Lotus Mobile Connect - Administrator Guide

Lotus Mobile Connect 򔻐򗗠򙳰
Guía del administrador

Versión 6.1
Lotus Mobile Connect 򔻐򗗠򙳰
Guía del administrador

Versión 6.1
Nota: Antes de utilizar esta información y el producto al que da soporte, lea la información que encontrará en “Avisos” en la
página 163.
Quinta edición (diciembre de 2006)

Esta edición se aplica a la versión 6, release 1 de IBM Lotus Mobile Connect (5724R20) con sus funciones de cliente
asociadas. Esta edición se aplica a los siguientes releases y modificaciones hasta que se indique lo contrario en las
nuevas ediciones. Compruebe que esté utilizando la edición correspondiente al nivel del producto.
Si el usuario envía información a IBM, concede a IBM el derecho no exclusivo de utilizar o distribuir la información
suministrada de cualquier forma que considere oportuna, sin incurrir en ninguna obligación con respecto al usuario.
©Copyright International Business Machines Corporation y otros 1994, 2006. Reservados todos los derechos.
Nota para los usuarios del Gobierno de los Estados Unidos — Documentación relacionada con la restricción de
derechos — el uso, la duplicación y la divulgación están limitados de acuerdo con las restricciones del contrato GS
ADP Schedule Contract con IBM Corp.
Contenido
Acerca de la Guía del administrador . . v Conectividad de red para el Connection Manager . 60
Novedades en este release . . . . . . . . . . v Instalar y configurar el soporte de X.25 . . . . . 60
Capítulo 1. Visión general . . . . . . . 1 Capítulo 4. Instalación y configuración

