para que el IVE resuelva de manera local:
2. Introduzca una dirección IP, una lista delimitada por comas de los nombres de
host que resuelven a la dirección IP, un comentario de 200 palabras o menos
(opcional) y haga clic en Add.
Especificación de filtros IP
Puede especificar filtros IP para que el IVE los aplique a los conjuntos IP de Network
Connect en la ficha System > Network > Network Connect. Un conjunto IP
corresponde a un rango específico de direcciones IP disponibles para peticiones de
Network Connect (como se explica en “Network Connect” en la página 655). Para
obtener instrucciones acerca de la configuración, consulte “Especificación de filtros
IP” en la página 690.
Panel del sistema: La característica del panel del sistema muestra gráficos
y alarmas sobre la capacidad del sistema que le permiten supervisar el sistema
fácilmente. Puede obtener acceso al panel del sistema en la página System >
Status de la consola de administración.
<step>: Intervalo durante el cual el sistema recopiló los puntos de datos para el
gráfico, en segundos. Por ejemplo, la siguiente entrada XML indica que el
sistema recopila datos cada minuto. <step>60</step>
<legend>
<entry>Local users</entry>
<entry>Concurrent users</entry>
</legend>
<data>: Contiene una lista de subelementos <row> que incluyen los datos
periódicos recopilados para cada entrada. Cada elemento de <row> contiene un
subelemento <t> que incluye la hora en que el sistema recopiló los datos y los
subelementos <v> de cada dato. Por ejemplo, una fila dentro del gráfico
Concurrent Users puede incluir:
<data>
<row>
<t>1089748980</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
<xport>
<meta>
<start>1089748980</start>
<step>60</step>
<end>1089763440</end>
<rows>242</rows>
<columns>2</columns>
<legend>
<entry>Local users</entry>
<entry>Concurrent users</entry>
</legend>
</meta>
<data>
<row>
<t>1089748980</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
<row>
<t>1089749040</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
<row>
<t>1089749100</t><v>2.1000000000e+01</v><v>2.1000000000e+01</v>
</row>
...
<row>
<t>1089763440</t><v>NaN</v><v>NaN</v>
</row>
</data>
</xport>
Shut down: Apaga el IVE, para lo que necesita presionar el botón de reinicio en
el dispositivo para reiniciar el servidor. Cuando el IVE es miembro de un clúster,
este control apaga todos los miembros de un clúster, para lo que necesita
presionar el botón de reinicio en todos los dispositivos del clúster para reiniciar
el clúster. Tenga en cuenta que la alimentación del equipo continúa después de
apagar el servidor.
Test Connectivity: Envía un ping ICMP desde el IVE a todos los servidores que
el IVE está configurado para usar e informar de su conectividad. El estado de
cada servidor se informa en Server Connectivity Results.
Esta rol se utiliza normalmente para actualizar a versiones más recientes del
software del sistema, pero también puede utilizar este proceso para cambiarlo
a una versión anterior o para eliminar todos los ajustes actuales de la configuración
y comenzar de manera limpia. También puede revertir a un estado anterior del
sistema a través de la consola serie, como se describe en “Retroactivación a un
estado anterior del sistema” en la página 988.
Show auto-allow: Copie los marcadores de roles para las directivas de control
de acceso correspondientes cuando se usen directivas de recurso.
NOTA: El IVE sólo muestra esta opción si ha adquirido un dispositivo IVE equipado
con la tarjeta aceleradora correspondiente.
Only this URL: Esta opción restringe los marcadores que se van a agregar
a la directiva de control de acceso a la dirección URL principal. Por
ejemplo, la dirección URL http://www.company.com se agregaría a la
directiva de control de acceso.
Everything under this URL: Esta opción permite que los marcadores
a otras rutas bajo la dirección URL principal se agreguen a la directiva de
control de acceso. Si define sitios web adicionales por rol, quizás le interese
incluirlos en la directiva de control de acceso. Por ejemplo, las siguientes
direcciones URL se agregan cuando selecciona esta opción:
http://www.company.com/sales
http://www.company.com/engineering
8. Utilice las opciones en External User Records Management para eliminar del
IVE los registros de usuarios anteriores. Esta característica es útil cuando el
rendimiento del sistema se ve afectado debido a una gran cantidad de registros
de usuarios. Recomendamos encarecidamente que consulte al soporte técnico
de Juniper Networks antes de utilizar esta característica.
Delete Records Now: Haga clic en este botón para comprobar si se excedió
el límite de los registros persistentes del usuario. Si es así, elimine el
número de registros del usuario especificado en la opción anterior.
Enable automatic deletion of user records during new user logins: Cada
vez que se va a crear el registro nuevo de un usuario, compruebe si se va
a exceder el límite de los registros persistentes de un usuario. Si es así,
elimine los registros antes de crear el nuevo registro del usuario.
Poner el ejecutable en un repositorio seguro para que los usuarios con los
derechos de administrador apropiados puedan descargar e instalar la versión
correcta.
Los sistemas cliente de sus usuarios finales deben contener un Java Runtime
Engine (JRE) válido y habilitado o un control ActiveX de IVE actual. Si los
sistemas cliente no contienen ninguno de estos componentes de software, los
usuarios finales no podrán conectarse a la puerta de enlace.
Host Checker: Este instalador (HCInst.exe) instala Host Checker en los sistemas
de los usuarios. Host Checker es un agente del lado cliente que realiza
verificaciones de seguridad de punto final en los hosts que se conectan al IVE.
3. Haga clic en el botón Save del cuadro de diálogo File Download. Aparece el
cuadro de diálogo Save As.
Un código de autorización es una clave de paso necesaria para generar y activar las
claves de licencia que usted o su empresa han adquirido para su IVE. Reciba sus
códigos de autorización de forma separada del IVE después de adquirir su IVE y las
licencias de productos y características asociadas.
1. La licencia básica de IVE le permite crear 5 cuentas de usuario locales, permite que 2 usuarios inicien sesión
simultáneamente y proporciona capacidades básicas de exploración de archivos UNIX/NFS, Windows y web.
Receive Juniper
Networks
Secure Access
license keys
Enter Juniper
Networks Secure
Access license keys
in Secure Access
administrator Web
console
Claves de licencia del usuario de IVE: La clave de licencia del usuario del IVE
le permite actuar como host de todos los usuarios que especifique el código de
la clave de licencia. Las claves de licencia de usuario del IVE son aditivas, lo que
significa que puede ampliar el número de usuarios que pueden obtener acceso
al IVE simplemente adquiriendo una clave de licencia de usuario adicional
y agregándola a su configuración. Por ejemplo, si adquiere inicialmente una
licencia SA4000-ADD-100U y luego adquiere otra licencia SA4000-ADD-100U
en el futuro, su IVE podría alojar hasta 200 usuarios.
NOTA: Cuando se alcanza el límite de licencias de usuario, todo usuario nuevo que
inicie sesión experimentará una reducción en la velocidad del proceso de inicio de
sesión. No resultan afectadas las sesiones de usuarios existentes.
Claves de licencia de clúster del IVE: IVE las claves de licencia de clúster
habilitan el comportamiento de clústeres entre los IVE. Puede adquirir claves de
licencia de clúster del IVE junto con las claves de licencia de usuario del IVE,
pero el número de usuarios que puede obtener acceso a los IVE del clúster está
restringido al número máximo de usuarios que permite la clave de licencia de
clúster del IVE. Al igual que las claves de licencia de usuario del IVE, las claves
de licencia de clúster del IVE son aditivas; es decir, puede aumentar el número
de los usuarios que pueden obtener acceso al clúster adquiriendo claves de
licencia adicionales en el futuro. Por ejemplo, si adquiere inicialmente una
licencia de clúster SA4000-CL-100U y luego adquiere otra licencia de clúster
SA4000-CL-100U en el futuro, su IVE podría alojar hasta 200 usuarios. Sin
embargo, si adquiere una clave de licencia de usuario SA4000-ADD-100U IVE
adicional, en lugar de una clave de licencia de clúster adicional, a pesar de
poder alojar hasta 200 usuarios a través de las claves de licencia de usuario,
todavía puede alojar sólo 100 usuarios en el clúster de los IVE. Para obtener
más información sobre los IVE en clúster, consulte “Creación de clústeres” en la
página 869.
NOTA: Todos los nodos de un clúster deben tener la misma clave de licencia que el
IVE del clúster primario para que el clúster pueda funcionar. No se puede agregar
una licencia ADD y una CL en el mismo equipo al mismo tiempo. Para que un
nodo pueda integrarse a un clúster, deberá agregar una licencia CL al nodo.
Utilice la ficha System > Configuration > Licensing para introducir las claves de
licencia para su sitio, ver sus fechas de vencimiento y eliminarlas (si es necesario).
3. Haga clic en el vínculo Secure Access SSL VPN para generar nuevas claves de
licencia de IVE o haga clic en Generate Replacement License for RMA Device
para crear una clave de licencia basada en una licencia existente para un IVE
que esté reemplazando.
NOTA: La opción Generate Replacement License for RMA Device está diseñada
para alojar sólo escenarios de reemplazo de hardware RMA. No se puede utilizar
para reemplazar una clave de licencia creada por error (por ejemplo, con un
código de autorización para crear una clave de licencia para un IVE distinto al IVE
para el que se adquirió la licencia originalmente).
Si desea crear claves de licencia para IVE múltiples al mismo tiempo, haga
clic en Generate License Keys for Multiple SSL VPN Devices y siga el
procedimiento en pantalla para crear el archivo Excel necesario para
generar sus claves de licencia.
6. Revise la información para asegurarse de que todo esté correcto y luego haga
clic en Generate License.
Aparece la página Generate License SSL VPN, que muestra un resumen de sus
claves de licencia, incluido un vínculo que muestra los detalles de sus nuevas
claves de licencia.
1-408-745-9500 (internacional)
Puede encontrar el ID de hardware de licencia del IVE sobre las opciones del
menú en la consola serie y en la parte inferior de la consola de administración.
Si está actualizando sus claves de licencia y software de IVE, recibe sus códigos
de autorización para sus licencias de características adicionales de parte del
proveedor al que adquirió originalmente su IVE.
3. Haga clic en el vínculo Secure Access SSL VPN para generar nuevas claves de
licencia de IVE o haga clic en Generate Replacement License for RMA Device
para crear una licencia basada en una licencia existente para un IVE que esté
reemplazando.
NOTA: La opción Generate Replacement License for RMA Device está diseñada
para alojar sólo escenarios de reemplazo de hardware RMA. No se puede utilizar
para reemplazar una clave de licencia creada por error (por ejemplo, con un
código de autorización para crear una clave de licencia para un IVE distinto al IVE
para el que se adquirió la licencia originalmente).
Si desea crear claves de licencia para IVE múltiples al mismo tiempo, haga
clic en Generate License Keys for Multiple SSL VPN Devices y siga el
procedimiento de la pantalla para crear el archivo Excel necesario para
generar sus claves de licencia.
8. Revise la información para asegurarse de que todo esté correcto y luego haga
clic en Generate License.
Aparece la página Generate License SSL VPN, que muestra un resumen de sus
claves de licencia, incluido un vínculo que muestra los detalles de sus nuevas
claves de licencia.
A fin de activar el IVE en modo de emergencia, primero debe instalar una licencia
en caso de emergencia (ICE) usando el procedimiento de instalación de licencias de
IVE estándar. Seguidamente, cuando se produce la emergencia, podrá activar
fácilmente el modo de emergencia a través de la consola web del IVE. Cuando haya
pasado la emergencia, debe desactivar el modo de emergencia.
SA4000-ICE
SA4000-ICE-CL
SA6000-ICE
SA6000-ICE-CL
Allowed SSL and TLS Version: Especifique los requisitos de encriptación para
los usuarios de IVE. El IVE cumple con estos ajustes para todo el tráfico del
servidor web, incluido oNCP y Secure Email Client, y todos los tipos de clientes,
incluido Pocket PC e iMode. (El IVE requiere de forma predeterminada SSL
versión 3 y TLS.) Puede solicitar que los usuarios que posean exploradores
anteriores que utilizan SSL versión 2 actualicen sus exploradores o que cambien
los ajustes del IVE para permitir SSL versión 2, SSL versión 3 y TLS.
Include IVE session cookie in URL: Mozilla 1.6 y Safari no pueden pasar
cookies a la máquina virtual de Java, con lo que los usuarios no pueden ejecutar
applets JSAM ni Java. Para admitir estos exploradores, el IVE puede incluir las
cookies de la sesión del usuario en la dirección URL que inicia JSAM o un applet
de Java. De forma predeterminada, esta opción está habilitada, pero si le
preocupa la exposición de los cookies en la dirección URL, puede inhabilitar
esta característica.
Last Login options: Muestra el día y la hora del último inicio de sesión del
usuario en el sistema. Para los usuarios, esta información aparece en su página
de marcadores. Para los administradores, esta información aparece en la
página System Status Overview.
Lockout period: Especifique los minutos que desea que el IVE bloquee la
dirección IP.
NOTA: Las opciones de bloqueo no están disponibles para los sistemas IVS. Todas
las demás opciones de seguridad están disponibles para los sistemas IVS.
Por ejemplo, si utiliza los siguientes ajustes para las Lockout options, el IVE
bloquea la dirección IP para los períodos correspondientes al siguiente escenario.
NOTA: En entornos en los que dos o más usuarios comparten la misma dirección
IP (desde la perspectiva del IVE), la característica de bloqueo impide que todos los
usuarios inicien sesión desde la dirección IP compartida, incluso cuando sólo uno
de ellos es el usuario ofensivo. Desde el punto de vista del IVE, es posible que se
comparta la dirección IP cuando, por ejemplo, los usuarios inician sesión detrás
de un cuadro NAT.
NOTA: Si está utilizando Network Connect para proporcionar acceso del cliente,
recomendamos que actúe con precaución cuando emplee la opción Auto-select
Disabled, porque los clientes Mac y Linux no se pueden conectar utilizando el
protocolo NCP tradicional. Si desactiva la característica de selección automática de
oNCP o NCP y se produce una conmutación por error de UDP a oNCP o NCP, el
IVE desconecta a los clientes de Macintosh y Linux debido a que el IVE conmuta
erróneamente UDP a NCP (en lugar de oNCP), que no admite a estos usuarios.
NOTA: Si opta por revertir para eliminar todos los datos del sistema y del usuario
desde el dispositivo con esta opción, tendrá que restablecer la conectividad de la
red antes de volver a configurar el sistema. Tenga en cuenta, además, que no
puede revertir a una versión de IVE anterior a 3.1.
Una vez que habilite las capacidades del puerto de administración, especifique los
tipos de tráfico de administración que se envían a través del puerto de
administración:
tráfico syslog
capturas SNMP
consultas SNMP
tráfico NTP
NOTA: Si aplica una licencia IVS, no puede utilizar el puerto de administración para
capturar el tráfico administrativo y de gestión de IVS. Además, no puede utilizar el
prefijo de la URL basado en rutas de IVS para iniciar sesión en el puerto de
administración.
Información relacionada
“Configuración de los ajustes de red del puerto de administración” en la
página 741
Información relacionada
“Configuración de los ajustes de la red en la consola de administración” en la
página 742
4. Seleccione Enabled.
Información relacionada
“Configuración de los ajustes de la red en la consola serie” en la página 741
5. Desplácese hasta la parte inferior de la ficha Source IP. Debe ver un mensaje
que indica que el puerto de administración está habilitado, junto con un vínculo
a la página Network Settings.
NOTA:
Sin embargo, si tiene acceso restringido dentro del territorio, para que los
administradores puedan iniciar sesión a través del puerto de administración, el
acceso a los demás puertos queda en realidad bloqueado cuando se inicia sesión en
la dirección de IP del puerto de administración.
1. Una vez completados los pasos descritos en “Control del acceso de inicio de
sesión del administrador” en la página 743, haga clic en la ficha Role Mapping.
networkIF = “management”
NOTA: El IVE ignora las consultas SNMP que se producen en cualquier otro puerto
distinto al puerto de administración, cuando el puerto de administración está
habilitado.
Un IVE usa PKI para proteger los datos que envía a los clientes a través de Internet.
PKI (infraestructura de claves públicas) es un método de seguridad que usa claves
públicas y privadas para encriptar y desencriptar información. Estas claves se
habilitan y almacenan mediante certificados digitales. Un certificado digital es un
archivo electrónico encriptado emitido que establece las credenciales de un
servidor Web o de un usuario para las transacciones cliente-servidor.
Un IVE usa los siguientes tipos de certificados digitales para establecer las
credenciales y proteger las transacciones de sesiones del IVE:
749
Guía de administración de Secure Access de Juniper Networks
En una configuración básica del IVE, los únicos certificados necesarios son un
certificado de dispositivo y un certificado de firma de código. El dispositivo IVE
puede usar un certificado de firma de código único para volver a firmar todos los
applets de Java y un certificado de dispositivo único para intermediar todas las otras
interacciones basadas en PKI. No obstante, si los certificados básicos no satisfacen
sus necesidades, puede instalar varios certificados de dispositivo y de applet en un
dispositivo IVE o usar certificados de CA de confianza para validar usuarios.
NOTA: El IVE puede verificar los certificados que usa SHA2 como la síntesis del
mensaje.
Esta sección contiene las siguientes instrucciones para trabajar con certificados de
dispositivos:
NOTA:
Request renewal based on the CSR previously submitted to the CA: Este
proceso de renovación de un certificado es menos seguro porque la CA genera
un certificado que usa la clave privada existente.
NOTA: No envíe más de una CSR a una CA a la vez, ya que podrían cobrársela
varias veces. Puede ver los detalles de cualquier solicitud pendiente que envió
previamente, haciendo clic en el vínculo Certificate Signing Request Details de la
ficha Device Certificates.
4. Siga las instrucciones en pantalla que explican la información que debe enviar
al CA y cómo enviarla.
NOTA: Al enviar una CSR a una autoridad de CA, es posible que se solicite que
especifique el tipo de servidor Web en que se creó el certificado o el tipo de
servidor Web en que se usará. Seleccione apache (si hay más de una opción que
tenga disponible apache, elija una cualquiera). Asimismo, si se le solicita indicar el
formato del certificado que descargará, seleccione el formato estándar.
Para importar un certificado de dispositivo firmado que se creó a partir de una CSR:
1. Especificar las direcciones IP desde las que los usuarios pueden acceder al IVE
y crear un puerto virtual para cada una. Un puerto virtual activa un alias de IP
en un puerto físico. Para crear puertos virtuales para:
Usuarios internos: Use los ajustes de la ficha System > Network >
Internal Port > Virtual Ports para crear puertos virtuales para usuarios
como empleados que inician sesión en el IVE desde dentro de su red
interna. Para obtener instrucciones, consulte “Configuración de puertos
virtuales” en la página 711.
Usuarios externos: Use los ajustes de la ficha System > Network >
Port 1 > Virtual Ports para crear puertos virtuales para usuarios como
clientes y socios que inician sesión en el IVE desde fuera de su red interna.
Para obtener instrucciones, consulte “Configuración de puertos virtuales”
en la página 711.
3. Especifique los puertos virtuales que el IVE debe asociar con los certificados
usando los ajustes de la ficha System > Configuration > Certificates >
Device Certificates. Cuando un usuario intenta iniciar sesión en el IVE usando
la dirección IP definida en un puerto virtual, el IVE usa el certificado asociado
con el puerto virtual para iniciar la transacción SSL. Para obtener instrucciones,
consulte “Asociación de un certificado con un puerto virtual” en la página 757.
Asociar todos los nombres de host con un certificado comodín único: Con
este método, usa un certificado comodín único para validar a todos los
usuarios, sin importar el nombre de host que usen para iniciar sesión en el IVE.
Un certificado comodín incluye un elemento variable en el nombre de dominio,
lo que hace posible que los usuarios inicien sesión en varios host para asignar
el “mismo” dominio. Por ejemplo, si crea un certificado comodín para
*.yourcompany.com, el IVE usa el mismo certificado para autenticar usuarios
que inician sesión en employees.yourcompany.com que para autenticar a los
usuarios que inician sesión en partners.yourcompany.com.
Asociar cada nombre de host con su propio certificado: Con este método,
asocia nombres de host distintos con certificados diferentes. Sin embargo,
dado que el IVE no conoce el nombre de host que usa el usuario final para
iniciar sesión en el IVE, debe crear un puerto virtual para cada nombre de host
y luego asociar los certificados con los puertos virtuales. Un puerto virtual activa
un alias de IP en un puerto físico. Por ejemplo, puede optar por crear dos
puertos virtuales en un dispositivo único, asignando el primer puerto virtual a la
dirección IP 10.10.10.1 (sales.yourcompany.com) y el segundo puerto virtual
a la dirección IP 10.10.10.2 (partners.yourcompany.com). Puede asociar cada
uno de estos puertos virtuales con su propio certificado, asegurándose de que
el IVE autentica usuarios diferentes mediante certificados diferentes.
2. Importe los certificados de dispositivo que desea usar para validar los
certificados de usuario. Puede importar certificados desde la página System >
Configuration > Certificates > Device Certificates de la consola de
administración o la página Maintenance > Import/Export > System
Configuration de la consola de administración.
4. En Present certificate on these ports, especifique los puertos que el IVE debe
asociar con el certificado; puede elegir puertos internos o externos y puertos
principales o virtuales, pero no puede elegir un puerto que ya esté asociado con
otro certificado.
6. Repita los pasos del 3 al 6 para cada uno de los certificados que desea usar para
autenticar usuarios.
Al instalar un certificado del lado cliente, debe determinar si desea usarlo para
identificar a usuarios o a equipos individuales. Para usar el certificado para
identificar a usuarios individuales, debe instalarlo en el almacén de certificados
individual de cada usuario. Debe habilitar la autenticación mediante la consola de
administración del IVE usando el servidor de certificados (como se explica en
“Configuración de una instancia de servidor de certificados” en la página 126)
o habilitar la autorización usando los ajustes de territorio, roles o directiva de
recursos (como se explica en “Especificación de las restricciones del certificado del
lado cliente” en la página 765). Para usar el certificado para identificar a equipos
individuales, debe instalarlo en el almacén de certificados de cada equipo. Debe
configurar la directiva de Host Checker que comprueba el certificado del equipo
y autoriza el acceso a los territorios, roles o directivas de recursos según la validez
del certificado (como se explica en “Especificación de requisitos personalizados
usando reglas personalizadas” en la página 276).
NOTA:
Si tiene una sola licencia de usuario del IVE estándar, sólo puede importar un
certificado de CA al IVE.
Use OCSP: Especifica que el IVE debe usar el método de OCSP, validando el
certificado cliente en tiempo real, según sea necesario. Después de
seleccionar esta opción, puede especificar opciones para OCSP según se
describe en “Especificación de las restricciones del certificado del lado
cliente” en la página 765.
Use CRLs: Especifica que el IVE no debe usar la CRL para validar el
certificado cliente. Después de seleccionar esta opción, puede especificar
opciones para OCSP según se describe en “Especificación de las opciones
de CDP” en la página 769.
Use OCSP with CRL fallback: Especifica que el IVE debe usar el método
de validación de OCSP cuando sea posible, pero intentar validar los
certificados cliente usando la CRL si el método OCSP falla (por ejemplo,
si el vínculo al respondedor OCSP falla). Después de seleccionar esta
opción, puede especificar opciones para OCSP según se describe en
“Especificación de las restricciones del certificado del lado cliente” en la
página 765 y para CDP según se describe en “Especificación de las
opciones de CDP” en la página 769.
8. Use uno de los siguientes métodos para especificar cómo el IVE debe usar el
certificado para autenticar usuarios o autorizar el acceso a los recursos:
Use una directiva de Host Checker para autorizar que equipos individuales
accedan a los recursos como se explica en “Especificación de requisitos
personalizados usando reglas personalizadas” en la página 276.
Use OCSP: Especifica que el IVE debe usar el método de OCSP, validando el
certificado cliente en tiempo real, según sea necesario. Después de
seleccionar esta opción, puede especificar opciones para OCSP según se
describe en “Especificación de las restricciones del certificado del lado
cliente” en la página 765.
