iii
Navegación en la interfaz del Gatekeeper . . . 101 Capítulo 8. Utilización de los servicios
Búsqueda de recursos . . . . . . . . . 104 de mensajería . . . . . . . . . . . 139
Adición de recursos . . . . . . . . . . 105 Definición de los recursos que utilizan los servicios
Visualización de las anotaciones del Connection de mensajería . . . . . . . . . . . . . 139
Manager . . . . . . . . . . . . . . 105 Servicio de aplicaciones . . . . . . . . . 139
Visualización de usuarios . . . . . . . . 106 Habilitación de la comunicación segura para los
Utilización de grupos de difusión . . . . . 106 servicios de mensajería . . . . . . . . . . 140
Supervisión del flujo de paquetes. . . . . . . 107 Configuración de los certificados SSL para los
Sintaxis . . . . . . . . . . . . . . 107 servicios de mensajería . . . . . . . . . 140
Descripción . . . . . . . . . . . . . 107 Configuración de los certificados SSL para las
Distintivos . . . . . . . . . . . . . 110 aplicaciones de proceso de mensajes . . . . . 140
Ejemplos . . . . . . . . . . . . . . 113 Configuración de una MNC SMPP . . . . . . 142
Aplicar mantenimiento . . . . . . . . . . 113 Configuración de una MNC WCTP . . . . . . 145
Vías de acceso de instalación . . . . . . . 113
Consideraciones sobre la migración . . . . . 114
Bajadas de software . . . . . . . . . . 115
Apéndice A. Referencia de
Eliminar el Connection Manager . . . . . . . 118 programación . . . . . . . . . . . 147
Eliminar el Gatekeeper . . . . . . . . . . 119
Instalar y configurar el plug-in TAI . . . . . . 120 Apéndice B. Información del esquema
de base de datos . . . . . . . . . . 149
Capítulo 7. Utilización de los servicios Esquema de base de datos de contabilidad y
de acceso móvil . . . . . . . . . . 121 facturación . . . . . . . . . . . . . . 149
Definición de los recursos que utilizan los servicios Esquema de base de datos de sesión . . . . . 156
de acceso móvil . . . . . . . . . . . . 121 Recuperación del espacio después de suprimir los
TCP-Lite . . . . . . . . . . . . . . 121 registros . . . . . . . . . . . . . . . 158
Conexión y perfiles de transporte . . . . . 122
Grupos para los servicios de acceso móvil . . . 128 Apéndice C. Otros recursos . . . . . 159
Dispositivo portátil . . . . . . . . . . 129 Utilizar el Information Center . . . . . . . . 159
Perfil de módem . . . . . . . . . . . 129 Accesibilidad . . . . . . . . . . . . . 160
Conversor de direcciones de red . . . . . . 129 Navegar por medio del teclado . . . . . . 160
Correlación de paquetes . . . . . . . . . 131 Obtener ayuda en línea . . . . . . . . . . 160
Filtro . . . . . . . . . . . . . . . 131 Ayuda de Gatekeeper . . . . . . . . . 160
Alias de direccionamiento . . . . . . . . 131 Ayuda de IBM Key Management . . . . . . 161
Interfaz de red móvil (MNI) . . . . . . . 132 Información de consulta . . . . . . . . . . 161
Habilitación de la comunicación segura para los
servicios de acceso móvil . . . . . . . . . 136 Avisos . . . . . . . . . . . . . . 163
Control de tráfico de datos . . . . . . . . 136 Marcas registradas. . . . . . . . . . . . 165
Configuración de la autenticación entre los
servicios de acceso móvil y el Mobility Client . 136
Configuración de un RNC redundante con
Índice . . . . . . . . . . . . . . . 167
conmutadores A/B controlados de forma remota . 137
v
v Se ha eliminado el soporte de Mobility Client para:
– Red por satélite nativa Norcom
– Palm OS
– Pocket PC 2002
– RedHat Enterprise Linux 3.0 ES y AS
– Dispositivos Sony Ericsson P900 y P910
– SuSE 8.1, SuSE 8.2, SuSE 9.0 y SuSE Linux Enterprise 8
v Se ha añadido soporte de Mobility Client para estos dispositivos de Nokia: E60,
E61 y E70
v Puede configurar Mobility Client para que utilice un inicio de sesión integrado
de Windows, de modo que cuando inicie la sesión en Windows, se utilicen las
mismas credenciales para iniciar la sesión en Connection Manager.
v Está disponible el servicio itinerante a través de redes completamente integrado
en el Mobility Client para Linux.
v Hay disponibles dos protocolos nuevos para conexiones IP: HTTP y HTTP sobre
SSL. La lógica de la conexión inteligente permite a Mobility Client en Linux,
Windows, o Windows CE determinar cuál utilizar, según su entorno. Cuando se
habilitan todos los protocolos, los intentos de conexión se realizan en este orden.
UDP, HTTP y HTTP sobre SSL. Consulte el tema de la ayuda en línea de
Gatekeeper Configuración de conexiones inteligentes para obtener información sobre
la configuración.
v Los requisitos detallados del sistema sólo están disponibles en línea. Consulte el
apartado “Software obligatorio” en la página 55 para obtener una lista de URL.
v Hay disponible ayuda en línea sensible al contexto para el Mobility Client para
Linux.
v La documentación del producto Information Center se encuentra en Internet y la
proporciona Eclipse.
Los programas de aplicación existentes que utilizan una interfaz TCP/IP pueden
utilizar redes inalámbricas o redes con cable. La utilización de TCP/IP integra la
comunicación bajo una capa de interfaz común que protege los detalles específicos
de la red frente a la aplicación de usuario. Los Servicios de acceso móvil a través
de la conexión al Mobility Client proporciona mejoras específicas de la red, como
por ejemplo:
1
v Compresión de datos
v Cifrado de datos
v Optimización de datos
v Autenticación
Comunicación HTTP
Los Servicios de acceso HTTP crean un túnel seguro para la comunicación HTTP
entre clientes HTTP, como por ejemplo un navegador web. Servicios de acceso
HTTP se instala con el Connection Manager. Junto con un proxy HTTP, los
Servicios de acceso HTTP utilizan los perfiles de autenticación del sistema,
RADIUS o por enlace LDAP para proporcionar el mismo servicio que un proxy
HTTP de autenticación.
Tenga en cuenta que los Servicios de acceso HTTP no son lo mismo que utilizar un
transporte TCP-Lite para proporcionar el servicio códec (codificador/decodificador)
HTTP entre el Connection Manager y los clientes Mobility. El códec HTTP reduce
el recuento de bytes en el aire (OTA) eliminando y/o codificando por bytes los
campos de cabecera de una corriente de datos HTTP. Consulte el apartado “Codec
HTTP” en la página 122 para obtener más información.
Comunicación de mensajes
Los Servicios de mensajería soportan varios tipos de modalidades de mensaje:
v Servicio de Mensajes Cortos (SMS)
v Entrega de mensajes cortos a través de redes propietarias (como por ejemplo,
Mobitex o DataTAC)
v Correo electrónico utilizando SMTP
v Protocolo Simple de Paginación de Red (SNPP)
v Protocolo de Transferencia de Comunicaciones Inalámbricas (WCTP)
Ejemplos de operaciones de mensajes podrían ser noticias, cotizaciones de bolsa,
mensajes de buscapersonas, mensajes de difusión y la notificación de eventos,
como por ejemplo la llegada de correo electrónico.
Componentes principales
La red está formada por varios componentes principales:
v “Almacenamiento de datos persistente”
v “Connection Manager” en la página 6
v “Gatekeeper” en la página 8
v “Roles de cliente” en la página 8
v “Proveedores de red” en la página 9
Información de configuración
La información de configuración sobre recursos de red inalámbricos se almacena
utilizando uno de estos métodos:
v Un servicio de directorio compatible con el protocolo LDAP (Lightweight
Directory Access Protocol) versión 3
| v Una base de datos relacional compatible con ODBC
| v sistema de archivos local
Información de sesión
La información sobre los datos de la sesión se almacena en una base de datos
relacional compatible con ODBC o en el sistema de archivos local.
La información relacionada con la sesión consta de todas las actividades que tienen
lugar durante el establecimiento, mantenimiento y liberación de cualquier conexión
con el Connection Manager. Una base de datos relacional puede residir en
cualquier sistema principal accesible y puede almacenar información acerca de más
de un Connection Manager.
Si desea utilizar una herramienta de informe para auditar y ordenar los datos,
consulte el apartado “Esquema de base de datos de contabilidad y facturación” en
la página 149.
Connection Manager
El Connection Manager integra todas las redes soportadas dentro de un mismo
sistema principal multiubicado. Puede conectar redes de radio con cualquier red
inalámbrica, desde redes de área local (LAN) a redes de área amplia (WAN). Todos
los dispositivos fijos y portátiles pueden enlazarse al mismo Connection Manager,
sea cual sea la red de radio, y todas las unidades pueden acceder al mismo
conjunto de aplicaciones. Los usuarios con diferentes necesidades de aplicaciones
(basadas en los costes de transmisión, cobertura y dispositivos disponibles) pueden
seleccionar la mejor red de radio para su situación.
Roles de cliente
El Connection Manager se conecta con clientes en función de las características que
haya instalado y configurado.
Servicios de acceso móvil
clientes Mobility y dispositivos portátiles
Servicios de acceso HTTP
Clientes HTTP (Protocolo de Transporte de Hipertexto) que utilizan HTTP
Versión 1.1, como por ejemplo un navegador web
Servicios de mensajería
Clientes de mensajería, como por ejemplo buscapersonas.
Mobility Client
El Mobility Client proporciona un túnel IP seguro y optimizado para la
comunicación con los servicios de acceso móvil utilizando diversas redes
inalámbricas y alámbricas. Después de configurar las redes inalámbricas, LAN y de
Los programas de aplicación móviles que utilizan una interfaz TCP/IP tienen
acceso a las redes inalámbricas y alámbricas. Los programadores pueden
desarrollar aplicaciones en un entorno de red de área local (LAN) utilizando la
interfaz del programador de aplicaciones (API) TCP/IP estándar y, a continuación,
ejecutar las aplicaciones en el entorno del Connection Manager sin modificaciones.
Proveedores de red
Los proveedores de red son portadores de redes específicas, tanto IP como no IP, a
las que se conecta el Connection Manager. El soporte para los proveedores de red
varía en función de los protocolos que utilizan los operadores de las redes. Cada
proveedor de red puede tener identificadores exclusivos de hardware y software
para objetos similares, o bien métodos exclusivos para conectar la red inalámbrica
al Connection Manager. El Connection Manager establece una conexión utilizando
una conexión a red móvil (MNC) adaptada específicamente a cada tipo de
proveedor de red.
Las redes inalámbricas que el usuario instala, configura y mantiene se basan en las
necesidades de la organización y en la disponibilidad de opciones, velocidad de
datos, capacidad de transferencia y área de cobertura del proveedor de red. Para
obtener más información acerca de los proveedores de red que soporta el
Connection Manager, consulte el apartado “Proveedores de redes inalámbricas” en
la página 33.
11
Figura 5. Jerarquía de recursos del Connection Manager
Los recursos son específicos de los servicios de acceso móvil incluyen los
siguientes:
v “TCP-Lite” en la página 121
– “Codec HTTP” en la página 122
v “Conexión y perfiles de transporte” en la página 122
v “Grupos para los servicios de acceso móvil” en la página 128
v “Dispositivo portátil” en la página 129
v “Perfil de módem” en la página 129
v “Conversor de direcciones de red” en la página 129
v “Correlación de paquetes” en la página 131
v “Filtro” en la página 131
v “Alias de direccionamiento” en la página 131
v “Interfaz de red móvil (MNI)” en la página 132
Unidad organizativa
Las unidades organizativas (OU) son contenedores que se utilizan para agrupar los
recursos y controlar el acceso a estos recursos por parte de los administradores.
Los OU se crean en una estructura de árbol, similar a los directorios. Cada recurso
de un sistema inalámbrico se asigna a una OU primaria.
Capítulo 2. Planificación 13
organizativas para cada provincia donde opera la empresa BigEye. Si estas
provincias son Ontario, Quebec y Manitoba, habría las siguientes tres OU:
ou=Manitoba,o=BigEye,c=Canadá
ou=Ontario,o=BigEye,c=Canadá
ou=Quebec,o=BigEye,c=Canadá
Las unidades organizativas pueden anidarse en cualquier número de niveles.
Todos los recursos se asignan a una OU primaria, donde se controla el acceso a los
recursos. Los recursos también pueden asociarse a OU adicionales. Por ejemplo,
podría crear una segunda jerarquía para representar diferentes divisiones de la
empresa, independientemente de su ubicación. Por ejemplo, podría crear OU
llamadas Ventas, Pruebas y Desarrollo. A continuación, podría asignar recursos a
estas OU adicionales para verlos en estas agrupaciones. El único recurso que no se
puede asociar con una OU adicional es una OU.
Cuando se suprime una OU, se suprimen todos los recursos que tienen como OU
primaria la OU suprimida.
Gestor de accesos
| El gestor de accesos es el interfaz del servidor de Gatekeeper que gestionar la
| información de configuración de Connection Manager. Cuando un administrador
| realiza cambios en la configuración, el gestor de accesos actualiza el
| almacenamiento de datos persistente y actualiza dinámicamente Connection
| Manager que se está ejecutando con los nuevos datos de configuración.
| El recurso del gestor de accesos sólo está disponible para configuración desde el ID
| de administrador (gkadmin) predeterminado del Connection Manager. Cuando
| inicie la sesión como administrador predeterminado, el gestor de accesos se
| visualizará como la entrada superior del separador Recursos. Cuando se conecte
| por primera vez a un Connection Manager desde el Gatekeeper, debe iniciar la
| sesión como administrador predeterminado y, a continuación, se le solicitará que
| configure el gestor de accesos.
El gestor de accesos se puede configurar para aceptar sólo las conexiones de los
Gatekeepers que utilizan direcciones IP específicas y pueden trabajar con varios
Gatekeepers remotos.
Connection Manager
Después de instalar el Connection Manager y de instalar el soporte de red
necesario que utilizará Connection Manager, utilice el Gatekeeper para definir el
recurso del Connection Manager y las propiedades para su administración. Otros
recursos que son recursos dependientes del Connection Manager son los siguientes:
v Servicios de acceso móvil
v Servicios de acceso HTTP
v Servicios de mensajería
v Gestor de clústeres
v MNC
v Discriminador de dispositivos
Las propiedades que puede configurar para el Connection Manager incluyen las
siguientes:
Pasarela
Además de un campo de identificador y descripción, puede especificar el
Capítulo 2. Planificación 15
intervalo de supervisión de sistema, el tiempo máximo de inactividad, las
conexiones de estado máximas y el puerto de estado.
Anotaciones
Especifica las ubicaciones de los archivos de anotaciones de mensajes y
rastreo así como los niveles de anotaciones de mensajes.
Alertas
Especifica si la notificación de alertas por correo electrónico está habilitada
y define un servidor SMTP, una lista de eventos y los administradores que
recibirán la notificación.
Contabilidad y facturación
Especifica dónde se almacena la información de anotaciones a efectos de
contabilidad y facturación.
Contabilidad RADIUS
Especifica si se utilizan servidores de contabilidad RADIUS.
Base de datos de sesión
Especifica la base de datos relacional que almacena datos de la sesión.
Gestión de red
Especifica si un daemon SNMP (Protocolo Simple de Gestión de Red) se
ejecuta en qué estaciones de gestión de red, así como el nivel de
anotaciones que se utiliza para las rupturas.
OU Especifica las unidades organizativas y las unidades organizativas
adicionales en las que el Connection Manager está definido.