Comunicación de los Servicios de acceso móvil . . . 1 inicial . . . . . . . . . . . . . . . 63
Comunicación HTTP. . . . . . . . . . . . 2 Lista de comprobación de la instalación . . . . . 63
Comunicación de mensajes . . . . . . . . . 3 Instalar el Gatekeeper . . . . . . . . . . . 64
Operación de entrega de mensajes cortos . . . . 3 Instalar el Gatekeeper en AIX . . . . . . . 64
Operación de mensajes originados en dispositivos Instalar el Gatekeeper en Linux . . . . . . . 65
portátiles . . . . . . . . . . . . . . 4 Instalar el Gatekeeper en Solaris . . . . . . 66
Componentes principales . . . . . . . . . . 5 Instalar el Gatekeeper en Windows . . . . . 67
Almacenamiento de datos persistente . . . . . 5 Instalar el Connection Manager . . . . . . . . 68
Connection Manager . . . . . . . . . . . 6 Instalar el Connection Manager en AIX . . . . 69
Gatekeeper . . . . . . . . . . . . . . 8 Instalar el Connection Manager en Linux o
Roles de cliente . . . . . . . . . . . . 8 Solaris . . . . . . . . . . . . . . . 70
Proveedores de red . . . . . . . . . . . 9 Configurar IBM Directory . . . . . . . . . 70
Configuración de Red Hat Directory . . . . . . 71
Capítulo 2. Planificación . . . . . . . 11 Configurar Sun ONE Directory Server . . . . . 72
Definir los recursos . . . . . . . . . . . . 13 Configurar OpenLDAP . . . . . . . . . . 72
Unidad organizativa . . . . . . . . . . 13 Añadir automáticamente el esquema a un
Gestor de accesos . . . . . . . . . . . 14 servidor OpenLDAP local . . . . . . . . 73
Connection Manager . . . . . . . . . . 15 Añadir manualmente el esquema a un archivo de
Servicios de mensajería . . . . . . . . . 16 configuración del servidor OpenLDAP . . . . 73
Servicios de acceso HTTP . . . . . . . . . 16 Configuración de DB2 . . . . . . . . . . . 75
Servicios de acceso móvil . . . . . . . . . 18 Configurar Oracle . . . . . . . . . . . . 76
Gestor de clústeres . . . . . . . . . . . 19 Configurar el gestor de accesos . . . . . . . . 77
Grupos . . . . . . . . . . . . . . . 21
Conexión de red móvil (MNC) . . . . . . . 22 Capítulo 5. Configuración de recursos 81
Discriminador de dispositivos . . . . . . . 24 Lista de comprobación de configuración inicial . . 81
Servidor de directorios . . . . . . . . . 25 Definir un Connection Manager utilizando el
Usuario . . . . . . . . . . . . . . . 26 Gatekeeper . . . . . . . . . . . . . . 82
Administrador . . . . . . . . . . . . 27 Añadir una interfaz de red móvil . . . . . . . 83
Listas de control de accesos y perfiles de ACL . . 28 Añadir otros recursos específicos de los servicios de
Perfil de autenticación . . . . . . . . . . 30 acceso móvil . . . . . . . . . . . . . . 84
Política de contraseñas. . . . . . . . . . 32 Añadir una conexión de red móvil . . . . . . 85
Su red . . . . . . . . . . . . . . . . 33 Añadir usuarios . . . . . . . . . . . . . 85
Proveedores de redes inalámbricas . . . . . 33 Añadir recursos en modalidad por lotes . . . . 85
Conexiones PPP nativas . . . . . . . . . 35 Añadir servicios de mensajería . . . . . . . . 85
Almacenamiento de datos . . . . . . . . 35 Añadir Servicios de acceso HTTP . . . . . . . 87
Información de número de puerto . . . . . . 38 Habilitar la comunicación segura . . . . . . . 88
Enviar paquetes de contabilidad a servidores Configurar certificados SSL en el Connection
RADIUS . . . . . . . . . . . . . . 40 Manager . . . . . . . . . . . . . . 88
Capacidad y rendimiento . . . . . . . . . 41 Configurar certificados SSL entre el Gatekeeper y
Seguridad . . . . . . . . . . . . . . 41 el gestor de accesos . . . . . . . . . . . 89
Utilizar servidores de contabilidad o de
Capítulo 3. Antes de la instalación . . . 55 autenticación de terceros . . . . . . . . . 91
Software obligatorio . . . . . . . . . . . 55 Configurar nodos de clúster . . . . . . . . . 93
Requisitos de software para el almacenamiento Configurar nodos de clúster para MNC sin
de datos persistente . . . . . . . . . . 55 conexión . . . . . . . . . . . . . . 94
Anotaciones de la instalación . . . . . . . . 58 Configurar un servidor de directorios . . . . . 96
Requisitos de hardware del proveedor de red . . . 58 Configurar la búsqueda de cuenta de usuario . . 96
Determinar el almacenamiento virtual necesario . . 59 Configurar un servidor de directorios alternativo 97
Determinar el espacio en disco necesario . . . . 59
Asegurar almacenamiento suficiente para Capítulo 6. Administración . . . . . . 101
anotaciones en sistemas basados en UNIX . . . 59 Utilización del Gatekeeper . . . . . . . . . 101
iii
Navegación en la interfaz del Gatekeeper . . . 101 Capítulo 8. Utilización de los servicios
Búsqueda de recursos . . . . . . . . . 104 de mensajería . . . . . . . . . . . 139
Adición de recursos . . . . . . . . . . 105 Definición de los recursos que utilizan los servicios
Visualización de las anotaciones del Connection de mensajería . . . . . . . . . . . . . 139
Manager . . . . . . . . . . . . . . 105 Servicio de aplicaciones . . . . . . . . . 139
Visualización de usuarios . . . . . . . . 106 Habilitación de la comunicación segura para los
Utilización de grupos de difusión . . . . . 106 servicios de mensajería . . . . . . . . . . 140
Supervisión del flujo de paquetes. . . . . . . 107 Configuración de los certificados SSL para los
Sintaxis . . . . . . . . . . . . . . 107 servicios de mensajería . . . . . . . . . 140
Descripción . . . . . . . . . . . . . 107 Configuración de los certificados SSL para las
Distintivos . . . . . . . . . . . . . 110 aplicaciones de proceso de mensajes . . . . . 140
Ejemplos . . . . . . . . . . . . . . 113 Configuración de una MNC SMPP . . . . . . 142
Aplicar mantenimiento . . . . . . . . . . 113 Configuración de una MNC WCTP . . . . . . 145
Vías de acceso de instalación . . . . . . . 113
Consideraciones sobre la migración . . . . . 114
Bajadas de software . . . . . . . . . . 115
Apéndice A. Referencia de
Eliminar el Connection Manager . . . . . . . 118 programación . . . . . . . . . . . 147
Eliminar el Gatekeeper . . . . . . . . . . 119
Instalar y configurar el plug-in TAI . . . . . . 120 Apéndice B. Información del esquema
de base de datos . . . . . . . . . . 149
Capítulo 7. Utilización de los servicios Esquema de base de datos de contabilidad y
de acceso móvil . . . . . . . . . . 121 facturación . . . . . . . . . . . . . . 149
Definición de los recursos que utilizan los servicios Esquema de base de datos de sesión . . . . . 156
de acceso móvil . . . . . . . . . . . . 121 Recuperación del espacio después de suprimir los
TCP-Lite . . . . . . . . . . . . . . 121 registros . . . . . . . . . . . . . . . 158
Conexión y perfiles de transporte . . . . . 122
Grupos para los servicios de acceso móvil . . . 128 Apéndice C. Otros recursos . . . . . 159
Dispositivo portátil . . . . . . . . . . 129 Utilizar el Information Center . . . . . . . . 159
Perfil de módem . . . . . . . . . . . 129 Accesibilidad . . . . . . . . . . . . . 160
Conversor de direcciones de red . . . . . . 129 Navegar por medio del teclado . . . . . . 160
Correlación de paquetes . . . . . . . . . 131 Obtener ayuda en línea . . . . . . . . . . 160
Filtro . . . . . . . . . . . . . . . 131 Ayuda de Gatekeeper . . . . . . . . . 160
Alias de direccionamiento . . . . . . . . 131 Ayuda de IBM Key Management . . . . . . 161
Interfaz de red móvil (MNI) . . . . . . . 132 Información de consulta . . . . . . . . . . 161
Habilitación de la comunicación segura para los
servicios de acceso móvil . . . . . . . . . 136 Avisos . . . . . . . . . . . . . . 163
Control de tráfico de datos . . . . . . . . 136 Marcas registradas. . . . . . . . . . . . 165
Configuración de la autenticación entre los
servicios de acceso móvil y el Mobility Client . 136
Configuración de un RNC redundante con
Índice . . . . . . . . . . . . . . . 167
conmutadores A/B controlados de forma remota . 137
iv Lotus Mobile Connect Administrator’s Guide

Acerca de la Guía del administrador
En esta información se describe cómo instalar, configurar, utilizar y gestionar IBM
Lotus Mobile Connect.
Novedades en este release