Use CRLs: Especifica que el IVE no debe usar la CRL para validar el
certificado cliente. Después de seleccionar esta opción, puede especificar
opciones para OCSP según se describe en “Especificación de las opciones
de CDP” en la página 769.
Use OCSP with CRL fallback: Especifica que el IVE debe usar el método de
validación de OCSP cuando sea posible, pero intenta validar los certificados
cliente usando la CRL si el método OCSP falla (por ejemplo, si el vínculo al
respondedor OCSP falla). Después de seleccionar esta opción, puede
especificar opciones para OCSP según se describe en “Especificación de las
restricciones del certificado del lado cliente” en la página 765 y para CDP
según se describe en “Especificación de las opciones de CDP” en la
página 769.
6. Habilite la opción Verify Trusted Client CA si desea que el IVE valide la CRL
desde la que se emitió el certificado.
7. Habilite la opción Verify for Client Authentication? si desea que el IVE confíe
en este certificado al autenticar certificados cliente. Si agregó este certificado
para fines no relacionados con la autenticación (como la verificación de firma
de SAML o la validación del certificado del equipo), inhabilite esta opción,
indicando que el IVE no debe confiar en el certificado cliente emitido por
esta CA.
9. Use uno de los siguientes métodos para especificar cómo el IVE debe usar el
certificado para autenticar usuarios o autorizar el acceso a los recursos:
Use una directiva de Host Checker para autorizar que equipos individuales
accedan a los recursos como se explica en “Especificación de requisitos
personalizados usando reglas personalizadas” en la página 276.
2. Haga clic en el certificado que desea ver. Aparece la página Trusted Client CA
que muestra toda la información sobre el certificado que seleccionó.
5. En CRL checking for client certificates, vea los detalles de las CRL que están
habilitadas para este certificado:
Last Updated: Indica la última vez que el IVE descargó una CRL del punto
de distribución de la CRL especificado. También contiene un vínculo para
guardar la versión actual de la CRL del IVE.
Use OCSP: Especifica que el IVE debe usar el método de OCSP, validando el
certificado cliente en tiempo real, según sea necesario. Después de
seleccionar esta opción, puede especificar opciones para OCSP según se
describe en “Especificación de las restricciones del certificado del lado
cliente” en la página 765.
Use CRLs: Especifica que el IVE no debe usar la CRL para validar el
certificado cliente. Después de seleccionar esta opción, puede especificar
opciones para OCSP según se describe en “Especificación de las opciones
de CDP” en la página 769.
Use OCSP with CRL fallback: Especifica que el IVE debe usar el método de
validación de OCSP cuando sea posible, pero intenta validar los certificados
cliente usando la CRL si el método OCSP falla (por ejemplo, si el vínculo al
respondedor OCSP falla). Después de seleccionar esta opción, puede
especificar opciones para OCSP según se describe en “Especificación de las
restricciones del certificado del lado cliente” en la página 765 y para CDP
según se describe en “Especificación de las opciones de CDP” en la
página 769.
7. Habilite la opción Verify Trusted Client CA para indicar al IVE que valide la CA
de cliente de confianza.
1. Busque: System > Configuration > Certificates > Trusted Client CAs
y especifique la autoridad de certificación raíz que desea usar para validar las
restricciones de certificado del lado cliente que habilita en los niveles de
territorio, rol y directiva de recursos.
Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Certificate
Users > User Realms > Seleccionar territorio > Role Mapping >
Seleccionar|Crear regla > Custom Expression
Users > User Roles > Seleccionar rol > General > Restrictions >
Certificate
NOTA:
El IVE admite todos los atributos de nombre completo X.509 (DN) (como
C, CN, L, O, OU).
Defina sólo un valor para cada atributo. Si especifica varios valores, puede
que el certificado del lado cliente no se autentique correctamente con el
certificado de CA.
NOTA: Con una licencia de usuario, no puede instalar una cadena con certificados
emitidos por distintas CA. La CA que firma el certificado de nivel inferior en la
cadena también debe firmar todos los otros certificados en la cadena.
Habilitación de CRL
Una lista de revocación de certificados (CRL) es un mecanismo para cancelar un
certificado del lado cliente. Como el nombre indica, una CRL es una lista de
certificados revocados publicada por una CA o un emisor de CRL delegado. El IVE
admite las CRL base, que incluyen todos los certificados revocados de la empresa en
una sola lista unificada.
El IVE sabe qué CRL debe usar al comprobar el certificado del cliente. (Al emitir un
certificado, la CA incluye la información de la CRL para el certificado en el
certificado en sí.) Para asegurarse de que se recibe la información de CRL más
actualizada, el IVE se comunica periódicamente con un punto de distribución de
CRL para obtener una lista actualizada de los certificados revocados. Un punto de
distribución de CRL (CDP) es una ubicación en el servidor del directorio LDAP
o servidor Web donde una CA publica las CRL. El IVE descarga información de la
CRL desde el CDP en el intervalo especificado en la CRL, en el intervalo que
especifique durante la configuración de CRL y cuando elija descargar manualmente
la CRL. El IVE también admite las partición de CRL. La partición de CRL permite
verificar partes de una CRL muy grande sin tener que gastar tiempo ni ancho de
banda necesarios para acceder y validar una CRL muy grande o la recopilación de
CRL grandes. La partición de CRL sólo se habilita en el IVE cuando usa el método
Specify the CDP(s) in the client certificates (descrito a continuación). En este
caso, el IVE valida al usuario verificando sólo la CRL especificada en el certificado
cliente.
NOTA: Si elige este método, el usuario recibe un error la primera vez que intenta
iniciar sesión en el IVE porque no hay información de CRL disponible. Una vez
que el IVE reconoce el certificado cliente y extrae la ubicación de CRL, puede
comenzar a descargar la CRL y validar posteriormente el certificado del usuario.
Para iniciar sesión correctamente en el IVE, el usuario debe volver a conectarse
después de unos segundos.
NOTA:
El IVE sólo admite las CRL que estén en formato PEM o DER y que estén
firmadas por la CA para la que se aplican las revocaciones.
NOTA: Dado que el IVE admite la partición de CRL, puede ver varias CRL en CRL
distribution points. Esto se debe a que las partes particionadas de una lista de
revocación no se identifican de manera individual, sino que se hace referencia a
ellas como el CDP desde el que se derivan.
CDP(s) specified in the Trusted Client CA: Cuando selecciona esta opción,
el IVE comprueba al atributo de punto de distribución de CRL en el
certificado y muestra los URI de los CDP que encuentra en la página CRL
Checking Options. Si el certificado de CA no incluye toda la información
necesaria para obtener acceso al CDP, especifique la información requerida
adicional:
NOTA: Si elige descargar CDP usando un método y luego selecciona otro, el IVE
elimina cualquier CDP del disco que se haya descargado usando el método
anterior.
NOTA:
Cuando opte por verificar un certificado intermedio, asegúrese de que las CRL
estén disponibles para todos los certificados de CA sobre el certificado
intermedio en la cadena; cuando verifica un certificado de CA, el IVE también
verifica todas las CA emisoras sobre el certificado en la cadena.
8. Haga clic en Save Changes. El IVE descarga la CRL usando el método que
especificó (si corresponde) y muestra los detalles de comprobación de CRL
(descritos en la siguiente sección).
Habilitación de OCSP
El Online Certification Status Protocol (OCSP) ofrece la capacidad de verificar los
certificados cliente en tiempo real. Usando OCSP, el IVE pasa a ser cliente de un
respondedor OCSP y reenvía las solicitudes de validación a los usuarios, basándose
en los certificados cliente. El respondedor OCSP mantiene un almacén de CRL
publicadas por la CA y una lista actualizada de certificados cliente válidos y no
válidos. Una vez que el respondedor OCSP recibe una solicitud de validación del IVE
(que por lo general es una transmisión HTTP o HTTPS), el respondedor OCSP valida
el estado del certificado usando su propia base de datos de autenticación o llama al
respondedor OCSP que emitió originalmente el certificado para validar la solicitud.
Después de formular una respuesta, el respondedor OCSP devuelve la respuesta
firmada al IVE y el certificado original se aprueba o rechaza, dependiendo de si el
respondedor OCSP valida o no el certificado.
NOTA: Una propuesta son datos aleatorios que el IVE incluye en una solicitud OCSP
y que el respondedor OCSP devuelve en la respuesta OCSP. El IVE compara la
propuesta de la solicitud con la respuesta para asegurarse de que la respuesta fue
generada por el respondedor OCSP. Si no coinciden, el IVE pasa por alto la
respuesta y envía una nueva solicitud. Las propuestas son una forma común de
evitar ataques de reprocesamiento.
1. Haga clic en el nombre del respondedor OCSP que desea configurar en la lista
OCSP responders. Aparece la página de especificación de opciones para el
respondedor OCSP.
NOTA: Todas las CA raíz de confianza para los certificados Web instalados en
Internet Explorer 6.0 y Windows XP Service Pack 2 están preinstaladas en el
dispositivo IVE.
Por lo tanto, siempre que un usuario visite un sitio Web habilitado por SSL, el
dispositivo IVE verifica que:
El valor Subject CN del certificado del sitio Web coincide con el nombre de host
real de la URL a la que se accedió. (Tenga en cuenta que el dispositivo IVE
permite que el valor Subject CN contenga comodines en el formato:
*.company.com.)
NOTA:
http://www.verisign.com/products-services/security-services/code-
signing/index.html
JavaSoft Certificate: El IVE usa este certificado para firmar applets que se
ejecutan en SUN JVM. Tenga en cuenta que sólo se admiten certificados de
JavaSoft emitidos por Verisign y Thawte.
Netscape, Firefox y Safari: Estos exploradores sólo admiten SUN JVM, lo que
quiere decir que el IVE debe volver a firmar los applets usando el certificado de
JavaSoft.
“Resumen de tareas: configurar el IVE para que firme o vuelva a firmar los
applets” en la página 778
Resumen de tareas: configurar el IVE para que firme o vuelva a firmar los applets
Para configurar el IVE para que vuelva a firmar los applets usando los certificados
de firma de código, debe:
Cree directivas de firma de código que especifiquen los applets que el IVE
debe volver a firmar mediante la página Users > Resource Policies >
Web > Java > Code Signing de la consola de administración o la página
Users > Resource Profiles > Web Application Resource Profiles >
Perfil. Las directivas deben especificar los nombres de host desde los que
se originan los applets. Para obtener instrucciones, consulte “Escritura de
una directiva de recursos de firma de código Java” en la página 441.
Cargue sus propios applets de Java en el IVE y configure el IVE para que los
firme o los vuelva a firmar, como se explica en “Plantillas de applets de
Java hospedados” en la página 345.
5. Use los ajustes de las siguientes fichas para especificar los recursos que el
certificado del applet firmó o volvió a firmar:
Users > Resource Policies > Web > Java > Code Signing
Users > Resource Policies > Web > Java > Applets
Configuración de envíos
SCP es una utilidad de transferencia de archivos similar a FTP. SCP encripta todos
los datos durante la transferencia. Cuando los datos llegan a su destino, se entregan
en su formato original. En la mayoría de las distribuciones SSH se incluye SCP y
también está disponible en las plataformas de los principales sistemas operativos.
JuniperAccessLog-gen-nodo1-Raíz-20090109-1545.gz
JuniperEventsLog-gen-nodo1-Raíz-20090109-1545.gz
JuniperAdminLog-gen-nodo1-Raíz-20090109-1545.gz
JuniperConf-gen-nodo1-Raíz-20090109-1545.gz
JuniperUserAccounts-gen-nodo2-Raíz-20090109-1542
6. Defina una hora específica cuando desea que el IVE realice el archivado de
datos o elija que se lleve a cabo cada hora, lo que produce veinticuatro archivos
con marcas de hora únicos.
784 Creación de copias de seguridad locales de los archivos de configuración del IVE
Capítulo 28: Archivado del sistema
2. Haga clic en Save Configuration o en Save User Accounts. El IVE agrega una
copia de seguridad nueva a la lista, con la fecha y hora actuales como nombre.
Puede usar las copias de seguridad del sistema y del usuario para actualizar un IVE
único o un clúster. Si opta por restaurar un IVE que está habilitado como parte de
un clúster, ese IVE envía automáticamente la configuración a todos los otros
miembros del clúster. El clúster se inhabilita hasta que todos los miembros activos
del clúster hayan actualizado sus configuraciones usando la configuración de la
copia de seguridad. Después, reinicie el clúster y vuelva a habilitarlo.
Creación de copias de seguridad locales de los archivos de configuración del IVE 785
Guía de administración de Secure Access de Juniper Networks
NOTA:
4. Haga clic en Restore. El IVE debe reiniciarse para que los cambios se hagan
efectivos. Después de reiniciar el IVE, debe iniciar sesión nuevamente en él
para obtener acceso a la consola de administración.
Para guardar una copia de seguridad local de sus archivos de configuración de IVS:
Perfiles IVS
Sistema IVS
Autenticación IVS
Administradores IVS
Usuarios IVS
Mantenimiento de IVS
3. Al restaurar, si desea incluir ajustes de red IVS, seleccione IVS Profile Network
Settings y luego haga clic en Restore.
786 Creación de copias de seguridad locales de los archivos de configuración del IVE
Capítulo 28: Archivado del sistema
NOTA:
El IVE también le permite importar y exportar todas las cuentas de usuarios locales
que haya definido para cualquier servidor de autenticación local.
NOTA:
Para exportar o importar registros del lado cliente, exporte o importe los
archivos de configuración del usuario y del sistema.
Configuraciones de red
Licencias
Ajustes SNMP
NOTA: Los ajustes específicos para el nodo existente se eliminan cuando un nodo
IVE se integra a un clúster. Entre estas configuraciones se incluyen la dirección de
la interfaz de red, las tablas de rutas, los puertos virtuales, la caché ARP, la interfaz
VLAN, las configuraciones SNMP, etc. El administrador debe reconfigurar de forma
manual estos ajustes para el nuevo nodo que se integra. No es posible usar la
característica de configuración de sistema Import (importar) para importar estas
configuraciones y ajustes en un nodo IVE que se ha integrado al clúster.
Territorios de autenticación
Roles
Acceso a la red
Cuentas de usuario
Configuraciones de reuniones
Perfiles IVS
Sistema IVS
Autenticación IVS
Administradores IVS
Usuarios IVS
Mantenimiento de IVS
Algunas de las tareas que puede realizar usando los archivos de configuración XML
exportados son:
NOTA: Sólo puede exportar e importar archivos de instancia XML entre IVE que
tengan sistemas operativos de la misma versión. No puede usar la característica
XML Import/Export para actualizar una versión más antigua del producto usando
archivos de configuración exportados desde una versión más reciente del
producto. Tampoco puede cambiar una versión más reciente del producto a una
versión anterior usando los archivos de configuración exportados desde una
versión más antigua del producto.
NOTA: Es posible que estas listas no muestren todos los ajustes disponibles. Para
obtener una lista completa de ajustes compatibles, consulte la página XML
Import/Export y la página Push Config en la consola de administración.
En las siguientes secciones puede obtener más información acerca de los archivos
de configuración XML y de cómo usarlos:
La instancia XML
Después de la exportación, el archivo de instancia le muestra el estado actual de la
configuración del IVE. La instancia XML se basa en un esquema XML. El esquema
es un archivo separado que define los metadatos y que sirve como modelo
o plantilla para el archivo de instancia. Si llegara a usar el archivo de esquema, sólo
será para propósitos de referencia.
Los datos del archivo de instancia se basan en las selecciones que hace la ficha XML
Import/Export en la consola de administración cuando realiza la operación de
exportación.
A pesar de las ventajas potenciales de usar un editor de XML, puede realizar una
buena edición de sus datos de configuración usando un editor de texto simple.
Elementos de instancia
Un elemento es una unidad XML discreta que define un objeto del IVE o parte de un
objeto. El elemento suele constar de un par de etiquetas que pueden o no estar
alrededor de datos de cadena. Las etiquetas están delimitadas por corchetes
angulares (< >). Puede encontrar varios ejemplos de etiquetas en los temas
siguientes.
<configuration xmlns="http://xml.juniper.net/ive-sa/6.2R1"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<authentication>
<auth-servers>
<auth-server>
<local>
<users>
<user>
<username>admin</username>
<fullname>Platform Administrator</fullname>
<password-encrypted>3u+U</password-encrypted>
<one-time-use>false</one-time-use>
<enabled>true</enabled>
<change-password-at-signin>false</change-
password-at-signin>
</user>
</users>
</local>
<name>Administrators</name>
</auth-server>
Para hacer cambios en los datos de la cadena que aparecen entre las etiquetas de
inicio y de final. Por ejemplo, en el ejemplo anterior puede agregar o cambiar los
siguientes elementos:
<name>Administrators</name>
<fullname>Platform Administrator</fullname>
<username>admin</username>
<password-cleartext>password</password-cleartext>
<change-password-at-signin>false</change-password-at-signin>
El ejemplo anterior muestra los datos del elemento Password como datos
encriptados, indicando que no puede cambiar el valor de la contraseña. De forma
predeterminada, la operación e exportación de XML proporciona contraseñas
encriptadas con un password-encrypted. Puede modificar la contraseña si cambia el
elemento a password-cleartext. Si modifica la contraseña en el archivo de instancia,
el valor contraseña será visible hasta que se vuelva a importar al IVE. Después de
importado, IVE encripta la contraseña.
NOTA:
Espacios de nombres
Los espacios de nombres le permiten usar en su código las mismas palabras
o etiquetas de contexto o vocabularios XML diferentes. Si agrega calificadores de
nombres de espacios como prefijos a los elementos permite que un archivo de
instancia incluya referencias a distintos objetos que se originan en diferentes
vocabularios de XML y que comparten el mismo nombre. Si no agrega el prefijo
a los elementos con calificadores de espacios de nombres, el espacio de nombre
XML será el predeterminado y se hará referencia a los nombres de tipos de
elementos en ese espacio de nombre sin un prefijo.
<configuration xmlns="http://xml.juniper.net/ive-sa/6.2R1"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
Secuencia de elementos
Debe evitar cambiar la secuencia de elementos en el archivo de instancia en la
medida de lo posible. Aunque el esquema no aplica la secuencia en todos los casos,
no tiene ninguna ventaja cambiar el orden en el que los elementos aparecen en el
archivo de instancia exportado y, en algunos casos, podría invalidar un documento
de instancia al cambiar la secuencia de los elementos.
En la Figura 45 las casillas representan tipos de objetos del IVE y las flechas
representan relaciones de dependencia entre los tipos de objetos. Las flechas
apuntan desde los objetos dependientes a los otros.
En la Figura 45, las direcciones URL de inicio de sesión dependen de los territorios
y de las páginas de inicio de sesión. Los territorios dependen tanto de los servidores
de autenticación como de los roles. Las directivas dependen de los roles. Los
usuarios dependen de los servidores de autenticación.
Si agrega una directiva, debe poder asignarla a un rol. Si no hay un rol en el IVE
de destino, deberá agregar una en el archivo de instancia.
Si elimina una página de inicio de sesión, es posible que inhabilite una o más
direcciones URL de inicio de sesión. Para eliminar una página de inicio de
sesión, primero debe eliminar cualquier dirección URL de inicio de sesión
asociada o reasignarla a otra página de inicio de sesión.
Por ejemplo, vaya a Users > User Roles > [Rol] > General > Session Options en
la consola de administración. La consola de administración envía los valores
posibles para una sesión itinerante como un grupo de botones de opciones que
consta de los valores siguientes:
Enabled
Limit to subnet
Disabled
<session-options>
<idle-timeout>10</idle-timeout>
<max-timeout>60</max-timeout>
<reminder-time>5</reminder-time>
<session-timeout-warning>false</session-timeout-warning>
<session-timeout-relogin>true</session-timeout-relogin>
<roaming>disabled</roaming>
<netmask></netmask>
<persist-session-cookie>disabled</persist-session-cookie>
<persist-passwords>disabled</persist-passwords>
<request-follow-through>disabled</request-follow-through>
<session-idle-timeout-skip>disabled</session-idle-timeout-skip>
<session-upload-log>false</session-upload-log>
</session-options>
<!--Attribute roaming:START-->
<xsd:element name="roaming" minOccurs="0">
...
<xsd:enumeration value="enabled">
...
<xsd:enumeration value="limit-to-subnet">
...
<xsd:enumeration value="disabled">
...
</xsd:element>
<!--Attribute roaming:END-->
Si desea cambiar el valor para la sesión itinerante desde “disabled” a “limit to
subnet”, reemplace disabled por limit-to-subnet.
Para obtener más información acerca de elementos específicos, revise los archivos
de esquema directamente.
Para tener acceso al archivo .xsd, introduzca a la siguiente dirección URL, ya sea
directamente o a través de un script:
https://<IP-or-hostname>/dana-na/xml/config.xsd
donde IP-or-hostname es la dirección IP del IVE o el nombre del host. Con este
método, no será necesario que inicie sesión en el IVE.
NOTA: Esta característica puede cambiar en el futuro. Esté alerta de esto si usa
scripts para tener acceso al archivo comprimido en zip mediante la dirección URL.
Los elementos que podrían cambiar son:
La dirección URL.
El nombre de archivo.
¿El proceso será una operación de una única vez, o necesitará realizar la
misma operación varias veces?
Documente los cambios en los objetos del IVE que desea modificar.
Haga una lista de datos de atributos específicos para los objetos que
agregará o actualizará.
Haga una lista con las páginas o fichas de la consola de administración que
correspondan a los objetos y atributos que desea cambiar.
Tome una imagen instantánea binaria del sistema o realice una copia de
seguridad binaria de la configuración antes de realizar la importación.
2. En Schema Files, haga clic en el enlace para descargar los archivos XML
Schema (.xsd) que describen los objetos del IVE (opcional). Para obtener más
información acerca de los archivos de esquema, consulte “Descarga del archivo
de esquema” en la página 800.
Un perfil de recursos importado está asociado a un rol. Ese rol está asociado a
un marcador pero el marcador no se encuentra en el perfil de recursos.
Una directiva de recursos hija importada necesita un perfil padre en los datos
de configuración. La directiva de recursos hija se elimina (no se importa).
Una directiva de recursos hija contiene una regla detallada que no existe en el
perfil de recursos padre. El proceso de validación de la importación presentará
un error, al igual que el proceso de importación de XML.
Las directivas del Host Checker deben contener sólo tipos de reglas válidas
para esa plataforma. Por ejemplo, no puede tener reglas AV predefinidas
para plataformas Macintosh o Linux.
Puede importar una licencia sólo al mismo sistema. No puede importar una
licencia desde un IVE distinto (se registrará un error).
Las asociaciones de rol se exportan pero los datos de rol individuales no.
3. Haga clic en Expand All para ver todos los ajustes; haga clic en Select All para
seleccionar todos los ajustes identificados en la página. De lo contrario,
seleccione la información específica que desea exportar. Dentro de cada
sección, puede hacer clic en Select All para seleccionar todos los ajustes dentro
de una sección en particular:
Hora y fecha del sistema: Exporta la zona horaria del servidor y los ajustes
del protocolo de hora de la red (NTP).
Si importa una licencia después de eliminar una licencia temporal del IVE, la
licencia importada no se tendrá en cuenta debido a que aún podría reactivar
la licencia eliminada y la operación de importación intenta mantener
cualquier dato actual en el IVE.
En Sign-in URLs, elija ALL sign-in URLs para exportar todas las
direcciones URL de inicio de sesión o elija SELECTED sign-in URLs para
especificar qué direcciones URL de inicio de sesión exportará.
En Sign-in Pages, seleccione ALL Pages para exportar todas las páginas de
inicio de sesión, SELECTED pages para especificar qué páginas de inicio de
sesión exportar u ONLY pages used by URLs selected above para exportar
sólo esas páginas que son válidas para las direcciones URL de inicio de
sesión seleccionadas arriba.
Seleccione ALL policies para exportar todas las directivas del Host Checker
o elija SELECTED policies para especificar qué directivas del Host Checker
se exportarán. Los archivos de paquete JEDI están encriptados. Las
directivas de terceros se exportan como la directiva principal más el
paquete JEDI y las subdirectivas. No puede separar estos paquetes para
exportarlos.