Servicios de mensajería
Los Servicios de mensajería permiten que un servidor de aplicaciones web envíe
mensajes a un cliente, como por ejemplo un buscapersonas o un teléfono, en una
red inalámbrica.
| Los servicios de mensajería requieren que se utilice una base de datos relacional
| compatible con ODBC para almacenar los datos de sesión.
Hay dos tipos de cookies válidas: LTPA y una cookie específica de Connection
Manager, cuando LTPA no está configurado. Si el nombre que se encuentra en la
cabecera es LtpaToken=, se utiliza el símbolo codificado en LTPA. Si el nombre que
se encuentra en la cabecera es WgSessionKey=, se utiliza la clave de sesión
codificada de Connection Manager. Si se encuentra una cookie válida en la
cabecera, la solicitud del cliente HTTP se reenvía a un proxy HTTP. Esta cookie se
emplea en los intentos de conexión futuros y tiene un tiempo de vida igual al de la
sesión del navegador, aunque en el caso del símbolo LTPA, el tiempo de vida del
símbolo se puede configurar por separado.
Cuando no hay ninguna cookie valida en la cabecera, se envía una página de inicio
de sesión al cliente HTTP. Una vez que el usuario inicie una sesión y proporcione
las credenciales válidas, los servicios de acceso HTTP establecen una cookie y
redirigen la solicitud de nuevo al cliente HTTP que seguidamente se reconecta, esta
vez con una cookie válida en la cabecera, que los servicios de acceso HTTP utilizan
para validar la sesión y reenviar la solicitud a un proxy HTTP.
No existe ninguna manera explícita de finalizar sesión en esta conexión segura sin
cerrar la ventana del navegador. A modo de sugerencia, edite uno de estos tres
archivos para incluir un mensaje con la indicación de que se cierre la ventana del
Capítulo 2. Planificación 17
navegador una vez que el usuario haya terminado con la conexión, para asegurar
que nadie más pueda utilizarla. Debe saber que la utilización de los Servicios de
acceso HTTP para acceder a la intranet de la empresa desde sistemas cuya
seguridad no se conoce o no es fiable puede comprometer la seguridad de la
información de inicio de sesión o de los datos, si hay instalado un determinado
spyware. Cuando utilice los Servicios de acceso HTTP desde sistemas que no sean
los que controla o confía completamente, asegúrese de que las políticas de
seguridad ofrecen protección contra estos riesgos o soportan la aceptación de los
mismos.
Cada recurso solicitado (URL) debe tener como prefijo un URL de servicio. Por
ejemplo, si el URL de servicio está configurado como mobile.miempresa.com,
cuando el cliente HTTP entra esa ubicación en el navegador, los servicios de acceso
HTTP redirigen el URL como https://mobile.miempresa.com/http://
miempresa.intranet.com.
Para añadir servicios de acceso HTTP, en el panel izquierdo, pulse con el botón
derecho del ratón sobre Connection Manager al que desea añadir los servicios y, a
continuación, pulse Añadir --> Servicio de acceso HTTP.
Otros recursos que son recursos dependientes de los servicios de acceso móvil
incluyen los siguientes:
v Determinados grupos, como por ejemplo de difusión, filtros y correlación de
paquetes o NAT
v Perfil de conexión
v Conversor de direcciones de red (NAT)
v Correlaciones de paquetes
v Filtros
v Alias de direccionamiento
v Interfaz de red móvil (MNI)
Las propiedades que puede configurar para los servicios de acceso móvil incluyen
las siguientes:
General
Además de un campo de descripción, puede especificar el tiempo máximo
de inactividad.
Protocolo de enlace inalámbrico/PPP
Especifica los valores globales que afectan a todas las redes que ha
instalado y configurado para utilizar con los servicios de acceso móvil. Por
ejemplo, el puerto UDP y TCP utilizado para actualizaciones de
Gestor de clústeres
Un gestor de clústeres es un recurso que realiza compensación de carga dinámica y
mejora la disponibilidad en los gestores de conexiones. Cada instalación de un
Connection Manager crea un único recurso de gestor de clústeres.
Edite las propiedades del gestor de clústeres para definir un Connection Manager
como nodo principal, nodo subordinado o como ambos. Un nodo principal
despacha tráfico a los nodos subordinados. Un nodo subordinado está configurado
para aceptar tráfico procedente de uno o varios nodos principales. Un gestor de
clústeres que está definido como nodo principal y a la vez como nodo subordinado
despacha tráfico y procesa datos. Tenga en cuanta que sólo hay un nodo principal
por cada gestor de clústeres.
Para despachar tráfico para una red determinada, asegúrese de que servicios de
mensajería esté configurado como el nodo principal de un clúster.
Para despachar tráfico para una MNC de mensajería, asegúrese de que la MNC
está instalada y configurada en el mismo sistema que los servicios de mensajería.
Un nodo principal inicia la comunicación con los nodos subordinados. Como parte
del rol de recibir y despachar tráfico, un nodo principal mantiene una
comunicación bidireccional con los nodos subordinados. Proporcione una copia de
seguridad para los gestores de conexiones que están configurados como nodos
principales con el fin de asegurar la disponibilidad de los recursos más
importantes.
Capítulo 2. Planificación 19
Cuando concluye un nodo principal, el gestor de clústeres notifica a los nodos
subordinados que deben cancelar anormalmente las transacciones pendientes que
se vuelven a direccionar a través del nodo principal.
Los nodos subordinados pueden configurarse en uno de los tres estados siguientes:
Activo La modalidad normal de operación en la que el gestor de clústeres
despacha el tráfico de acuerdo con el algoritmo de distribución
configurado para el nodo subordinado.
Definido
Una modalidad de operación en la que el gestor de clústeres notifica
inmediatamente al nodo subordinado que debe cancelar anormalmente
todas las transacciones pendientes.
Mantenimiento
Una modalidad de operación en la que el gestor de clústeres no direcciona
tráfico nuevo hacia este nodo subordinado, permitiendo que finalice el
tráfico después de que se hayan completado todas las transacciones
pendientes Para verificar que ha finalizado todo el tráfico, utilice el
programa de utilidad wg_monitor y compruebe el número de sesiones
activas. En el apartado “Supervisión del flujo de paquetes” en la página
107 encontrará más detalles acerca del programa de utilidad.
Puede mejorar el rendimiento de las MNC sin conexión, como por ejemplo, ip-lan,
enlazando el puerto UDP a una dirección IP específica. Consulte el apartado
“Configurar nodos de clúster para MNC sin conexión” en la página 94 para
obtener más información.
Puede agrupar los nodos subordinados y asignar un nodo principal que despacha
tráfico a nodos específicos del grupo de clústeres. Los nodos subordinados pueden
añadirse dinámicamente a un grupo de clústeres para aumentar la capacidad del
clúster.
Grupos
Un grupo es una forma de recopilar recursos inalámbricos para utilizarlos como
grupo en lugar de hacerlo por separado. Puede crear grupos de los siguientes
tipos:
MNC Una agrupación de conexiones de red móvil que pueden asignarse a otro
recurso. Por ejemplo, puede asignar un grupo MNC a un nodo
subordinado, eliminado la necesidad de asignar cada MNC
individualmente.
En el caso de las MNC de conexión de mensajería, puede asignar MNC a
un grupo y direccionar los mensajes sólo a las MNC especificadas en dicho
grupo.
Clúster
Una agrupación de nodos subordinados que pueden asignarse a un nodo
principal, eliminando la necesidad de asignar individualmente cada nodo
subordinado. Para obtener más información, consulte el apartado “Gestor
de clústeres” en la página 19.
Capítulo 2. Planificación 21
Para ver una lista de otros grupos disponibles, consulte el apartado “Grupos para
los servicios de acceso móvil” en la página 128.
| No todas las MNC están disponibles en todos los sistemas operativos. Por ejemplo,
| el soporte de la MNC X.25 sólo está disponible en AIX.
Tabla 3. MNC disponibles para los servicios de acceso móvil que utilizan conexiones WLP
(protocolo de enlace inalámbrico) o PPP (protocolo punto a punto)
Tipo de Descripción Instalar este soporte de red
MNC
ardis-tcp Direccionamiento de contexto estándar (SCR) Ardis
Motient que utiliza TCP
ardis-x25 SCR Motient que utiliza X.25 Ardis
dataradio- Controlador de enlace de datos de estación Dataradio
bdlc base (BDLC) Dataradio
dataradio- Controlador multisitio (MSC) Dataradio Dataradio
msc
datatac- DataTAC 5000 que utiliza X.25 DataTAC
5000
datatac- DataTAC 6000 que utiliza TCP DataTAC
6000
dial-pstn Red telefónica pública conmutada, incluidas Acceso telefónico
las conexiones PPP nativas
dial-tcp Conexión de acceso telefónico a través de un Acceso telefónico
servidor de módem conectado por IP,
incluidas las conexiones PPP nativas
ip-lan Red basada en IP, como por ejemplo CDPD, LAN IP
frame relay, conexión con Proveedor de
servicios de Internet (ISP) o LAN
| http-tcp- Basado en HTTP-TCP LAN IP
| lan
mobitex Conexión estándar internacional Mobitex que Mobitex
utiliza X.25
mobitex- Mobitex que utiliza TCP, como por ejemplo Mobitex
tcp el servidor de aplicaciones de Internet (IAS)
Mobitex
Capítulo 2. Planificación 23
Tabla 3. MNC disponibles para los servicios de acceso móvil que utilizan conexiones WLP
(protocolo de enlace inalámbrico) o PPP (protocolo punto a punto) (continuación)
Tipo de Descripción Instalar este soporte de red
MNC
rnc-3000 Controlador de red de radio 3000 RNC-3000
| tcp-lan Basado en TCP LAN IP
Discriminador de dispositivos
El discriminador de dispositivos funciona juntamente con los servidores de acceso
a red (NAS) para identificar inequívocamente los dispositivos cada vez que los
dispositivos se conectan a la red. Se requiere la identidad exclusiva de un
dispositivo antes de que el Connection Manager pase la identidad del dispositivo a
otros servidores web y proxies de la red. Cuando se habilita el discriminador de
dispositivos, el identificador exclusivo del dispositivo se pasa desde el servidor
NAS al Connection Manager una vez que se ha solicitado en forma de mensajes de
autenticación RADIUS o de contabilidad RADIUS.
Dado que el servidor NAS normalmente se configura para distribuir una dirección
IP desde una agrupación de direcciones a los usuarios cuando éstos se conectan a
la red, esta dirección IP no identifica de forma exclusiva a un usuario específico.
Puesto que los dispositivos normalmente no utilizan la misma dirección cada vez
que se conectan a la red, el servidor NAS también debe configurarse para enviar
otro identificador que identifique de manera exclusiva el dispositivo.
El servidor NAS envía un mensaje RADIUS al Connection Manager cada vez que
un cliente móvil se conecta al servidor NAS. El mensaje RADIUS contiene la
dirección IP asignada al dispositivo portátil y un identificador de dispositivo
exclusivo, como por ejemplo un número de teléfono o ID de usuario. En todas las
solicitudes subsiguientes del dispositivo portátil, el Connection Manager utiliza
esta información para establecer una correlación entre la dirección IP del
dispositivo portátil y el identificador exclusivo.
Servidor de directorios
Un servidor de directorios es un recurso que aprovecha las bases de datos de
cuentas de usuario existentes y proporciona la definición de cómo ponerse en
contacto con otro servidor de servicios de directorio (DSS). Siempre y cuando la
Capítulo 2. Planificación 25
base de datos existente soporte un acceso de cliente LDAP (Protocolo Ligero de
Acceso a Directorio), el Connection Manager puede cargar, utilizar y modificar
atributos específicos almacenados con los registros de usuario existentes en los
servidores de directorios locales y/o remotos.
Usuario
Un usuario es una cuenta creada para que una persona pueda utilizar el Mobility
Client para conectarse al servicios de acceso móvil. Si especifica que el ID de
usuario requiere una contraseña, debe asignar una política de contraseñas que
defina las normas de la contraseña. Consulte el apartado “Política de contraseñas”
en la página 32.
Administrador
| Un administrador es un usuario definido del Gatekeeper. La primera vez que
| utilice el Gatekeeper, debe iniciar la sesión como administrador predeterminado en
| el sistema del gestor de accesos. Para utilizar el ID de administrador (gkadmin)
| predeterminado, es necesario configurar el gestor de accesos.
Capítulo 2. Planificación 27
| Administrador predeterminado de Connection Manager (gkadmin)
| Un administrador preconfigurado (gkadmin) que puede editar las
| propiedades del gestor de accesos y dispone del control de acceso Todos
| para todos los recursos de todas las unidades organizativas. El
| administrador predeterminado puede crear otros ID de administrador y
| perfiles de ACL. El tipo de acceso de gkadmin se limita al superusuario.
| Las listas de control de accesos no son válidas para esta cuenta. Esta
| cuenta no puede caducar.
Superusuario
Un administrador que, con la excepción del gestor de accesos, tiene
definido el control de acceso Todos para todos los recursos de todas las
unidades organizativas. Un administrador superusuario puede crear otros
ID de administrador y perfiles de ACL.
| Lista de control de accesos
| Un administrador a quien se le ha asignado un perfil de lista de control de
| accesos (ACL) configurado por un administrador predeterminado o por un
| administrador superusuario. Un perfil de ACL es una recopilación de ACL
| que define el nivel de acceso a los recursos. Un administrador con un
| perfil de ACL asignado no puede crear otros ID de administrador ni
| perfiles de ACL.
| En AIX, Linux y Solaris, puede habilitar a los usuarios para iniciar la sesión
| utilizando los ID de usuario del sistema operativo local. Puede especificar si
| pueden iniciar sesión de manera remota, así como la categoría de acceso que
| tienen. Para permitir el acceso de usuarios al sistema local, edite las propiedades
| del gestor de accesos en el separador Seguridad.
| Nota: Los usuarios de AIX, Linux y Solaris que inician la sesión utilizando el ID
| de administrador raíz del sistema operativo tienen el mismo acceso a los
| recursos que el administrador predeterminado, incluido el acceso remoto.
Cada nivel de acceso incluye todos lo que están debajo del mismo. Si asigna el
acceso Crear a un recurso de una OU, también otorga el acceso Modificar y Sólo
lectura al recurso de dicha OU.
Los recursos que no están asignados directamente a una OU heredan el acceso del
recurso padre. Por ejemplo, un gestor de clústeres hereda el acceso del Connection
Manager.
En el caso de los administradores a los que se les asigna un perfil de ACL, cuando
desee que estos administradores gestionen un recurso, otórgueles acceso a dicho
recurso y otorgue un acceso distinto a todos los recursos necesarios para dar
soporte a dicho recurso. Por ejemplo, si gestiona usuarios, otórgueles como mínimo
acceso de sólo lectura a recursos, como por ejemplo políticas de contraseñas, de
modo que pueda asignar una política al usuario.
Puede asignar este acceso adicional a los administradores que tienen acceso Sólo
lectura, Crear o Modificar. Este acceso adicional está habilitado de manera
predeterminada cuando un administrador tiene acceso Todos a los gestores de
conexiones de una OU:
v Ver anotaciones de contabilidad — la posibilidad de ver el archivo de
anotaciones de contabilidad
v Ver anotaciones de mensajes — la posibilidad de ver el archivo de anotaciones
de mensajes
v Ver anotaciones de rastreo de usuario — la posibilidad de ver el archivo de
anotaciones de rastreo
Capítulo 2. Planificación 29
Puede asignar este acceso adicional a los administradores que tienen acceso
Modificar o Crear. Este acceso adicional está habilitado de manera predeterminada
cuando un administrador tiene acceso Todos a los gestores de conexiones de una
OU:
v Iniciar/detener un Connection Manager— la posibilidad de iniciar y concluir
gestores de conexiones
Perfil de autenticación
Un perfil de autenticación es un conjunto de propiedades de configuración de
terceros que se asignan a un perfil de conexión o a los Servicios de acceso HTTP.