En el sitio web de soporte puede encontrar una matriz de características de
Mobility Client y las opciones que soporta cada sistema operativo. Hay una matriz
para cada versión del Mobility Client. Asegúrese de utilizar la matriz
correspondiente a su versión.
Novedades en esta versión:

v IBM WebSphere Everyplace Connection Manager ha sido mejorado y
reorganizado, y su nombre es ahora IBM Lotus Mobile Connect.
v Soporte añadido de Connection Manager y Gatekeeper para:
– Sun Solaris 10
– SuSE Linux Enterprise Server 9 y 10
– Red Hat Enterprise Linux 4.0
v Soporte añadido de Connection Manager para:
– Oracle 10g Release 1 o 10g Release 2
– DB2 9.1
v Se ha eliminado el soporte de Connection Manager y Gatekeeper para:
– RedHat Enterprise Linux 3.0 ES y AS
– SuSE 8.1, SuSE8.2, SuSE 9.0 y SuSE Linux Enterprise 8
– Solaris 8.0 y Trusted Solaris 8.0
v Se ha eliminado el soporte de Connection Manager para:
– Oracle 8.0
– DataDirect Connect para controladores ODBC configurado en la modalidad
de cliente Oracle. DataDirect Connect para controladores ODBC ahora debe
estar configurado en la modalidad de protocolo de conexión de Oracle.
– Adaptadores X.25 en los sistemas operativos Linux y Solaris
– Proxy WAP
v Se ha eliminado el requisito de que exista LDAP (Lightweight Directory Access
Protocol) versión 3 para almacenar la información de configuración en un
servidor de servicios de directorio (DSS). Puede seguir utilizando un DSS, pero
también una base de datos relacional compatible con ODBC o el sistema de
archivos local. Para obtener más información, consulte los apartados siguientes:
– Temas generales en “Almacenamiento de datos persistente” en la página 5
– Temas de planificación en “Almacenamiento de datos” en la página 35
– “Configurar el gestor de accesos” en la página 77
v Se ha eliminado el requisito de almacenar los datos de sesión mediante una base
de datos relacional compatible con ODBC.
v Se ha añadido soporte para una nueva conexión de red móvil (MNC),
HTTP-TCP.
v Gatekeeper utiliza Java 1.4.2 service release 6, excepto en el sistema operativo
Windows, donde se utiliza Java 1.4.2 release de servicio 5.
v
v Se ha eliminado el soporte de Mobility Client para:
– Red por satélite nativa Norcom
– Palm OS
– Pocket PC 2002
– RedHat Enterprise Linux 3.0 ES y AS
– Dispositivos Sony Ericsson P900 y P910
– SuSE 8.1, SuSE 8.2, SuSE 9.0 y SuSE Linux Enterprise 8
v Se ha añadido soporte de Mobility Client para estos dispositivos de Nokia: E60,
E61 y E70
v Puede configurar Mobility Client para que utilice un inicio de sesión integrado
de Windows, de modo que cuando inicie la sesión en Windows, se utilicen las
mismas credenciales para iniciar la sesión en Connection Manager.
v Está disponible el servicio itinerante a través de redes completamente integrado
en el Mobility Client para Linux.
v Hay disponibles dos protocolos nuevos para conexiones IP: HTTP y HTTP sobre
SSL. La lógica de la conexión inteligente permite a Mobility Client en Linux,
Windows, o Windows CE determinar cuál utilizar, según su entorno. Cuando se
habilitan todos los protocolos, los intentos de conexión se realizan en este orden.
UDP, HTTP y HTTP sobre SSL. Consulte el tema de la ayuda en línea de
Gatekeeper Configuración de conexiones inteligentes para obtener información sobre
la configuración.
v Los requisitos detallados del sistema sólo están disponibles en línea. Consulte el
apartado “Software obligatorio” en la página 55 para obtener una lista de URL.
v Hay disponible ayuda en línea sensible al contexto para el Mobility Client para
Linux.
v La documentación del producto Information Center se encuentra en Internet y la
proporciona Eclipse.
vi Lotus Mobile Connect Administrator’s Guide

Capítulo 1. Visión general
El Lotus Mobile Connect le permite conectar de forma segura dispositivos
portátiles a la intranet privada de la empresa y a Internet. Utiliza protocolos
basados en estándares para conectarse a una gran variedad de redes, tanto
alámbricas como inalámbricas, de forma eficiente y con facilidad.
El Lotus Mobile Connect incluye los siguientes componentes:

Connection Manager
Proporciona una interfaz de comunicaciones estándar (TCP/IP) a diversas
redes inalámbricas, de acceso telefónico y LAN con optimización de datos
y seguridad. El Connection Manager puede configurar por separado:
Servicios de acceso móvil
Crea un túnel IP seguro y optimizado para la comunicación con el
software del Mobility Client en el sistema. El Mobility Client
puede utilizar una conexión inalámbrica o alámbrica con los
servicios de acceso móvil que se conectan a la intranet privada de
la empresa o a Internet.
Comunicación HTTP
Cree un túnel seguro para la comunicación HTTP entre clientes
HTTP.
Servicios de mensajería
Permite que una aplicación envíe mensajes a los clientes de
mensajería, como un buscapersonas o un teléfono, utilizando
diversas redes inalámbricas. Servicios de mensajería incluye el
soporte para la entrega de mensajes cortos (SMS) y la entrega de
mensajes originados en dispositivos portátiles.
Gatekeeper
Una interfaz administrativa fácil de utilizar que le permite definir y
gestionar recursos inalámbricos.
Mobility Client
Mobility Client ofrece un túnel IP seguro y optimizado para la
comunicación con los servicios de acceso móvil utilizando diversas redes
inalámbricas y alámbricas.
Comunicación de los Servicios de acceso móvil