Seleccione Remote IMV para exportar todos los ajustes de los servidores
IMV y las reglas IMV remotas.
Seleccione ESAP para exportar todos los ajustes ESAP. Los paquetes ESAP
están encriptados cuando se exportan.
escoja ALL resource realms para exportar todos los territorios dentro de
ese grupo.
Escoja ALL roles para exportar todos los roles dentro de ese grupo.
Seleccione Hosted Java Applets para exportar todos los applets que se han
actualizado en el sistema. No es posible seleccionar applets de Java individuales
para exportar.
Escoja ALL resource profiles para exportar todos los perfiles de recursos
dentro de ese grupo.
11. Seleccione la casilla de verificación Local User Accounts para exportar las
cuentas de usuario locales.
Escoja From ALL local auth servers para exportar todas las cuentas de
usuario locales desde todos los servidores de autenticación locales.
En este procedimiento, sólo verá ejemplos para User 1, User 2 y User 2000. Se
supone que todos los otros usuarios están incluidos en su archivo de importación.
Debe configurar las contraseñas a instancias numeradas de la contraseña de
palabra, como password1, password2, etc. Todos los usuarios en este ejemplo se
asignan al mismo servidor de autenticación, aunque puede especificar cualquier
combinación de servidores de autenticación que sean válidos en su sistema.
NOTA:
<configuration xmlns="http://xml.juniper.net/ive-sa/6.2R1"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<authentication>
<auth-servers>
<auth-server>
<local>
<users>
<user>
<username>user1</username>
<fullname>User1</fullname>
<password-cleartext>password1
</password-cleartext>
<one-time-use>false</one-time-use>
<enabled>true</enabled>
<change-password-at-signin>true
</change-password-at-signin>
</user>
<user>
<username>user2</username>
<fullname>User2</fullname>
<password-cleartext>password2
</password-cleartext>
<one-time-use>false</one-time-use>
<enabled>true</enabled>
<change-password-at-signin>true
</change-password-at-signin>
</user>
<name>System Local</name>
</auth-server>
</auth-servers>
</authentication>
</configuration>
<xsd:simpleType>
<xsd:restriction base="xsd:token">
<xsd:enumeration value="rewrite-url-response-static">
<xsd:annotation>
<xsd:appinfo>
<dmi:enum-info>
<title>Rewrite URL and response (Static HTML
only)</title>
</dmi:enum-info>
</xsd:appinfo>
</xsd:annotation>
</xsd:enumeration>
<xsd:enumeration value="rewrite-url-response-static-dynamic">
...
<xsd:enumeration value="rewrite-url-static">
...
<xsd:enumeration value="rewrite-url-static-dynamic">
...
<xsd:enumeration value="rewrite-hostname-static">
...
<xsd:enumeration value="rewrite-hostname-static-dynamic">
...
<xsd:enumeration value="rewrite-url-hostname">
...
<xsd:enumeration value="rewrite-data">
...
<xsd:enumeration value="no-rewrite">
</xsd:restriction>
</xsd:simpleType>
NOTA: El siguiente ejemplo muestra sólo un fragmento del archivo policy.xml real.
Además, el formato se ha modificado del original para mejorar la lectura. El código
XML real puede tener un aspecto distinto.
<activex-param>
<classid>5BDBA960-6534-11D3-97C7-00500422B550</classid>
<description>iNotes Discussion </description>
<params>
<param>
<parameter>FullUrl</parameter>
<!-- Change the following data -->
<action>rewrite-url-response-static-dynamic</action>
</param>
</params>
</activex-param>
La instancia XML que desea importar debe contener el mismo grupo de nodos
que el clúster original. La firma usada para sincronizar el clúster cuando los
nodos se rehabilitan se deriva de las direcciones IP de los nodos del clúster, por
lo que los nodos restantes no pueden reintegrarse al clúster si la configuración
importada ofrece una firma diferente.
Cuando realice una operación de importación en un clúster, todos los nodos del
clúster se deben habilitar y ejecutar. Si intenta importar una configuración en
un clúster en el que un nodo no se está ejecutando, la operación de
importación puede detenerse o los resultados de importación pueden ser
impredecibles.
El atributo de operación se aplica a todos los objetos hijos a menos que un nuevo
atributo de operación se defina en los objetos hijos.
Si fusiona una lista de objetos con una lista existente de objetos en el almacén de
configuración, se podrían obtener resultados inesperados en la lista de objetos
fusionada. Durante una operación de fusión, no se mantiene el orden de los objetos
en la lista nueva. Si importa una lista de objetos y desea mantener el orden de la
lista nueva, debe usar el atributo de operación replace. También puede usar las
opciones insert before o insert after para asegurarse de producir la jerarquía que
desea.
<interface>
<name>Ethernet0/0</name>
<mtu>1500</mtu>
</interface>
<interface xc:operation="replace">
<name>Ethernet0/0</name>
<mtu>1500</mtu>
<address>
<name>192.0.2.4</name>
<prefix-length>24</prefix-length>
</address>
</interface>
Puede enviar la configuración a un IVE único o a varios IVE. Por ejemplo, si instala
varios IVE nuevos, puede enviar su configuración inicial. También puede enviar la
configuración a un IVE que sea miembro de un clúster si el IVE de destino no es un
miembro del mismo clúster como origen. Los IVE de destino tienen la opción de
aceptar o no los ajustes de configuración enviados. Para obtener instrucciones,
consulte “Definición de los IVE de destino” en la página 818. Si un envío de
configuración a un IVE de destino presenta un error, Push Configuration continúa
con el siguiente destino hasta que todos los destinos identificados estén
actualizados. La página de resultados muestra el estado y los problemas
encontrados durante el proceso.
Si el IVE de destino o de origen tiene una licencia IVS, debe enviar todos los
ajustes de configuración. No puede seleccionar qué ajustes enviar.
El IVE de origen envía datos sólo a través del puerto interno o el Puerto de
administración (en SA 6000 de Juniper Networks, si está configurado). El IVE de
destino puede recibir datos a través de los puertos interno, externo o de
administración (en SA 6000 de Juniper Networks, si está configurado).
Para que Push Configuration funcione, la cuenta del administrador del IVE de origen
debe iniciar sesión en el IVE de destino sin interacción humana. Por ejemplo, no
puede tener credenciales dinámicas o roles múltiples que no estén fusionados, ya
que ambos requieren interacción manual.
4. Para crear un nuevo IVE de destino, haga clic en New Target. En la página New
Target:
Configuraciones de red
Licencias
Certificados
Ajustes SNMP
NOTA: No se puede copiar ajustes de red a otro IVE usando la característica Push
Configuration. Puede usar la característica XML Import/Export para exportar
ajustes de red seleccionados y luego para importar esos ajustes a otro IVE. Para
obtener más información, consulte “Importación y exportación de archivos de
configuración XML” en la página 791.
4. Seleccione los IVE de destino desde la lista Available Targets y haga clic en Add
para moverlos a la lista Selected Targets.
NOTA:
6. Haga clic en Push Configuration para copiar los ajustes seleccionados a los IVE
de destino. El IVE muestra el estado de envío en la ficha Results.
Para IVS, debe configurar los ajustes en cada IVS que desee archivar
SecureMeetings.
<meetings>
<meeting>
<id>20993310</id>
<creator><![CDATA[gary (Users)]]></creator>
<name><![CDATA[Support Meeting (20993310)]]></name>
<agenda><![CDATA[]]></agenda>
<teleconference_info><![CDATA[]]></teleconference_info>
<date><![CDATA[4:11 PM May 15, 2007 (GMT-08:00) Pacific Time (US &
Canada); Tijuana]]></date>
<duration>1 hour</duration>
<meeting_type>support</meeting_type>
<invitees>
<invitee><![CDATA[gary (System Local) Conductor]]></invitee>
...
</invitees>
<attendees>
<attendee>
<name><![CDATA[gary]]></name>
<join_time>04:11 PM</join_time>
<duration>50 minutes </duration>
</attendee>
...
</attendees>
</meeting>
...
</meetings>
3. En el campo Delete meetings older than, escriba la antigüedad (en días) que
deben tener las reuniones antes de archivarlas. Las reuniones anteriores a este
momento se archivarán y se eliminarán del sistema.
Registro de sensores
Events log: Este archivo de registro contiene una variedad de eventos del
sistema, como tiempos de espera de sesión (incluyendo tiempos de espera de
sesión de duración máxima y de inactividad), errores y advertencias del
sistema, solicitudes de comprobación de conectividad del servidor
y notificaciones de reinicio de servicio del IVE. (El proceso de guardián del IVE
revisa periódicamente el servidor del IVE y se reinicia si el IVE no responde.)
Cuando uno de los registros alcanza el tamaño máximo del archivo de registro
configurado (200 MB de forma predeterminada), los datos actuales se sustituyen
por un archivo de registro de la copia de seguridad. Entonces se crea un archivo
nuevo y vacío para todos los mensajes de registro subsiguientes (nuevos). Con el
visualizador de registros, el administrador puede ver los 5000 mensajes de registro
más recientes (límite de visualización del visualizador). Si el archivo de registro
actual contiene menos de 5000 mensajes de registro, se muestran los mensajes
más antiguos del archivo de registro de la copia de seguridad, hasta completar los
5000 mensajes de registro. Esto hace que los archivos de registro aparezcan como
uno, aunque se hayan almacenado por separado, de acuerdo con el tamaño
máximo del archivo de registro configurado.
NOTA: Para supervisar las estadísticas vitales del sistema, como el uso de CPU,
cargue el archivo MIB UC-Davis en la aplicación del administrador de SNMP. Puede
obtener el archivo MIB de: http://net-snmp.sourceforge.net/docs/mibs/UCD-SNMP-
MIB.txt.
Critical (severity level 10): Cuando el IVE no puede responder a las solicitudes
del usuario o del administrador o pierde la funcionalidad en la mayoría de los
subsistemas, escribe un evento crítico en el registro.
Major (severity levels 8-9): Cuando el IVE pierde la funcionalidad en uno o más
subsistemas, pero los usuarios aún pueden acceder al dispositivo mediante
otros mecanismos de acceso, el IVE escribe un evento grave en el registro.
Cuando filtra los archivos de registro, el dispositivo IVE sólo guarda estos mensajes
especificados dentro de la consulta del filtro. Por ejemplo, puede crear una consulta
que sólo registre las entradas de un rango particular de direcciones IP o de usuarios
que inician sesión en un territorio específico. Para crear una consulta, use el
lenguaje de expresión personalizada del IVE.
NOTA: Al igual que con los filtros de registro personalizados, los filtros de registro
dinámicos sólo cambian la vista actual del registro, no los datos que el IVE guarda.
Aunque los filtros rápidos actúan como agentes de filtro temporales, el IVE le da la
posibilidad de guardar las cadenas de consultas temporales como filtros
personalizados nuevos.
Para todos los otros tipos de servidores de autenticación, puede ver y eliminar
sesiones de usuario activas siguiendo estas instrucciones.
Para obtener información sobre las capacidades de registro y supervisión del IVE,
consulte “Registro y supervisión” en la página 823.
2. Seleccione Events, User Access, Admin Access o Sensors y luego elija Log.
5. Haga clic en Save Log As, diríjase a la ubicación de red deseada, introduzca un
nombre de archivo y haga clic en Save para guardar manualmente el archivo de
registro.
NOTA: Para guardar todos los archivos de registro (Events Log, User Access Log,
Admin Access Log y Sensors Log) haga clic en Save All Logs y el IVE le solicitará
una ubicación en la que guardar los archivos de registro en un archivo
comprimido. Puede acceder al botón Save All Logs desde cualquiera de las fichas
de registro correspondientes.
6. Haga clic en Clear Log para borrar el registro local y el archivo log.old.
NOTA: Cuando borra el registro local, los eventos grabados por el servidor syslog
no se ven afectados. Los eventos posteriores se graban en un nuevo archivo de
registro local.
5. Haga clic en el botón Reset Query para borrar el campo de texto Edit Query
y restablecer el registro en la vista determinada por el filtro especificado en el
campo View by filter (opcional).
6. Haga clic en el botón Save Query para guardar la consulta de registro dinámico
como un filtro personalizado (opcional). La ficha Filters aparece con el campo
Query llenado previamente con las variables que seleccionó del registro.
A continuación:
En la sección Start Date, haga clic en Earliest Date para escribir todos
los registros de la primera fecha disponible almacenada en el archivo
de registro. O bien, introduzca manualmente una fecha de inicio.
En la sección End Date, haga clic en Latest Date para escribir todos los
registros hasta la última fecha disponible almacenada en el archivo de
registro. O bien, introduzca manualmente una fecha de término.
NOTA: También puede usar la página Archiving para guardar automáticamente los
registros en una ubicación accesible mediante FTP. Para obtener más información,
consulte “Archivado de archivos de configuración binarios del IVE” en la
página 782.
2. Seleccione la ficha Events, User Access, Admin Access o Sensors y luego elija
Settings.
c. (Sólo Central Manager) Elija qué filtro desea aplicar al archivo de registro.
NOTA: Asegúrese de que el servidor syslog acepte mensajes con los siguientes
ajustes: facility = LOG_USER y level = LOG_INFO.
2. Seleccione la ficha Events, User Access, Admin Access, or Sensors y luego elija
Filters.
6. Use las opciones de la sección Query para controlar qué subconjunto de datos
escribe el IVE en el registro:
a. En la sección Start Date, haga clic en Earliest Date para escribir todos los
registros de la primera fecha disponible almacenada en el archivo de
registro. O bien, introduzca manualmente una fecha de inicio.
b. En la sección End Date, haga clic en Latest Date para escribir todos los
registros hasta la última fecha disponible almacenada en el archivo de
registro. O bien, introduzca manualmente una fecha de término.
7. Use una de las opciones de la sección Export Format para controlar el formato
de los datos en el registro:
NOTA:
Para supervisar las estadísticas vitales del sistema del IVE, como el uso de
CPU, cargue el archivo MIB UC-Davis en la aplicación del administrador de
SNMP. Puede obtener el archivo MIB de:
http://net-snmp.sourceforge.net/docs/mibs/UCD-SNMP-MIB.txt.
2. Haga clic en el vínculo Juniper Networks MIB file para obtener acceso al
archivo MIB y guarde el archivo del explorador en una ubicación de red. Para
obtener descripciones de los objetos Get y Trap en el archivo MIB, consulte
“Supervisión del IVE como un agente de SNMP” en la página 833.
NOTA:
Check Frequency
Log Capacity
Users
Memory
Swap Memory
Disk
Meeting Users
CPU
6. En SNMP Servers, especifique los servidores a los que desea que el IVE envíe
las capturas que genera, introduciendo la información en los siguientes campos
y luego haga clic en Add:
Objeto Descripción
logFullPercent Devuelve el porcentaje del tamaño de archivo disponible
llenado por el registro actual como un parámetro de la
captura logNearlyFull.
signedInWebUsers Devuelve el número de usuarios que iniciaron sesión en
el IVE mediante un explorador de Web.
signedInMailUsers Devuelve el número de usuarios que iniciaron sesión en
el Email Client.
blockedIP Devuelve la dirección IP, bloqueada debido a intentos
consecutivos fallidos de inicio de sesión, enviados por la
iveToomanyFailedLoginAttempts trap. El sistema agrega la
dirección IP bloqueada a la tabla blockedIPList.
authServerName Devuelve el nombre de un servidor de autenticación
externo enviado por la captura
externalAuthServerUnreachable.
productName Devuelve el nombre del producto con licencia del IVE.
productVersion Devuelve la versión de software del sistema al IVE.
fileName Devuelve el nombre de archivo enviado por la captura
archiveFileTransferFailed.
meetingUserCount Devuelve el número de usuarios simultáneos en la
reunión enviados por la captura meetingUserLimit.
iveCpuUtil Devuelve el porcentaje de CPU usado durante el intervalo
entre dos asignaciones de SNMP. Este valor se calcula
dividiendo la cantidad de CPU usada por la cantidad de
CPU disponible durante la asignación actual y previa de
SNMP. Si no se dispone de una asignación previa, el
cálculo se basa en el intervalo entre la asignación actual
y el reinicio del sistema.
iveMemoryUtil Devuelve el porcentaje de memoria utilizada por el IVE
en el momento de una asignación de SNMP. El sistema
calcula este valor dividiendo el número de páginas de
memoria usada por el número de páginas de memoria
disponible.
Objeto Descripción
iveConcurrentUsers Devuelve el número total de usuarios registrados en el
nodo del IVE.
clusterConcurrentUsers Devuelve el número total de usuarios registrados en el
clúster.
iveTotalHits Devuelve el número total de coincidencias con el IVE
desde el último reinicio. Incluye los valores totales de
iveFileHits, iveAppletHits, meetingHits e iveWebHits.
iveFileHits Devuelve el número total de coincidencias de archivos
con el IVE desde el último reinicio. El servidor Web lo
incrementa con cada GET/POST correspondiente a una
solicitud de explorador de archivos.
iveWebHits Devuelve el número total de coincidencias por medio de
la interfaz Web desde el último reinicio. El servidor Web
lo incrementa con cada solicitud http recibida por el IVE,
excluyendo coincidencias de archivos, applet y reuniones.
iveAppletHits Devuelve el número total de coincidencias de applet
con el IVE desde el último reinicio. El servidor Web lo
incrementa con cada solicitud GET para un applet
de Java.
ivetermHits Devuelve el número total de coincidencias de terminal
con el IVE desde el último reinicio.
iveSAMHits Devuelve el número total de coincidencias de Secure
Application Manager con el IVE desde el último reinicio.
iveNCHits Devuelve el número total de coincidencias de Network
Connect con el IVE desde el último reinicio.
meetingHits Devuelve el número total de coincidencias de reuniones
con el IVE desde el último reinicio. El servidor Web lo
incrementa con cada solicitud http recibida por el IVE en
una URL relacionada con la reunión.
meetingCount Devuelve el número de reuniones simultáneas enviadas
por la captura meetingLimit.
logName Devuelve el nombre del registro
(administrador/usuario/evento) para las capturas
logNearlyFull y iveLogFull.
iveSwapUtil Devuelve el porcentaje de páginas de memoria de
intercambio utilizado por el IVE en el momento de una
asignación de SNMP. El sistema calcula este valor
dividiendo el número de páginas de memoria de
intercambio usado por el número de páginas de memoria
de intercambio disponible.
diskFullPercent Devuelve el porcentaje de espacio en disco usado en el
IVE para la captura iveDiskNearlyFull. El sistema calcula
este valor dividiendo el número de bloques de espacio en
disco usados por el número de bloques total de espacio
en disco.
blockedIPList Devuelve una tabla con las últimas 10 direcciones IP
bloqueadas. El MIB blockedIP agrega direcciones IP
bloqueadas a esta tabla
ipEntry Una entrada en la tabla blockedListIP que contiene una
dirección IP bloqueada y su índice (consulte IPEntry).
Objeto Descripción
IPEntry El índice (ipIndex) y la dirección IP (ipValue) para una
entrada en la tabla blockedIPList.
ipIndex Devuelve el índice para la tabla blockedIPList.
ipValue Una entrada de dirección IP bloqueada en la tabla
blockedIPList.
logID Devuelve el ID exclusivo del mensaje de registro enviado
por la captura logMessageTrap.
logType Devuelve una cadena enviada por la captura
logMessageTrap que establece si un mensaje de registro
es grave o crítico.
logDescription Devuelve una cadena enviada por la captura
logMessageTrap que establece si un mensaje de registro
es grave o crítico.
ivsName Devuelve el nombre de un sistema virtual.
ocspResponderURL Devuelve el nombre de un respondedor OCSP.
fanDescription Devuelve el estado de los ventiladores del IVE.
psDescription Devuelve el estado de las fuentes de alimentación
del IVE.
raidDescription Devuelve el estado del dispositivo RAID del IVE.
NOTA: Las opciones para enviar capturas de SNMP para eventos graves y críticos
se inhabilitan de forma predeterminada por motivos de seguridad.
Objeto Descripción
iveLogNearlyFull El archivo de registro (sistema, acceso de usuario
o acceso de administrador) especificado por el parámetro
logName está casi lleno. Cuando se envía esta captura,
también se envía el parámetro logFullPercent (%de
archivo de registro lleno). Puede configurar esta captura
para que se envíe en cualquier porcentaje. Para inhabilitar
la captura, configure iveLogNearlyFull en 0%. El valor
predeterminado de la captura es 90%.
iveLogFull El archivo de registro (sistema, acceso de usuario
o acceso de administrador) especificado por el parámetro
logName está completamente lleno.
iveMaxConcurrentUsersSignedIn Número máximo o permitido de usuarios simultáneos
que iniciaron sesión actualmente. Puede configurar esta
captura para que se envíe en cualquier porcentaje. Para
inhabilitar la captura, configure
iveMaxConcurrentUsersSignedIn en 0%. El valor
predeterminado de la captura es 100%.
Objeto Descripción
iveTooManyFailedLoginAttempts Un usuario con una dirección IP específica tiene muchos
intentos de inicio de sesión fallidos. Se activan cuando un
usuario no logra autenticarse de acuerdo con los ajustes
de las Lockout options en la ficha Security Options.
(Consulte “Configuración de las opciones de bloqueo” en
la página 736.)
Cuando el sistema activa esta captura, también activa el
parámetro blockedIP (IP de origen de los intentos de
inicio de sesión).
externalAuthServerUnreachable Un servidor de autenticación externo no responde a las
solicitudes de autenticación.
Cuando el sistema envía esta captura, también envía el
parámetro authServerName (% de archivo de registro
completo) (nombre del servidor inalcanzable).
iveStart El IVE se acaba de encender.
iveShutdown El IVE se acaba de apagar.
iveReboot El IVE se acaba de reiniciar.
archiveServerUnreachable El IVE no puede alcanzar el servidor FTP o de archivo SCP
configurado.
archiveServerLoginFailed El IVE no puede registrarse en el servidor FTP o SCP
Archive configurado.
archiveFileTransferFailed El IVE no puede transferir correctamente el archivo al
servidor FTP o SCP Archive configurado. Cuando el
sistema envía esta captura, también envía el parámetro
fileName.
meetingUserLimit Proporciona una notificación de que el recuento de
usuarios excede el límite de licencias. Cuando el sistema
envía esta captura, también envía el parámetro
meetingUserCount.
iveRestart Notifica que el IVE se ha reiniciado de acuerdo con la
instrucción del administrador.
meetingLimit Proporciona una notificación de que el recuento de
reuniones concurrentes excede el límite de licencias.
Cuando el sistema envía esta captura, también envía el
parámetro meetingCount. Puede configurar esta captura
para que se envíe en cualquier porcentaje. Para inhabilitar
la captura, configure meetingLimit en 0%. El valor
predeterminado de la captura es 100%.
iveDiskNearlyFull Proporciona una notificación de que el disco duro del IVE
está casi lleno. Cuando el sistema envía esta captura,
también envía el parámetro diskFullPercent. Puede
configurar esta captura para que se envíe en cualquier
porcentaje. Para inhabilitar la captura, configure
iveDiskNearlyFull en 0%. Este valor predeterminado de la
captura es 80%.
iveDiskFull Proporciona una notificación de que el disco duro del IVE
está lleno.
logMessageTrap La captura generada desde un mensaje de registro.
Cuando el sistema envía esta captura, también envía los
parámetros logID, logType y logDescription.
Objeto Descripción
memUtilNotify Proporciona una notificación de que el sistema ha
alcanzado el umbral configurado para el uso de memoria.
Para inhabilitar la captura, configure memUtilNotify en 0.