Estas propiedades controlan cómo se autentican los clientes. Tenga en cuenta que
las conexiones de mensajería, como por ejemplo las MNC de servicio de mensajes
cortos (SMS), no utilizan perfiles de autenticación.
SSO puede habilitarse para utilizar sólo conexiones SSL (capa de sockets
protegidos).
Todos los servidores que utiliza el soporte LTPA del Connection Manager deben
tener el mismo conjunto de claves y contraseña LTPA. Estas claves se obtienen
utilizando el proceso manual de exportar un archivo de claves desde uno de los
servidores y luego importar el archivo de claves a todos los servidores
participantes. El Connection Manager se inicia con wecmltpa como contraseña
LTPA predeterminada.
Hay varias acciones que pueden configurarse para las claves LTPA:
Generar claves nuevas
Especifica que se generan claves nuevas para utilizar con los símbolos
LTPA. Si se generan claves nuevas, se cancelan los símbolos LTPA actuales.
Las claves nuevas se deben exportar a un archivo de claves LTPA con el fin
de que los servidores de aplicaciones preparados para LTPA participantes
puedan importar un archivo de claves LTPA actualizado para obtener las
claves nuevas.
La acción de generar claves LTPA nuevas tarda tiempo en completarse y se
inicia la primera vez que LTPA se habilita en un Connection Manager o
cuando la acción de clave está configurada para generar claves nuevas. La
generación de claves nuevas requiere una contraseña LTPA para generar
claves.
Capítulo 2. Planificación 31
Importar desde archivo de claves
El archivo de claves LTPA especificado se importa para que el Connection
Manager pueda utilizarlo.
Exportar a archivo de claves
El Connection Manager crea el archivo de claves LTPA especificado.
Ninguno
No se realiza ninguna acción.
Política de contraseñas
Cuando se crea un ID de usuario y se requiere una contraseña, se especifica una
política de contraseñas para dicho usuario. Una política de contraseñas contiene
normas acerca de las contraseñas de los usuarios y puede configurarse para
especificar lo siguiente:
v El número mínimo de caracteres alfabéticos (a-z, A-Z) que debe tener una
contraseña.
v El número mínimo de caracteres no alfabéticos (por ejemplo, 0-9, #, &, $, %) que
debe tener una contraseña.
v El número máximo de veces que puede repetirse un carácter en una contraseña.
v Si la contraseña puede incluir o no el ID de usuario en su serie.
v Si la contraseña puede empezar o acabar con un carácter numérico.
v El número mínimo de caracteres que debe tener la contraseña.
v El número mínimo de caracteres de la contraseña nueva que deben ser distintos
de los que había en la contraseña antigua. Esta configuración está inhabilitada
cuando el almacenamiento de datos persistente del servicio de directorio cifra las
contraseñas mediante un algoritmo de cifrado en un solo sentido, como el
algoritmo SHA (Secure Hash Algorithm).
v El número de contraseñas anteriores que no podrá reutilizar el usuario.
v La antigüedad máxima (en días) de la contraseña del usuario. Cuando la
contraseña alcanza esta antigüedad, hay que cambiarla para que pueda
producirse una conexión satisfactoria.
32 Lotus Mobile Connect Administrator’s Guide
v La antigüedad mínima (en días) que debe tener la contraseña del usuario para
que se pueda cambiar.
v El número de intentos de contraseña incorrecta antes de que se bloquee la
cuenta de usuario. Si se supera este número, se bloquea la cuenta y el usuario
no puede conectarse.
v Si el usuario tiene permiso para cambiar la contraseña.
v El número máximo de caracteres idénticos que pueden repetirse
consecutivamente.
v El número mínimo de caracteres que deben utilizarse de dos de los tres grupos
siguientes: letras mayúsculas y minúsculas, números o signos de puntuación y
caracteres especiales.
Su red
Antes de instalar y configurar el Connection Manager, debe planificar cómo desea
manejar varios aspectos de su funcionamiento:
v ¿Qué portadores o proveedores de red utilizará?
v Para cada MNC que defina en los servicios de acceso móvil, ¿qué modelo de
validación de cliente se necesita?
v ¿Qué jerarquía de unidad organizativa debe desarrollarse que represente la
infraestructura de la organización?
v ¿Cuántos gestores de conexiones instalados necesita para soportar el número de
usuarios que se conectarán simultáneamente?
v ¿Qué subred de direccionamiento IP utilizará para definir una MNI en los
servicios de acceso móvil? ¿Cuántas subredes necesita definir?
v ¿Qué opciones de seguridad implementará?
v ¿Cómo desea administrar los recursos inalámbricos?
v ¿Cuántos administradores necesita definir y qué listas de control de accesos
necesita asignar a cada ID de administrador?
v Si tiene la intención de utilizar la capa de sockets protegidos (SSL), obtenga los
certificados que utilizará.
Capítulo 2. Planificación 33
– Radio Page America (RPA)
– Protocolo de Igual a Igual de Mensajes Cortos (SMPP)
– Protocolo Simple de Transporte de Correo (SMTP)
– Protocolo Simple de Paginación de Red (SNPP)
– Universal Computer Protocol (UCP)
– Protocolo de Transferencia de Comunicaciones Inalámbricas (WCTP)
v Protocolo Simple de Transporte de Correo
v Protocolo Simple de Paginación de Red
v Redes Públicas de Radio por Paquetes
– DataTAC — La red de radio móvil compartida que proporciona protocolos de
Motorola para portadoras de red; por ejemplo:
- DataTAC 4000 (EE.UU.) Motient (antes Advanced Radio Data Information
Services (ARDIS))
- DataTAC 5000 (Europa)
- Modacom (Alemania)
- DataTAC 6000 (Asia)
- DataTAC/IP
– Mobitex (mundial)
– Mobitex/IP (EE.UU.)
– Cellular Digital Packet Data de circuitos integrados (CS-CDPD)
– General Packet Radio Service (GPRS) basado en Global System for Mobile
(GSM) Communication
– Personal Digital Cellular Packet (PDC-P) (Japón)
v Redes celulares
– Advanced Mobile Phone Service (AMPS) y Narrow-Band Advanced Mobile
Phone Service (N-AMPS)
– Code-Division Multiple Access (CDMA)
– Global System for Mobile (GSM) Communication
– Integrated Digital Enhanced Network (iDEN)
– Personal Communications Services 1900 (PCS)
– Personal Digital Cellular (PDC) (Japón)
– Personal Handyphone (PHS) (Japón)
– Time Division Multiple Access (TDMA)
v Conexiones de acceso telefónico
– Dial/TCP
– Red Telefónica Conmutada (RTC) o POTS (Plain Old Telephone Service)
– RDSI (sólo AIX)
– Protocolo punto a punto (PPP)
– Conexiones RTC/RDSI con un servidor de módem, como por ejemplo 3Com
Total Control System (TCS)
v Redes privadas por paquetes
– Dataradio
– DataTAC 3000 (Motorola Private Mobile Radio (PMR))
– ASTRO 25
v 1xRTT
v eVDO
Almacenamiento de datos
La información que almacena y utiliza el Connection Manager incluye:
v La base de usuarios de propiedades y datos de cuenta. Existen varias
posibilidades para almacenar de forma persistente la base de usuarios. En el
apartado “Usuario” en la página 26 encontrará más detalles.
| v La información de configuración está almacenada en:
| – Un servidor de servicio de directorio compatible con LDAP versión 3.
| – Una base de datos relacional (RDB) compatible con ODBC. Seleccione esta
| opción si no dispone de un DSS o no desea instalarlo.
| – Archivos almacenados en el sistema de archivos local. Seleccione esta opción
| sólo si desea utilizar Connection Manager en un entorno de prueba de
| concepto o un entorno de producción pequeño con menos de 100 usuarios.
| Esta selección se realiza durante la configuración inicial del gestor de accesos.
v La información de sesión está almacenada en:
– Una base de datos relacional (RDB) compatible con ODBC.
– Archivos almacenados en el sistema de archivos local. Seleccione esta opción
sólo si desea utilizar Connection Manager en un entorno de prueba de
concepto o un entorno de producción pequeño con menos de 100 usuarios.
v Información de contabilidad y facturación – se almacena en una base de datos
relacional o en un archivo y opcionalmente se envía a un servidor de
contabilidad RADIUS
Capítulo 2. Planificación 35
| Si desea utilizar Connection Manager en una instalación autónoma, como un
| entorno de prueba de concepto o un entorno de producción pequeño con menos de
| 100 usuarios, todos los datos se pueden almacenar en archivos del sistema de
| archivos local.
| Una base de datos relacional puede residir en cualquier sistema principal accesible
| y puede almacenar información acerca de más de un Connection Manager.
| Consulte el apartado “Requisitos de software para el almacenamiento de datos
| persistente” en la página 55 para obtener más información.
| Los servicios de mensajería requieren que se utilice una RDB compatible con
| ODBC para almacenar los datos de la sesión.
Capítulo 2. Planificación 37
Cuando la información de contabilidad facturación se almacena en una base de
datos relacional, debe especificar el nombre de la base de datos y el ID de usuario
y la contraseña del administrador de la base de datos. El gestor de accesos cifra la
contraseña del administrador de la base de datos antes de almacenarla con la
configuración del de Connection Manager. Para instalaciones de DB2, el nombre de
la base de datos predeterminada es wgacct y también debe especificar la ubicación
de la base de datos o la dirección IP y el número de puerto del servidor de base de
datos remota.
Capítulo 2. Planificación 39
Tabla 5. Puertos en los que Connection Manager está a la escucha (continuación)
Número de Componente que Direction Comentario
puerto y utiliza
protocolo
| 9553 - TCP Puerto de difusión RPC Bidireccional Connection Manager
| escucha las solicitudes
| de difusión dinámicas y
| se protege con
| autenticación basada en
| RPC, como si se
| utilizase portmap.
| 9610 - TCP Servicios de acceso Bidireccional Receptor de solicitudes
móvil de autenticación
RADIUS de terceros
desde Mobility Clients
13131 - TCP Servicios de Mensajería Bidireccional – Lado de Puerto de
Intranet de Connection envío/recepción para el
Manager tráfico de API de los
servicios de mensajería
13132 - TCP Servicios de Mensajería Bidireccional – Lado de Puerto de
Intranet de Connection envío/recepción seguro
Manager para el tráfico de API
de los servicios de
mensajería
Seguridad
El Connection Manager tiene varias formas de aplicar la seguridad de la red, de las
aplicaciones y de los datos. Existen varios tipos de opciones de seguridad:
Acceso
El proceso mediante el cual los usuarios de cada extremo de un enlace de
comunicación conocen la identidad del usuario del otro extremo se llama
autenticación. El mecanismo básico de autenticación consiste en la
presentación mutua de una clave secreta.
Los servicios de acceso móvil proporcionan automáticamente la
autenticación a los clientes Mobility. Además, puede conectar fácilmente
servidores RADIUS (Remote Authentication Dial-In User Service) de
terceros para proporcionar un acceso seguro.
Confidencialidad
Dado que el enlace de comunicación podría no ser privado, los datos
también deben cifrarse antes de ser enviados. El cifrado de datos ayuda a
impedir el acceso no autorizado a los mismos, transformándolos a un
formato ininteligible y, de esta forma, los datos originales no pueden leerse
o sólo pueden leerse mediante un proceso de descifrado. Los datos se
transforman en datos cifrados utilizando la clave de sesión que se
intercambia durante el proceso de autenticación. Los servicios de acceso
móvil proporcionan opcionalmente el cifrado a los clientes Mobility.
Autorización
La garantía que el usuario está autenticado y tiene permiso para acceder a
los datos. Una conexión SSL (capa de sockets protegidos) con el
Connection Manager asegura que el enlace de comunicación se accede
forma de segura, es confidencial y está autorizado.
Utilizar IPSec
Puede configurar el sistema operativo para que utilice IPsec con el fin de proteger
los datos transmitidos entre el Connection Manager y los servidores remotos o bien
entre los nodos de clúster. Por ejemplo, es posible que desee proteger la
Capítulo 2. Planificación 41
comunicación entre el Connection Manager y el almacenamiento de datos
persistente (servidores de servicios de directorio y servidores de bases de datos
relacionales), el proxy HTTP y software opcional, como por ejemplo los servidores
de autenticación o contabilidad RADIUS.
Opciones de seguridad
La Figura 7 muestra las opciones configurables que están disponibles para aplicar
la seguridad de la red. La Tabla 6 describe las opciones y proporciona enlaces a la
información de planificación y configuración. Para entender mejor cómo puede
aplicar la seguridad de la red, utilice la Figura 7 con la Tabla 6.
Tabla 6. Referencia cruzada entre las opciones de seguridad y la información de planificación o configuración
Identificador en Descripción Información de planificación Para obtener información de
la Figura 7 configuración, consulte
1 Conexión SSL (capa de sockets No aplicable No aplicable; proporcionada
protegidos) entre el navegador automáticamente por el
web y el servidor de navegador web
aplicaciones seguro
Capítulo 2. Planificación 43
Tabla 6. Referencia cruzada entre las opciones de seguridad y la información de planificación o
configuración (continuación)
Identificador en Descripción Información de planificación Para obtener información de
la Figura 7 en la configuración, consulte
página 42
9 Conexión SSL entre el Mobility Consulte los apartados “Configurar certificados SSL en
Client y la MNC de HTTPS “Autenticación entre los el Connection Manager” en la
servicios de acceso móvil y los página 88 con los servicios de
clientes Mobility” y “Cifrado acceso HTTP
entre los servicios de acceso
móvil y los clientes Mobility”
en la página 45
Autenticación y cifrado
Es necesario un conjunto gestionado de certificados de clave pública, por lo
general emitido por una entidad emisora de certificados, para habilitar las
comunicaciones SSL. Los certificados raíz se almacenan en una base de datos de
claves y se protegen mediante una contraseña oculta. La capa de sockets
protegidos (SSL) utiliza la interfaz IBM Key Management para ofrecer las
siguientes alternativas al certificado de clave pública:
1. El servidor de red con el que está comunicándose tiene un certificado que
emite una autoridad de certificación conocida. En este caso, el certificado raíz
ya está en la base de datos de claves predeterminada.
Los certificados predeterminados incluyen los siguientes: VeriSign Class 3
Public Primary CA, VeriSign Class 2 Public Primary CA, VeriSign Class 1
Public Primary CA, RSA Secure Server CA, Thawte Personal Basic CA, VeriSign
Test CA Root Certificate, Thawte Personal Premium CA, Thawte Premium
Server CA, Thawte Server CA y Thawte Personal Freemail CA.
2. El servidor de red con el que está comunicándose tiene un certificado que
emite una autoridad de certificación desconocida. En este caso, cree una
solicitud de certificado, envíe la solicitud y reciba un certificado raíz que se
añade a una base de datos de claves.
3. El servidor de red con el que está comunicándose tiene un certificado
autofirmado creado por y para dicho servidor de red. En este caso, cree una
solicitud de certificado personal y añada un certificado raíz a la base de datos
de claves.
Puede configurar un perfil de conexión para que realice intercambios de claves que
utilizan:
Para obtener información más detallada acerca del intercambio de claves del
Mobility Client, consulte el apartado “Conexión y perfiles de transporte” en la
página 122.