Los Servicios de acceso móvil integran el acceso de datos de redes inalámbricas y
alámbricas para que las aplicaciones y los datos puedan estar disponibles en un
dispositivo portátil. Los servicios de acceso móvil soportan una amplia gama de
redes inalámbricas y de acceso telefónico, que se describen de forma más detallada
en el apartado “Proveedores de redes inalámbricas” en la página 33.
Los programas de aplicación existentes que utilizan una interfaz TCP/IP pueden
utilizar redes inalámbricas o redes con cable. La utilización de TCP/IP integra la
comunicación bajo una capa de interfaz común que protege los detalles específicos
de la red frente a la aplicación de usuario. Los Servicios de acceso móvil a través
de la conexión al Mobility Client proporciona mejoras específicas de la red, como
por ejemplo:
1
v Compresión de datos
v Cifrado de datos
v Optimización de datos
v Autenticación
Figura 1. Comunicación inalámbrica y alámbrica
Una configuración básica de los servicios de acceso móvil se ilustra en la Figura 1.

El dispositivo portátil con el software de Mobility Client está a la izquierda y
utiliza una conexión inalámbrica, de acceso telefónico o LAN. El dispositivo
portátil se conecta a través de la red al Connection Manager y a otros servidores
que permiten al dispositivo portátil acceder a las aplicaciones de empresa y a
Internet. En efecto, la conexión entre los servicios de acceso móvil y los clientes
Mobility es una red privada virtual (VPN) propietaria.
Las aplicaciones inalámbricas que utilizan una conexión orientada a paquetes no

IP, como por ejemplo Mobitex o DataTAC, están soportadas por los servicios de
acceso móvil.
Comunicación HTTP
Los Servicios de acceso HTTP crean un túnel seguro para la comunicación HTTP
entre clientes HTTP, como por ejemplo un navegador web. Servicios de acceso
HTTP se instala con el Connection Manager. Junto con un proxy HTTP, los
Servicios de acceso HTTP utilizan los perfiles de autenticación del sistema,
RADIUS o por enlace LDAP para proporcionar el mismo servicio que un proxy
HTTP de autenticación.
2 Lotus Mobile Connect Administrator’s Guide

Figura 2. Servicios de acceso HTTP
Tenga en cuenta que los Servicios de acceso HTTP no son lo mismo que utilizar un
transporte TCP-Lite para proporcionar el servicio códec (codificador/decodificador)
HTTP entre el Connection Manager y los clientes Mobility. El códec HTTP reduce
el recuento de bytes en el aire (OTA) eliminando y/o codificando por bytes los
campos de cabecera de una corriente de datos HTTP. Consulte el apartado “Codec
HTTP” en la página 122 para obtener más información.
Comunicación de mensajes
Los Servicios de mensajería soportan varios tipos de modalidades de mensaje:
v Servicio de Mensajes Cortos (SMS)
v Entrega de mensajes cortos a través de redes propietarias (como por ejemplo,
Mobitex o DataTAC)
v Correo electrónico utilizando SMTP
v Protocolo Simple de Paginación de Red (SNPP)
v Protocolo de Transferencia de Comunicaciones Inalámbricas (WCTP)
Ejemplos de operaciones de mensajes podrían ser noticias, cotizaciones de bolsa,
mensajes de buscapersonas, mensajes de difusión y la notificación de eventos,
como por ejemplo la llegada de correo electrónico.
Operación de entrega de mensajes cortos

Una operación de entrega de mensajes cortos empieza cuando una aplicación o
servlet de proceso de mensajes utiliza las IBM Lotus Mobile Connect Messaging
Services and Push APIs para enviar un mensaje a los servicios de mensajería. Los
servicios de mensajería reenvían el mensaje a un centro de servicio de mensajes
cortos (SMS-C), a un servidor SMTP o a otro servidor de red para su posterior
entrega a un cliente.
Capítulo 1. Visión general 3

La Figura 3 muestra un dispositivo portátil a la izquierda que recibe mensajes
procedentes de los servicios de mensajería, que han recibido la información de una
aplicación de proceso de mensajes.
Figura 3. Comunicación de mensajes
Operación de mensajes originados en dispositivos portátiles

La Figura 4 muestra un dispositivo portátil a la izquierda que envía mensajes a los
servicios de mensajería, los cuales reenvían la información a una aplicación o
servlet de proceso de mensajes.
Figura 4. Servicios de mensajería que aceptan mensajes originados en dispositivos portátiles
Una operación de mensaje originado en un dispositivo portátil empieza cuando un

cliente envía un mensaje a un proveedor de red para que lo entregue a los
servicios de mensajería. Los servicios de mensajería utilizan un operación de envío

HTTP para reenviar el mensaje a una aplicación o servlet que utiliza las IBM Lotus
Mobile Connect Messaging Services and Push APIs.
Componentes principales
La red está formada por varios componentes principales:
v “Almacenamiento de datos persistente”
v “Connection Manager” en la página 6
v “Gatekeeper” en la página 8
v “Roles de cliente” en la página 8
v “Proveedores de red” en la página 9
Almacenamiento de datos persistente