De forma predeterminada el umbral es 0%.
cpuUtilNotify Proporciona una notificación de que el sistema ha
alcanzado el umbral configurado para el uso de CPU. Para
inhabilitar la captura, configure cpuUtilNotify en 0. De
forma predeterminada el umbral es 0%.
swapUtilNotify Proporciona una notificación de que el sistema ha
alcanzado el umbral configurado para el uso de memoria
de archivo de intercambio. Para inhabilitar la captura,
configure swapUtilNotify en 0. De forma predeterminada
el umbral es 0%.
iveMaxConcurrentUsersVirtualSystem Proporciona una notificación de que el número máximo
de usuarios simultáneos del sistema virtual ha iniciado
sesión en IVS.
ocspResponderUnreachable Proporciona una notificación de que el respondedor
OCSP no responde.
iveFanNotify Se ha notificado que ha cambiado el estado de los
ventiladores.
ivePowerSupplyNotify Notifica que ha cambiado el estado de las fuentes de
alimentación.
iveRaidNotify Notifica que ha cambiado el estado del dispositivo RAID.
iveNetExternalInterfaceDownTrap Proporciona el tipo de evento que causó el fallo de la
(nicEvent) interfaz externa. El parámetro nicEvent puede contener
los valores “externos” para un evento externo
y “administración” para una acción administrativa.
iveNetInternalInterfaceDownTrap Proporciona el tipo de evento que causó el fallo de la
(nicEvent) interfaz interna. El parámetro nicEvent puede contener
los valores “externos” para un evento externo
y “administración” para una acción administrativa.
iveClusterDisableNodeTrap Proporciona el nombre de un clúster que contiene nodos
(clusterName,nodeList) inhabilitados y una cadena que contiene los nombres de
todos los nodos inhabilitados. Los nombres de nodos se
separan con un espacio en blanco en la cadena.
iveClusterChangedVIPTrap(vipType, Proporciona el estado de una IP virtual para el clúster.
currentVIP, newVIP) vipType indica si la VIP cambiada fue externa o interna.
currentVIP contiene la VIP antes del cambio y newVIP
contiene la VIP después del cambio.
iveNetManagementInterfaceDownTrap Proporciona el tipo de evento que causó el fallo del puerto
(nicEvent) de administración. El parámetro nicEvent puede contener
los valores “externos” para un evento externo
y “administración” para una acción administrativa.
iveClusterDelete(nodeName) Proporciona el nombre del nodo en que se inició el
evento de eliminación del clúster.
La página Statistics muestra esa información de los últimos siete días. El IVE
escribe esa información en el registro del sistema una vez a la semana. Tenga en
cuenta que al actualizar el IVE se borran todas las estadísticas. Sin embargo, si
configura el sistema para que registre las estadísticas por hora, las estadísticas
antiguas aún estarán disponibles en el archivo de registro después de una
actualización.
Puede habilitar los registros del lado cliente para las características Host Checker,
Cache Cleaner, Secure Meeting, WSAM, JSAM y Java Applet Rewriter, Network
Connect y Terminal Services. Para obtener información sobre el lugar en el que el
IVE instala los archivos de registro de cada una de estas características, consulte el
Client-side Changes Guide en Juniper Networks Customer Support Center.
Cuando use el IVE como un dispositivo de sistema virtual instantáneo (IVS), tenga
las siguientes pautas en mente:
Cada administrador de IVS tiene derecho a habilitar el registro del lado cliente
para los roles asociados con los roles de usuario del sistema del IVS.
2. Seleccione las características deseadas para las cuales el IVE escribe los
registros del lado cliente.
NOTA: Para los sistemas IVE 5.x nuevos, todas las opciones están inhabilitadas de
forma predeterminada. Si actualiza el IVE de una configuración 3.x, todas las
opciones de registro están habilitadas de forma predeterminada.
Cuando carga archivos de registro en un IVE que es nodo de un clúster, tenga las
siguientes pautas en mente:
Puede usar la columna Log Node de la ficha System > Log/Monitoring >
Client Logs > Uploaded Logs para ver la ubicación de los archivos de registro
existentes recopilados por los nodos del clúster. Esto es específico para una
configuración de clúster y no se aplica a una sola implementación del IVE.
Puede ver las entradas de registro cargadas en todos los nodos de un clúster.
Puede guardar y descomprimir los archivos de registro cargados de los nodos
respectivos en el clúster en que el usuario cargó los registros.
1. Diríjase a Users > User Roles > Seleccionar rol > General > Session Options
de la consola de administración.
NOTA: El IVE no conserva los registros cargados cuando actualiza el IVE. Para
conservar los registros, puede archivarlos usando las opciones de la página
Maintenance > Archiving > Archiving Servers de la consola de administración.
(Para obtener más información, consulte “Creación de copias de seguridad locales
de los archivos de configuración del IVE” en la página 784.) También puede
configurar las capturas de SNMP relacionadas con el registro para capturar los
eventos de registro durante la carga de registros usando las opciones de la página
System > Log/Monitoring > SNMP de la consola de administración. (Para
obtener más información, consulte “Supervisión del IVE como un agente de
SNMP” en la página 833.)
2. (Opcional) Actualice los detalles cargados del registro del cliente haciendo clic
en el botón Refresh Logs.
Para usar esta información para los informes de datos en cualquier parte, expórtela
como un archivo XML usando las opciones de la página Maintenance >
Import/Export > Configuration.
Estos gráficos se muestran en la ficha System > Status > Overview cuando abre la
consola de administración y le otorgan una vista fácil:
Hits Per Second: Este gráfico muestra el número de coincidencias que procesa
actualmente el IVE. En entornos de clúster, puede elegir un IVE de la lista
desplegable para determinar los datos de qué nodo aparecerán en el gráfico. El
gráfico incluye cuatro líneas: número de coincidencias, número de
coincidencias Web, número de coincidencias de archivo y número de
coincidencias de cliente/servidor.
Throughput: Este gráfico muestra la cantidad de datos (en KB) que se están
procesando en ese momento. En entornos de clúster, puede elegir un IVE de la
lista desplegable para determinar los datos de qué nodo aparecerán en el
gráfico. El gráfico incluye cuatro líneas: entrada externa, salida externa,
entrada interna, salida interna.
También puede usar la ventana Page Settings para configurar qué gráficos muestra
el IVE en el panel y el período de tiempo que el IVE realiza seguimiento.
Especificación del rango de tiempo y los datos que aparecen en los gráficos
También puede especificar el rango de tiempo y otros datos para que aparezcan en
los gráficos.
Para especificar el rango de tiempo y los datos que aparecen en los gráficos:
Para especificar el grosor y el color de las líneas que aparecen en los gráficos:
2. Haga clic en el vínculo Edit que corresponda al gráfico que desea modificar.
3. Use los ajustes del cuadro de diálogo Graph Settings para editar el color de
fondo, los colores de la línea del gráfico, el color del texto, el color de la línea
y el grosor de la línea que aparecen en el gráfico.
3. Haga clic en Refresh para ver los eventos más actualizados (opcional).
4. Haga clic en See All para navegar a la ficha System > Log/Monitoring >
Events > Log, donde se muestran todos los eventos, de informativos a críticos
(opcional). Para obtener más información, consulte “Configuración de las
características de supervisión de registro” en la página 828.
NOTA:
Los usuarios que no pertenecen al IVE y que iniciaron sesión en una reunión
segura aparecen en la lista como miembros del rol “Secure Meeting User
Role”.
El IVE muestra “N/A” en las columnas Realm y Role para los usuarios que no
pertenecen al IVE y que iniciaron sesión en el IVE para asistir a Secure
Meeting.
Para forzar el cierre de sesión de todos los usuarios finales que tengan
una sesión iniciada, haga clic en Delete All Sessions.
Attendee Roles: Muestra los roles de los asistentes que iniciaron sesión en
la reunión, el número de asistentes que inició sesión en cada rol y el límite
de asistentes a la reunión para cada rol. Tenga en cuenta que los asistentes
que no pertenecen al IVE aparecen debajo del rol de usuario del creador de
la reunión. Para obtener información sobre cómo se asignan los asistentes
a los roles y cómo configurar los límites por rol, consulte “Definición de los
ajustes de rol: Secure Meeting” en la página 633.
3. Haga clic en el vínculo Details debajo de una reunión para ver información
sobre la reunión y unirse a ésta (opcional).
4. Elija MySecureMeeting URLs en el menú desplegable View para ver las URL
personales que hayan creado sus usuarios.
Grabación de sesiones
Para usar el simulador, debe especificar los eventos que desea simular (por ejemplo
puede crear una sesión virtual en la que “John Doe” inicie sesión en el territorio
“Usuarios” a las 6:00 a.m. con el navegador Internet Explorer). Después, debe
especificar los eventos que desea grabar y registrar en la simulación. Puede
registrar tres tipos principales de eventos en el registro de simulación:
Autenticación previa: Entre los eventos del IVE que se capturan no se incluirá
ningún otro evento relacionado con el sistema. Los eventos simplemente se
usan como un mecanismo de filtro para reducir la cantidad de registros
y resaltar el problema.
Asignación de roles: Entre los eventos del IVE que se capturan no se incluirá
ningún otro evento relacionado con el sistema. Los eventos simplemente se
usan como un mecanismo de filtro para reducir la cantidad de registros
y resaltar el problema.
Directivas de recursos: Entre los eventos del IVE que se capturan no se incluirá
ningún otro evento relacionado con el sistema. Los eventos simplemente se
usan como un mecanismo de filtro para reducir la cantidad de registros y
resaltar el problema.
3. En el campo Username, escriba las credenciales del usuario del IVE cuya
experiencia desea simular. Tenga en cuenta que puede usar un carácter
comodín (*) en lugar de un nombre de usuario. Por ejemplo, si sus usuarios
inician sesión en un servidor anónimo, puede usar el carácter comodín (*) ya
que usted no conoce el nombre de usuario interno que el IVE asignará al
usuario.
4. En el menú desplegable Realm, seleccione el territorio del usuario del IVE cuya
experiencia desea simular.
Especifique los tipos de directivas que desea registrar usando las casillas de
verificación de la sección Events to Log.
Por ejemplo, si desea probar si un usuario puede tener acceso al sitio Web de
Yahoo, escriba “http://www.yahoo.com” en el campo Resource, seleccione
Web en la lista desplegable y seleccione la casilla de verificación Access en la
sección Events to Log.
8. Después de ejecutar la simulación, elija Save Log As para guardar los resultados
de la simulación en un archivo de texto.
Por ejemplo, puede crear un territorio de “Human Resources” y crear dos reglas de
asignación de roles para ese territorio:
Quizás usted considera que John debe ser miembro de ambos roles, pero cuando
inicia sesión en el IVE él no puede tener acceso a la navegación de archivos o a la
funcionalidad de Secure Meeting habilitada en el rol “Human Resources Staff”.
Cuando activa el seguimiento de directivas para determinar las razones por las que
John no puede tener acceso a todas las funcionalidades esperadas, es posible que
vea entradas del registro similares a las que se muestran en la Figura 46.
NOTA: Los registros del acceso de los usuarios sólo se comunican para las
directivas que están seleccionadas bajo Events to Log.
Figura 46: Maintenance > Troubleshooting > User Session > Policy Tracing> Policy Trace
File
Esta entrada muestra que el IVE no asignó a Joe al rol “Human Resource Staff”
porque no es miembro del grupo “humanresources” en el servidor LDAP.
Use esta ficha si sus usuarios tienen problemas para obtener acceso a las
funcionalidades que esperan usar en sus roles. Los eventos registrados en el archivo
de seguimiento de directivas le pueden ayudar a diagnosticar estos problemas.
2. En el campo User, escriba las credenciales de IVE del usuario al que desea
hacer seguimiento. Tenga en cuenta que puede usar un carácter comodín (*) en
lugar de un nombre de usuario. Por ejemplo, si sus usuarios inician sesión en
un servidor anónimo, puede usar el carácter comodín (*) ya que usted no
conoce el nombre de usuario interno que el IVE asignará al usuario.
4. Bajo Events to log, seleccione los tipos de eventos que desee escribir en el
archivo de registro de seguimiento de directivas.
5. Haga clic en Start Recording. Solicítele al usuario que inicie sesión en el IVE
después de que usted comience a grabar.
6. Haga clic View Log para ver las entradas del registro.
9. Haga clic en Clear Log para borrar los contenidos del archivo de registro o haga
clic en Delete Trace para eliminar los contenidos de un archivo de registro
y luego eliminar las entradas predeterminadas de los campos nombre de
usuario y territorio.
Grabación de sesiones
Cuando un sitio Web no se vea correctamente a través del IVE, la ficha
Maintenance > Troubleshooting > User Sessions > Session Recording le
permitirá grabar un archivo de seguimiento que muestre las acciones de un usuario.
Además, puede usar esta ficha para conectarse a través del IVE a una aplicación de
cliente/servidor que no se comporta según lo esperado.
6. Indique al usuario que inicie sesión nuevamente y navegue al sitio Web que
produce el problema o a la aplicación de cliente/servidor a través del IVE.
b. Haga clic en los vínculos JCP o NCP Client-Side Log para descargar el
archivo de seguimiento de la aplicación cliente/servidor.
10. Seleccione el botón Delete para borrar los archivos de seguimiento que acaba
de crear (opcional).
NOTA:
Para tomar una imagen instantánea del estado del sistema IVE:
4. Haga clic en Take Snapshot para tomar una imagen instantánea de forma
manual inmediatamente.
NOTA: También puede tomar una imagen instantánea del sistema desde la consola
serie. Este método es útil si no puede entrar a la consola de administración
y necesita guardar la configuración del sistema. Para obtener más información,
consulte “Tareas comunes de recuperación” en la página 993.
Este característica usa la pila de protocolos de red TCP/IP para capturar paquetes en
la capa TCP. Captura toda la comunicación que pasa a través del IVE. Sin embargo,
ciertos protocolos encriptados de niveles más altos no se pueden desencriptar. Esta
característica es útil para resolver problemas comunes del cliente. Un archivo de
volcado TCP ayuda al equipo de Soporte de Juniper Networks a observar los
protocolos de comunicación que se usan entre el IVE y cualquier otro servidor de
intranet, además de observar la forma en la que la intranet responde a las
solicitudes del IVE.
2. Seleccione el puerto del IVE en el que desea rastrear los encabezados de los
paquetes de la red.
3. Si está usando una licencia IVS, puede seleccionar también un puerto de VLAN
para rastrar los encabezados de paquetes la intranet de un suscriptor. Para
obtener más información, consulte “Resolución de problemas de las VLAN” en
la página 962.
Ejemplo Resultado
tcp port 80 Detecta paquetes en el puerto TCP 80.
port 80 Detecta paquetes en el puerto TCP o UDP 80.
ip Detecta el protocolo IP.
tcp Detecta el protocolo TCP.
dst #.#.#.# Detecta la dirección IP de destino especificada,
donde #.#.#.# es una dirección IP válida.
src #.#.#.# Detecta la dirección IP de origen especificada,
donde #.#.#.# es una dirección IP válida.
port 80 or port 443 Detecta el puerto 80 o el puerto 443.
src #.#.#.# and dst #.#.#.# Detecta las direcciones IP de origen y destino o los
hosts especificados, donde cada #.#.#.# representa
una dirección IP válida.
tcp port 80 or port 443 and dst #.#.#.# and Este ejemplo muestra cómo especificar múltiples
src #.#.#.# parámetros para crear un filtro que detecte el
puerto TCP 80, el puerto TCP o UDP 443 y los
puertos de destino y origen, donde cada #.#.#.#
representa una dirección IP válida.
Para obtener más información acerca de las expresiones de filtro de TCPDump, visite este sitio
Web: http://www.tcpdump.org/tcpdump_man.html
Para obtener más información acerca del uso de TCP Dump, consulte “Creación de
archivos de volcado TCP” en la página 859.
Ping
Use el comando ping para verificar que el IVE se puede conectar a otros sistemas de
la red. En caso de que exista un error en la red entre los nodos locales y remotos, no
recibirá una respuesta desde el dispositivo al que ejecutó el comando ping. En ese
caso, póngase en contacto con el administrador de la LAN para obtener ayuda.
Traceroute
Use el comando traceroute para descubrir la ruta que sigue un paquete desde el IVE
a otro host. Traceroute envía un paquete a un servidor de destino y recibe una
respuesta ICMP TIME_EXCEEDED desde cada puerta de enlace a lo largo de su ruta.
Las respuestas TIME_EXCEEDED y otros datos se registran y se muestran en el
resultado, indicando la ruta de la ida y vuelta del paquete.
Para ejecutar un comando UNIX para probar la conectividad de red del IVE:
4. Si está utilizando una licencia IVS, puede seleccionar un puerto de la VLAN para
probar la conectividad con la intranet de un suscriptor. Para obtener más
información, consulte “Resolución de problemas de las VLAN” en la
página 962.
NSlookup
Use NSlookup para obtener información detallada acerca del servidor de nombres
en la red. Puede enviar una consulta acerca de distintos tipos de información, como
la dirección IP del servidor, la dirección IP del alias, el registro del inicio de la
autoridad, el registro del intercambio de correo, la información del usuario, la
información de los servicios conocidos, además de información de otro tipo.
6. Si está utilizando una licencia IVS, puede seleccionar un puerto de la VLAN para
probar la conectividad con la intranet de un suscriptor. Para obtener más
información, consulte “Resolución de problemas de las VLAN” en la
página 962.
7. Haga clic en Take snapshot para crear un archivo que contenga el registro de
depuración.
4. Para Maximum node monitor log size, indique el tamaño máximo (en MB) del
archivo de registro. Los valores válidos son entre 1 y 30.
9. Tome una imagen instantánea del sistema para recuperar los resultados. Para
obtener más información, consulte “Creación de imágenes instantáneas del
estado del sistema IVE” en la página 857.
NOTA:
3. Si desea supervisar todos los clústeres desde el nodo local actual, seleccione la
casilla de verificación Monitor all cluster nodes from this node. Si no marca
esta opción, el supervisor de comunicaciones del grupo reúne las estadísticas
sólo para el nodo local.
NOTA: Si selecciona la opción Monitor all cluster nodes from this node, los nodos
del clúster deben poder comunicarse a través del puerto UDP 6543.
7. Tome una imagen instantánea del sistema para recuperar los resultados. Para
obtener más información, consulte “Creación de imágenes instantáneas del
estado del sistema IVE” en la página 857.
6. Para ver los resultados, haga clic en el vínculo Details que aparece en la página
por debajo de los campos.
Puede adquirir una licencia de creación de clústeres para implementar dos o más
dispositivos con Secure Access o Secure Access FIPS como un clúster. Estos
dispositivos admiten configuraciones activo/pasivo o activo/activo a través de una
LAN para proporcionar alta disponibilidad y mayor escalabilidad, además de
capacidades de equilibrio de carga.
Tenga en cuenta si el nuevo nodo cuenta con una licencia Central Manager y está
ejecutando un paquete de actualización antiguo, recibirá el paquete de
actualización más reciente.
869
Guía de administración de Secure Access de Juniper Networks
Puede ejecutar un IVE en un clúster si cuenta con una licencia IVS. Para obtener
más información, consulte “Creación de clústeres en un IVE virtualizado” en la
página 946.
NOTA: Todos los IVE de un clúster deben tener la misma licencia para clústeres. No
se puede agregar una licencia ADD y una CL en el mismo equipo al mismo
tiempo. Para que un nodo pueda integrarse en un clúster, deberá agregar una
licencia CL al nodo.
4. En la página System > Clustering > Create Cluster, inicialice el clúster de IVE
definiendo el nombre del clúster y agregando el IVE primero o primario al
clúster. Para obtener instrucciones, consulte “Definición e inicialización de un
clúster” en la página 873.
5. En la página System > Clustering > Status, agregue los nombres y las
direcciones IP de los futuros IVE del clúster al IVE primario. Para obtener
instrucciones, consulte “Integración en un clúster existente” en la página 874.
6. En la página System > Clustering > Join Cluster, agregue al clúster los IVE
adicionales según sea necesario. Para obtener más instrucciones, consulte
“Adición de un IVE a un clúster a través de su consola de administración” en la
página 875 o, en el caso de un IVE preconfigurado o con la configuración de
fábrica, “Integración de un IVE en un clúster a través de su consola serie” en la
página 894.
Después de agregar una licencia para clústeres al IVE, la página Clustering mostrará
la ficha Join. La ficha Join le permite integrar un IVE inicializado a un clúster
existente, como se explica en “Integración en un clúster existente” en la
página 874.
NOTA:
La ficha Create sólo aparece en un IVE que no tiene una clave de licencia para
clústeres. Sólo podrá crear un clúster si ha introducido una clave de licencia
para clústeres.
Todos los nodos de un clúster deben tener la misma clave de licencia que el
IVE del clúster primario para que el clúster pueda funcionar. No se puede
agregar una licencia ADD y una CL en el mismo equipo al mismo tiempo. Para
que un nodo pueda integrarse en un clúster, deberá agregar una licencia CL al
nodo.
una red del proveedor de servicios que opera con una licencia IVS, consulte
“Creación de clústeres en un IVE virtualizado” en la página 946.
NOTA:
Los ajustes específicos para el nodo existente se eliminan cuando un nodo IVE
se integra en un clúster. Entre estas configuraciones se incluyen la dirección
de la interfaz de red, las tablas de rutas, los puertos virtuales, el caché ARP, la
interfaz VLAN, las configuraciones SNMP, etc. El administrador debe
reconfigurar de forma manual estos ajustes para el nuevo nodo que se integra.
Usted no podrá usar la característica de configuración de sistema Import
(importar) para importar estas configuraciones y ajustes en un nodo IVE que
se ha integrado al clúster. Consulte “Importación de un archivo de
configuración del sistema” en la página 788.
2. Haga clic en Add Members (agregar miembros) para especificar el IVE que
integrará en el clúster:
f. Repita este procedimiento para cada IVE que desee agregar al clúster.
1. desde un miembro del clúster, seleccione la ficha System > Clustering >
Cluster Status y especifique el IVE que desea agregar al clúster. Consulte
“Especificación de un IVE para su integración en un clúster” en la página 875.
Mientras el nuevo nodo sincroniza su estado con el miembro existente del clúster,
los estados de todos los nodos indican “Enabled,” “Enabled, Transitioning,”
o “Enabled, Unreachable.”
Figura 48: System > Clustering > Status: Una vez terminada la transición del nodo
Cuando un nodo de IVE se integra en un clúster, todos los ajustes específicos del
nodo (por ejemplo, direcciones de interfaz de red, tablas de rutas, puertos virtuales,
caché ARP, interfaz VLAN, configuraciones, SNMP) se sobrescriben con los ajustes
equivalentes que se reciben desde el clúster.
Para incluir los ajustes específicos correctos en el nodo al que se acaba de integrar:
NOTA: Los ajustes específicos para el nodo se deben configurar de forma manual,
ya que las opciones de importación binaria no son útiles. La única opción de
importación binaria a un clúster recomendada es “Import everything except
network settings and licences” (importar todo excepto las configuraciones de red
y las licencias) desde la página Maintenance > Import/Export > Configuration
que reestablece la configuración en todo el clúster (directivas de inicio de sesión,
territorios, roles, recursos, etc.) desde un archivo binario de respaldo. Debido
a que esta opción omite las configuraciones específicas para el nodo, usted deberá
ejecutar el paso 2 como un paso manual para agregar al nodo recientemente
integrado el conjunto de ajustes específicos para el nodo correctos.
Es posible que deba conmutar en caso de error la VIP del clúster a otro nodo de
forma manual. Puede realizar esta conmutación manual usando el botón Fail-Over
VIP (conmutar VIP en caso de error) en la página Clustering Status (estado de los
clústeres). Consulte “Conmutación de la VIP a otro nodo en caso de error” en la
página 878.
Las solicitudes del usuario se dirigen a la VIP del clúster, que a su vez los enruta al
equipo que esté activo en ese momento.
2. Haga clic en el botón Fail-Over VIP para moverla al otro nodo. El botón Fail-
Over VIP es un botón conmutador, por lo que puede moverse de un nodo
a otro, sin importar cuál es el líder.
Admite IPsec
El clúster del IVE no realiza por sí mismo ninguna operación de conmutación por
error o de equilibrio de carga de forma automática, pero sí sincroniza los datos de
estado (datos de sistema, usuario y registro) entre los miembros del clúster. Cuando
un IVE desconectado vuelve a estar en línea, el equilibrador de carga ajusta la carga
nuevamente para distribuirla entre los miembros activos. Este modo proporciona
mayor rendimiento y prestaciones durante la carga máxima, pero no aumenta la
capacidad de ampliación más allá del número total de usuarios con licencia.