Capítulo 2. Planificación 45
v AIX 5L 5.2 que utiliza la opción de instalación Controlled Access Protection
Profile (CAPP) y Evaluation Assurance Level 4+ (EAL4+)
v AIX 5.2 con el Paquete de mantenimiento recomendado 5200-01
v Solaris 9 nivel de mantenimiento 08/03
A continuación, conecte los clientes Mobility en los sistemas operativos Microsoft
Windows utilizando el cifrado AES o DES. Si se aplica el mantenimiento, se
invalida la certificación FIPS de Common Criteria. Algunos niveles de
mantenimiento de sistema operativo están homologados como compatibles con
FIPS, como por ejemplo AIX 5.2 Nivel de mantenimiento 1. Para obtener una lista
completa de todos los sistemas operativos que están homologados, consulte
Midsize Systems under Certification Reports o National Information Assurance
Partnership.
En función de los requisitos de seguridad, los usuarios pueden guardar los valores
de la ventana Conectar del Connection Manager entre sesiones de modo que sólo
visualizarán la ventana de inicio de sesión de autenticación de certificado. Si el ID
de usuario y la contraseña utilizados en el servidor RADIUS son el mismo ID de
usuario y contraseña que se han utilizado para establecer una conexión con el
Connection Manager, puede impedir que se visualice la ventana de conexión de
autenticación de certificado configurando el perfil de autenticación RADIUS para
que no se solicite al usuario un ID y una contraseña.
Los Servicios de acceso HTTP examinan las cabeceras HTTP para encontrar un ID
de usuario y una contraseña en cada solicitud. Si el ID de usuario y la contraseña
están disponibles en la solicitud, no se solicitan al usuario. En caso contrario,
cuando un cliente envía una solicitud, el Connection Manager solicita el ID de
usuario y la contraseña a la solicitud y espera a que el cliente los devuelva. Estas
credenciales se utilizan para realizar la autenticación RADIUS.
Los Servicios de acceso HTTP examinan las cabeceras HTTP para encontrar un ID
de usuario y una contraseña en cada solicitud. Si el ID de usuario y la contraseña
están disponibles en la solicitud, no se solicitan al usuario. En caso contrario,
cuando un cliente envía una solicitud, el Connection Manager solicita el ID de
usuario y la contraseña a la solicitud y espera a que el cliente los devuelva. Estas
credenciales se utilizan para realizar la autenticación por enlace LDAP.
Capítulo 2. Planificación 47
En función de los requisitos de seguridad, los usuarios pueden guardar los valores
de la ventana Conectar entre sesiones de modo que sólo visualizarán la ventana de
inicio de sesión LDAP. Si el ID de usuario y la contraseña utilizados en el servidor
LDAP son el mismo ID de usuario y contraseña que se han utilizado para
establecer una conexión con el Connection Manager, puede impedir que se
visualice la ventana de conexión de LDAP configurando el perfil de autenticación
LDAP para que no se solicite al usuario un ID y una contraseña.
Una vez que se ha validado la solicitud, este perfil de autenticación realiza una
búsqueda de servidor de servicios de directorio (DSS) utilizando un campo de
clave configurable. Después de que el DSS realiza una operación de enlace LDAP
para asociar el campo de clave a un nombre distinguido base, el cliente se
autentica.
Capítulo 2. Planificación 49
| La clave de usuario es dn:dc, dn:dc y la clave de asunto es dn:o, dn:c
| Estos valores extraerán el valor o del DN de asunto y buscarán en el
| DN de usuario un valor DC que coincida. Si se encuentra una
| coincidencia, extraiga el valor c del DN de asunto y buscarán en el DN
| de usuario un valor DC que coincida. Si los valores O y C coinciden, se
| otorga la autenticación
| Ejemplos:
| 1. Desea realizar una búsqueda de los atributos de usuario para
| determinar si el usuario de miembro de los grupos permitidos. Está
| utilizando un DSS de Microsoft Active Directory con una estructura de
| grupo plana. Debe especificar estas propiedades en el separador de
| autenticación basada en certificados:
| v DN de grupos permitidos: cn=Connection Manager
| Users,dc=ibm,dc=com
| v Atributo de pertenencia como miembro: memberOf
| v Modalidad de evaluación: Usuario a grupo
| v Realizar una búsqueda de grupo anidado: inhabilitado
| El DN de la clave de asunto de certificado es cn=Cathy
| Johnson,cn=Users,dc=ibm,dc=com y genera una sola búsqueda con
| estas características:
| v Base: cn=Cathy Johnson,cn=Users,dc=ibm,dc=com
| v Ámbito de aplicación: un nivel
| v Atributos para recuperar: memberOf
| Los resultados de la búsqueda podrían ser:
| (“cn=Development,dc=ibm,dc=com”, “cn=Connection Manager
| Users,dc=ibm,dc=com”) El DN del grupo permitido está en esta lista;
| por lo tanto, la autenticación prosigue.
| 2. Desea efectuar una búsqueda de los grupos permitidos para determinar
| si contienen el usuario específico como miembro. Utiliza un DSS
| OpenLDAP. Debe especificar estas propiedades en el separador de
| autenticación basada en certificados:
| v DN de grupos permitidos: cn=Connection Manager
| Users,dc=ibm,dc=com
| v Atributo de pertenencia como miembro: uniqueMember
| v Modalidad de evaluación: Grupo a usuario
| El DN de la clave de asunto de certificado es uid=cathy,dc=ibm,dc=com
| y genera una sola búsqueda con estas características:
| v Base: dc=ibm,dc=com (del objeto de definición del servidor de
| directorios)
| v Filtro: (uniqueMember=uid=cathy,dc=ibm,dc=com)
| v Ámbito: subárbol Atributos para recuperar: dn
| Los resultados de la búsqueda podrían ser: cn=Connection Manager
| Users,dc=ibm,dc=com, y este resultado coincide con uno de los grupos
| permitidos, por lo que la autenticación continúa.
Capítulo 2. Planificación 51
| función de los requisitos de seguridad, los usuarios pueden guardar los valores de
| la ventana entre sesiones, de modo que sólo aparecerá la ventana de certificados o
| no habrá ninguna solicitud.
Puede forzar las conexiones remotas del Gatekeeper a utilizar una conexión SSL.
Cuando un administrador inicia una sesión remotamente en el Gatekeeper, si las
propiedades del gestor de accesos están configuradas, sólo se aceptan las
conexiones remotas que utilizan SSL. Edite las propiedades del gestor de accesos
en el separador Seguridad para establecer esta configuración. Consulte el apartado
“Edición de propiedades de recursos” en la página 101.
Acceso de administrador
Gatekeeper autentica a quien utiliza la interfaz exigiendo un ID de administrador y
una contraseña. Con el Gatekeeper, puede organizar los recursos inalámbricos en
OU y, a continuación, especificar los tipos de accesos que tiene cada administrador
para cada tipo de recurso de cada OU.
| Nota: Los usuarios de AIX, Linux y Solaris que inician la sesión utilizando el ID
| raíz del sistema operativo tienen el mismo acceso a los recursos que el
| administrador predeterminado, incluido el acceso remoto.
Capítulo 2. Planificación 53
54 Lotus Mobile Connect Administrator’s Guide
Capítulo 3. Antes de la instalación
Las tareas previas a la instalación incluyen cumplir los requisitos de hardware y
software, configurar el software de la base de datos y asegurarse de que la
conexión de red que desee desplegar esté instalada.
Software obligatorio
La lista de requisitos detallados del sistema sólo se encuentra disponible en línea.
Consulte los apartados siguientes:
v Requisitos detallados del sistema
v Requisitos de hardware
v Requisitos de los sistemas operativos con soporte
v Lista de software soportado
Tenga en cuenta que puede ejecutar la autenticación secundaria por enlace LDAP
utilizando cualquier servidor compatible con LDAP versión 3.
55
Sun ONE Directory Server (antes iPlanet)
Para las cuentas de usuario: iplanet-cm.wluser.ldif. Para todos los
recursos del Connection Manager: iplanet-cm.ldif.
Red Hat Directory
Para las cuentas de usuario: netscape-cm.wluser.at.conf y
netscape-cm.wluser.oc.conf. Para todos los recursos del Connection
Manager: netscape-cm.at.conf y netscape-cm.oc.conf.
OpenLDAP
Para las cuentas de usuario: open-cm.wluser.conf. Para todos los
recursos del Connection Manager: open-cm.conf.
donde
archivo es el archivo de configuración que coincide con el servicio de directorio
que ha instalado
dn enlace
es el nombre distinguido (dn) del administrador que tiene la
autorización de ampliación de esquema para el servicio de directorio.
Por ejemplo, cn=root.
contraseña
es la contraseña del administrador
sistemaprincipal
es el nombre de sistema principal del servidor de servicios de directorio
4. Busque el archivo slapd.errors y examínelo para determinar si se han
producido errores como consecuencia de la ampliación del esquema. Por
ejemplo, en un sistema AIX que ejecuta IBM, este archivo se encuentra en el
directorio /tmp/.
5. Opcionalmente, cree un ID de administrador de servicio de directorio que
tenga los permisos ACL (lista de control de accesos) apropiados para utilizar
con los objetos y atributos del Connection Manager. Asegúrese de que el acceso
incluye autorización de lectura, escritura y modificación.
6. Inicie el Gatekeeper y configure el gestor de accesos para utilizar el nombre
distinguido y la contraseña del administrador que ha creado en el paso
anterior.
Para el soporte de X.25 en AIX versión 5.2 o AIX 5.3, se necesita soporte de
AIXlink versión 2.0.1.
63
v Entre el Connection Manager y los servidores web seguros
v Entre los servicios de mensajería y las aplicaciones que utilizan las API
de push y de servicios de mensajería
v Entre gestores de clústeres
En caso afirmativo, instale los certificados de clave para habilitar la
comunicación SSL. Consulte el apartado “Habilitar la comunicación
segura” en la página 88.
__ 10. Si tiene la intención de utilizar una conexión segura entre el Gatekeeper y
el gestor de accesos, cree un perfil de inicio de sesión seguro. En caso
contrario, cree un perfil de inicio de sesión. Inicie el Gatekeeper y configure
el gestor de accesos. Consulte el apartado “Configurar el gestor de accesos”
en la página 77.
__ 11. Determine si utilizará servidores RADIUS para la autenticación de terceros
o para fines de contabilidad y facturación. Si es así, configure los servidores
RADIUS. Consulte el apartado “Utilizar servidores RADIUS” en la página
92 para obtener más información.
__ 12. Determine qué componentes desea configurar. Si desea utilizar los servicios
de acceso móvil y los clientes Mobility, consulte la Guía del usuario de
Mobility Client para los sistemas operativos que utilizarán los clientes.
__ 13. Instalación completa. Para obtener información sobre cómo configurar el
Connection Manager, consulte el apartado Capítulo 5, “Configuración de
recursos”, en la página 81.
Instalar el Gatekeeper
El Gatekeeper puede instalarse en el mismo sistema que el Connection Manager y
el gestor de accesos o en otro sistema. La primera vez que inicie el Gatekeeper,
asegúrese de iniciar sesión en el sistema del gestor de accesos utilizando el ID y la
contraseña del administrador gkadmin. Este ID de administrador predeterminado
tiene acceso de superusuario. Una vez que haya instalado satisfactoriamente el
Gatekeeper, puede crear nuevos ID de administrador distintos de gkadmin.
Para instalar el soporte de entorno local UTF-8 del sistema operativo AIX desde el
directorio de instalación del Connection Manager:
1. Invoque smitty y seleccione esta vía de acceso a través de los menús:
Entornos de Sistema
Gestionar Entorno de Idioma
Cambiar/Mostrar Aplicaciones para un Idioma
Añadir Idioma para la Aplicación ya Instalada
2. Pulse F4 para seleccionar el soporte de conversión de idiomas de UTF-8
deseado y, a continuación, pulse Intro.
Red Hat Directory tiene un asistente que le orientará paso a paso en el proceso de
configurar el servidor de directorios y el ID de administrador DSS. Asegúrese de:
v Anotar el nombre distinguido (DN) y la contraseña del gestor de directorios. El
valor del DN raíz del gestor de directorios se utiliza en la configuración del
gestor de accesos como nombre distinguido y contraseña del administrador.
v Hay un sufijo configurado en el servidor de directorios que se identificará en
gestor de accesos como nombre distinguido (DN) base.
v La selección Cifrado de contraseña está establecida en Secure Hash Algorithm
(SHA) o Borrar texto en el separador Contraseñas de la configuración del
servidor de Red Hat Directory. Si desea que Red Hat Directory cifre contraseñas,
asegúrese de que en el separador Almacenamiento de datos de las propiedades
del gestor de accesos, los recuadros de selección Cifrar contraseñas antes del
almacenamiento estén desmarcados. El Connection Manager no soporta Unix
crypt.
Sun ONE Directory Server tiene un asistente que le orientará paso a paso en el
proceso de configurar el servidor de directorios y el ID de administrador DSS.
Asegúrese de:
v Anotar el nombre distinguido (DN) y la contraseña del gestor de directorios. El
valor del DN raíz del gestor de directorios se utiliza en la configuración del
gestor de accesos como nombre distinguido y contraseña del administrador.
v Hay un sufijo configurado en el servidor de directorios que se identificará en
gestor de accesos como nombre distinguido (DN) base.
v La selección Cifrado de contraseña está establecida en Secure Hash Algorithm
(SHA), Salted Secure Hash Algorithm (SSHA) o Borrar texto en el separador
Contraseñas de la configuración de Sun ONE Directory Server. Si desea que Sun
ONE Directory cifre las contraseñas, asegúrese de que en el separador DSS de
Connection Manager de las propiedades del gestor de acceso, el recuadro de
selección Cifrar contraseñas antes del almacenamiento no esté seleccionado. El
Connection Manager no soporta Unix crypt.
v Utilice la consola de Sun ONE para indexar los atributos que seguramente
buscará más frecuentemente, como por ejemplo activestatus. Como mínimo,
asegúrese de que los siguientes atributos están indexados:
– ibm-wlOtherOu
– objecttype
Indexar los atributos buscados más frecuentemente mejorará el rendimiento y
asegurará que no produzcan tiempos de espera y fallos en las búsquedas.
Configurar OpenLDAP
Las versiones soportadas de OpenLDAP son las que se proporcionan con las
distribuciones de Linux soportadas.
pidfile /var/lib/slapd.pid
argsfile /var/lib/slapd.args
#
# Sample Access Control
# Allow read access of root DSE
# Allow self write access
# Allow authenticated users read access
# Allow anonymous users to authenticate
#
#access to dn="" by * read
#access to *
# by self write
# by users read
# by anonymous auth
#
# if no access controls are present, the default is:
# Allow read by all
#
# rootdn can always write!
#######################################################################
# ldbm database definitions
#########################################################
database ldbm
suffix "dc=my-domain,dc=com"
#suffix "o=My Organization Name,c=US"
rootdn "cn=Manager,dc=my-domain,dc=com"
#rootdn "cn=Manager,o=My Organization Name,c=US"
# Cleartext passwords, especially for the rootdn, should
# be avoid. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw secret
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd/tools. Mode 700 recommended.
directory /var/lib/openldap-ldbm
# Indices to maintain
index objectClass eq
Notas:
1. Para OpenLDAP 2.1.x, ejecute el mandato ldapadd en el sufijo especificado en
el archivo slapd.conf.
Por ejemplo, utilice un archivo LDIF, como el siguiente:
Configuración de DB2
| El Connection Manager necesita un asistente para instancias para que la instancia
| de la base de datos de DB2 se instale y se configure correctamente. Si utiliza DB2
| con Connection Manager, asegúrese de instalar DB2 Administration Client o el
| cliente de Application Development DB2.