Estos tipos de datos se almacenan de forma persistente para ser utilizados por el
Connection Manager:
1. La base de usuarios de propiedades y datos de cuenta. Existen varias
posibilidades para almacenar de forma persistente la base de usuarios. En el
apartado “Usuario” en la página 26 encontrará más detalles.
2. Información de configuración, como por ejemplo un identificador de recursos o
el estado actual de un recurso.
3. Información de sesión, que consta de todas las actividades que tienen lugar
durante el establecimiento, mantenimiento y liberación de cualquier conexión
con el Connection Manager, como por ejemplo la información de identificación
de mensajes.
4. Información de contabilidad y facturación, que incluye la información de sesión
así como información adicional, como por ejemplo flujos de paquetes,
información sobre direcciones y la duración de una conexión.
El almacenamiento de datos puede residir en cualquier sistema principal accesible

y puede contener información acerca de los recursos de más de un Connection
Manager.
Información de configuración
La información de configuración sobre recursos de red inalámbricos se almacena
utilizando uno de estos métodos:
v Un servicio de directorio compatible con el protocolo LDAP (Lightweight
Directory Access Protocol) versión 3
| v Una base de datos relacional compatible con ODBC
| v sistema de archivos local
| Puede seleccionar el método de almacenamiento que desea utilizar para cada

| instalación de Connection Manager. Esta selección se realiza durante la
| configuración inicial del gestor de accesos. Al hacer esta selección, tenga en cuenta
| que no hay manera de cambiar de un método a otro y retener los datos de
| configuración existentes.
Una base de datos relacional o un servicio de directorio pueden residir en

cualquier sistema principal accesible y pueden almacenar información sobre más
de un Connection Manager y una red inalámbrica.
Para obtener más información sobre la planificación, consulte los apartados:

“Almacenamiento de datos” en la página 35

“Requisitos de software para el almacenamiento de datos persistente” en la
página 55
Información de sesión
La información sobre los datos de la sesión se almacena en una base de datos
relacional compatible con ODBC o en el sistema de archivos local.
La información relacionada con la sesión consta de todas las actividades que tienen
lugar durante el establecimiento, mantenimiento y liberación de cualquier conexión
con el Connection Manager. Una base de datos relacional puede residir en
cualquier sistema principal accesible y puede almacenar información acerca de más
de un Connection Manager.
Para obtener más información sobre la planificación, consulte los apartados:

v “Información de sesión almacenada en una base de datos relacional” en la
página 37
v “Requisitos de software para el almacenamiento de datos persistente” en la
página 55
.
Información de contabilidad y facturación

La información de contabilidad y facturación no es información de estado sino más
bien información acerca del flujo de paquetes. La información sobre los datos de
contabilidad y facturación se almacena en el sistema de archivos local o en una
base de datos relacional compatible con ODBC. Una base de datos relacional puede
residir en cualquier sistema principal accesible y puede almacenar información
acerca de más de un Connection Manager.
Para obtener más información de planificación, consulte el apartado “Información

de sesión almacenada en una base de datos relacional” en la página 37.
Si desea utilizar una herramienta de informe para auditar y ordenar los datos,
consulte el apartado “Esquema de base de datos de contabilidad y facturación” en
la página 149.
Connection Manager
El Connection Manager integra todas las redes soportadas dentro de un mismo
sistema principal multiubicado. Puede conectar redes de radio con cualquier red
inalámbrica, desde redes de área local (LAN) a redes de área amplia (WAN). Todos
los dispositivos fijos y portátiles pueden enlazarse al mismo Connection Manager,
sea cual sea la red de radio, y todas las unidades pueden acceder al mismo
conjunto de aplicaciones. Los usuarios con diferentes necesidades de aplicaciones
(basadas en los costes de transmisión, cobertura y dispositivos disponibles) pueden
seleccionar la mejor red de radio para su situación.
El Connection Manager puede configurarse para permitir la comunicación

utilizando los servicios de acceso móvil, los Servicios de acceso HTTP o los
servicios de mensajería. El Connection Manager también soporta:
Opciones de seguridad
Existen varias formas de aplicar la seguridad de la red, de las aplicaciones
y de los datos. Consulte la Figura 7 en la página 42 y utilice la Tabla 6 en
la página 42 para determinar las opciones y revisar la información de
planificación y configuración.

Soporte de clústeres
El Connection Manager puede configurarse para ser un nodo principal o
subordinado de un clúster. De esta manera, el Connection Manager
distribuye y atiende las solicitudes de comunicación y proporciona
eficiencia de compensación de carga. Un gestor de clústeres se instala
automáticamente cuando se instala el Connection Manager. Consulte el
apartado “Soporte de varios nodos de clúster” en la página 20 para ver un
ejemplo descriptivo.
Conexión de red móvil (MNC)
La mayoría del tráfico de datos que fluye a través del Connection Manager
utiliza una conexión de red móvil (MNC) para cada tipo específico de red
o portador a través de cual se conectan los clientes. Para ver una lista de
los tipos de MNC disponibles, consulte el apartado “Conexión de red
móvil (MNC)” en la página 22.
Búsqueda de servidor de directorios
Para sacar partido de las bases de datos de cuentas de usuario existentes,
el servidor de directorios proporciona la definición de cómo ponerse en
contacto con otro servidor de servicios de directorio (DSS). Consulte el
apartado “Servidor de directorios” en la página 25.
Grupos
Proporciona una forma de agrupar recursos y asignarlos colectivamente, en
lugar de hacerlo individualmente. Consulte el apartado “Grupos” en la
página 21.
Anotaciones
El Connection Manager proporciona servicios de anotaciones de mensajes,
contabilidad y rastreo. Consulte la Guía de resolución de problemas para
obtener más información.
Gestión de red
El Connection Manager puede configurarse para enviar rupturas a una
estación de gestión SNMP (Protocolo Simple de Gestión de Red). Consulte
la Guía de resolución de problemas para obtener más información.
| Soporte a dispositivos específicos del sistema operativo