NOTA: El IVE sincroniza los datos de estado de todos los nodos si agrega o elimina
la entrada del host usando las páginas Network Settings. Si agrega o elimina la
entrada del host usando la ficha Clustering para un miembro del clúster, los datos
de estado sólo afectarán al nodo y el IVE no sincronizará los datos en todo el
clúster.
El IVE almacena una página en HTML que proporciona el estado de los servicios
para cada IVE en un clúster. Los equilibradores de carga externos pueden revisar
este recurso para determinar cómo distribuir la carga de forma eficiente entre todos
los nodos del clúster.
https://<IVE-Hostname>/dana-na/healthcheck/healthcheck.cgi
500: Este valor muestra que ocurrió un error y que los IVE del clúster
dejaron de reenviar las solicitudes de usuario al nodo.
Configuraciones de red
User session: Este estado es temporal y dinámico. Los datos de sesión del
usuario son:
Si observa que ocurre mucha latencia en uno o más nodos, es posible que
necesite cambiar los ajustes del tiempo de espera de los clústeres (Clustering
Timeouts). Consulte “Configuración de las propiedades del clúster” en la
página 883.
Synchronize last access time for user sessions: Esta opción le permite
transmitir la información de acceso del usuario dentro del clúster. Si esta
opción es el único elemento de sincronización entre los nodos del clúster,
puede reducir significativamente el impacto de la CPU entre los IVE del clúster.
NOTA:
Si las configuraciones entre los nodos del clúster son distintas debido
a cambios hechos en un nodo cuando otro estaba inhabilitado o no
disponible, el IVE se encarga de volver a fusionar las configuraciones de forma
automática para 16 actualizaciones como máximo. Si necesita realizar más de
esa cantidad de actualizaciones permitidas, deberá intervenir y refusionar las
configuraciones de forma manual. En algunos casos, el IVE podría ser incapaz
de refusionar las configuraciones si no hay información de configuración
común entre dos nodos para crear comunicación entre ellos.
2. Edite el nombre del clúster en el campo Cluster Name para cambiar el nombre
del clúster (opcional).
NOTA: Para ejecutar un clúster de dos unidades en modo activo/pasivo, los IVE
deben residir en la misma subred.
NOTA:
7. Haga clic en Save Changes para guardar las configuraciones de los nodos.
NOTA: Para acceder a la página Network específica para el nodo, haga clic en el
nombre del nodo en la columna Member Name (nombre del miembro) en
System > Clustering > Cluster Status.
Para obtener más información acerca de cómo inhabilitar nodos para descargar el
paquete de actualización, consulte “Actualización del paquete de servicio del
clúster” en la página 887.
NOTA: Al inhabilitar sólo el nodo pasivo se habilitará el nodo activo para que
continúe prestando servicio a los usuarios.
4. Inhabilite el nodo activo eligiendo la opción System > Clustering > Status,
seleccione la casilla de verificación junto al nombre del nodo activo y luego
haga clic en Disable.
Eliminación de un clúster
Si elimina un clúster, todos los nodos comenzarán a ejecutarse como sistemas IVE
independientes.
2. Seleccione la casilla de verificación junto a cada nodo del clúster que desee
eliminar.
Si desea reiniciar o rearrancar sólo un IVE en un clúster, use primero los controles
de la página System > Clustering > Status para inhabilitar el IVE que desea
reiniciar o rearrancar dentro del clúster. A continuación, use los controles de la
página Maintenance > System > Platform, o los elementos de menú Reboot this
IVE, Shutdown this IVE, or Restart Services in this IVE de la consola serie en
System Operations para reiniciar o rearrancar el IVE. Después de que el IVE se
reinicie o rearranque, habilite el IVE dentro de un clúster nuevamente.
Elemento de la interfaz
de usuario Descripción
Etiquetas de información La pantalla muestra el nombre, tipo, configuración y VIP interna
de estado y externa de un clúster activo/pasivo.
Botón Add Members Haga clic en este botón para especificar un IVE que se integrará en
(agregar miembros) el clúster: Debe realizar este paso para los sistemas IVE que desee
agregar al clúster. Al hacer clic en este botón, puede agregar nodos
múltiples al mismo tiempo.
Botón Enable (habilitar) Haga clic en este botón para agregar un nodo que se había
inhabilitado anteriormente. Cuando agrega un nodo, toda la
información se sincroniza en ese nodo.
Botón Disable (inhabilitar) Haga clic en este botón para inhabilitar un nodo dentro del clúster. El
nodo mantiene conciencia del clúster, pero no participa en las
sincronizaciones de estado ni recibe solicitudes de usuarios a menos
que los miembros inicien sesión directamente en el nodo.
Botón Remove (eliminar) Haga clic en este botón para eliminar del clúster el o los nodos
seleccionados. Cuando los haya eliminado, el nodo se ejecutará en
modo independiente.
Botón Fail-Over VIP Haga clic en este botón para conmutar la VIP en caso de error a otro
(actualizar) nodo en el clúster activo/pasivo. Sólo está disponible si el clúster
está configurado como activo/pasivo.
Columna Member Name Muestra una lista de todos los nodos que pertenecen al clúster.
(nombre del miembro) Puede hacer clic en el nombre de un nodo para modificar su nombre
y configuraciones de red.
Elemento de la interfaz
de usuario Descripción
Columna Internal Address Muestra la dirección IP interna del miembro del clúster usando la
(dirección interna) notación Classless Inter Domain Routing (CIDR).
Columna External Address Muestra la dirección IP externa del miembro del clúster usando la
(dirección externa) notación CIDR. Tenga en cuenta que esta columna sólo muestra la
dirección IP externa del líder del clúster a menos que usted
especifique una dirección diferente para el nodo en la página de
configuraciones de red individual, a la que puede acceder haciendo
clic en su nombre en la columna Member Name. Si cambia la
dirección IP externa en la página Network > Network Settings, el
cambio afectará a todos los nodos del clúster.
Columna Status Muestra el estado actual del nodo:
Green light/enabled (luz verde/habilitado): el nodo está
administrando las solicitudes del usuario y participando en la
sincronización del clúster.
Yellow light/transitioning (luz amarilla/en transición): el nodo se
está integrando al clúster.
Red light/disabled (luz roja/inhabilitado): el nodo no está
administrando las solicitudes del usuario ni participando en la
sincronización del clúster.
Red light/enabled, unreachable (luz roja/habilitado, fuera de
alcance): el nodo está habilitado, pero debido a un problema con
la red no se puede acceder a él.
Nota: El estado de un nodo es “independiente” cuando está
implementado fuera de un clúster o después de que se eliminó de
un clúster.
Columna Notes Muestra el estado de la conexión entre el nodo y el clúster:
OK (bien): el nodo está participando activamente en el clúster.
Transitioning (en transición): el nodo está conmutando desde un
estado independiente a un estado habilitado.
Unreachable (fuera de alcance): el nodo no tiene conciencia del
clúster. Un miembro del clúster puede estar “fuera de alcance”
incluso si está en línea y se puede ejecutar el comando ping con
él. Las razones pueden ser: su contraseña es incorrecta, no conoce
todos los nodos del clúster, está configurado con un modo de
configuración de grupo diferente, está ejecutando una versión
distinta del paquete de actualización o el equipo está apagado.
Columna Sync Rank Especifica el orden de la sincronización para los nodos cuando se
vuelven a integrar a un clúster. Acepta jerarquías de sincronización
desde 0 (la más baja) hasta 255 (la más alta). La jerarquía más alta
tiene la preferencia. Cuando dos nodos tienen jerarquías de
sincronización idénticas, el código alfanumérico del nombre de
miembro se usa para determinar la preferencia.
Nota: Esta opción sólo está disponible con una licencia Central
Manager.
Botón Update (actualizar) Actualiza la jerarquía de sincronización después de que se cambia la
precedencia de los nodos en la columna Sync Rank.
Supervisión de clústeres
Puede supervisar los clústeres usando las herramientas de registro estándar que
proporciona el IVE. En particular, puede usar varias capturas SNMP específicas del
clúster para supervisar los eventos que ocurren en los nodos de su clúster, como:
Para usar las herramientas de resolución de problemas del nodo del clúster:
Puede usar una característica incorporada en la página Status del clúster para
identificar el estado de cada nodo del clúster. Coloque el puntero del ratón sobre el
icono Status y el sistema mostrará una herramienta que contiene un número
hexadecimal. El número hexadecimal es una imagen instantánea del estado del
IVE. Es una máscara de bits que indica un número de estados, como se muestra en
la Tabla 49.
Valor Significado
0x000001 IVE en modo independiente.
0x000002 IVE en estado de clúster inhabilitado.
0x000004 IVE en estado de clúster habilitado.
0x000008 IVE fuera de alcance (debido a que está desconectado, tiene la contraseña
incorrecta, tiene una definición de clúster distinta, es de versión distinta
o tiene algún problema similar).
0x00002000 El nodo es propietario de las VIP (encendidas) o no lo es (apagadas).
0x000100 IVE en estado de sincronización desde otro IVE (después de la
sincronización inicial).
0x000200 IVE en transición desde un estado a otro.
0x00020000 Los subsistemas de comunicación del grupo de los nodos local y remoto
están desconectados entre sí.
0x00040000 Interfaz de administración (mgt0) aparece desconectada.
0x00080000 La puerta de enlace de administración no está al alcance para la ejecución
del ping ARP.
0x000800 IVE int0 aparece desconectada (no hay portador).
0x001000 IVE int1 aparece desconectada (no hay portador).
0x002000 IVE está sincronizando su estado con otro IVE que se está integrando.
0x004000 Está ocurriendo la sincronización inicial como master o slave.
0x008000 Este IVE es el líder del clúster.
0x010000 El demonio de difusión se está ejecutando y el servidor del caché está
conectado a él.
0x020000 La puerta de enlace de int0 está fuera de alcance para ejecuciones de
comandos ping ARP (consulte el archivo de registro).
0x040000 La puerta de enlace de int1 está fuera de alcance para ejecuciones de
comandos ping ARP (consulte el archivo de registro).
Valor Significado
0x080000 Se está realizando la elección del líder.
0x100000 El proceso del ciclo de vida del servidor (dsmon) está ocupado.
0x200000 El sistema desarrolla actividades posteriores al estado de sincronización.
0x30004 El demonio de difusión se está ejecutando y el servidor de caché está
conectado a él.
La puerta de enlace de int0 está fuera de alcance para ejecuciones de
comandos ping ARP (consulte el archivo de registro).
IVE en estado de clúster habilitado.
También puede usar la consola serie de un IVE para inhabilitar un IVE dentro de un
clúster. Si un IVE está en estado de sincronización, no podrá acceder a su consola
de administración. Por lo tanto, si, por ejemplo, necesita actualizar o reiniciar el
IVE, deberá primero inhabilitar el IVE del clúster a través de su consola serie.
NOTA:
2. Conecte la consola serie del equipo que desea agregar al clúster. Consulte “IVE
Consola serie” en la página 987.
El nombre del equipo que desea agregar (en este ejemplo, el nombre del
equipo es ive-2)
Al hacer clic en System > Clustering > Cluster Status > Add Cluster
Member, el miembro activo del clúster verifica la contraseña del clúster, y que
el nombre y dirección IP del nuevo equipo concuerde con lo que especificó en
la consola de administración. Si las credenciales son válidas, el miembro activo
copia todos sus datos de estado al nuevo miembro del clúster, incluyendo la
clave de licencia, el certificado y los datos de usuario y de sistema.
1. Conecte la consola serie del equipo que desea inhabilitar dentro del clúster.
Para obtener más información, consulte “IVE Consola serie” en la página 987.
Conceda acceso de lectura a las páginas Users > User Roles a los
administradores de ayuda técnica para que puedan comprender qué
marcadores, recursos compartidos y aplicaciones están disponibles para los
roles de cada usuario. Otorgue también acceso a las páginas Resource Policy
o Resource Profile para que puedan ver las directivas que impidan el acceso de
los usuarios a sus marcadores, recursos compartidos y aplicaciones.
899
Guía de administración de Secure Access de Juniper Networks
NOTA: Para crear cuentas de administración particulares, debe agregar los usuarios
mediante el servidor de autenticación correspondiente (no el rol). Por ejemplo,
para crear una cuenta de administración en particular, puede usar los ajustes de la
página Authentication > Auth. Servers > Administrators > Users de la consola
de administración. Para obtener instrucciones detalladas para crear usuarios en el
servidor de Administrators y en otros servidores de autenticación, consulte
“Creación de cuentas de usuario en un servidor local de autenticación” en la
página 140. Para obtener instrucciones para crear usuarios en los servidores de
terceros, consulte la documentación que trae el producto correspondiente.
Haga clic en New Role para crear un rol de administrador nuevo con los
ajustes predeterminados.
4. Modifique los ajustes para el rol según las instrucciones que aparecen en:
3. Modifique los ajustes para el rol según las instrucciones que aparecen en:
2. Haga clic en la casilla de verificación al lado del rol de administrador que desea
eliminar y haga clic en Delete.
3. Haga clic en Delete para confirmar que desea eliminar el rol seleccionado.
6. Bajo Delegate as read-only roles, seleccione los roles de usuario que desea
permitir que el administrador vea, pero sin que pueda administrarlos.
NOTA: Si especifica acceso de escritura y sólo lectura para una característica, el IVE
le concede el acceso más permisivo. Por ejemplo, si elige Administrators can
manage ALL roles bajo Delegated user roles, y selecciona el rol “Users” en la
sección Delegate as read-only roles, el IVE concede al rol de administrador
delegado privilegios de administración completos del rol “Users”.
NOTA: Si especifica acceso de escritura y sólo lectura para una página de territorios
de autenticación, el IVE le concede el acceso más permisivo. Por ejemplo, si elige
Administrators can manage ALL realms bajo Delegated user realms,
y selecciona el rol “Users” en la sección Delegate as read-only realms, el IVE
concede al rol de administrador delegado privilegios de administración completos
del territorio “Users”.
4. Indique el nivel de acceso que desea que el rol de administrador tenga para
cada uno de los menús Resource Policies seleccionando alguna de las
siguientes opciones:
Read All: Especifica que los que comparten el rol de administrador pueden
ver, pero no modificar, todas las directivas de recursos.
4. Indique el nivel de acceso que desea que el rol de administrador tenga para
cada uno de los menús Resource Profiles seleccionando alguna de las
siguientes opciones:
Read All: Especifica que los que comparten el rol de administrador pueden
ver, pero no modificar, todos los perfiles de recursos.
e. Bajo Access Profiles, seleccione el perfil de recursos para el que desea que
haya un nivel de acceso personalizado y haga clic en Add.
3. Modifique los ajustes en las fichas Session Options y UI Options según las
instrucciones que aparecen en “Administración de los ajustes y opciones
generales de los roles” en la página 910 y haga clic en Save Changes. Estas se
convierten en las opciones predeterminadas de los nuevos roles de
administrador delegado.
2. Cree una etiqueta para el rol de administrador delegado usando los campos
Name y Description (opcional).
2. Haga clic en la ficha que corresponde a la opción que desea configurar para el
rol y configúrela según las instrucciones de las siguientes secciones:
Max. Session Length: Especifica los minutos que una sesión activa de
administrador puede permanecer así antes de que se termine. El mínimo
son seis minutos. El límite máximo para una sesión de administrador son
sesenta minutos, tras lo cual el IVE termina la sesión y registra el suceso en
el registro de sistema.
Los menús de navegación jerárquica son menús dinámicos que aparecen cuando se
pasa el ratón por encima de uno de los menús del panel izquierdo de la consola de
administración. Por ejemplo, si habilita los menús de navegación jerárquica y pasa
el mouse sobre el menú Authentication > Signing In de la consola de
administración, aparecen los menús Sign-In Policies y Sign-In Pages. Puede usar
estos menús para navegar rápidamente en el sistema sin tener que hacer clic en
toda la jerarquía de menús.
NOTA:
Para obtener información sobre los entornos en los que se admiten los
menús jerárquicos, consulte la página Supported Platforms Guide del sitio
Juniper Networks Customer Support Center.
Para personalizar la página de bienvenida del IVE para los usuarios de roles:
3. Elija General > UI Options para personalizar los ajustes para el rol.
Disabled: El IVE inhabilita los menús jerárquicos para todos los que
comparten el rol.
NOTA: Si no desea que los roles de usuario vean el aviso de copyright, también
puede desmarcar la opción en Default Settings para los roles de usuario, en
general. De esa manera, todos los roles que se creen después no tendrán
permitido mostrar el aviso en la interfaz del usuario final.
7. Haga clic en Save Changes. Los cambios surten efecto de inmediato, pero
puede ser necesario actualizar las sesiones de explorador del usuario actual
para verlos. O haga clic en Restore Factory Defaults para restablecer la
apariencia de la consola de administración según los ajustes predeterminados.
915
Guía de administración de Secure Access de Juniper Networks
https://miive/dana-admin/sysinfo/installers.cgi
Debe tener una licencia IVS y una licencia Network Connect para proporcionar
soporte DHCP centralizado a sus suscriptores.
Implementación de un IVS
Para cada empresa suscriptora, el IVE virtualizado proporciona un portal seguro
para que los usuarios finales de la empresa (socios, clientes o empleados móviles)
obtengan acceso a sus recursos internos. Los servidores de autenticación que
residen en las instalaciones del suscriptor o en la red del MSP autentican los
usuarios finales que inician sesión en el IVS. Una vez autenticados, los usuarios
finales establecen sesiones seguras a través del IVS a los servidores back-end
de su empresa respectiva.
2. Los usuarios finales inician sesión sobre una conexión a Internet usando
un explorador web activado por SSL estándar.
El IVE etiqueta el tráfico entrante enviado por los usuarios finales destinado a un
servidor en la intranet suscriptora o en la red del MSP, con etiquetas de VLAN que
contienen el ID de la VLAN. El tráfico entrante puede llegar a través de la interfaz
interna o la interfaz externa del dispositivo IVE.
El tráfico saliente, que es el tráfico transmitido a través del backend del IVE y está
destinado a los servidores situados en la red del MSP o la intranet suscriptora,
puede tener su origen en el mismo IVE. Por ejemplo, el tráfico destinado
a servidores de autenticación, DNS o de aplicaciones es tráfico saliente,
porque es un tráfico reenviado por el IVE, como el tráfico de Network Connect.
NOTA: Las instrucciones para configurar el sistema IVS y el sistema raíz están
T dirigidas al administrador raíz. Cuando en estas secciones se utiliza el pronombre
usted, se refiere al administrador raíz. Si una persona con un rol distinto al de
administración raíz puede realizar una tarea, el texto hace una referencia clara
al rol en la descripción de la tarea.
2. El sistema resultante contiene los datos globales raíz y un IVS raíz; a todos los
efectos, un IVE virtualizado.
3. Desde el IVS raíz, el administrador raíz puede crear sistemas IVS suscriptores
múltiples, cada IVS completamente por separado de cualquier otro IVS.
Puertos virtuales
Puertos de VLAN
Menos entradas de DNS: Sólo necesita una entrada de DNS en todos los
sistemas IVS alojados en un IVE único.
www.msp.com/companyA/sales
www.msp.com/companyA/finance
www.msp.com/companyA/hr
Por ejemplo, suponga que los puertos de su IVE están asignados a nombres de DNS
específicos de la siguiente manera:
MSP-internal/companyA
MSP-external/companyA
MSP-vlan10/companyA
MSP-virtualx/companyA
Un usuario final o administrador puede iniciar sesión sólo a un IVS desde una
interfaz de navegador determinada. Si trata de iniciar sesión en otro IVS desde
una nueva ventana del navegador en la misma interfaz, se rechaza el intento
de inicio de sesión. Debe crear una nueva instancia de navegador para iniciar
sesión a sistemas IVS múltiples.
Si varios IVS comparten el mismo puerto virtual para el inicio de sesión, los
ajustes de seguridad de cada IVS (se permite la versión SSL/TLS o intensidad de
la encriptación) pueden asociarse al puerto virtual. Una vez que los ajustes de
seguridad de un IVS están asociados con el puerto virtual, estos ajustes son
eficaces para los inicios de sesión (es decir, sesiones de SSL) en ese puerto
virtual. Para garantizar la selección/asociación determinista de los ajustes de
seguridad a los puertos virtuales, los IVS que comparten el mismo puerto virtual
para iniciar sesión deben tener los mismos ajustes de seguridad.
Si hay un IVS que está configurado para tener diferentes ajustes de seguridad
relativos al sistema raíz, los ajustes de seguridad del sistema raíz surten efecto
para iniciar sesión en el IVS a través del prefijo de dirección URL de inicio de
sesión, mientras que los ajustes de seguridad del IVS surten efecto para iniciar
sesión en el IVS a través del inicio de sesión en puertos virtuales. En el caso de
un IVS con encriptación intensa (como AES) en un IVE con un sistema raíz que
tenga ajustes de encriptación más débil, se produce la siguiente situación:
Se produce un error al iniciar sesión en el IVS a través del inicio de sesión en
puertos virtuales desde un navegador IE6, porque los ajustes de seguridad
vigente para la sesión de SSL son AES, no admitidos por IE6. Sin embargo,
si el mismo usuario inicia sesión en el mismo IVS desde el mismo navegador
IE6 a través del prefijo de dirección URL de inicio de sesión puede realizarse de
manera correcta si los ajustes de seguridad del navegador son compatibles con
los ajustes de seguridad más débil del sistema raíz.
Por ejemplo, imagínese un MSP con nombre de host msp.com, que proporciona
servicios de puerta de enlace VPN SSL a dos suscriptores: s1 y s2.
El DNS externo debe asignar estas direcciones URL a direcciones IP únicas, que
deben corresponder a direcciones IP o alias alojados en el IVE, normalmente un
puerto virtual definido ya sea en el puerto interno como en el externo.
Para resumir el inicio de sesión, los usuarios de IVS pueden iniciar sesión en:
Los usuarios del sistema raíz también pueden iniciar sesión directamente por
medio de la interfaz interna o la interfaz externa. Para ver más información acerca
del inicio de sesión, consulte “Configuración de directivas de inicio de sesión” en la
página 214 y “Configuración las páginas de inicio de sesión” en la página 220.
Navegación al IVS
Sólo los administradores raíz pueden navegar a un IVS desde el sistema raíz. En el
IVE virtualizado, la navegación de la consola de administración para el sistema raíz
incluye un menú desplegable adicional que enumera los sistemas IVS configurados,
en todos los encabezados de página. Puede navegar a un IVS y administrarlo si
selecciona un IVS en el menú desplegable. Los administradores de IVS deben iniciar
sesión directamente al IVS a través de una página de inicio de sesión administrativo
estándar.
Máscara de red:
Puerta de enlace
predeterminada:
Puerto interno:
Puerto externo:
IVS del suscriptor (System > Virtual Systems > New Virtual System)
Nombre (suscriptor):
Descripción:
Administrador
Nombre de usuario:
Puertos virtuales
seleccionados:
(interfaz interna)
Puertos virtuales
seleccionados:
(interfaz externa)
Conjunto de IP de
Network Connect:
Rutas estáticas (System > Network > Routes > New Routes)
Red/IP de destino:
Máscara de red:
Puerta de enlace:
Interfaz:
Métrica:
Ajustes de DNS (Subscriber IVS > System > Network > Overview)
Nombre de host:
DNS principal:
DNS secundario:
Dominios de DNS:
WINS:
La configuración del sistema requiere una serie de procedimientos básicos. Una vez
que el hardware esté conectado:
1. Inicie el sistema.
Si actualiza desde una versión del IVE anterior a la versión 5.1 del software
o posterior, el sistema considera que cualquier administrador del sistema raíz
que asigna al rol .Administrators es un administrador raíz para el IVE. Si vuelve
a instalar completamente el dispositivo IVE o instala un hardware completamente
nuevo, cree un administrador principal durante los pasos iniciales de la
configuración, en la consola serie. Para obtener más información acerca de la
configuración del sistema desde la consola serie, consulte “Conexión a la consola
serie de un dispositivo IVE” en la página 987.