Configurar Oracle
Para configurar Oracle para utilizarlo con el Connection Manager:
1. Asegúrese de que el Connection Manager está instalado.
2. Asegúrese de que cumple los requisitos del software de terceros e instale el
software siguiendo las recomendaciones del fabricante.
| 3. Para Oracle Versión 9.0.1, 9.2.0.1, 9.2.0.2, 10g Release 1 o 10g Release 2,
| asegúrese de que el controlador de DataDirect Connect ODBC Versión 5.1 esté
| instalado. Descargue y aplique también los parches más recientes del
| controlador DataDirect ODBC.
4. Cree o elija una base de datos Oracle para que contenga información de sesión
y tablas de contabilidad y facturación.
5. Realice una copia del archivo odbc.ini del controlador ODBC en el directorio
conf del directorio de instalación de Connection Manager y edite esta copia del
archivo odbc.ini. Por ejemplo, en AIX, copie el archivo odbc.ini del controlador
ODBC en /opt/IBM/ConnectionManager/conf y edite /opt/IBM/
ConnectionManager/conf/odbc.ini. Connection Manager utilizará esta copia del
archivo odbc.ini.
6. Añada una nueva línea llamada wgdata=Texto de comentario en la sección del
archivo llamada Orígenes de datos ODBC, donde el texto de comentario puede
ser cualquier serie descriptiva. Si ha instalado el soporte para contabilidad y
facturación, añada también una nueva línea llamada wgacct en la misma
sección del archivo.
7. Utilice la sección de Oracle Wire Protocol como plantilla y cree las definiciones
correspondientes. La sección de Oracle Wire Protocol proporciona acceso a la
base de datos Oracle sin necesidad de un cliente Oracle.
Para una sección de Oracle Wire Protocol, actualice los valores de las claves
Descripción, NombreSistemaPrincipal, NúmeroPuerto y SID (si es necesario).
NombreSistemaPrincipal es un nombre de sistema principal o dirección IP que
identifica el servidor Oracle. NúmeroPuerto identifica el número de puerto en
| Nota: Los usuarios de AIX, Linux y Solaris que inician la sesión utilizando el
| ID raíz del sistema operativo tienen el mismo acceso a los recursos que
| el administrador predeterminado (gkadmin), incluido el acceso remoto.
6. Especifique las ubicaciones de los archivos de anotaciones del gestor de accesos
y del gestor de accesos seguro, así como los niveles de anotaciones.
7. Pulse Siguiente. A continuación, pulse Finalizar.
Para obtener información más detallada sobre cómo administrar estos recursos,
consulte el apartado “Utilización del Gatekeeper” en la página 101.
Todos los pasos empiezan desde el separador Recursos. Estos pasos pueden
ayudarle a realizar la configuración inicial:
__ 1. Si tiene la intención de utilizar unidades organizativas (OU) distintas para
agrupar los recursos de red, cree una jerarquía organizativa. Para obtener
una descripción de las unidades organizativas, consulte el apartado
“Unidad organizativa” en la página 13. Para añadir una OU:
a. Pulse con el botón derecho del ratón la OU en la que desea crear una
nueva OU.
b. Seleccione Añadir recurso –> Unidad organizativa.
Repita estos pasos hasta que haya creado toda la jerarquía.
__ 2. Para cada Connection Manager instalado, cree un recurso de Connection
Manager.
a. Pulse con el botón derecho del ratón la OU en la que desea añadirlo.
b. Seleccione Añadir recurso –> Connection Manager. Se visualiza una
ventana de inicio de sesión que le permite elegir un perfil o definir un
perfil nuevo.
Después de iniciar una sesión, el asistente Añadir le guiará durante el
proceso de definir el Connection Manager.
Consulte el apartado “Definir un Connection Manager utilizando el
Gatekeeper” en la página 82 para obtener más detalles.
__ 3. Si tiene la intención de utilizar los siguientes recursos, consulte:
v “Añadir servicios de mensajería” en la página 85
v “Añadir Servicios de acceso HTTP” en la página 87
__ 4. Para cada Connection Manager, añada tipos específicos de conexiones de
red utilizando las MNC. Puede añadir MNC del mismo tipo a las distintas
optimizaciones de red. Consulte el apartado “Añadir una conexión de red
móvil” en la página 85.
__ 5. Cree usuarios para servicios de acceso móvil. Consulte el apartado “Añadir
usuarios” en la página 85.
81
__ 6. Puede recopilar algunos recursos para utilizarlos como grupo en lugar de
hacerlo por separado. Cree el grupo y añádale estos recursos: MNC,
clústeres, lista de usuarios de difusión, dispositivos, usuarios DHCP,
correlación de paquetes o NAT y filtros.
Consulte el apartado “Grupos” en la página 21 para obtener una
descripción de los grupos. Para crear un grupo:
a. Pulse con el botón derecho del ratón la OU en la que desea añadir un
nuevo grupo.
b. Pulse Añadir recurso –> Grupo –> y, a continuación, seleccione el tipo
de grupo que desea añadir. Cuando cree recursos que pertenezcan a
dicho grupo, especifique el nombre de grupo.
__ 7. Cree administradores para gestionar los recursos. Para obtener una
descripción de los administradores, consulte el apartado “Administrador”
en la página 27. Para añadir un administrador:
a. Determine si el administrador debe tener un acceso restringido distinto
del acceso de Superusuario. Si es así, primero cree un perfil de ACL.
Pulse con el botón derecho del ratón la OU en la que desea crear el
perfil y, a continuación, pulse Añadir recurso –> Perfil de ACL.
b. Para crear el ID de administrador, pulse con el botón derecho del ratón
la OU en la que desea crear el ID de administrador.
c. Pulse Añadir recurso –> Administrador.
__ 8. Determine si desea utilizar perfiles de autenticación para asignar a las
MNC o a los Servicios de acceso HTTP. Determine qué otras opciones de
seguridad desea configurar. Consulte el apartado “Seguridad” en la página
41 para determinar las opciones de seguridad y buscar procedimientos de
configuración.
Un perfil de autenticación del sistema, que utiliza el campo de contraseña
de las cuentas de usuario definidas en LDAP para validar sesiones, se
incluye como recurso predeterminado. La autenticación del sistema
también incluye una extensión de las propiedades de autenticación ligera
de terceros (LPTA) y de inicio de sesión único (SSO) que pueden habilitarse
una vez que la autenticación se ha realizado satisfactoriamente. Otros
perfiles de autenticación que pueden añadirse son: RADIUS, basada en
certificados y por enlace LDAP.
Para añadir un perfil de autenticación:
a. Pulse con el botón derecho del ratón la OU en la que desea añadir un
nuevo perfil de autenticación.
b. Pulse Añadir recurso –> Perfil de autenticación–> y, a continuación,
seleccione el tipo de perfil que desea añadir.
__ 9. Si desea utilizar un servidor de directorios, consulte el apartado
“Configurar la búsqueda de cuenta de usuario” en la página 96.
__ 10. Determine qué gestores de conexiones desea habilitar en un clúster.
Consulte los apartados “Gestor de clústeres” en la página 19 y “Configurar
nodos de clúster” en la página 93.
Existen algunas características, como por ejemplo los valores de alertas, que sólo
pueden establecerse utilizando la ventana Propiedades del Connection Manager.
Consulte el apartado “Edición de propiedades de recursos” en la página 101 para
obtener más información.
A medida que lleva a cabo los pasos del asistente, repase los valores
predeterminados y especifique lo siguiente:
v Cómo se direcciona el tráfico fuera de la MNI. En AIX y Solaris, se asigna una
dirección IP y una máscara de subred para utilizar una subred a través de la
cual el tráfico se direcciona públicamente. En sistemas Linux , puede elegir
entre:
– Utilizar un servidor DHCP ubicado externamente
– Utilizar un servidor DHCP externo con NAT
– Utilizar una subred a través de la cual el tráfico se direcciona públicamente
Para obtener una descripción completa de estas opciones, consulte el apartado
“Interfaz de red móvil (MNI)” en la página 132.
v El estado inicial de la MNI: elija activar si desea que la MNI sea utilizada por el
servicios de acceso móvil al iniciarse. Elija inactivo si no desea que la MNI se
utilice inmediatamente.
v Si Connection Manager envía información de configuración del sistema de
nombres de dominio (DNS) y del servicio de nombres Internet de Windows
(WINS) a los clientes Mobility conectados a esta MNI. La configuración DNS se
utiliza para resolver nombres de sistema en direcciones IP. El protocolo WINS,
en combinación con la difusión de búsqueda de nombres, se utiliza para
convertir nombres de sistema en direcciones IP. En caso de hacerlo, especifique
la dirección IP del servidor primario y, opcionalmente, la dirección IP de un
servidor secundario.
v Si la MNI utiliza filtros para impedir o permitir la comunicación entre las
direcciones IP de una MNI. En las listas de filtros existentes y de correlaciones
de paquetes, elija los que desea aplicar a esta MNI.
Es posible que desee crear una OU que contenga los filtros y las correlaciones de
paquetes definidos. Si desea poner los filtros o las correlaciones de paquetes en
A medida que lleva a cabo los pasos del asistente, repase los valores
predeterminados y realice lo siguiente:
v Elija un tipo de red en la lista desplegable. Cada tipo de red requiere parámetros
específicos de la red, como por ejemplo uno o más puertos físicos.
v Especifique una descripción opcional
v Elija un perfil de conexión. Consulte el apartado “Conexión y perfiles de
transporte” en la página 122.
v Especifique el puerto UDP en el que Connection Manager está a la escucha.
v Seleccione el estado inicial de la MNC. Elija activo si desea que la MNC sea
utilizada por el Connection Manager al iniciarse. Elija inactivo si no desea que la
MNC se utilice inmediatamente.
Añadir usuarios
Añada usuarios individualmente o en una modalidad por lotes.
Para definir los ID de usuario individualmente, pulse con el botón derecho del
ratón en la OU a la que desee añadir un nuevo usuario. Seleccione Añadir recurso
–> Usuario. Rellene los campos para identificar el usuario.
Existen propiedades adicionales que pueden configurarse una vez que haya
terminado de añadir los servicios de mensajería:
v El nivel de mensajes almacenado en la base de datos de información de sesión.
Seleccione entre:
Ninguno
No se almacenan mensajes en la base de datos. Los mensajes que estén
en cola cuando se concluye el Connection Manager no se recuperan
cuando éste se vuelve a iniciar. El resultado de esta selección es un
aumento de la productividad en los servicios de mensajería.
Sólo mensajes de entrega retardada
Sólo se almacenan los mensajes que están en cola y pendientes porque
una aplicación ha sometido un mensaje para entregarlo más adelante.
Los mensajes que estén en cola cuando se concluye el Connection
Manager se recuperan cuando éste se vuelve a iniciar.
Todos Todos los mensajes se almacenan en la base de datos. Los mensajes que
estén en cola cuando se concluye el Connection Manager se recuperan
cuando éste se vuelve a iniciar. El resultado de esta selección es una
disminución de la productividad en los servicios de mensajería.
v Dos campos adicionales que especifican cuándo los registros de estado de los
mensajes procesados se descartan o comprueban para determinar si han
caducado.
Vea las propiedades de los servicios de mensajería para editar estos campos.
Consulte el apartado “Edición de propiedades de recursos” en la página 101.
Si desea obtener más información sobre cómo cambiar la contraseña oculta, crear
una solicitud de certificado, enviar la solicitud de certificado, almacenar
certificados y actualizar el certificado raíz, pulse Ayuda –> Contenido utilizando la
interfaz de gestión de claves de IBM.
Para ver o cambiar la configuración de los nodos de clúster, edite las propiedades
del gestor de clústeres. Consulte el apartado “Edición de propiedades de recursos”
en la página 101.
Cuando realice una migración del Connection Manager desde una versión anterior
a una versión más reciente, asegúrese de migrar el nodo principal antes de migrar
los nodos subordinados. Asegúrese de que todos los nodos de clúster se migran al
mismo nivel de código. Consulte la Guía de resolución de problemas para obtener más
información sobre cómo determinar el nivel de código.
Tenga en cuenta que los nodos principal y subordinado deben tener la misma vía
de conectividad; es decir, no ubique los nodos subordinados detrás de un
cortafuegos y separados del nodo principal.
Para configurar una interfaz IP lógica, debe añadir un alias a la tarjeta de interfaz
red del nodo principal para que una dirección de clúster reciba tráfico de los
clientes. Esta dirección de clúster también se utiliza para configurar una interfaz IP
lógica en el nodo subordinado que está asociado a la interfaz de bucle de retorno.
A continuación, edite las propiedades de la MNC en el nodo primario para
enlazarla a esta dirección de clúster. Este enlace directo hace que la MNC del nodo
principal esté a la escucha de los datos utilizando la dirección de clúster.
Finalmente, configure los clientes de modo que utilicen la dirección de clúster para
enviar datos al Connection Manager.
Consulte las Mobility Client Guías del usuario para obtener más información sobre la
navegación de las interfaces del Mobility Client en Linux, Symbian OS y Windows.
La mayoría de las tareas se pueden ejecutar de varias formas. Por ejemplo, para
crear un recurso, puede partir del separador Tareas y seleccionar Añadir recurso o
puede pulsar con el botón derecho del ratón en una unidad de organización del
separador Recursos y seleccionar Añadir recurso.
Cada acción abre una nueva ventana y la coloca delante de las ventanas existentes.
Puede ordenar las ventanas en el panel derecho y colocar una ventana en primer
plano utilizando el menú Ventana.
Pulse con el botón derecho del ratón en un recurso para mostrar un menú de
contexto con las acciones correspondientes a ese recurso. Por ejemplo, para un
recurso del Connection Manager, puede restablecer los archivos de anotaciones,
iniciar o cerrar el Connection Manager y añadir recursos como, por ejemplo,
servicios de acceso móvil, servicios de mensajería, MNC.
101
Las ventanas Propiedades utilizan separadores para agrupar los parámetros de los
recursos. Normalmente, el primer separador muestra los parámetros más generales,
incluidos los que identifican el recurso.
Utilice el botón Renovar en el panel izquierdo para renovar la vista del panel
izquierdo. Utilice el botón Renovar en el panel derecho para renovar sólo la vista
del panel derecho.
Archivo –> Desconectar: Esta opción le desconecta del gestor de accesos al que
estaba conectado, pero no cierra el Gatekeeper, lo que permite iniciar una sesión en
otro gestor de accesos.
Archivo –> Perfiles de inicio de sesión: Permite editar la lista de perfiles que
aparece cuando se conecta al gestor de recursos.
Archivo –> Lista de control de accesos: Muestra las listas de control de accesos
del administrador conectado actualmente. Si ha iniciado una sesión como usuario
raíz o administrador con acceso de Superusuario, tendrá acceso total.
Las siguientes opciones controlan los procesos del Gatekeeper, no los procesos del
Connection Manager.
Menú Ventana: Cada vez que abre una ventana, el título se añade a este menú.
Puede pulsar la opción de menú Ventana y, a continuación, elegir el título de una
ventana para que aparezca en primer plano. Si tiene más de nueve ventanas
visualizadas en el panel derecho, este menú muestra una opción Más ventanas que
muestra todas las ventanas abiertas.
También puede seleccionar la forma en que desea que aparezcan las ventanas
abiertas dentro del panel derecho: en cascada (solapándose diagonalmente) o en
mosaico (comprimidas en subventanas sin solaparse), ya sea vertical u
horizontalmente.
Búsqueda de recursos
Para localizar un recurso, pulse Buscar en la parte inferior del panel izquierdo del
separador Recursos.