| Algunas funciones de Connection Manager no están disponibles en todos los
| sistemas operativos. Tabla 1 describe las funciones soportadas por cada sistema
| operativo.
| Tabla 1. Matriz de funciones y de las opciones que admite cada sistema operativo
| Función AIX Linux Solaris
| Servicios de acceso Sí Sí Sí
| móvil
| Servicios de acceso Sí Sí Sí
| HTTP
| Servicios de Sí Sí Sí
| Mensajería
| Soporte a DB2 Sí Sí Sí
| Soporte a Oracle Sí Sí Sí
| soporte de X.25 Sí No No
| Soporte a MNC Todos los disponibles Todos los Todos los
| disponibles, excepto disponibles, excepto
| X.25 X.25
|

| Gatekeeper
El Gatekeeper es una interfaz administrativa fácil de utilizar que le permite definir
y gestionar recursos inalámbricos. Mediante la utilización del Gatekeeper, puede
configurar gestores de conexiones, registrar usuarios y dispositivos portátiles,
especificar controles de anotaciones y rastreo, y realizar muchas otras tareas
administrativas.
Elementos de la interfaz del Gatekeeper

La interfaz del Gatekeeper está dividida en dos paneles mediante una columna
vertical. Puede mover esta columna a la izquierda o a la derecha para tener una
mejor visión de cada panel.
| El panel izquierdo de la interfaz contiene tres separadores, Tareas, Recursos y

| Navegador de archivos, que le ofrecen acceso a la información y las tareas que
| puede realizar y a los recursos que puede gestionar.
El separador Tareas muestra tareas comunes como, por ejemplo, Buscar un

recurso, Ver registros, Añadir un recurso, o Difundir un mensaje.
Los recursos se muestran en el separador Recursos dentro de la jerarquía de las

unidades organizativas. Las unidades organizativas son como contenedores que se
utilizan para agrupar todos los recursos y controlar el acceso a estos recursos por
parte de los administradores. En la parte inferior del separador Recursos hay un
botón Renovar que sirve para renovar la vista de los recursos.
| La información de configuración se muestra en el separador Navegador de

| archivos y se puede utilizar para solucionar los problemas del Gatekeeper. De
| manera predeterminada, este separador no se muestra. Consulte el apartado
| “Opciones –> Propiedades de Gatekeeper” en la página 103 para obtener más
| información acerca de este separador.
Puede tener muchos administradores que utilizan diferentes instalaciones del

Gatekeeper al mismo tiempo. Cuando inicie una sesión en el Gatekeeper, el perfil
de ACL (lista de control de accesos) del ID de administrador determina los
recursos que puede ver y con los que puede trabajar.
Para obtener más información, consulte los apartados “Navegación en la interfaz

del Gatekeeper” en la página 101 y “Obtener ayuda en línea” en la página 160.
Roles de cliente
El Connection Manager se conecta con clientes en función de las características que
haya instalado y configurado.
clientes Mobility y dispositivos portátiles
Servicios de acceso HTTP
Clientes HTTP (Protocolo de Transporte de Hipertexto) que utilizan HTTP
Versión 1.1, como por ejemplo un navegador web
Clientes de mensajería, como por ejemplo buscapersonas.
Mobility Client
El Mobility Client proporciona un túnel IP seguro y optimizado para la
comunicación con los servicios de acceso móvil utilizando diversas redes
inalámbricas y alámbricas. Después de configurar las redes inalámbricas, LAN y de

acceso telefónico utilizando la interfaz administrativa del Gatekeeper, puede iniciar
el Mobility Client y una conexión de red. Una vez que se ha establecido la
conexión de red, las aplicaciones IP del dispositivo portátil pueden ejecutarse a
través de una red inalámbrica o alámbrica.
El Mobility Client se coloca debajo de la pila TCP/IP y le permite ejecutar las

aplicaciones IP en todas las redes soportadas. Para el usuario final, una red de
radio se convierte simplemente en otra red que no requiere interfaces de
programación ni protocolos de comunicaciones especializados.
Los programas de aplicación móviles que utilizan una interfaz TCP/IP tienen
acceso a las redes inalámbricas y alámbricas. Los programadores pueden
desarrollar aplicaciones en un entorno de red de área local (LAN) utilizando la
interfaz del programador de aplicaciones (API) TCP/IP estándar y, a continuación,
ejecutar las aplicaciones en el entorno del Connection Manager sin modificaciones.
Proveedores de red
Los proveedores de red son portadores de redes específicas, tanto IP como no IP, a
las que se conecta el Connection Manager. El soporte para los proveedores de red
varía en función de los protocolos que utilizan los operadores de las redes. Cada
proveedor de red puede tener identificadores exclusivos de hardware y software
para objetos similares, o bien métodos exclusivos para conectar la red inalámbrica
al Connection Manager. El Connection Manager establece una conexión utilizando
una conexión a red móvil (MNC) adaptada específicamente a cada tipo de
proveedor de red.
Las redes inalámbricas que el usuario instala, configura y mantiene se basan en las
necesidades de la organización y en la disponibilidad de opciones, velocidad de
datos, capacidad de transferencia y área de cobertura del proveedor de red. Para
obtener más información acerca de los proveedores de red que soporta el
Connection Manager, consulte el apartado “Proveedores de redes inalámbricas” en
la página 33.