Aprovisionamiento de un IVS
En esta sección se describen las tareas que forma parte del aprovisionamiento
de un IVS, que incluyen:
3. Cree al menos un puerto de VLAN para cada empresa suscriptora. Debe definir
un ID único para cada VLAN. Una empresa suscriptora puede tener varias VLAN
en el IVE.
6. Si desea utilizar puertos virtuales, por ejemplo, para admitir el origen de IP,
debe crearlos en este punto del proceso.
7. Cree un perfil de IVS para cada empresa suscriptora. El perfil de IVS establece
la conexión entre la empresa, la VLAN y los puertos virtuales disponibles.
9. Configure los ajustes de DNS para que todo tráfico destinado a los recursos
en la red del MSP primero pase por el servidor DNS del MSP.
Cuando crea el IVS, aparece el nombre del IVS en el menú desplegable que está en
el encabezado de la consola de administración. Puede realizar operaciones en cada
IVS seleccionando el nombre del IVS en el menú desplegable y haciendo clic en el
botón Go.
7. Configurar rutas estáticas para admitir los servidores backend, los usuarios de
Network Connect y para proporcionar servicios compartidos en la red del MSP.
Para obtener instrucciones, consulte “Adición de rutas estáticas a la tabla de
rutas de VLAN” en la página 935.
8. Configurar los ajustes del DNS, para hacer que el tráfico pase por el servidor
DNS del MSP. Si ejecuta Network Connect, debe configurar el DNS. Para
obtener instrucciones, consulte “Configuración del DNS para el IVS” en la
página 948.
3. Seleccione Enabled.
El sistema agrega el puerto, muestra la ficha Virtual Ports y reinicia los servicios
de red. Este puerto virtual está disponible para uso durante el proceso descrito en
“Creación de un sistema virtual (perfil de IVS)” en la página 937. Defina todos los
puertos virtuales que necesite para iniciar sesión.
2. Seleccione System > Network > Internal Port > Virtual Ports.
El sistema agrega el puerto, muestra la ficha Virtual Ports y reinicia los servicios
de red. Puede asignar este puerto virtual a un perfil de IVS tal como se describe en
“Creación de un sistema virtual (perfil de IVS)” en la página 937. Defina todos los
puertos virtuales que necesite para iniciar sesión.
El etiquetado VLAN proporciona la separación del tráfico que el IVE transmite sobre
el backend, destinado a las intranets suscriptoras. El tráfico que proviene a través
del front-end, es decir, el tráfico entrante, no tiene etiquetas VLAN. El IVS agrega la
etiqueta a un mensaje después de su llegada a través de uno de los puertos del IVE.
Cada VLAN se asigna a un ID de VLAN, que forma parte de una etiqueta compatible
con la norma IEEE 802.1Q que se agrega a cada trama Ethernet saliente. El ID de la
VLAN sólo identifica cada suscriptor y todo el tráfico del suscriptor. Este etiquetado
permite que el sistema dirija todo el tráfico a la VLAN correcta y que aplique las
directivas respectivas a ese tráfico.
Debe definir un puerto de VLAN para cada VLAN. El administrador raíz asigna el ID
de la VLAN específica al definir el puerto de la VLAN.
Para cada VLAN que configure, el IVE virtualizado proporciona una interfaz única
y lógica de VLAN, o un puerto, en la interfaz interna. No existe relación entre la
dirección IP del puerto interno y la dirección IP de cualquier puerto de VLAN.
Cada puerto de VLAN tiene su propia tabla de rutas.
Port Name. El nombre del puerto tiene que ser exclusivo en todos los puertos
de la VLAN que define en el IVE virtualizado o en clúster.
2. Seleccione System > Network > VLANs para abrir la ficha VLAN Network
Settings.
5. Introduzca un ID de VLAN.
NOTA: El ID de VLAN debe estar entre 1 y 4095 y debe ser único en el sistema.
El sistema raíz utiliza tráfico sin etiqueta y no se puede cambiar.
3. Haga clic en Add -> para mover el nombre de la VLAN a la lista Selected
VLANs.
3. Haga clic en New Port o seleccione una VLAN existente para la que desee
agregar una ruta estática.
12. Por ejemplo, si desea agregar rutas estáticas a servicios compartidos, debe
llevar a cabo uno de los siguientes pasos:
Haga clic en Add to [VLAN] route table, donde [VLAN] es el nombre de una
VLAN disponible, para agregar la ruta a una VLAN seleccionada. Esta acción
agrega la ruta estática a la tabla de rutas de la VLAN de una empresa
suscriptora en particular y excluye el acceso desde todas las demás VLAN,
incluso desde los usuarios de la red del MSP.
Haga clic en Add to all VLAN route tables para agregar la ruta a todas las
VLAN definidas en el sistema. Por ejemplo, seleccione esta opción si el
administrador raíz desea compartir algunos servicios entre todos los
usuarios finales de todas las empresas suscriptoras.
NOTA: También puede utilizar rutas estáticas si desea configurar los servicios
compartidos en la red del MSP. Para conseguir esto:
2. Haga clic en Add to all VLAN route tables, que llena todas las tablas de rutas
de VLAN con la ruta estática. Cuando agrega la ruta estática a todas las tablas
de rutas de VLAN, todos los perfiles de IVS pueden obtener acceso a los
servicios compartidos.
Debe asociar los puertos virtuales que definió como puertos de inicio de sesión
para usuarios finales de IVS con el certificado para dispositivos. Puede especificar
puertos virtuales en la página Certificate Details, tal como se describe en
“Asociación de un certificado con un puerto virtual” en la página 757.
En un IVS, sólo puede importar CA de cliente fiable y CA de servidor fiable, tal como
se describe en “Uso de CA de cliente de confianza” en la página 758 y en “Uso de
CA del servidor de confianza” en la página 774.
NOTA: No puede compartir certificados entre los sistemas IVS. Debe tener una IP
y un certificado únicos para cada IVS.
Sólo puede configurar el IVS raíz para volver a firmar los applets/controles del IVE
en la consola de administración. Las consolas de administración para los sistemas
IVS suscriptores no muestran la opción de firma nueva. Debe tomar nota de la
siguiente información:
Todos los usuarios finales raíz y suscriptores ven los mismos applets/controles:
o bien todos los controles Juniper predeterminados, o bien todos los controles
firmados por el IVS raíz.
Si no desea que los sistemas IVS suscriptores vean los controles firmados por el
certificado del IVS raíz, no debe volver a firmar los controles. Si vuelve a firmar
los controles, los sistemas IVS suscriptores obtienen acceso a ellos.
“Configuración inicial de IVS mediante una copia del sistema raíz o de otro IVS”
en la página 940
El perfil de IVS define el IVS suscriptor y todos los elementos necesarios para
alcanzar la intranet del suscriptor, como los ajustes de DNS y los servidores de
autenticación.
3. Haga clic en New Virtual System para mostrar la página IVS - Instant Virtual
System.
NOTA: Si alguna vez necesita prohibir que un suscriptor y los usuarios finales del
suscriptor obtengan acceso al IVS a causa de problemas de facturación u otro tipo
de problemas, inhabilite aquí su cuenta. Al inhabilitar la cuenta, puede resolver
cualquier problema del cliente y luego habilitar el acceso sin tener que eliminar
la cuenta del suscriptor y perder todos los datos de la configuración.
a. Seleccione una VLAN en la lista Available y haga clic en Add -> para
mover el nombre de la VLAN a la lista Selected VLANs. Puede agregar
varias VLAN a un IVS. Puede seleccionar el puerto interno como una VLAN
incluso si agregó otras VLAN a la lista Selected VLANs. A diferencia de otras
interfaces de VLAN, puede agregar el puerto interno a varios perfiles de
IVS. Si no definió una VLAN, debe seleccionar la interfaz interna.
http://www.mycompany.com/companyA
Para obtener más información acerca del uso de prefijos, consulte “Inicio
de sesión usando el prefijo de dirección URL de inicio de sesión” en la
página 920.
Para obtener más información sobre la manera de iniciar sesión en el IVS como
administrador de IVS, consulte “Inicio de sesión en el IVS directamente como
administrador de IVS” en la página 941.
Configuración inicial de IVS mediante una copia del sistema raíz o de otro IVS
Cuando crea un perfil de IVS nuevo, tiene la opción de copiar la configuración de
un sistema raíz o un IVS existente para “inicializar” el IVS nuevo. El IVS resultante
combina la información que especifica en el perfil de IVS nuevo junto con la
configuración copiada del sistema raíz o del IVS existente. Los ajustes del perfil
de IVS sobrescriben los ajustes copiados.
Tenga en cuenta que la copia es una operación única, y no existe una relación
continuada entre el origen de la copia y el destino de ésta. Los cambios posteriores
de la configuración del origen de la copia no se reflejan en el destino de la copia,
ni viceversa.
Advertencias
Después de realizar una copia de la configuración de un IVS, es necesario realizar
una reconfiguración manual en el destino.
Cuando copia desde un IVS existente, debe comprobar todos los perfiles
de conexión NC y reconfigurarlos, según sea necesario, para satisfacer los
requisitos del rango de IP de NC en el perfil de IVS.
La operación de copia puede producir que se llene el IVS de destino con ajustes
que no sean adecuados. Cuando se configura un IVS copiando la configuración
del sistema raíz o de otro IVS, se copia toda la configuración del origen al destino,
incluidas las ACL, directivas de recursos, perfiles de recursos, archivos PAC y más,
que frecuentemente hacen referencia a los servidores de backend específicos por
nombre, dirección URL o dirección IP. En el caso común, estos recursos suelen ser
específicos de la intranet de la empresa o departamento (es decir, privados para un
IVS en particular) y no se deben exponer a los usuarios finales de otros IVS.
Este caso de uso es para copiar la configuración desde el sistema raíz. Cuando
una implementación de un IVE independiente existente se convierte en una
implementación de un IVS aplicando una licencia IVS y creando IVS múltiples,
los nuevos IVS pueden configurarse copiando la configuración del sistema raíz
o de otros IVS, siguiendo luego los pasos mencionados en las advertencias
anteriores.
https://www.company.com/admin
o bien
https://10.9.0.1/admin
Este ejemplo supone que asignó la dirección IP 10.9.0.1 como un puerto virtual
para el inicio de sesión. El formato depende de si definió o no una entrada
de DNS para el nombre de host de inicio de sesión. Cuando inicie sesión,
el administrador puede introducir el nombre de host o la dirección IP que
definió como el puerto virtual para el inicio de sesión. Si el administrador
inicia sesión desde el interior de la red, debe utilizar la dirección IP que
configuró para iniciar sesión sobre el puerto interno. Si el administrador inicia
sesión desde el exterior de la red, debe utiliza la dirección IP que configuró para
iniciar sesión sobre el puerto externo.
3. Presione Enter.
Suponiendo que las credenciales sean válidas, aparece la página System Status
para el IVS.
Por ejemplo, suponga que el tráfico a una intranet suscriptora en particular necesita
diferenciarse según su origen para clientes, socios o empleados. Existen dos
maneras de conseguir esto:
El administrador de IVS podrá crear usuarios y asignarlos a roles asociados con las
direcciones IP de origen que se definieron.
6. Seleccione cualquier otra opción y las funciones a las que desea pueda acceder
un usuario con este rol (opcional).
Cuando crea nuevos usuarios, el administrador de IVS puede asignar cada usuario
a uno de los roles, lo que determina la dirección IP de origen a la que cada usuario
puede obtener acceso.
Cuando crea una VLAN, el sistema proporciona una nueva tabla de rutas para esa
VLAN. Existen tablas de rutas de VLAN además de la tabla de rutas principal para
el IVE. Solamente el administrador raíz puede administrar las tablas de rutas de
VLAN. Los administradores de IVS no pueden ver ni obtener acceso a las tablas
de rutas.
Reglas de enrutamiento
Se incorporaron varias reglas en el sistema para habilitar el enrutamiento correcto
del tráfico a las intranets suscriptoras adecuadas. Por ejemplo, existen reglas para
asignar:
Para crear esta regla, el sistema determina el rol de un usuario final cuando el
usuario establece una sesión de Network Connect. Entonces el sistema puede
buscar el rol para la VLAN asociada.
El sistema crea esta regla cada vez que se configura un puerto virtual o un alias
de IP de origen en un puerto de VLAN.
NOTA:
No existen reglas explícitas que controlen el flujo del tráfico entre las redes
del MSP o del suscriptor y los usuarios finales. El tráfico que llega al IVE sobre
el backend tiene definida una dirección IP de destino en la dirección IP
configurada de una de las interfaces de red, ya sea la interfaz externa,
la interfaz de VLAN o una interfaz del túnel de Network Connect.
Una aplicación del IVE maneja automáticamente el procesamiento.
El IVE admite la superposición de direcciones IP entre las redes de los clientes que
están conectadas a las VLAN en diferentes sistemas IVS, porque los sistemas IVS no
comparten las tablas de rutas.
Suponga que la empresa 1 y la empresa 2 tienen redes internas que utilizan las
direcciones IP 10.64.0.0/16. Como estas direcciones son idénticas para la red
de cada empresa, y como cada empresa tiene un IVS completamente separado,
identificado por un ID de la VLAN único, el MSP puede admitirlas, incluso si,
técnicamente, se superponen.
También puede personalizar las directivas que serán visibles a los administradores
de IVS. Sin embargo, debe personalizar cada IVS de manera independiente.
Además, si se encuentra en el contexto de IVS raíz y personaliza la consola de
administración, sólo personaliza la apariencia de la consola para usted u otros
administradores que pueden ver la consola de IVS raíz. Para personalizar cualquier
consola de administración de IVS, se debe encontrar en el contexto del IVS.
Para obtener más información, consulte “Información general de los elementos
personalizables de la consola de administración” en la página 996.
IP de origen del puerto virtual: Dado un usuario final que se asigna a un rol
en particular, y una conexión backend desde cualquier nodo a nombre de ese
usuario final, la IP de origen de la conexión backend es la misma que la IP
de origen del puerto virtual configurado para el rol del usuario final.
NOTA: Cuando utiliza Network Connect, siempre debe definir puertos virtuales
para cada puerto de VLAN que cree. Si definió un conjunto de direcciones IP de
Network Connect y se está ejecutando en el modo de clúster activo/pasivo, debe
configurar los enrutadores para que dirijan el tráfico a uno de los puertos virtuales
de la VLAN como la puerta de enlace de salto siguiente. De lo contrario, es posible
que las sesiones de Network Connect no se recuperen correctamente de una
conmutación por error.
Para obtener más información sobre los clústeres, consulte “Creación de clústeres”
en la página 869.
Cuando agrega las direcciones del DNS, cada una se agrega al archivo
resolv.conf en el IVE, en un directorio de servidor de nombre.
1. Seleccione Users > Resource Policies > Network Connect > Network
Connect Connection Profiles.
10. Agregue las direcciones IP del DNS principal, del DNS secundario (opcional),
del nombre de dominio del DNS y del servidor WINS.
Para que los clientes puedan establecer sesiones de Network Connect a un IVS,
es necesario establecer ajustes de DNS para el IVS. De lo contrario, la sesión de
Network Connect no se inicializa correctamente y aparece un mensaje de error.
1. Seleccione Users > Resource Policies > Network Connect > Network
Connect Connection Profiles.
Si desea que los usuarios de Network Connect puedan obtener acceso al servidor
DNS de la red del MSP, configure una ruta estática en la tabla de rutas de cada
servidor de aplicaciones o de cada servidor DNS a la dirección del conjunto de IP de
Network Connect del usuario final. Establezca la puerta de enlace de salto siguiente
en la dirección IP de la interfaz interna del sistema raíz. La Figura 60 ilustra esta
operación.
1. Los usuarios finales inician sesión a través de una conexión a Internet, con una
dirección IP del conjunto de direcciones IP de Network Connect, para alcanzar
el servidor DNS en la red del MSP.
3. El servidor DNS reside en la red del MSP y sirve a todos los usuarios finales
de todas las empresas suscriptoras.
4. La tabla de rutas del servidor DNS contiene una ruta estática en el conjunto
de direcciones IP de Network Connect y la dirección IP de la puerta de enlace
de salto siguiente.
7. Cada empresa suscriptora que intenta que sus usuarios pasen a través de los
servidores de aplicaciones o servidores DNS del MSP debe definir un conjunto
de direcciones IP de Network Connect correspondiente.
Figura 61: Ajuste de una ruta estática en una dirección IP de usuario final de Network
Connect en el enrutador CPE
1. Los usuarios finales inician sesión a través de una conexión a Internet con una
dirección IP acordada por el MSP y la empresa suscriptora.
6. Una vez que el punto terminal de la VLAN del MSP (en este ejemplo, un
enrutador CE) determina la intranet suscriptora prevista, el punto terminal
dirige el tráfico al enrutador CPE adecuado, que envía el tráfico al recurso
correspondiente en la intranet suscriptora.
Como aparece en la Figura 62, puede configurar una ruta estática en el enrutador
CE para que apunte a la dirección IP del usuario final, teniendo la puerta de enlace
de salto siguiente establecida en la dirección IP del puerto de VLAN del suscriptor.
NOTA:
Figura 62: Ajuste de una ruta estática en una dirección IP de usuario final de Network
Connect en el enrutador CE
1. Los usuarios finales inician sesión a través de una conexión a Internet con una
dirección IP acordada por el MSP y la empresa suscriptora.
2. Especifique una ruta estática en la tabla de rutas del punto terminal de la VLAN
del MSP (en este ejemplo, un enrutador CE) para que apunte a las direcciones
IP de inicio de sesión del usuario final para cada empresa suscriptora.
Una vez que el punto terminal de la VLAN del MSP (en este ejemplo, un enrutador
CE) determina la intranet suscriptora prevista, el punto terminal dirige el tráfico al
enrutador CPE adecuado, que envía el tráfico al recurso adecuado en la intranet
suscriptora.
Una vez que reciba una petición de un IVS, el servidor DHCP selecciona una
dirección IP según el nombre del IVS y la dirección IP del nodo desde donde se
origina la petición, que se entrega en el campo giaddr de la petición. Con esta
combinación de puntos de datos, el servidor DHCP selecciona una dirección IP
disponible en el conjunto adecuado y devuelve la dirección en la oferta de DHCP.
Puede configurar la misma dirección IP del servidor DHCP para los roles
de Network Connect en varios sistemas IVS.
7. En Roles, seleccione los roles aplicables en la lista Available roles y haga clic
en Add para moverlas a la lista Selected roles.
9. Repita el procedimiento para cada IVS que debe utilizar el servidor DHCP,
asegurándose de introducir el mismo nombre del servidor DHCP o la misma
dirección IP que introdujo para el sistema raíz.
Autenticación local
Servidor LDAP
Servidor RADIUS
Active Directory/Windows NT
Servidor anónimo
Servidor de certificados
Autenticación local
Servidor LDAP
Servidor NIS
Servidor ACE
Servidor RADIUS
Active Directory/Windows NT
Servidor anónimo
Servidor SiteMinder
Servidor de certificados
1. Seleccione el contexto:
1. Seleccione el contexto:
1. Seleccione Administrators > Admin Roles > Seleccionar rol donde Seleccionar
rol indica una de los roles de administrador enumerados. Si lo prefiere, también
puede crear un nuevo rol de administrador.
Para obtener más información acerca de los instaladores, consulte “Descarga de los
instaladores de aplicaciones” en la página 724.
NOTA:
Sólo puede importar/exportar todos los sistemas IVS en una sola operación.
No puede importar/exportar la configuración de un sistema IVS individual.
El archivo de configuración guardado contiene los siguientes ajustes para todos los
sistemas IVS:
Perfiles IVS
Administradores IVS
Usuarios IVS
5. Para importar los ajustes de la red al perfil de IVS, como los puertos de VLAN
y los puertos virtuales, seleccione la casilla de verificación Import IVS Profile
Network Settings.
NOTA:
No se importan los ajustes de la red en sí, sino sólo las referencias a los ajustes
de la red. Los ajustes de la red se importan/exportan solamente cuando se
importan/exportan los ajustes del sistema raíz.
NOTA:
Al realizar este paso, el IVS deja de estar disponible para los usuarios del IVS,
incluido el administrador del IVS. Para proporcionar acceso al IVS, seleccione
el botón de opción Enabled.
Simulación de directivas
Grabación de sesiones
Funcionalmente, estas utilidades son iguales a las capacidades del IVE estándar.
La diferencia clave tiene que ver con el contexto. Si inicia una de estas tres
utilidades en el contexto del sistema raíz, obtendrá resultados de usuarios,
directivas y sesiones en el sistema raíz o desde la red del MSP. Si inicia las utilidades
en el contexto de un IVS suscriptor, obtendrá resultados de usuarios, directivas
y sesiones en el IVS o en la intranet suscriptora. Para obtener más información
acerca de las sesiones de usuario, el seguimiento de las directivas y el registro
de las sesiones, consulte “Resolución de problemas” en la página 851.
Para obtener más información acerca del uso de TCP Dump, consulte “Creación de
archivos de volcado TCP” en la página 859.
Para obtener más información acerca del uso de TCP Dump, consulte “Creación de
archivos de volcado TCP” en la página 859.
Caso de uso de la resolución de las reglas del enrutamiento de directivas para IVS
Este caso de uso ilustra cómo se realiza el enrutamiento de directivas en
una implementación de MSP. La primera parte del caso de uso detalla dos
configuraciones de la empresa suscrita y cómo los usuarios finales obtienen acceso
a sus redes de empresa suscriptora respectiva. La segunda parte del caso de uso
describe lo que pasa cuando crea una VLAN en la red del MSP para proporcionar
servicios compartidos a los usuarios finales de las empresas suscriptoras.
ID de la
VLAN VLAN Interfaz Rol
Empresa 1 Ventas 1 int0.1 VENTAS
RRHH 2 int0.2 RRHH
Empresa 2 Empleado 3 int0.3 EMPLEADO
Socio 4 int0.4 SOCIO
NOTA:
Las etiquetas de los puertos han cambiado. El nombre del puerto eth0
(puerto interno) ahora se llama int0 y eth1 (puerto externo) ahora es ext0.
Sólo puede ver los nombres de los dispositivos de la tabla de rutas (como
int0.1) en la consola serie. Puede ver la tabla de rutas seleccionando el
elemento de menú 1, luego el elemento de menú 2 en la consola serie.
NOTA: Las VLAN del IVS no están vinculadas de manera explícita a las intranets
suscriptoras mediante la configuración en el IVE. La asociación de una VLAN a una
intranet suscriptora se consigue asignando las interfaces de la VLAN a túneles
privados en la intranet suscriptora dentro de la estructura del enrutador CE->CPE.
Para obtener más información, consulte el análisis sobre las rutas estáticas en
“Adición de rutas estáticas a la tabla de rutas de VLAN” en la página 935.
En la Figura 63, los usuarios finales de Network Connect obtienen sus direcciones
IP de origen desde los conjuntos de direcciones IP de Network Connect
configurados que el administrador definió para el IVS. Además, en la figura, los
usuarios que no son de Network Connect aún pueden obtener acceso a territorios
especificados según sus roles y según las direcciones IP de origen (origen de VIP)
basadas en roles que define como puertos virtuales en la VLAN.
La siguiente lista describe cada elemento marcado con una etiqueta numerada en la
Figura 63.
5. El suscriptor define un rol para “Ventas” en VLAN1. Los usuarios finales que
inician sesión en la IP 13.10.0.1 a través de Internet son enrutados a la intranet
de la empresa 1, a los recursos de backend adecuados situados en el territorio
de “Ventas” en 10.10.0.0/16. Los usuarios finales que inician sesión en la IP
13.11.0.1 son dirigidos por la VIP hasta la intranet de la empresa 1, también
a los recursos de backend adecuados situados en el territorio de “Ventas” en
10.10.0.0/16.
6. El suscriptor define un rol para “RRHH” en VLAN2. Los usuarios finales que
inician sesión en la IP 13.12.0.1 a través de Internet son enrutados a la intranet
de la empresa 1, a los recursos de backend adecuados situados en el territorio
de “RRHH” en 10.11.0.0/16. Los usuarios finales que inician sesión en la IP
13.13.0.1 son dirigidos por la VIP hasta la intranet de la empresa 1, y también
a los recursos de backend adecuados situados en el territorio de “RRHH” en
10.11.0.0/16.