Elija un recurso en la lista desplegable y entre una serie de texto. Elija si desea
buscar en todas las OU o sólo dentro de una OU. Utilice el recuadro de selección
Incluir recursos de nivel inferior para especificar si desea buscar dentro de la
jerarquía debajo de las OU especificadas de nivel superior. Pulse Buscar ahora para
empezar la búsqueda. Los recursos que coincidan con los criterios de búsqueda
aparecen en una lista en el panel derecho.
Adición de recursos
Los recursos son objetos o contenedores de objetos. Por ejemplo, una OU es un
recurso que contiene otros recursos, por ejemplo, gestores de conexiones, usuarios
o dispositivos portátiles. Para añadir más recursos, pulse con el botón derecho del
ratón en la OU en la que desee añadir el recurso y pulse Añadir recurso. En el
menú, seleccione el recurso que desee añadir.
Algunos recursos dependen de otros. Por ejemplo, los servicios de acceso móvil,
los servicios de mensajería y las MNC son recursos dependientes de los gestores de
conexiones. Los servicios de aplicaciones son recursos dependientes de los servicios
de mensajería. Estos recursos dependientes se añaden pulsando con el botón
derecho del ratón en el recurso padre del panel izquierdo y seleccionando Añadir
recurso dependiente.
Cuando se pulsan dos veces, algunos recursos muestran listas de esos recursos en
el panel derecho como, por ejemplo, los administradores. Para añadir recursos
dependientes, muestre una lista de los recursos padres en el panel derecho,
seleccione un recurso específico, pulse con el botón derecho del ratón y seleccione
Añadir recurso dependiente.
Visualización de usuarios
Para visualizar todos los usuarios, pulse Buscar en el panel izquierdo. Seleccione
Usuario en la lista de recursos y seleccione buscar en Todas las OU. Escriba un
asterisco (*) en el campo ID de usuario y pulse Buscar.
Los usuarios que no se añaden de forma explícita a Gatekeeper pero que aparecen
en la interfaz incluyen aquellos que utilizan sólo RADIUS o enlace LDAP como
métodos de autenticación secundarios o aquellos que se definen como usuarios de
sólo lectura utilizando un servicio de directorio de empresa en el separador DSS de
usuario del gestor de accesos. Cuando estos usuarios inician una sesión en el
Connection Manager, aparecen según se indica en el método con el que se solicitan
las credenciales de autenticación al usuario. Por ejemplo, si el usuario entra una
dirección de correo electrónico para las credenciales de la autenticación secundaria,
la dirección de correo electrónico es el ID de usuario que aparece en el Gatekeeper.
De esta forma, puede gestionar usuarios (por ejemplo, obligarles a finalizar la
sesión o restablecer una contraseña) sin necesidad de crear los ID de usuario en el
Gatekeeper. Los usuarios se almacenan como datos de configuración en el
contenedor del sistema.
Sintaxis
wg_monitor
-c on | off
-f nombre de archivo
-g pasarela
-l destino de distintivo t
-p puerto
-s cadencia de renovación
| -S
-t key | device | type | uid
-T
-u all | thruput | status | connect
Descripción
En la Figura 8 en la página 108 se muestra una vista de ejemplo del programa de
utilidad wg_monitor. Tenga en cuenta que el programa de utilidad wg_monitor
muestra sólo los recursos para los que está configurado Connection Manager y está
disponible sólo en inglés.
Distintivos
-c on|off
Ofrece la posibilidad de inhabilitar la salida de curses cuando se utiliza el
distintivo -f para escribir estadísticas en un archivo mientras no se
visualiza nada en STDOUT.
-f nombre de archivo
Escribe datos de estadísticas de cadencia en un archivo. El archivo que se
crea es un archivo de texto separado por comas. La primera línea del
archivo son las cabeceras de columna de los datos delimitados de las líneas
que van a continuación. Importe este archivo en un programa de hoja de
cálculo para que sea más cómodo visualizarlo.
La primera columna de los datos es la fecha y hora. La segunda columna
de los datos es el número de usuarios de servicios de acceso móvil
conectados de forma activa. Las siguientes columnas vienen determinadas
por los componentes configurados (servicios de acceso móvil y servicios de
mensajería), el número de MNC y si se ha utilizado el distintivo -T para
generar el archivo.
Dentro de la cadencia de renovación especificada y para MNC configurada,
las siguientes columnas indican el número de:
Paquetes de entrada
Paquetes de salida
Kilobytes de datos de entrada
Kilobytes de datos de salida
Total de paquetes (si se ha utilizado el distintivo -T)
Total de kilobytes de datos (si se ha utilizado el distintivo -T)
Las siguientes columnas sólo aparecen cuando se han configurado servicios
de acceso móvil:
Paquetes IP de entrada
Paquetes IP de salida
Total de paquetes IP (si se ha utilizado el distintivo -T)
| Donde:
| LOGINS
| Representa el número total de inicios de sesión desde que se inició
| Connection Manager.
| FAILED
| Representa el número total de intentos de inicio de sesión fallidos.
| ACTIVE
| Representa el número total de sesiones activas.
-t key | device | type | uid
Utilice este distintivo conjuntamente con los distintivos -l y -u para
recopilar y filtrar información en tiempo real sobre la tabla de sesión activa
almacenada en la memoria del proceso wgated. Las variables del distintivo
-t son:
key - Una clave de sesión activa. Para los servicios de acceso móvil, es
la dirección IP asignada por Connection Manager. Para los servicios de
acceso HTTP, es la cookie.
device - Un identificador del dispositivo dependiente de la red. Para los
dispositivos IP, es la dirección IP física del dispositivo. Para Mobitex, es
el número MAN (Mobitex Access Number). Para los dispositivos
DataTAC, es la interfaz de enlace lógico (LLI).
Ejemplos
1. Para listar el registro de sesión de un ID de usuario específico:
wg_monitor -u all -t uid -l sunny
donde sunny es el ID de usuario
2. Para listar las estadísticas de conexión para el mismo ID de usuario:
wg_monitor -u connect -t uid -l sunny
3. Para ejecutar wg_monitor en modalidad continua, renovando cada segundo:
wg_monitor -g grotto -s 1
donde grotto es el nombre de host de Connection Manager
4. Para averiguar qué ID de usuario está utilizando actualmente una determinada
dirección:
wg_monitor -u all -t key -l dirección IP
donde dirección IP es la dirección IP decimal con puntos asignada al Mobility
Client
Aplicar mantenimiento
En el sitio web de soporte de productos de Connection Manager existen enlaces a
arreglos de programa para clientes autorizados con una clave de descarga. Los
clientes pueden registrarse en el sitio web, proporcionar la clave de bajada que se
les ha facilitado y luego bajar los arreglos de programa. Las claves de bajada
pueden obtenerse del Centro de soporte de software de IBM para el Connection
Manager de nivel 2 llamando al número 800-IBM-SERV (800-426-7378). Fuera de
Estados Unidos, utilice e l sitio web www.ibm.com/planetwide para buscar el
directorio de soporte de IBM con la lista de contactos en todo el mundo.
Tenga en cuenta que cuando baje el código del producto desde el sitio web de
soporte de productos, no todo el software de prerrequisito puede estar disponible.
Bajadas de software
El código que puede bajarse del sitio web de soporte tiene el siguiente formato y
los siguientes tamaños de archivo de bajada aproximados:
Connection Manager
Detenga el Connection Manager antes de aplicar un nuevo release. Las
bajadas disponibles incluyen las siguientes:
| v AIX: aproximadamente 58,6 MB. El nombre de archivo es
wgversión.aix.tar.Z, donde versión es el número de versión del código.
Después de bajar el archivo, descomprímalo utilizando el mandato
uncompress nombre_archivo y, a continuación, ejecute untar para
descomprimirlo y utilice smitty para realizar la instalación.El directorio
de instalación predeterminado es /opt/IBM/ConnectionManager.
Tenga en cuenta que si el Centro de soporte le solicita que instale una
versión de TESTFIX, es posible que sea necesario cambiar las opciones
de instalación de SMIT. Por ejemplo, si tiene instalada la versión 5.0.1.1
y el Centro de soporte proporciona una actualización cuya versión de
creación también es 5.0.1.1, entonces deberán cambiarse los parámetros
SMIT del panel Instalar y Actualizar con software disponible MÁS
RECIENTE. Cambie Instalar automáticamente el software de requisito
a No y cambie SOBRESCRIBIR las mismas versiones o las versiones
más nuevas a Sí. Desde este panel, pulse Intro dos veces para completar
la instalación.
Rearranque el sistema si está realizando una instalación de sobrescritura;
es decir, si está instalando el mismo nivel (o uno anterior) encima de
una instalación existente. Si se trata de una instalación nueva, no es
necesario rearrancar el sistema.
| v Instalación nativa de Linux: aproximadamente 18,4 MB. El nombre de
archivo es wgversión.linux.tar.gz, donde versión es el número de versión
del código. Después de bajar el archivo, descomprímalo utilizando el
mandato uncompress nombre_archivo y, a continuación, utilice el script
install_wg para instalarlo. El directorio de instalación predeterminado es
/opt/ibm/ConnectionManager.
| v Linux con asistente de instalación: aproximadamente 17,2 MB. El
nombre de archivo es wgversión.linux.tar.gz, donde versión es el número
de versión del código. Después de bajar el archivo, descomprímalo
utilizando el mandato uncompress nombre_archivo y, a continuación,
utilice el script setup.sh para instalarlo. El directorio de instalación
predeterminado es /opt/ibm/ConnectionManager.
v Solaris – aproximadamente 33,2 MB. El nombre de archivo es
wgversión.solaris.tar.Z, donde versión es el número de versión del código.
donde
servidor es la dirección IP de DSS
dn admin es el ID del administrador DSS que debe tener autorización de
ampliación de esquema
ctr admin es la contraseña del administrador DSS
xxx coincide con el servicio de directorio que tiene instalado
Eliminar el Gatekeeper
Elimine el Gatekeeper utilizando el método apropiado al sistema operativo:
AIX Utilice SMIT:
1. Asegúrese de que ha iniciado una sesión en el sistema utilizando el ID
de sistema operativo raíz.
2. Invoque smitty y seleccione esta vía de acceso a través de los menús:
Mantenimiento e Instalación de Software
Programas de Utilidad y Mantenimiento de Software
Eliminar el Software Instalado
3. Especifique wgcfg.rte en el campo Nombre de SOFTWARE.
4. Pulse Intro tres veces.
5. Si desea desinstalar el Gatekeeper permanentemente, suprima el
directorio .wgcfg del directorio inicial de cada usuario. Si realiza la
desinstalación antes de actualizar a una nueva versión, no suprima el
directorio .wgcfg.
Linux Especifique rpm -e IBMwgcfg. Si desea desinstalar el Gatekeeper
permanentemente, suprima el directorio .wgcfg del directorio inicial de
cada usuario. Si realiza la desinstalación antes de actualizar a una nueva
versión, no suprima el directorio .wgcfg.
Solaris
Especifique pkgrm IBMwgcfg. Si desea desinstalar el Gatekeeper
permanentemente, suprima el directorio .wgcfg del directorio inicial de
cada usuario. Si realiza la desinstalación antes de actualizar a una nueva
versión, no suprima el directorio .wgcfg.
Windows
Utilice el applet Agregar o quitar programas del Panel de control:
1. Pulse Inicio –> Configuración –> Panel de control y, a continuación,
pulse Agregar o quitar programas.
| 2. Pulse IBM Gatekeeper y, a continuación, Cambiar o Quitar.
3. En el panel Confirmar supresión de archivo, pulse Sí.
Si desea desinstalar el Gatekeeper permanentemente, suprima el directorio
.wgcfg del directorio inicial de cada usuario. Si realiza la desinstalación
antes de actualizar a una nueva versión, no suprima el directorio .wgcfg.
| Notas:
| 1. El directorio de instalación permanece después de desinstalar el
| producto y contiene un archivo denominado gkUninstallLog.txt
| 2. También puede eliminar el Gatekeeper de forma silenciosa, utilizando
| estos mandatos:
| C:\<dir_instal_GK>\_uninst\UninstallGatekeeper.exe -silent
TCP-Lite
TCP-Lite es un servicio que proporciona un canal de transporte que intercepta TCP
para reducir la carga adicional relacionada con la gestión de sesiones en las que no
se transmiten ni se reciben datos de aplicación. TCP-Lite reduce o elimina las PCU
(Unidades de datos de protocolo) TCP puras que se utilizan en la configuración, la
eliminación y el acuse de recibo de un canal, a la vez que mantiene el orden, la
integridad, la fiabilidad y la seguridad del transporte TCP original.
Las aplicaciones que utilizan TCP para comunicarse entre un cliente y un servidor
no necesitan ninguna modificación para utilizar TCP-Lite. En entornos en los que
los clientes requieren un establecimiento de sesiones frecuente o múltiple, TCP-Lite
reduce de forma fiable la cantidad de datos que se transfieren entre el cliente y el
servidor.
121
v Para limitar el transporte a un determinado tipo de aplicación TCP, puede
proporcionar también un puerto de destino TCP específico para realizar un
filtro.
v Para limitar el transporte a servidores de aplicaciones de destino específicos,
puede proporcionar también una dirección IP y una máscara de subred.
v El número máximo de veces que puede intentar volver a transmitirse un
paquete antes de descartarlo y restablecer la sesión.
v El tiempo en segundos que esperará el transporte TCP-Lite para volver a
transmitir un segmento de datos cuando no ha recibido un acuse de recibo.
Codec HTTP
El códec HTTP es un servicio que utiliza TCP-Lite como transporte subyacente
para reducir el recuento de bytes OTA (Over-The-Air, en el aire) mediante la
eliminación y/o la codificación de bytes de los campos de cabecera en una
corriente de datos HTTP (Protocolo de Transporte de Hipertexto).
Dispositivo portátil
Aunque un dispositivo portátil se define en el Connection Manager, los servicios
de acceso móvil lo utilizan de forma explícita.
Para los sistemas como RTC y GSM, debe registrar el teléfono, no el módem.
Cuando especifique los números de registro de un usuario GSM, utilice el número
de teléfono normal, que se conoce como MSISDN, ya que es la voz combinada y el
número de datos ISDN V.110 del servicio GSM-ISDN. Utilice el número de datos
independiente para V.32 y los otros protocolos de módem convencionales para el
servicio GSM-PSTN. Solicite la activación de estos servicios de datos y la
asignación del número de datos adicional antes de utilizar estos servicios.
Perfil de módem
Un perfil de módem contiene información de configuración que permite a los
servicios de acceso móvil comunicarse con un módem RTC (Red Telefónica
Conmutada). El módem está conectado a los servicios de acceso móvil y forma el
extremo de pasarela del enlace entre los Servicios de acceso móvil y el Mobility
Client. El perfil de módem contiene el mandato predeterminado y las series de
inicialización de un módem determinado.
Si utiliza más de un perfil de módem, debe definir una MNC aparte para cada
perfil. Consulte el apartado “Adición de recursos” en la página 105.
Flujo de ejemplo
Por ejemplo, el Mobility Client realiza una solicitud HTTP de una página web.
v Dirección IP del Mobility Client = 34.34.130.3
v NAT utilizando la dirección IP = 48.48.130.9
v Dirección IP del servidor HTTP = 129.42.16.99
El paquete de la solicitud HTTP del Mobility Client tiene un par de dirección de
origen y puerto igual a 34.34.130.3@32771, y un par de dirección de destino y
puerto igual a 129.42.16.99@80. Cuando el paquete alcanza la NAT, ésta reasigna la
dirección de origen a su propia dirección IP y le asigna un número de puerto
aleatorio. NAT envía el paquete al servidor HTTP con un par de dirección de
130 Lotus Mobile Connect Administrator’s Guide
origen y puerto igual a 48.48.130.9@6022 y el par de dirección de destino y puerto
queda como 129.42.16.99@80. Cuando se recupera la página web, el servidor HTTP
responde con un paquete que tiene un par de dirección de origen y puerto igual a
129.42.16.99@80. El par de dirección de destino y puerto del servidor HTTP es
48.48.130.9@6022. NAT recibe el paquete y correlaciona la dirección de destino y el
puerto con el Mobility Client y se establece como 34.34.130.3@32771.