7. El suscriptor define un rol para “Empleado” en VLAN3. Los usuarios finales que
inician sesión en la IP 14.10.0.1 a través de Internet son enrutados a la intranet
de la empresa 2, a los recursos de backend adecuados situados en el territorio
de “Empleado” en 10.10.0.0/16. Los usuarios finales que inician sesión en la IP
14.11.0.1 son dirigidos por la VIP hasta la intranet de la empresa 2, y también a
los recursos de backend adecuados situados en el territorio de “Empleado” en
10.10.0.0/16.
8. El suscriptor define un rol para “Socio” en VLAN4. Los usuarios finales que
inician sesión en la IP 14.12.0.1 a través de Internet son enrutados a la intranet
de la empresa 2, a los recursos de backend adecuados situados en el territorio
de “Socio” en 10.11.0.0/16. Los usuarios finales que inician sesión en la IP
14.13.0.1 son dirigidos por la VIP hasta la intranet de la empresa 2, y también
a los recursos de backend adecuados situados en el territorio de “Socio” en
10.11.0.0/16.
4. Debe definir direcciones IP por separado para los usuarios finales de cada
empresa suscriptora, aunque compartan los servicios del MSP.
Una vez que configure rutas para admitir a los usuarios que tienen acceso a los
servicios compartidos de la red del MSP y para admitir a los usuarios que también
tienen acceso a los servicios restringidos de la red del MSP, las tablas de rutas de la
VLAN aparecen de la siguiente manera:
NOTA: Si la red del MSP está conectada al puerto sin etiqueta (interno) las entradas
de ruta son similares, pero el puerto de salida sólo es int0.
Para obtener más información, consulte “Configuración del DNS para el IVS” en la
página 948. Para ver un ejemplo sobre cómo configurar un servidor DNS/WINS
global, consulte “Configuración de Network Connect para uso en un IVE
virtualizado” en la página 950.
Configuración del acceso a las aplicaciones Web y a la navegación Web para cada
suscriptor
Es posible que el administrador de IVS desee configurar directivas específicas
de la navegación Web para los usuarios finales del IVS.
1. Seleccione Users > User Roles > Nombre de rol > Web.
8. Elija las demás opciones que desee, incluidos los ajustes del valor de tiempo
de espera para la conexión HTTP.
Para obtener información sobre las directivas de recursos y sobre cómo configurar
las directivas de recursos Web, consulte “Reescritura web” en la página 383
y “Definición de directivas de recursos: Información general” en la página 422.
1. Seleccione Users > User Roles > Nombre de rol > General.
2. Seleccione Users > Resource Policies > Files > Access > Windows.
3. Elija el rol en el menú desplegable Show policies that apply to y haga clic
en Update.
11. Seleccione la ficha Encoding para seleccionar la codificación del idioma y haga
clic en Save Changes.
12. Seleccione la ficha Options para establecer las opciones, como la comparación
basada en IP para los recursos de directiva en función del nombre de host
y haga clic en Save Changes.
Para obtener más información sobre las directivas de archivos, consulte “Definición
de directivas de recursos: Recursos de archivos para UNIX/NFS” en la página 485.
Para obtener más información sobre la codificación, consulte “Compatibilidad con
varios idiomas” en la página 1027. Para obtener más información sobre las
opciones de acceso, consulte “Escritura de directivas de recursos para UNIX/NFS”
en la página 487.
3. Crear direcciones URL basadas en rutas en los puertos virtuales para el inicio de
sesión. Consulte“Inicio de sesión usando el prefijo de dirección URL de inicio
de sesión” en la página 920 o “Configuración de un puerto virtual para iniciar
sesión en el puerto interno” en la página 932.
4. Crear puertos virtuales para los alias de IP de origen basados en roles. Consulte
“Configuración de alias de IP de origen basados en roles” en la página 942.
Solución n.º 1
Para configurar el acceso a un servidor compartido, suponiendo que existen dos
sistemas IVS para dos suscriptores:
3. Edite la tabla de rutas del puerto interno y configure una ruta estática que
apunte al servidor compartido, con la interfaz interna como el puerto de salida.
Solución n.º 2
Para configurar el acceso a un servidor compartido, suponiendo que existen dos
sistemas IVS para dos suscriptores:
3. Edite las tablas de rutas para la VLAN1 y la VLAN2 y configure una ruta estática
en cada una que apunte al servidor compartido, con la interfaz interna como el
puerto de salida.
El sensor IDP supervisa la red en la cual el sistema IDP está instalado. La tarea
principal del sensor es detectar tráfico de red sospechoso y anómalo según reglas
específicas definidas en las normas IDP.
NOTA: Un sensor IDP puede enviar registros solamente a un dispositivo IVE. Sin
embargo, un dispositivo IVE puede recibir registros desde más de un sensor IDP.
975
Guía de administración de Secure Access de Juniper Networks
El sensor IDP se ubica detrás del IVE en su red interna y supervisa el tráfico que
fluye del IVE a la LAN. Cualquier evento anormal detectado por el sensor IDP se
comunica al IVE, que se configura para tomar medidas apropiadas según el nivel
de gravedad de los eventos informados. El sensor IDP realiza funciones de
generación de informes, además de cualquier creación de registros normal para
la cual esté configurado.
Escenarios de implementación
Los dos escenarios de implementación más comunes son los siguientes:
Uso del IVE por parte del cliente para acceso empresarial extendido e IDP para
la seguridad de todo el tráfico del perímetro, entre otros, el tráfico desde el IVE.
Este escenario se ilustra en la Figura 65, en la cual el IVE se implementa en la
DMZ o en la LAN y el sensor IDP se implementa en línea detrás del cortafuegos
y delante de la LAN.
Para configurar el IVE de modo que interactúe con un sensor IDP independiente
asociado, primero debe asegurarse de que el sensor IDP se haya configurado de
acuerdo con las instrucciones descritas en el apéndice “IVE Signaling Setup” de
la Intrusion Detection and Prevention Concepts & Examples Guide.
Una vez que se configura el sensor IDP, puede especificar los eventos que desea
que éste vigile y las acciones que el IVE tomará cuando se detecte y se comunique
un evento específico.
Existen dos ubicaciones en el IVE donde puede especificar las medidas a tomar
como respuesta a usuarios que realizan ataques.
Página Sensor Event policies: Defina la directiva en esta página para generar
una respuesta automática ante usuarios que realicen ataques.
Use la ficha System > Configuration > Sensors > Sensors para realizar varias
tareas relacionadas con la configuración y administración de la interacción entre
el IVE y un sensor IDP.
NOTA: Para usar el sensor IDP con el IVE debe habilitar el registro de las directivas
aplicables.
Port: El puerto TCP del sensor IDP que el IVE escucha cuando recibe
los mensajes de alerta de ataque de la aplicación y los recursos.
NOTA: El nombre de host, puerto TCP y contraseña única deben estar configurados
en el sensor IDP antes de que esta configuración pueda realizarse correctamente.
3. Haga clic en Enable o Disable para habilitar o inhabilitar las entradas del
sensor IDP, respectivamente.
Para eliminar una o más entradas del sensor IDP existentes del IVE.
3. Haga clic en Delete y luego confirme que desea eliminar la entrada o las
entradas del sensor.
2. Seleccione la casilla de verificación situada al lado del sensor IDP que desea
volver a conectar.
Puede elegir acciones automáticas o manuales para los ataques detectados por
el sensor IDP. Para una acción manual, consulte la información disponible en
la página Active Users y decida la acción a seguir. Para una acción automática,
configure la acción anticipadamente cuando defina sus directivas de IDP.
Cuando sepa que un usuario activo inició un ataque, puede desactivar la cuenta
del usuario y terminar la sesión de usuario o actualizarlo a un rol diferente.
Haga clic en Events para editar un evento existente o crear un nuevo tipo
de evento y agregarlo a las opciones en la lista desplegable Events:
idp.severity >= 4
Para buscar todos los ataques de nivel de gravedad crítico o mayor para
el tráfico HTTP, introduzca la siguiente expresión:
iii. Cuando termine de introducir las expresiones que desea aplicar en este
evento, haga clic en Add Expression.
Replace user’s role with this one: Especifica que el rol aplicado a este
perfil de usuario debe cambiar al rol seleccionado en la lista desplegable
asociada. Este nuevo rol permanece asignado al perfil de usuario hasta
que finaliza la sesión y permite asignar un usuario a un rol controlado
específico de su elección, basándose en eventos IDP específicos. Por
ejemplo, si el usuario realiza ataques, se podría asignar al usuario un rol
restringido, que limite su acceso y sus actividades.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva sólo a los
usuarios asignados a roles de la lista Selected roles. Asegúrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles
de la lista Selected roles. Asegúrese de agregar roles a esta lista desde la
lista Available roles.
1. Identifique a los usuarios en cuarentena en System > Status > Active Users.
NOTA: El IVE asigna los usuarios en cuarentena al rol en cuarentena, sin importar
el territorio de su inicio de sesión.
NOTA: Todos los eventos de sensor se registran en System > Log/Monitoring >
Sensors > Log. Para obtener más información, consulte “Registro y supervisión”
en la página 823.
985
Guía de administración de Secure Access de Juniper Networks
986
Capítulo 35
IVE Consola serie
1 bit de parada
NOTA: Si está ejecutando una máquina Secure Access FIPS y se conectará con
la consola serie por primera vez, deberá cambiar el conmutador de modo del
módulo criptográfico a I (modo de inicialización).
NOTA: Si está ejecutando una máquina Secure Access FIPS y desea retroactivar un
entorno de seguridad anterior, consulte las instrucciones en “Recuperación de un
entorno de seguridad archivado” en la página 1020.
Después de hacer clic en Reboot Now en la página Maintenance > System >
Platform, la pantalla muestra el estado de retroactivación del servidor y, una vez
concluida, se le pedirá que presione la tecla Return (Enter) para modificar la
configuración de sistema, tras lo cual volverá a las opciones iniciales de
configuración. Cuando termine de introducir los datos, simplemente cierre
la ventana de la utilidad.
Figura 69: Consola serie IVE tras hacer clic en Reboot IVE, en la página
Maintenance > System > Platform
Figura 70: Consola serie IVE tras escoger la opción de restablecimiento de fábrica.
0x1 significa que la NIC comunica que la interfaz está apagada (por ejemplo,
debido a un cable desconectado o a que un cable se encuentra en el puerto
equivocado).
Create admin username and password: Permite crear una nueva cuenta de
superadministrador.
Create a Super Admin session: Permite crear una sesión de recuperación para
la consola de administración, incluso si ha configurado el dispositivo IVE para
bloquear el acceso a todos los administradores. Al seleccionar esta opción,
el dispositivo genera un token temporal válido durante 3 minutos. Introduzca
la siguiente URL en una ventana del navegador:
https://<ive-host>/dana-na/auth/recover.cgi
System Snapshot: Permite tomar una instantánea del sistema sin usar la
consola de administración. Al escoger esta opción, IVE toma la instantánea
inmediatamente. Puede enviar el archivo de la instantánea mediante SCP
a un sistema remoto. El sistema solicita el puerto del servidor de destino,
ID de usuario, contraseña y la ruta de destino hacia el directorio remoto.
Replace Administrator Card Set (Secure Access FIPS only): Permite crear
tarjetas de administrador adicionales para un entorno de seguridad. Para
obtener información detallada, consulte la siguiente sección.
Gráficos de uso del sistema: Puede elegir qué gráficos de uso del sistema
muestra el IVE en la página de apertura de la consola de administración usando
los ajustes de la página System > Status > Overview. También puede usar los
ajustes de esta página para perfeccionar la apariencia y los datos de cada uno
de los gráficos. Para obtener instrucciones, consulte “Visualización del estado
general” en la página 845.
Hardware estándar
El chasis de SA 6000 presenta los siguientes componentes de hardware:
LED de estado: La parte frontal del chasis del SA 6000 tiene los siguientes LED:
TEMP (rojo): Cuando el LED parpadea significa que uno de los ventiladores
falló o que no está bien colocado en su puerto, o bien, que falló uno de los
ventiladores y es necesario reemplazarlo. Cuando el LED no parpadea
significa que se detectó una alta temperatura interna que podría hacer que
el sistema fallara si no se soluciona.
PS FAIL (rojo): Indica que una de las fuentes eléctricas está defectuosa,
se desconectó o tiene un fallo absoluto.
Port 0 1000 y Port 1 1000 (verde): Indica que el enlace de las interfaces
INT 0 (interna) o INT 1 (externa) de Ethernet tiene velocidad de conexión
Gigabit Ethernet.
Port 0 100 y Port 1 100 (verde): Indica que el enlace de las interfaces INT 0
(interna) o INT 1 (externa) de Ethernet tiene velocidad de conexión
100BaseT Ethernet.
NOTA: Si están activos los LED del Port 0 1000 y del Port 0 100 (interno), o bien,
del Port 1 1000 y del Port 1 100 (externo), la velocidad del enlace para esa interfaz
es 10BaseT.
Puerto 2 y 3 SFP LINK (verde): Indica que está habilitado el puerto 2 o 3 SFP.
NOTA: Los módulos de disco duro del SA 6000 son intercambiables en caliente.
Debe asegurarse de que el IVE haya terminado de iniciarse y que esté
funcionando correctamente antes de desinstalar, reemplazar o actualizar algún
módulo de disco duro. Una vez que inserta un nuevo módulo de disco duro, debe
esperar hasta que finalice completamente el proceso de réplica RAID, que tarda
aproximadamente 40 minutos, antes de reiniciar o apagar el IVE.
Hardware estándar
El chasis de SA 4500/6500 presenta los siguientes componentes de hardware:
Los puertos de enlace no pueden pasar por redes separadas (con varias sedes).
LEDs de estado: Hay tres LEDs que indican el estado del dispositivo, y están
situados en el lado izquierdo del panel frontal:
Alimentación
Fallo
LEDs de los puertos de Ethernet: Los LED de los puertos de Ethernet muestran
el estado de cada puerto de Ethernet.
Discos duros: El SA 6500 se suministra con un disco duro, pero puede agregar
un segundo disco duro opcional al chasis del SA 6500 para proporcionar
redundancia a los componentes y ayudar a minimizar el tiempo de inactividad
del IVE. Cuando se instala un segundo disco duro (redundante), éste mantiene
una copia exacta de la información de la configuración y de la imagen del
software que hay en el disco duro de trabajo. Por lo tanto, si el disco duro
de trabajo falla, el disco duro redundante asume inmediatamente la
responsabilidad de todas las funciones del IVE. Esta función se conoce como
el proceso de réplica de matriz redundante de discos independientes (RAID).
NOTA: Los módulos de disco duro del SA 6500 son intercambiables en caliente.
Debe asegurarse de que el IVE haya terminado de iniciarse y que esté
funcionando correctamente antes de desinstalar, reemplazar o actualizar algún
módulo de disco duro. Después de insertar un nuevo módulo de disco duro,
debe esperar hasta que finalice por completo el proceso de réplica RAID
(aproximadamente 40 minutos) antes de reiniciar o apagar el IVE.
2. Deslice lentamente el módulo hacia la unidad del chasis hasta que se ajuste
en su lugar.
Cuando haya sacado el módulo del disco duro, asegúrese de reemplazarlo con
un disco duro de repuesto.
1. Con el asa de inserción y extracción del módulo del disco duro en la posición
liberada/hacia fuera, alinee el módulo del disco duro con un puerto vacío de
disco duro en la parte frontal del chasis.
2. Deslice con cuidado el módulo del disco duro hacia la unidad del chasis hasta
que se ajuste en su lugar.
Retraiga el asa balanceándola hacia atrás desde la parte frontal de la unidad del
disco duro hasta que esté completamente a ras con la superficie del módulo del
disco duro.
Instalación de un IOM
Para instalar un IOM:
3. Deslice con cuidado el IOM hacia adentro, hasta que se ajuste firmemente en
el dispositivo.
5. Inserte los cables correspondientes en los conectores para los cables del IOM.
6. De ser necesario, ordene los cables para prevenir que se salgan o que se
produzcan puntos de tensión:
Extracción de un IOM
Para extraer un IOM:
3. De ser necesario, ordene los cables para evitar que se salgan o que se
produzcan puntos de tensión.
4. Suelte los tornillos de apriete manual de cada lado de la placa frontal IOM.
Si va a instalar un IOM en la ranura vacía, instale una placa frontal de IOM plana
en la ranura para mantener un flujo de aire apropiado.
1. Deslice lentamente el módulo hacia la unidad del chasis hasta que se ajuste en
su lugar.
1011
Guía de administración de Secure Access de Juniper Networks
Clave del entorno de seguridad: Una clave del entorno de seguridad es una
clave encriptada Triple DES exclusiva que protege las claves de todas las
aplicaciones situadas dentro de un entorno de seguridad. Como requieren los
estándares federales de procesamiento de información, esta clave no se puede
importar a un entorno de seguridad, sino que se debe crear directamente desde
un módulo criptográfico. En un entorno de clústeres, todos los módulos
situados dentro del entorno de seguridad comparten la misma clave del
entorno de seguridad. (Para obtener más información, consulte
“Implementación de un clúster en un entorno Secure Access FIPS” en la
página 1015.)
Datos encriptados: Entre los datos del host encriptados en un entorno Secure
Access FIPS se encuentran las claves y otros datos requeridos para compartir
información de forma segura.
Agregar otro equipo con Secure Access FIPS a un clúster. Para obtener más
información, consulte “Implementación de un clúster en un entorno Secure
Access FIPS” en la página 1015.
Como regla general, cualquier operación de Secure Access FIPS que deba ejecutar
a través de la consola serie del IVE requiere una tarjeta de administrador.
NOTA: Cada vez que cambie el entorno de seguridad deberá decidir qué hará con
las tarjetas de administrador existentes. Las opciones son:
El proceso básico para crear un clúster contiene los siguientes pasos de nivel
superior:
Nombre de clúster
Máscara de red
NOTA: Después de que inicialice los miembros de un clúster Secure Access FIPS
con el mismo entorno de seguridad, puede inhabilitar y volver a habilitar el clúster
a través de la consola de administración. Cuando todos los miembros del clúster
sean parte del mismo entorno de seguridad, ya no será necesario usar la consola
serie.
Para crear un entorno de seguridad nuevo, debe tener acceso físico a los siguientes
elementos:
Un lector de tarjetas inteligentes (si usa un modelo más antiguo de IVE que
no tiene incorporado un lector de tarjetas)
3. Acceda a la consola serie del IVE y reinicie el IVE. Para obtener instrucciones,
consulte “Conexión a la consola serie de un dispositivo IVE” en la página 987.
Después de que el IVE se reinicie, se le presentará la siguiente pregunta en la
consola serie:
ii. Con la pregunta “Are you sure you want to delete your existing Security
World (including server certificates) (y/n)?” se le solicitará que confirme
esa opción. Si elige continuar, introduzca y y presione Enter.
7. Cree un nuevo certificado para dispositivos que tenga la misma clave privada
que el entorno de seguridad nuevo. Para obtener más información, consulte
“Creación de una solicitud de firma de certificado (CSR) para un nuevo
certificado” en la página 754.
https://x.x.x.x/admin
4. Regrese a la ficha System > Clustering > Status del nodo, seleccione la casilla
de verificación junto a los nodos inhabilitados en la columna Cluster Members
y luego haga clic en Enable.
5. Espere a que todos los miembros del clúster estén en estado “Enabled”.
Un lector de tarjetas inteligentes (si usa un modelo más antiguo de IVE que no
contiene un lector de tarjeta incorporado)
Para reemplazar todas las tarjetas de administrador o para crear una cantidad
mayor de tarjetas para un entorno de seguridad:
6. Repita los pasos 4 y 5 para todas las tarjetas que desee crear.
Un lector de tarjeta inteligente (si usa un modelo más antiguo de IVE que no
contiene un lector de tarjeta incorporado)
1. Inserte en la ranura del lector de tarjeta inteligente y con los contactos hacia
arriba, una tarjeta de administrador que se haya inicializado previamente con
el entorno de seguridad importado.
3. Acceda a la consola serie del IVE y reinicie el IVE. Para obtener más
información, consulte “Conexión a la consola serie de un dispositivo IVE” en la
página 987.
https://x.x.x.x/admin
5. Espere a que todos los miembros del clúster estén en estado “Enabled”.
Ejecución de la compresión
El IVE determina si debe comprimir los datos a los que tienen acceso los usuarios
según el siguiente procedimiento:
1. El IVE verifica que los datos a los que se ha accedido son de un tipo
comprimible. El IVE admite la compresión de muchos tipos de datos comunes
como páginas HTML y documentos de Word. Para obtener una lista completa,
consulte “Tipos de datos admitidos” en la página 1025.
2. Si el usuario tendrá acceso a datos web, el IVE verifica que el explorador admita
la compresión del tipo de datos seleccionado.
text/plain (.txt)
text/ascii (.txt)*
text/css (.css)
text/rtf (.rtf)
text/javascript (.js)
text/xml (.xml)*
application/x-javascript (.js)
application/msword (.doc)
application/ms-word (.doc)*
application/vnd.ms-word (.doc)*
application/msexcel (.xls)*
application/ms-excel (.xls)*
application/x-excel (.xls)*
application/vnd.ms-excel (.xls)*
application/ms-powerpoint (.ppt)*
application/vnd.ms-powerpoint (.ppt)*
También tenga en cuenta que el IVE no comprime archivos que carga en el IVE,
sino sólo aquellos que descarga del IVE.
Además, el IVE admite la compresión de los siguientes tipos de archivos del IVE:
application/x-javascript (.js)
text/javascript (.js)
text/css (.css)
application/perl (.cgi)
Métodos recomendados:
Métodos alternativos:
Los dispositivos SSL VPN proporcionan compatibilidad con muchos idiomas para
codificar archivos, mostrar la interfaz de usuario final y personalizar las páginas
de inicio de sesión y del sistema. Los dispositivos SSL VPN admiten los siguientes
idiomas:
Inglés (EEUU)
Chino (simplificado)
Chino (tradicional)
Francés
Alemán
Japonés
Coreano
Español
NOTA: Juniper Networks traduce la consola de usuario final del IVE y los sistemas
de ayuda a los idiomas indicados anteriormente. Tenga en cuenta, sin embargo,
que la ayuda traducida para usuarios finales no está disponible en la primera
edición del producto. Juniper Networks crea una versión traducida de la ayuda
disponible con la primera edición de mantenimiento tras la edición de
disponibilidad general.
1027
Guía de administración de Secure Access de Juniper Networks
Codificación de archivos
La codificación de caracteres es una asignación de los caracteres y símbolos usados
en el lenguaje escrito a un formato binario usado por los equipos. La codificación
de caracteres afecta a la manera en que se almacenan y transmiten los datos.
La opción de codificación de Users > Resource Policies > Files > Encoding le
permite especificar qué codificación se debe usar cuando se comunica con archivos
compartidos de Windows y NFS. La opción de codificación no afecta al idioma en
que trabaja el usuario final.
1. En la consola de administración, elija Users > Resource Policies > Files >
Encoding.
Japonés (Shift-JIS)
Coreano
NOTA: Modificar la página de inicio de sesión predeterminada con texto que esté
en el idioma de su elección es una manera rápida de ofrecer a los usuarios una
página de inicio de sesión personalizada. Para obtener información sobre la
personalización de la página de inicio de sesión personalizada, consulte
“Configuración las páginas de inicio de sesión” en la página 220. Use los ajustes
que aparecen en la ficha System > Authentication > Signing In Pages para
crear páginas de inicio de sesión personalizadas y traducidas. Para obtener
instrucciones, consulte el manual Custom Sign-In Pages Solution Guide.
Dispositivo Pocket PC: El IVE muestra páginas HTML con tablas, imágenes,
JavaScript y marcos, pero no procesa Java. Dependiendo de las características
que habilite a través de la consola de administración, el usuario final puede
tener acceso a Mobile Notes, explorar la Web, conectarse a marcadores Web,
acceder a inicio de sesión único a otras aplicaciones y editar sus preferencias
(como borrar la caché y editar la contraseña del IVE/LDAP).
También tenga en cuenta que los usuarios de i-mode no pueden acceder a opciones
basadas en cookies, incluidas cookies de sesión, y la autenticación y autorización
de SiteMinder, debido a que la mayoría de los exploradores de i-mode no admiten
cookies de HTTP. El IVE vuelve a escribir los hipervínculos con el fin de incluir la ID
de sesión en la URL en vez de usar cookies. El IVE lee la ID de sesión cuando el
usuario accede a la URL.
1031
Guía de administración de Secure Access de Juniper Networks
Users > User Roles > Rol > General > Restrictions
Resource Policies > Web > Access > Web ACL> Directiva >
Detailed Rules
Users > Resource Profiles > Web Application Resource Profiles >
Perfil > Bookmarks
Users > User Roles > Rol > Web > Bookmarks
Resource Policies > Web > Access > Web ACL > Directiva >
General
4. Evaluar los territorios: Dependiendo de las características del IVE que habilite,
quizás necesite modificar los territorios existentes para usuarios de PDA
y dispositivos de mano o crear otros nuevos. Tenga en cuenta que:
Resumen de tareas: Configuración del IVE para PDA y dispositivos de mano 1033
Guía de administración de Secure Access de Juniper Networks
3. Especifique el tipo de HTML que el IVE debe mostrar a los usuarios que
inician sesión en el sistema operativo especificado en el paso anterior.
Las opciones son:
Smart Phone HTML Basic: El IVE muestra las páginas de pantalla pequeña
compatibles con HTML. Este modo no admite cookies ni el procesamiento
de tablas, gráficos, componentes de ActiveX, JavaScript, Java, cadena de VB
o marcos. (La única diferencia entre esta opción y la opción de Compact
HTML es la interfaz de usuario.) Ideal para exploradores de Opera en
Symbian.
NOTA: El IVE vuelve a escribir los hipervínculos con el fin de incluir la ID de sesión
en la URL en vez de usar cookies.
4. Especifique el orden en que desea que el IVE evalúe a los agentes de usuarios.
El IVE aplica la primera norma de la lista que coincida con el sistema del
usuario. Por ejemplo, puede crear las siguientes asignaciones de cadena
de agente de usuario o de tipo de HTML en el siguiente orden:
S-IMAP/S-POP y S-SMTP
Habilitación de Activesync
Gracias a Activesync, puede sincronizar datos entre un equipo de escritorio con
Windows y dispositivos de mano. El IVE se puede usar como proxy inverso que
permita a los usuarios sincronizar sus datos sin instalar una aplicación cliente
adicional, como WSAM, en sus dispositivos de mano. Para obtener más
información sobre el IVE como proxy inverso, consulte “Definición de directivas
de acceso sólo con autorización” en la página 215.
Si el IVE se usa para OWA y Activesync, los nombres de host para el acceso
de OWA y Activesync deben ser diferentes
Para configurar el IVE como proxy inverso para su uso con Activesync:
2. Para crear una nueva directiva de acceso sólo con autorización, haga clic en
New URL y seleccione authorization only access. También puede editar una
directiva existente haciendo clic en una URL en la columna Virtual Hostname.
Tiempo de espera de conexión de HTTP (Users > User Roles > Nombre
de rol > Web > Options > View advanced options)
Permitir exploración de sitios Web SSL no fiables (Users > User Roles >
Nombre de rol > Web > Options > View advanced options)
Restricciones de IP de origen (Users > User Roles > Nombre de rol >
General > Restrictions)
Restricciones de exploración (Users > User Roles > Nombre de rol >
General > Restrictions)
Client-side Changes Guide: describe los cambios que producen en el equipo los
componentes de Juniper Installer Service, Host Checker, Cache Cleaner, Secure
Meeting, WSAM, JSAM, Network Connect, GINA, Windows Terminal Services
y Citrix Terminal Services. Los cambios descritos en este documento incluyen
nombres y ubicaciones de archivos que estos componentes instalan, los
cambios que efectúan en el registro y los archivos que permanecen tras realizar
desinstalación. El documento también muestra los privilegios que deben tener
los usuarios para instalar las distintas versiones de los componentes del lado
cliente del IVE.
IVE Content Intermediation Engine Best Practices: muestra los tipos de contenido
que admite IVE a través de su motor de intermediación de contenido, como
HTML, JavaScript, VBScript y Java. El documento también incluye pautas sobre
cómo crear páginas web y aplicaciones que el motor de intermediación de
contenido sea capaz de reescribir.
Network Connect and WSAM Error Messages: muestra los mensajes de error que
los usuarios finales pueden encontrar durante una sesión de Network Connect
o WSAM. El documento incluye, además, el identificador único de cada error,
su causa y la acción correspondiente que debería realizar el usuario.
Secure Access 6000 Field Replaceable Units Guide: describe cómo extraer
e instalar discos duros, unidades de energía y ventiladores en un chasis
de Secure Access 6000. Existen versiones traducidas de este documento.
Secure Access Quick Start Guide: describe cómo configurar los dispositivos
Secure Access 700, Secure Access 2000, Secure Access 4000, Secure Access
FIPS 4000, Secure Access 6000 y Secure Access FIPS 6000. Las instrucciones
de configuración incluyen cómo instalar el hardware en la red, inicializar el
software IVE mediante la consola serie y acceder a la consola de
administración. Existen versiones traducidas de este documento.
1039
Guía de administración de Secure Access de Juniper Networks
Secure Meeting Error Messages: muestra los mensajes de error que los
administradores de IVE podrían ver mientras configuran Secure Meeting,
los mensajes de error que los usuarios finales de IVE podrían ver mientras
crean una reunión y los mensajes de error que los usuarios cliente de la reunión
podrían ver mientras asisten a una reunión. El documento incluye, además,
el identificador único de cada error, su causa y la acción correspondiente que
debería realizar el usuario.
1040
Apéndice A
Escritura de expresiones personalizadas
Expresiones personalizadas
El IVE permite escribir expresiones personalizadas que se evalúan en las reglas de
asignación de roles, las directivas de recursos y las consultas de registro de filtros.
Una expresión personalizada es una combinación de variables que el IVE evalúa
como un objeto booleano verdadero, falso o de error. Las expresiones
personalizadas permiten administrar mejor el control de acceso a los recursos al
proporcionar un medio para especificar instrucciones complejas para la evaluación
de directivas y consultas de registro.
isEmpty (variable)
isUnknown (variable)
(CustomExpr)
NOT CustomExpr
! CustomExpr
CustomExpr OR CustomExpr
CustomExpr || CustomExpr
Notas:
No existe límite para el número de comillas que puede usar en el
nombre de una variable.
Puede usar la sintaxis de comillas con cualquier variable, no sólo las
variables userAttr.*.
Debe usar comillas de llaves sólo al escribir expresiones
personalizadas.
comparisonOperator es uno de las opciones siguientes:
= igual a: se usa con cadenas,
números y DN. Para obtener más
información, consulte “Variables y
funciones de DN” en la
página 1046.
!= no es igual a: se usa con cadenas,
números y DN. Para obtener más
información, consulte “Variables y
funciones de DN” en la
página 1046.
< menor que: se usa con números
<= menor o igual que: se usa con
números
> mayor que: se usa con números
>= mayor o igual que: se usa con
números
Variables y funciones de DN
Puede comparar un nombre completo (DN) con otro DN o con una cadena,
pero el IVE omite los comodines, espacios en blanco y mayúsculas o minúsculas.
Sin embargo, tenga presente que el IVE toma en consideración el orden de las
claves de DN.
userDN
certDN
certIssuerDN
NOTA: Esta lista no incluye las variables que se usan en una consulta de filtro
o en un formato de exportación para un registro del sistema. Estas variables se
describen en Filter Variables Dictionary en la página Filter (ficha System >
Log/Monitoring > Events | User Access | Admin Access > Filters > Seleccionar
filtro).
loginTime La hora del día en que el usuario envía sus loginTime = (8:00am)
Disponible en: credenciales al IVE. La hora está basada en loginTime= (Mon to Fri)
la hora del IVE.
reglas de asignación de roles
NOTA: al usar esta variable en un campo de
reglas de directivas de recursos
parámetro SSO, la variable devuelve la hora
campos de parámetros de SSO de cadena UNIX.
reglas de asignación de roles
configuración LDAP
time La hora del día en que se evalúa la regla de time = (9:00am to 5:00pm)
Disponible en: asignación de roles o la regla de directiva de time = (09:00 to 17:00)
recursos. La hora del día puede expresarse en time = (Mon to Fri)
reglas de asignación de roles
formato de 12 ó 24 horas.
reglas de directivas de recursos
Ejemplos de combinación:
reglas de asignación de roles
Permitir que los gerentes ejecutivos
y sus asistentes tengan acceso de
lunes a viernes:
userAttr.employeeType = ('*manager*'
or '*assistant*') and
group.executiveStaff and
time = (Mon to Fri)
Ejemplos negativos:
userAttr.company != "Acme Inc" or not
group.contractors
not (user = 'guest' or group.demo)
Ejemplos de combinación:
Permitir que los gerentes ejecutivos
y sus asistentes tengan acceso de
lunes a viernes:
userAttr.employeeType = ('*manager*'
or '*assistant*') and
group.executiveStaff and
time = (Mon to Fri)
El IVE permite el uso de variables del sistema al configurar los siguientes ajustes
de roles de usuario:
NOTA: Puede usar la variable de sustitución <USER> en las ACL de páginas Web,
telnet, archivos, SAM. No puede usar la variable en ACL de Network Connect.
Esta sección contiene la siguiente información sobre las variables del sistema en
territorios, roles y directivas de recursos:
Por ejemplo, suponga que el directorio LDAP del usuario contiene el atributo de
varios valores HomeShares: \\Srv1\Sales;\\Srv2\Marketing. Cuando configure la
definición del recurso compartido del archivo de Windows usando el atributo de
varios valores HomeShares, \\<userAttr.HomeShares>, el usuario verá dos
marcadores:
\\Srv1\Sales
\\Srv2\Marketing
Ahora supongamos que el directorio LDAP del usuario contiene un segundo atributo
de varios valores definido como HomeFolders: Folder1;Folder2;Folder3. Cuando
configure el recurso compartido del archivo de Windows usando los atributos de
varios valores, \\<userAttr.HomeShares>\<userAttr.HomeFolders>, el usuario verá
los siguientes seis marcadores:
\\Srv1\Sales\Folder1
\\Srv1\Sales\Folder2
\\Srv1\Sales\Folder3
\\Srv2\Marketing\Folder1
\\Srv2\Marketing\Folder2
\\Srv2\Marketing\Folder3
Use la siguiente sintaxis para tratar atributos de varias variables. Tenga en cuenta
que la <variable> se refiere a una variable de sesión como <userAttr.name>
o <CertAttr.name>:
Por ejemplo, nuevamente suponga que el directorio LDAP del usuario contiene el
atributo de varios valores HomeShares: \\Srv1\Sales;\\Srv2\Marketing. Cuando
configure la definición del recurso compartido del archivo de Windows usando el
atributo de varios valores HomeShares, \\<userAttr.HomeShares>, y usa el mismo
atributo en el campo de nombre del marcador, <userAttr.HomeShares>, el IVE
creará dos marcadores:
Cuando un usuario inicia sesión, el IVE recupera los atributos del usuario a los
que se hace referencia en las reglas de asignación de roles más todos los atributos
adicionales a los que se hace referencia en el catálogo de servidores y almacena
todos estos valores. Tenga en cuenta que esto no debería aumentar
significativamente el gasto de procesamiento porque todos los atributos del usuario
se recuperan en una sola consulta.
Índice 1059
Guía de administración de Secure Access de Juniper Networks
1060 Índice
Índice
C certificado de CA
caché carga en el IVE .................................................759
complemento de Java..............................................778 definición .........................................................750
eliminación .....................................................256, 331 habilitación de la comprobación de CRL...........769
Cache Cleaner renovación .......................................................764
ajustes de seguridad de SiteMinder..........................177 verificación.......................................................771
cambios en claves de registro................................1039 visualización de detalles ...................................776
información general ................................................331 certificado de dispositivo
registro, inhabilitar ..................................319, 340, 841 asociación con puerto virtual............................757
restricciones ..........................................................1031 creación de una CSR.........................................754
variable de expresión personalizada......................1047 definición .........................................................749
cacheCleanerStatus, variable de expresión descargar..........................................................754
personalizada ............................................................1047 exportación existente .......................................752
cadena de motivos, para corrección de IMV/IMC importación de CSR..........................................755
cadena de motivos ..................................................303 importación existente...............................752, 755
cadena de motivos, para corrección IMV/IMC .................288 importación renovada ......................................753
Callback-Id, atributo de RADIUS .....................................155 varios certificados, habilitación ................751, 756
Callback-Number, atributo de RADIUS ............................155 certificado de equipo
Called-Station-Id, atributo de RADIUS .............................155 comprobación usando Host Checker ................282
Calling-Station-Id, atributo de RADIUS ............................155 configuración ...................................................763
cambios en claves de registro .......................................1039 información general .........................................758
campo giaddr .................................................................954 Consulte también
canal de reenvío de puerto, Consulte WSAM, canal de certificado, certificado CA, cargar al IVE
reenvío de puerto Host Checker, certificado de equipo
captura de SNMP iveFanNotify........................................839 certificado de firma de código
captura de SNMP Consulte certificado, certificado de applet
iveMaxConcurrentUsersVirtualSystem.........................839 certificado del lado cliente
captura de SNMP ivePowerSupplyNotify .........................839 definición .........................................................749
captura de SNMP iveRaidNotify ......................................839 SiteMinder........................................................163
captura de SNMP ocspResponderUnreachable ................839 certificado del servidor, definido .............................749
capturas certificado intermedio, definido...............................759
configuración ..........................................................834 clave
definición ................................................................825 exportación existente .......................................752
carga de applets de Java, Consulte applets de Java, importación existente...............................752, 755
hospedados CRL
CDP, Consulte punto de distribución de CRL habilitar............................................................769
certAttr.altName.Alt-attr, variable de expresión visualización de detalles ...................................764
personalizada ............................................................1047 formatos compatibles ..............................751, 758, 775
certAttr.cert-attr, variable de expresión JavaSoft ...................................................................777
personalizada ............................................................1047 jerarquía
certAttr.serialNumber, variable de expresión analizado..................................................755, 767
personalizada ............................................................1048 definición .........................................................759
certDN, variable de expresión personalizada ................1048 lista de revocación
certDN.subject-attr, variable de expresión analizado..........................................................768
personalizada ............................................................1048 definición .........................................................759
certDNText, variable de expresión personalizada..........1048 MS Authenticode .....................................................777
certificado recomendación de Secure Meeting ..........................643
advertencias, mostrar..............................................421 requisitos de seguridad, definición ............................65
ajustes de seguridad de SiteMinder..........................177 restricciones, configuración .................................53, 54
atributos, configuración...........................................201 revocación, definida ................................................759
autofirma ................................................................751 SAML .......................................................................250
certificado comodín, definido..................................757 servidor Consulte servidor de autenticación,
certificado de applet servidor de certificados
definición .........................................................749 solicitud de firma
importar...........................................................778 creación ...........................................................754
importación del certificado a partir de..............755
importar ...........................................................755
variables de expresión personalizada ....................1047
Índice 1061
Guía de administración de Secure Access de Juniper Networks
1062 Índice
Índice
Índice 1063
Guía de administración de Secure Access de Juniper Networks
D directivas de encabezados/cookies
datos persistentes, definidos........................................... 881 configuración ..........................................................431
datos transitorios, definidos............................................ 881 información general ................................................388
declaración de autenticación, definida............................ 235 directivas de recursos
declaración de decisión de autorización, definida........... 236 administrar......................................................907, 908
declaraciones.................................................................. 190 archivo
declaraciones de atributos, restricciones......................... 236 compresión ......................................................488
defaultNTDomain, variables de expresión compresión para Windows...............................481
personalizada............................................................ 1049 control de acceso para Windows......................478
defensa en el punto final información general .........................................101
Consulte también Host Checker SSO de Windows..............................................479
información general ................................................ 255 UNIX/NFS .........................................................485
Desktop Persistence, opción ........................................... 325 Windows..........................................................476
desktopbackground archivos de Windows ..............................................477
parámetro ............................................................... 611 definición ............................................................49, 54
desktopcomposition Email Client.............................................................102
parámetro ............................................................... 612 evaluación ...............................................................106
DHCP exportación .....................................................804, 808
configuración de la compatibilidad.......................... 954 importar ..................................................................802
giaddr...................................................................... 954 información general ................................................101
servidores admitidos, Network Connect .................. 676 Network Connect.....................................101, 102, 655
DHCP centralizado.......................................................... 954 Secure Application Manager ....................................101
dirección IP servidor ...................................................................104
ajustes de seguridad de SiteMinder ......................... 177 Telnet/SSH...............................................................101
asignación de Network Connect .............................. 661 definición .........................................................560
configuración .......................................... 706, 707, 709 información general .........................................559
definir en directivas de información general de la configuración ..........552
recursos............................... 104, 105, 467, 477, 486 opciones generales...........................................561
especificación de los requisitos de usuario ................ 60 Terminal Services ....................................................102
nodo........................................................................ 898 web .........................................................101, 385, 422
para el puerto externo..................................... 706, 708 acceso a Java....................................................387
resolución ............................................................... 716 almacenamiento en caché........................387, 433
restricciones.......................... 61, 63, 66, 301, 338, 765 autenticación básica .........................................426
restricciones de inicio de sesión del usuario ............ 338 compresión web.......................................387, 454
dirección MAC, configuración de los requisitos en la control de acceso web..............................386, 424
directiva de Host Checker ........................................... 282 controles de acceso a Java................................439
direcciones de bucle invertido, firma de código Java.........................................441
JSAM ........................................... 410, 520, 522, 537, 542 iniciar JSAM......................................................387
direcciones IP de origen de alias, Consulte IP de origen, NTLM ...............................................................426
dirección, alias opciones generales...................................388, 462
directiva de acceso sólo con autorización ....... 178, 181, 215 parámetros ActiveX..........................................450
directiva de control de conexiones, selección personalización de vistas..................................463
como opción de Host Checker .................................... 263 protocolo..........................................................388
directiva, seguimiento .................................................... 854 protocolo HTTP 1.1 ..........................................459
directivas proxy passthrough ...........................................446
Consulte directivas proxy web................................................387, 456
Consulte también directivas de autenticación reescritura........................................................387
Consulte también directivas de inicio de sesión reescritura selectiva..........................................443
directivas automáticas, véase perfiles de recursos, SSO ..........................................................387, 425
directivas automáticas SSO remoto......................................................429
directivas de autenticación diskFullPercent, objeto MIB.............................................836
configuración .................................................. 198, 199 dispositivo de licencia SA-700
definición .......................................................... 52, 195 reescritura de archivos ............................................465
directivas de control acceso a Java dispositivos de mano
directivas automáticas............................................. 404 compatibilidad de WSAM ..............493, 504, 726, 1036
directivas de recursos.............................................. 439 habilitar.......................................................1032, 1034
información general ................................................ 387 información general ..............................................1031
directivas de control de acceso, Consulte perfiles de recursos, restricciones ..........................................................1032
directivas automáticas DMZ, interfaz..........................................................706, 708
1064 Índice
Índice
Índice 1065
Guía de administración de Secure Access de Juniper Networks
1066 Índice
Índice
Índice 1067
Guía de administración de Secure Access de Juniper Networks
1068 Índice
Índice
Índice 1069
Guía de administración de Secure Access de Juniper Networks
1070 Índice
Índice
P permiso automático
página principal, personalizar ...........................................79 marcadores
páginas HMTL móviles archivo .............................................................475
habilitar .................................................................1035 web ..................................................................417
información general ..............................................1031 servidores de aplicaciones (JSAM)............................544
páginas HTML compacto servidores de aplicaciones (WSAM) .........................506
contraseñas de enmascaramiento .........................1035 sesiones de Telnet/SSH ....................................558, 559
habilitar .................................................................1034 PIMs
información general ..............................................1031 instalación .............................................................1008
panel PKI, definida ...................................................................749
configuración ..........................................................844 plantillas
información general ................................................717 Consulte también
resultado de XML ....................................................718 applets de Java, hospedados
paquete de actualización Citrix, perfiles de recursos
instalación .......................................................721, 739 Lotus Notes, perfiles de recursos
instalación en un clúster..........................................887 Mic
parte confirmadora, Consulte autoridad SAML Microsoft OWA, perfiles de recursos
parte receptora .......................................................188, 234 UI personalizable .....................................................220
Password-Retry, atributo de RADIUS ...............................158 plataforma, actualización ................................................721
PDA, consulte dispositivos de mano Pocket Internet Explorer, compatibilidad de WSAM ......1036
perfil de recursos de aplicación web personalizado, Consulte Pocket Outlook, compatibilidad de WSAM ....................1036
reescritura web, perfiles de recursos Pocket PC
perfil POST .....................................................187, 189, 194 Consulte tambiéndispositivos de mano
Consulte también SAML, perfil POST POP
Consulte también servidor de autenticación, SAML clientes ....................................................................651
perfil, definido ................................................................237 compatibilidad.........................................647, 649, 651
perfiles servidor de correo ...................................................652
Consulte también servidor de autenticación, SAML Port-Limit, atributo de RADIUS .......................................158
Perfiles de recurso de Windows: Consulte perfiles de recurso, POST de formulario
archivo directivas de recursos ..............................................429
perfiles de recursos habilitar ...................................................................400
applets de Java hospedados.....................................346 información general ................................................388
archivo ....................................................................465 Consulte también SSO remoto
directivas automáticas POST, Consulte POST de formulario
almacenamiento en caché web ........................401 pragma no-cache, Consulte almacenamiento en caché,
applets de Java hospedados..............351, 573, 574 configuración
compresión web...............................................411 preferencias, Consulte usuario, preferencias
control de acceso a archivos.............................466 productName, objeto MIB ...............................................835
control de acceso web..............................393, 395 productVersion, objeto MIB .............................................835
controles de acceso a Java................................404 Prompt, atributo de RADIUS ...........................................158
JSAM ................................................................410 protocolo
proxy passthrough ...........................................407 definir en directivas de recursos ......................104, 423
reescritura selectiva..........................................407 directivas de recursos ..............................................388
reescritura web ................................................406 especificación ..........................................................459
SSO ..................................................369, 397, 578 protocolo de comunicaciones de Java, habilitación .........738
Telnet/SSH........................................................553 protocolo de comunicaciones de red, habilitación...........738
WSAM ..............................................................409 protocolo de oficina postal, Consulte POP
plantillas protocolo de tiempo en red, uso .....................................847
Consulte applets de Java hospedados................345 protocolo simple de transferencia de correo, Consulte SMTP
Consulte Citrix, perfiles de recursos proxy
Consulte Lotus Notes, perfiles de recursos restricción de Secure Meeting..................................628
Consulte Microsoft OWA, perfiles de recursos Consulte también proxy passthrough
Consulte Microsoft Sharepoint, perfiles de recursos Consulte también proxy web
Telnet/SSH proxy inverso, comparado con proxy passthrough..........389
definición .........................................................553 proxy passthrough
información general de la configuración ..........552 ajustes de DNS.................................................389, 391
Terminal Services, Consulte Terminal Services ajustes del sistema...........................................390, 391
URL, definición........................................................394 directivas automáticas .............................................406
web .........................................................................384 directivas de recursos ..............................................446
ejemplos..................................................................392
Índice 1071
Guía de administración de Secure Access de Juniper Networks
1072 Índice
Índice
Índice 1073
Guía de administración de Secure Access de Juniper Networks
1074 Índice
Índice
Índice 1075
Guía de administración de Secure Access de Juniper Networks
1076 Índice
Índice
Índice 1077
Guía de administración de Secure Access de Juniper Networks
1078 Índice
Índice
Índice 1079
Guía de administración de Secure Access de Juniper Networks
1080 Índice