Correlación de paquetes
Aunque las correlaciones de paquetes se definen en un Connection Manager, se
utilizan de forma explícita en los servicios de acceso móvil.
Filtro
Aunque los filtros se definen en un Connection Manager, se utilizan de forma
explícita en los servicios de acceso móvil.
Un filtro es un recurso que se asigna a una MNI. Los filtros positivos o negativos
son una forma de controlar algunos tipos de tráfico a través de una subred
específica representada por una MNI. Puede crear filtros para cuatro tipos de
paquetes:
v TCP
v UDP
v ICMP
v Otros
Los criterios de filtro que se utilizan en un filtro dependen del tipo de paquete. Se
puede definir un filtro para bloquear paquetes o para pasar paquetes, según los
criterios especificados. Con el Gatekeeper se proporciona un conjunto de filtros
predeterminado y un grupo de filtros denominado Filtros predeterminados.
Puede asignar filtros a los perfiles de transporte para controlar el flujo de datos
desde el Mobility Client a los servicios de acceso móvil.
Alias de direccionamiento
Un alias de direccionamiento es un Mobility Client que actúa como un nodo
multiubicado para direccionar los datos entre los servicios de acceso móvil y una
subred especificada por el usuario. Los servicios de acceso móvil entregan todo el
MNI reserva una dirección IP en una subred como propia y esta dirección es el
punto de presencia del Connection Manager en la red LAN cableada de la
organización. La forma en qué se asigna esta dirección IP depende del sistema
operativo. En AIX y Solaris, se asigna una dirección IP y una máscara de red para
utilizar una subred a través de la cual el tráfico se direcciona públicamente.
Los Servicios de acceso móvil pueden tener una MNI para todas las redes o varias
MNI para los distintos rangos de redes.
También puede:
v Configurar la conversión de direcciones de red para que el Connection Manager
pueda actuar como agente entre una red pública y una red privada utilizando
menos direcciones IP exclusivas para representar un grupo completo de equipos.
Consulte el apartado “Conversor de direcciones de red” en la página 129.
v Definir un alias de direccionamiento en una MNI para que actúe como una
pasarela de destino multiubicada que direccione los datos entre los servicios de
acceso móvil y una subred especificada por el usuario. Consulte el apartado
“Alias de direccionamiento” en la página 131.
v Configurar filtros para permitir o no la comunicación entre las direcciones IP
dentro de una MNI. Consulte el apartado “Filtro” en la página 131.
v Redireccionar datos hacia o desde direcciones de una MNI utilizando la
correlación de paquetes, que modifica un paquete de cabecera IP para
redireccionar datos. Consulte el apartado “Correlación de paquetes” en la página
131.
Para comprobar que la organización puede acceder a los clientes Mobility y los
dispositivos portátiles, actualice las tablas de direccionamiento de la organización
para que incluyan el punto de presencia del Connection Manager en la subred de
MNI.
11111111.11111111.11111111.00000000
11111111.11111111.11110000.00000000
En general, cada vez que se cambia el último uno por un cero, se duplica el
número de direcciones disponibles. Si cambia más de un bit de uno a cero (por
ejemplo, si cambia de 255 a 240, se cambian cuatro bits), se multiplica el número
de direcciones disponibles por dos elevado a la potencia n, donde n es el número
de bits modificados. Por ejemplo, si cambia de 255 a 240, se multiplica el número
de direcciones disponibles por dos elevado a la cuarta potencia, o 16.
Todos estos ejemplos utilizan una red de clase B, en la que los dos primeros
octetos definen la dirección de red, y los dos últimos octetos definen las
direcciones de subred y sistema principal.
v Dirección IP 34.34.130.1, máscara de subred 255.255.255.0
La máscara indica que se pueden utilizar para la subred todos los bits del último
octeto, quedando disponible el rango de 34.34.130.0 a 34.34.130.255. 34.34.130.1
se reserva para la MNI; 34.34.130.0 y 34.34.130.255 (la primera y la última
dirección del rango completo) se reservan como direcciones de difusión de red.
Esto significa que las direcciones de la 34.34.130.2 a la 34.34.130.254 (253
direcciones) están disponibles para los clientes Mobility.
v Dirección IP 34.34.130.75, máscara de subred 255.255.255.0
Por ejemplo, en la Figura 9, los servicios de acceso móvil con una dirección IP
38.38.130.9 residen en una LAN cableada. Esta LAN tiene un direccionador con
una dirección IP 38.38.130.1. Los servicios de acceso móvil definen una MNI que es
una subred de direcciones que van de la 34.34.130.0 a la 34.34.130.255. La MNI
utiliza 34.34.130.1. Para poder direccionar el tráfico de la LAN cableada a la subred
de MNI, se crea una entrada de tabla de direccionamiento en la que la dirección IP
de destino y la máscara de la subred (34.34.130.0 y 255.255.255.0, respectivamente)
se direccionan a través de los servicios de acceso móvil (38.38.130.9).
Para visualizar o cambiar el tipo de acuerdo de claves que utiliza la MNC entre el
Connection Manager y el Mobility Client, edite las propiedades del Perfil de
conexión asignado a la MNC. Pulse el separador Seguridad y, a continuación,
pulse el campo Algoritmo de intercambio de claves.
Para configurar una MNC rnc3000 con un RNC redundante y un conmutador A/B
controlado de forma remota:
1. Compruebe que la MNC rnc3000 se ha añadido al Connection Manager.
2. Edite las propiedades de la MNC rnc3000. Consulte el apartado “Edición de
propiedades de recursos” en la página 101 para obtener más información.
3. Pulse el separador Controlador en línea y revise los valores de la dirección IP
de RNC, el puerto de lectura TCP y el puerto de escritura TCP que se
asignaron cuando se añadió la MNC.
4. Pulse Modificar configuración RNC redundante y entre la Dirección IP del
RNC redundante.
5. Pulse Conmutador A/B de control y entre la Dirección IP de conmutador A/B
remoto.
6. Entre el archivo MIB (Management Information Base) que utiliza el Connection
Manager que describe el conmutador A/B remoto.
7. Entre la Dirección IP de conmutador A/B remoto y la dirección IP de hasta tres
conmutadores adicionales.
8. Pulse el campo Correlación de puerto de conmutador A/B remoto para
identificar si la correlación de puertos etiquetada como A en el conmutador
A/B controlado de forma remota está conectada con el RNC primario o
redundante.
Tenga en cuenta que siempre que se conmutan los RNC primario y redundante, los
servicios de acceso móvil envían una alerta al conmutador A/B especificando qué
RNC está activo.
Servicio de aplicaciones
Utilizado por los servicios de mensajería, un servicio de aplicaciones proporciona
acceso basado en conexiones directas con las aplicaciones de servidor de programa
de fondo. El servicio de aplicaciones define el protocolo que se utiliza entre el
servidor de aplicaciones y los servicios de mensajería. Identifica el puerto que se
reserva para la comunicación entre una aplicación en los dispositivos de cliente de
mensajería y los servicios de mensajería. La aplicación proporciona un determinado
conjunto de información de cabecera dentro de la corriente de datos que utilizan
los servicios de mensajería para correlacionar el tráfico con el servidor de
aplicaciones de programa de fondo. Hay dos tipos de servicios de aplicaciones:
Genérico
Permite el flujo del tráfico de aplicaciones entre servidores de aplicaciones
de programa de fondo y dispositivos de cliente de mensajería. Entre el
servidor de aplicaciones de programa de fondo y los servicios de
mensajería, el tráfico fluye a través de UDP, TCP o TCP utilizando SSL.
Entre los dispositivos de cliente de mensajería y los servicios de
mensajería, el tráfico fluye a través de todas las MNC, excepto las MNC de
SMTP, SNPP o basadas en marcación.
Por ejemplo, un cliente de correo electrónico POP3 en un dispositivo de
mensajería se conecta con el Connection Manager utilizando un protocolo
SMS. servicios de mensajería convierte la corriente de datos al protocolo
UDP o TCP, y envía las solicitudes directamente al servidor POP3. Cuando
se devuelven las respuestas desde el servidor POP3, se vuelven a convertir
al protocolo SMS y se devuelven al cliente de correo electrónico en el
dispositivo de mensajería.
Este servicio se puede configurar para añadir información de identificación
de dispositivos de cliente como una cabecera en la corriente de datos de la
aplicación. La aplicación que recibe la corriente de datos es la responsable
de interpretar la cabecera. Consulte el Apéndice A, “Referencia de
programación”, en la página 147 si desea obtener más información sobre el
Kit de utilidades de push y de servicios de mensajería.
Este servicio también se puede configurar para realizar transacciones TCP
seguras. Este servicio sólo está disponible como un servicio de aplicaciones
adicional que se añade a los servicios de mensajería.
Paso a través
Permite el flujo del tráfico de aplicaciones entre servidores de aplicaciones
139
de programa de fondo y dispositivos de cliente de mensajería, pero no
convierte el protocolo de la corriente de datos. Los servicios de mensajería
mantienen registros de contabilidad de la corriente de datos, que se
pueden enviar a otro servidor de contabilidad. Los servicios de
aplicaciones de paso a través están soportados en las MNC basadas en
Mobitex y DataTAC.
Para configurar una conexión segura entre los servicios de mensajería y los
servidores de proceso de mensajes o los iniciadores de envío (push), configure cada
punto final. Los certificados de claves en el punto final de los servicios de
mensajería se almacenan en la base de datos de claves y se protegen mediante una
contraseña oculta. El nombre de archivo de la base de datos de claves
predeterminada es ppg.trusted.kdb. La contraseña oculta predeterminada es
“trusted” y se almacena en ppg.trusted.sth. Para cambiar el nombre de archivo de
la base de datos de claves o el nombre de archivo de la contraseña oculta, edite el
separador Pasarela de las propiedades de los servicios de mensajería. Consulte el
apartado “Edición de propiedades de recursos” en la página 101. Para configurar el
punto final del servidor de proceso de mensajes o el iniciador de envío (push),
consulte el apartado “Configuración de los certificados SSL para las aplicaciones de
proceso de mensajes”.
Si desea obtener más información sobre cómo cambiar la contraseña oculta, crear
una solicitud de certificado, enviar la solicitud de certificado, almacenar
certificados y actualizar el certificado raíz, pulse Ayuda –> Contenido utilizando la
interfaz de gestión de claves de IBM.
Una vez realizados los cambios en la base de datos de claves, cierre y reinicie el
Connection Manager para activar los cambios.
Tenga en cuenta que el tipo de base de datos de claves depende del idioma de
programación que se utiliza para crear la aplicación de proceso de mensajes. Las
aplicaciones C utilizan una combinación de base de datos de claves y archivo
oculto. Las aplicaciones Java utilizan un archivo de clase de base de datos de
claves.
Para ver o modificar el método de enlace, edite las propiedades de la MNC SMPP.
Pulse el separador Enlace y, a continuación, seleccione el método de enlace que
desee utilizar entre esta MNC y SMS-C.
| Para escuchar este suceso, cree un socket UDP y enlácelo a 127.0 .0.1, puerto
| 14889. Cuando Mobility Client obtiene una conexión activa o se desplaza
| correctamente a una nueva conexión, se envía un paquete con el byte 4
| establecido en 1. Si Mobility Client pierde una conexión y no puede encontrar
| otra activa, se envía un paquete con el byte 4 establecido en 0.
v Para crear aplicaciones que puedan interactuar con el Mobility Client, utilice el
Kit de utilidades del Mobility Client. El Kit de utilidades del Mobility Client,
una guía de desarrollador y una referencia de API (Interfaz de programas de
aplicación), está disponible en la web. Enlace para descargar el kit de utilidades.
v Para añadir una aplicación para transportar datos a y desde dispositivos de
cliente de mensajería, utilice la interfaz de programas de servicio de aplicaciones
de los servicios de mensajería, que forma parte del Kit de utilidades de push y
de servicios de mensajería de la web. Un servicio de aplicación permite el flujo
del tráfico de aplicaciones entre servidores de aplicaciones de programa de
fondo y dispositivos de cliente de mensajería. Entre el servidor de aplicaciones
de programa de fondo y los servicios de mensajería, el tráfico fluye a través de
UDP, TCP o TCP utilizando SSL. Entre los dispositivos de cliente de mensajería
y los servicios de mensajería, el tráfico fluye a través de todas las MNC, excepto
las MNC de SMTP, SNPP o basadas en marcación. Enlace para descargar el kit
de utilidades.
v Para crear una aplicación de mensaje o envío (push) también puede utilizar las
API de push o de servicios de mensajería. El kit de utilidades proporciona
información de referencia para clases e interfaces Java y funciones C para que
los desarrolladores puedan crear y enviar mensajes a dispositivos móviles
utilizando los servicios de mensajería. El kit de utilidades también proporciona
un conjunto de aplicaciones de ejemplo. Enlace para descargar el kit de
utilidades.
147
148 Lotus Mobile Connect Administrator’s Guide
Apéndice B. Información del esquema de base de datos
La base de datos es una base de datos DB2 o Oracle que contiene tablas de
información sobre la actividad actual y pasada de las sesiones de Connection
Manager. Las siguientes tablas se crean y se accede a ellas utilizando el nombre de
calificador wg de las instalaciones de DB2.
Utilice la publicación IBM DB2 Universal Database Command Reference para obtener
información sobre los mandatos BACKUP DATABASE y RESTORE DATABASE.
Nota: Tenga cuidado cuando edite la base de datos wgacct. Si se dañan los datos,
lo mejor es desactivar el soporte de contabilidad y facturación, desactivar las
tablas de wgacct, y volver a activar el soporte de contabilidad y facturación.
149
Para todas las tablas que incluyan el campo RDNType, el tipo y el valor
correspondiente es:
0 — MobileNI
1 — Datatac5000
2 — Datatac6000
3 — ModacomScr
4 — ArdisX25
5 — ArdisTCP
6 — Rnc3000TCP
7 — MobitexX25
8 — MobitexTCP
9 — OpenRdn
10 — IP
11 — DialPstn
12 — DialIsdn
13 — DialTCP
14 — DataradioMSC
15 — DataradioBDLC
16 — SmsEMI
17 — SmsSMPP
18 — WdpUDP
19 — Cluster
20 — SmtpMail
21 — SmsEMIX25
22 — SmsSMPPX25
23 — SNPP
24 — SmsOIS
25 — SmsOISX25
26 — Reservado
27 — SmsRPA
28 — WCTP
| 29 — TcpLan
| 30 — HttpTcpLan
Tenga en cuenta que aunque los campos de dirección IP pueden manejar una
dirección IPv6, todos los campos de direcciones IP son actualmente direcciones
IPv4.
Tabla 9. AcctConnInfo - Almacena la información de conexión inicial.
Nombre de campo Tipo Tamaño Valor Longitud Comentarios
del campo necesario cero
permitida
| AcctType Small Integer 2 Sí No Denota el tipo de entrada:
| X'0001' inicio de sesión
| X'0100' inicio de sesión erróneo
DevAddr Varchar[16] para 5-20 Sí No Valor de dirección IP in6_addr
datos de bit del dispositivo portátil
DevName Varchar[256] 5-260 No Sí Serie de identificador de
dispositivo
Puede ver el Information Center desde el sitio web de entrega del software, o
puede descargarlo y hacer que esté disponible para los administradores y
programadores de la empresa instalándolo en un servidor web con tecnología
Eclipse.
159
Accesibilidad
Las características de accesibilidad ayudan a un usuario que tenga una
discapacidad física (como una movilidad restringida o una visión limitada) a
utilizar satisfactoriamente los productos de software. Este Gatekeeper incluye las
principales funciones de accesibilidad del Connection Manager:
v Puede utilizar un aumentador de pantalla para agrandar lo que se muestra en
pantalla.
v Puede navegar por la interfaz de usuario utilizando el teclado.
Teclas aceleradoras
Las teclas aceleradoras suelen estar identificadas con una letra subrayada en la
interfaz de usuario y se utilizan para acceder a un elemento de la interfaz desde el
teclado. Para desencadenar una tecla aceleradora, mantenga pulsada la tecla Alt
mientras pulsa la letra subrayada. Por ejemplo, el menú Opciones del Gatekeeper
tiene una O como tecla aceleradora. Si pulsa Alt y O, aparecerá el menú Opciones.
Utilizar teclas aceleradoras con los menús: Cuando abra un menú por medio del
teclado, no hace falta que utilice la tecla Alt para desencadenar las teclas
aceleradoras de las opciones de menú.
Ayuda de Gatekeeper
El Gatekeeper ofrece varios tipos de ayuda. Puede elegir entre las siguientes:
Cómo...
Temas que proporcionan explicaciones de los procedimientos que tienen
más de un paso.
Información de consulta
A Comprehensive Guide to Virtual Private Networks, Volume III: Cross-Platform Key and Policy
Management, SG24–5309, un REDBOOK de IBM.
Understanding LDAP, SG24–4986, un REDBOOK de IBM.
Stevens, W. Richard. TCP/IP Illustrated, Volume 1: The Protocols. Reading,
Massachusetts:Addison-Wesley, 1994.
Información de autenticación y cifrado- de RSA Security
Manual de consulta de mandatos de Connection Manager
Foro de Connection Manager
Sitio web de soporte de productos de Connection Manager
Sitio web de producto Connection Manager
Redbook de Connection Manager
La biblioteca de DB2
Bajar License Use Management Runtime Kit
Bajar el Kit de utilidades de push y de servicios de mensajería o el Kit de utilidades de
Mobility Client
Descargar portlets desde Portal y Lotus Workplace Catalog
Aumentar el recurso de kernel msgmni en distribuciones Linux
Información sobre la Guía de seguridad de AIX 5L 5.2
Información sobre IBM Directory
Páginas RFC del Grupo de ingeniería de Internet (IETF)
Entorno de ejecución Java para Gatekeeper en Linux
Código más reciente de producto de Connection Manager
Notas técnicas (Technotes) más recientes de Connection Manager
Puede que en otros países IBM no ofrezca los productos, servicios o características
que se describen en esta información. Consulte al representante de IBM para
obtener información sobre los productos y servicios que están disponibles
actualmente en su zona geográfica. Cualquier referencia a un producto, programa o
servicio IBM no pretende afirmar ni implicar que sólo pueda utilizarse dicho
producto, programa o servicio IBM. En su lugar se puede utilizar cualquier
producto, programa o servicio funcionalmente equivalente que no vulnere ningún
derecho de propiedad intelectual de IBM. Sin embargo, es responsabilidad del
usuario evaluar y verificar el funcionamiento de cualquier producto, programa o
servicio que no sea de IBM.
Para consultas sobre licencias relacionadas con información de doble byte (DBCS),
póngase en contacto con el departamento de propiedad intelectual de IBM de su
país o envíe sus consultas, por escrito, a:
IBM World Trade Asia Corporation
Licensing
2-31 Roppongi 3-chome, Minato-ku
Tokio 106, Japón
163
web no forman parte de los materiales de este producto IBM y el uso que se haga
de estos sitios web es de la entera responsabilidad del usuario.
Los titulares de licencias de este programa que deseen información sobre el mismo
con el fin de permitir: (i) el intercambio de información entre programas creados
independientemente y otros programas (incluido éste) y (ii) la utilización mutua de
la información intercambiada, deben ponerse en contacto con:
IBM Corporation
P.O. Box 12195
3039 Cornwallis Road
Research Triangle Park, NC 27709-2195
Estados Unidos
Todas las afirmaciones relativas a los planes futuros de IBM están sujetas a
cambios o retiradas sin previo aviso, y solamente representan planes y objetivos.
Si está viendo esta información en copia software, es posible que las fotografías y
las ilustraciones en color no aparezcan.
El software incluido en este producto contiene rutinas de PPP Magic Number bajo
licencia de Carnegie Mellon University.
Marcas registradas
Los términos siguientes son nombres comerciales o marcas registradas de IBM
Corporation en los Estados Unidos y/o en otros países:
AIX AIX 5L
DB2 DB2 Universal Database
Everyplace HACMP
IBM Lotus
NetView Tivoli
WebSphere Workplace
Java y todas las marcas registradas basadas en Java son marcas registradas de Sun
Microsystems, Inc. en los Estados Unidos y/o en otros países.
UNIX es una marca registrada de The Open Group en los Estados Unidos y en
otros países.
Avisos 165
FIPS 140–2 Inside
167
C conexión (continuación)
soporte de X.25 60
control del flujo de datos
conversión de direcciones de red 129
cambiar puerto de la contraseña 38 conexión de red correlaciones de paquetes 131
capa de sockets protegidos (SSL) móvil (MNC) 22 filtros 131
actualizar bases de datos de privada virtual 2 controlador de red de radio,
claves 88 conexión de red móvil (MNC) configuración con conmutadores
añadir perfil de inicio de sesión 91 configuración de SMPP 142 A/B 137
como opción de seguridad 42 configuración de WCTP 145 conversión de direcciones de red (NAT)
configuración de certificados configurar 85 descripción de 129
entre los servicios de mensajería y configurar nodos de clúster para sin utilizar con discriminador de
las aplicaciones de proceso de conexión 94 dispositivos 25
mensajes 140 definir en el Gatekeeper 85 cookies 24
para los servicios de descripción de 22 copia de seguridad, almacenamiento de
mensajería 140 lista de tipos 22 datos 36
configurar certificados 88 mensajería 22
entre el Gatekeeper y el gestor de protocolo de enlace inalámbrico
accesos 89
habilitar la autorización 42
(WLP) 22
confidencialidad 41
D
habilitar la comunicación 88 daemon wgmgrd 14
configuración
catálogos, instalar el soporte de UTF-8 en daemon wgmgrsd 15
autenticación entre los servicios de
AIX 69 DataDirect 55
acceso móvil y el Mobility
catálogos, instalar el soporte de UTF-8 en Dataradio 34
Client 136
Linux o Solaris 70 DataTAC 34
MNC 142, 145
catálogos de mensajes, instalar el soporte datos de sesión, recopilación 111
configuración TCP/IP 60
de UTF-8 en AIX 69 DB2
configurar
catálogos de mensajes, instalar el soporte configurar 75
búsqueda de cuenta de usuario 96
de UTF-8 en Linux o Solaris 70 copia de seguridad y
Connection Manager 82
certificados restauración 149
DSS alternativo 97
almacenamiento 136 instalar 63
gestor de accesos 14
autenticación de terceros utilizado para el almacenamiento de
lista de comprobación inicial 81
mediante 48 datos 6
MNC 85
configurar para autenticación 93 versiones soportadas 55
servidor de servicios de directorio 96
descripción del perfil de definir un Connection Manager 82
servidores RADIUS 92
autenticación 31 desinstalar
soporte de X.25 60
utilizando listas de revocación 48 Connection Manager 118
conmutadores, configuración de
certificados X.509 136 Gatekeeper 119
A/B 137
cifrado determinar la capacidad y el
conmutadores A/B controlados de forma
entre el Gatekeeper y el gestor de rendimiento 41
remota, configuración 137
accesos 52 direccionamiento, alias 131
conmutadores Hadax, configuración 137
entre gestores de clústeres 52 direccionamiento IP 134
Connection Manager
entre los servicios de acceso móvil y discapacidad 160
autenticación 44
los clientes Mobility 45 discriminador de dispositivos
cifrado 45
entre los servicios de mensajería y las descripción de 24
como nodo principal o subordinado
aplicaciones que utilizan las API de dispositivo portátil
de un clúster 19
push y de servicios de descripción de 129
comunicar con el almacenamiento de
mensajería 52 grupo 128
datos 5
proteger la confidencialidad 41 negociación PPP 35
definir en el Gatekeeper 81, 82
y autenticación 44 dispositivos, discriminador 24
eliminar 118
cifrar contraseñas 15 distribución de la carga 93
gestor de clústeres 19
clave de asunto 49 DSS alternativo 97
instalar 68
claves, acuerdo de intercambio 124 DSS alternativo, añadir un 97
lista de control de accesos 29
cliente DSS de copia de seguridad 97
planificación de la capacidad 41
Véase Mobility Client planificación del rendimiento 41
códec HTTP 122 puertos utilizados 38
codificador/decodificador, HTTP 122 recursos 11 E
código redes soportadas 33 eliminar
aplicar mantenimiento 113 requisitos de hardware 55 Connection Manager 118
common criteria 45 requisitos de software 55 Gatekeeper 119
compatibilidad, software 55 soporte a dispositivos por sistema enlace X.25
compensación de carga utilizando un operativo 7 instalar y configurar en AIX 60
gestor de clústeres 19 supervisión de flujo de paquetes 107 entorno de ejecución Java 55
conexión visualización de anotaciones 105 entorno WebSphere Application Server
con el almacenamiento de datos 5 consulta, información 161 utilizar LTPA en 32
direccionamiento IP 134 contraseña entorno WebSphere Portal
perfil, descripción de 122 política, descripción de 32 utilizar LTPA en 32
proveedores de red 33 puerto, cambiar 38 entornos locales
red móvil (MNC) 22 control de accesos, lista (ACL) 28 utilizar UTF-8 en AIX 69
seguridad 41
Índice 169
lógica, interfaz IP 94 normas para políticas de contraseñas 32 posibilidades para almacenar de forma
notas de instalación 68 persistente la base de usuarios 26
números, puerto predeterminado 38 PPP, negociación 35
M números de puerto predeterminados 38
números de puerto utilizados 38
programa de utilidad
wg_monitor 107
mandato arp 130
protocolo de distribución de claves de
mandatos
dos partes
df 59
mantenimiento, aplicar 113 O configuración 136
descripción de 44
marcas de servicio 165 OpenLDAP
protocolo de distribución de claves de
marcas registradas 165 configurar 72
una parte
máscara de subred alternativa 133 versiones soportadas 55
configuración 136
menú de contexto 101 operación de unidad de datos de
descripción de 44
Mobility Client protocolo (PDU) alert_notification 143
protocolo de resolución de
autenticación 44 operación de unidad de datos de
direcciones 130
cifrado 45 protocolo (PDU) data_sm 143, 144
protocolo ligero de acceso a directorio
como componente del Connection operación de unidad de datos de
(LDAP)
Manager 8 protocolo (PDU) deliver_sm 143
como almacenamiento de datos
como dispositivo portátil 129 operación de unidad de datos de
persistente 5
como usuario 26 protocolo (PDU) enquire_link 144
configurar para la autenticación por
contraseña operación de unidad de datos de
enlace LDAP 93
política 32 protocolo (PDU) outbind 143
descripción de 36
descripción de 8 operación de unidad de datos de
descripción de la autenticación por
utilización protocolo (PDU) query_sm 144
enlace LDAP 30, 47
como alias de operación de unidad de datos de
integrar los esquemas existentes con el
direccionamiento 131 protocolo (PDU) replace_sm 144
Connection Manager 55
modelo de validación del cliente operación de unidad de datos de
requisitos de software 55
descripción de 125 protocolo (PDU) submit_sm 144
tipos de servidores secundarios 36
módem operación de unidad de datos de
utilizar archivos LDIF 85
como dispositivo portátil 129 protocolo (PDU) unbind 143, 144
protocolo simple de transferencia de
perfil 129 operaciones de unidades de datos de
correo (SMTP), utilizado con los
requisito de hardware 58 protocolo (PDU) 143
servicios de mensajería 16
MTU (unidad máxima de Oracle
protocolo simple de transferencia de
transmisión) 126 configurar 76
correo (SNPP), utilizado con los
multiubicado versiones soportadas 55
servicios de mensajería 16
el Connection Manager como sistema OU primaria 13
proveedores de red
principal 6
como portadores 7
resolución de nombres y utilizar el
descripción de 9
gestor de accesos 77
utilización del Mobility Client como
P dispositivo portátil 129
paquete instalar el soporte 60
alias de direccionamiento 131
correlación planificar 33
descripción de 131 tipos de MNC 22
grupo 129 visión general 9
N flujo, supervisión 107 proxy
navegación red de radio 60 pasarela de proxy de push 16
la interfaz del Gatekeeper 101 ejemplos de 34 puerto de envío/recepción de LAN
navegador de archivos 103 requisitos de hardware 58 IP 38
navegar paquetes de contabilidad, enviar a un punto de presencia en una subred de
por medio del teclado 160 servidor RADIUS 40 MNI 134
negociación PPP (punto a punto) 35 pasarela de proxy de push (PPG)
nivel añadir 85
aplicar mantenimiento 113
nodo
descripción de 16
perfil de autenticación del sistema 30
R
rastreo
configurar principal y perfil de inicio de sesión 77
anotaciones, visualización 105
subordinado 93 perfiles
Gatekeeper 102
principal 19 autenticación 30
rastreo del Gatekeeper 102
subordinado, algoritmos de conexión 122
receptor 143
distribución 19 inicio de sesión 77, 91
recopilación de datos de sesión 112
nodo principal lista de control de accesos 28
recursos
configurar 93 módem 129
añadir en modalidad por lotes 85
descripción de 19 transporte 122
búsqueda 104
ejemplo 20 pkgadd 69
definir 81, 84
nodo subordinado planificación de la capacidad 41
separador de la interfaz del
algoritmo de distribución 19 planificar la red 33
Gatekeeper 8
configurar 93 política
red
descripción de 19 contraseña 32
definir recursos 82
ejemplo 20 portlets de gestión de dispositivos 118
planificar 33
Índice 171
transporte
perfil 122
X
TCP-Lite 121 X.500 13
U
unidad máxima de transmisión 126
unidad organizativa
definir en el Gatekeeper 81
descripción de 13
universal computer protocol (UCP), tipo
de MNC 22
usuario
añadir un gran número de 85
búsqueda de cuenta utilizando un
servidor de directorios 96
descripción de 26
lista de control de accesos 30
posibilidades para almacenar de
forma persistente 26
UTF-8
instalar el soporte en AIX 69
instalar el soporte en Linux o
Solaris 70
utilización
Gatekeeper 101
wg_monitor 107
utilizar
servidor de directorios de
empresa 26
V
validación del cliente, modelo
descripción de 125
varios usuarios, añadir en modalidad por
lotes 85
ventana de propiedades 101
versión
aplicar mantenimiento 113
vía de acceso, directorio de
instalación 113
vías de acceso de directorio,
instalación 113
visualización
anotaciones del Connection
Manager 105
flujo de paquetes 107
visualización de datos de sesión 112
W
WCTP (Wireless Control Transfer
Protocol) 145
WebSphere Everyplace Access 118
wg_monitor 107
wgdb 57
Windows
instalar el Gatekeeper 67
requisitos de software y hardware
para el Gatekeeper 55
WLP
descripción de 44