Capítulo 2. Planificación
El Gatekeeper le permite definir los recursos que representan la red. Los recursos
se definen después de instalar los componentes principales. Es importante
entender los tipos de recursos disponibles y las formas en que puede utilizarlos
para administrar el entorno de red para satisfacer sus necesidades de flexibilidad,
seguridad y control.
La Figura 5 en la página 12 muestra una representación gráfica de todos los

recursos de Connection Manager. El color en la representación gráfica indica cómo
se crean los recursos desde el separador Recursos; el color negro indica que se
pulsa con el botón derecho el recurso padre y el color verde indica que se pulsa
con el botón derecho del ratón la OU en la que se desea crear el nuevo recurso.
11
Figura 5. Jerarquía de recursos del Connection Manager
| Tenga en cuenta que se crearán automáticamente tres unidades organizativas. La

| OU de nivel superior tiene la etiqueta Mobile Connect y todos los recursos se crean
| en ella. La OU con la etiqueta Sistema se utiliza para visualizar los usuarios
| específicos que no autentica el Connection Manager. En el apartado “Visualización
| de usuarios” en la página 106 encontrará más detalles. La OU con la etiqueta
| Recursos predeterminados contiene algunos filtros, perfiles y grupos utilizados
| habitualmente. Consulte la ayuda en línea de Gatekeeper para obtener más
| detalles.

Definir los recursos
Los siguientes recursos se definen utilizando el Gatekeeper:
v “Unidad organizativa”
v “Gestor de accesos” en la página 14
v “Connection Manager” en la página 15
– “Servicios de acceso móvil” en la página 18
– “Servicios de acceso HTTP” en la página 16
– “Servicios de mensajería” en la página 16
– “Gestor de clústeres” en la página 19
v “Grupos” en la página 21
v “Conexión de red móvil (MNC)” en la página 22
v “Discriminador de dispositivos” en la página 24
v “Servidor de directorios” en la página 25
v “Usuario” en la página 26
v “Administrador” en la página 27
v “Listas de control de accesos y perfiles de ACL” en la página 28
v “Perfil de autenticación” en la página 30
v “Política de contraseñas” en la página 32
Los recursos son específicos de los servicios de acceso móvil incluyen los
siguientes:
v “TCP-Lite” en la página 121
– “Codec HTTP” en la página 122
v “Conexión y perfiles de transporte” en la página 122
v “Grupos para los servicios de acceso móvil” en la página 128
v “Dispositivo portátil” en la página 129
v “Perfil de módem” en la página 129
v “Conversor de direcciones de red” en la página 129
v “Correlación de paquetes” en la página 131
v “Filtro” en la página 131
v “Alias de direccionamiento” en la página 131
v “Interfaz de red móvil (MNI)” en la página 132
El recurso específico del servicios de mensajería es “Servicio de aplicaciones” en la

página 139.
Unidad organizativa
Las unidades organizativas (OU) son contenedores que se utilizan para agrupar los
recursos y controlar el acceso a estos recursos por parte de los administradores.
Los OU se crean en una estructura de árbol, similar a los directorios. Cada recurso
de un sistema inalámbrico se asigna a una OU primaria.
Las OU utilizan el esquema de denominación X.500, definido en la RFC 1777 del

Grupo de ingeniería de Internet (IETF). En el directorio raíz hay un nombre
distinguido base especificado como o=nombreorg,c=nombreunidad. Por ejemplo, si
desea representar una empresa llamada BigEye con oficinas por todo Canadá,
asigne un nombre distinguido base de o=BigEye,c=Canadá. Debajo, cree unidades
Capítulo 2. Planificación 13
organizativas para cada provincia donde opera la empresa BigEye. Si estas
provincias son Ontario, Quebec y Manitoba, habría las siguientes tres OU:
ou=Manitoba,o=BigEye,c=Canadá
ou=Ontario,o=BigEye,c=Canadá
ou=Quebec,o=BigEye,c=Canadá
Las unidades organizativas pueden anidarse en cualquier número de niveles.
Si la red de Ontario tiene subredes centradas en Ottawa y Toronto, las OU podrían

tener el siguiente aspecto:
ou=Ottawa,ou=Ontario,o=BigEye,c=Canadá
ou=Toronto,ou=Ontario,o=BigEye,c=Canadá
Otra forma de representar esta organización es la siguiente:

BigEye,Canadá
Manitoba
Ontario
Ottawa
Toronto
Quebec
Todos los recursos se asignan a una OU primaria, donde se controla el acceso a los
recursos. Los recursos también pueden asociarse a OU adicionales. Por ejemplo,
podría crear una segunda jerarquía para representar diferentes divisiones de la
empresa, independientemente de su ubicación. Por ejemplo, podría crear OU
llamadas Ventas, Pruebas y Desarrollo. A continuación, podría asignar recursos a
estas OU adicionales para verlos en estas agrupaciones. El único recurso que no se
puede asociar con una OU adicional es una OU.
Cuando se suprime una OU, se suprimen todos los recursos que tienen como OU
primaria la OU suprimida.
Gestor de accesos
| El gestor de accesos es el interfaz del servidor de Gatekeeper que gestionar la
| información de configuración de Connection Manager. Cuando un administrador
| realiza cambios en la configuración, el gestor de accesos actualiza el
| almacenamiento de datos persistente y actualiza dinámicamente Connection
| Manager que se está ejecutando con los nuevos datos de configuración.
El gestor de accesos se implementa como un daemon llamado wgmgrd y se instala

automáticamente con el Connection Manager.
Si utiliza LDAP (lightweight directory access protocol) para almacenar las

propiedades del Connection Manager, puede especificar un servidor de servicios
de directorio (DSS) alternativo para que sea una réplica de sólo lectura o una
relación de igual a igual que sincroniza un servidor primario con un servidor
alternativo. Consulte el apartado “Configurar un servidor de directorios
alternativo” en la página 97.
| El recurso del gestor de accesos sólo está disponible para configuración desde el ID
| de administrador (gkadmin) predeterminado del Connection Manager. Cuando
| inicie la sesión como administrador predeterminado, el gestor de accesos se
| visualizará como la entrada superior del separador Recursos. Cuando se conecte
| por primera vez a un Connection Manager desde el Gatekeeper, debe iniciar la
| sesión como administrador predeterminado y, a continuación, se le solicitará que
| configure el gestor de accesos.

El gestor de accesos realiza lo siguiente:
v Recibe mandatos del Gatekeeper codificados en XML.
v Ejecuta los mandatos.
v Recibe los resultados de los mandatos. Si la información de configuración se
actualiza como resultado de los mandatos, el Connection Manager recibe
automáticamente una notificación de que se requiere una actualización y vuelve
a cargar los datos.
v Convierte los resultados en XML.
v Devuelve los resultados al Gatekeeper.
El gestor de accesos se puede configurar para aceptar sólo las conexiones de los
Gatekeepers que utilizan direcciones IP específicas y pueden trabajar con varios
Gatekeepers remotos.
De manera predeterminada, el gestor de accesos está configurado de manera que

todas las contraseñas de usuario y administrador se cifran antes de almacenarse.
Este valor debe ser igual para todos los gestores de accesos y gestores de
conexiones que utilizan el mismo servicio de directorio para almacenar la
información de configuración.
Si el servicio de directorio cifra las contraseñas, asegúrese de que esta propiedad

está desactivada. Para impedir el cifrado de las contraseñas, desmarque los
recuadros de selección Cifrar contraseñas antes del almacenamiento en el
separador DSS de Connection Manager de las propiedades del gestor y del
Connection Manager. Consulte el apartado “Edición de propiedades de recursos”
en la página 101 para obtener más información.
El gestor de accesos seguro es un proceso opcional (wgmgrsd) que se instala con el

Connection Manager y gestiona las interacciones entre el Gatekeeper y Connection
Manager. El gestor de accesos seguro utiliza la capa de sockets protegidos (SSL)
para cifrar y descifrar el tráfico entre el Gatekeeper y el gestor de accesos. Para
obtener más información sobre esta opción de seguridad, consulte el apartado
“Autenticación y cifrado entre el Gatekeeper y el gestor de accesos” en la página
52.
Connection Manager
Después de instalar el Connection Manager y de instalar el soporte de red
necesario que utilizará Connection Manager, utilice el Gatekeeper para definir el
recurso del Connection Manager y las propiedades para su administración. Otros
recursos que son recursos dependientes del Connection Manager son los siguientes:
v Servicios de acceso móvil
v Servicios de acceso HTTP
v Servicios de mensajería
v Gestor de clústeres
v MNC
v Discriminador de dispositivos
Las propiedades que puede configurar para el Connection Manager incluyen las
siguientes:
Pasarela
Además de un campo de identificador y descripción, puede especificar el
intervalo de supervisión de sistema, el tiempo máximo de inactividad, las
conexiones de estado máximas y el puerto de estado.
Anotaciones
Especifica las ubicaciones de los archivos de anotaciones de mensajes y
rastreo así como los niveles de anotaciones de mensajes.
Alertas
Especifica si la notificación de alertas por correo electrónico está habilitada
y define un servidor SMTP, una lista de eventos y los administradores que
recibirán la notificación.
Contabilidad y facturación
Especifica dónde se almacena la información de anotaciones a efectos de
contabilidad y facturación.
Contabilidad RADIUS
Especifica si se utilizan servidores de contabilidad RADIUS.
Base de datos de sesión
Especifica la base de datos relacional que almacena datos de la sesión.
Gestión de red
Especifica si un daemon SNMP (Protocolo Simple de Gestión de Red) se
ejecuta en qué estaciones de gestión de red, así como el nivel de
anotaciones que se utiliza para las rupturas.
OU Especifica las unidades organizativas y las unidades organizativas
adicionales en las que el Connection Manager está definido.
Los Servicios de mensajería permiten que un servidor de aplicaciones web envíe
mensajes a un cliente, como por ejemplo un buscapersonas o un teléfono, en una
red inalámbrica.
Los Servicios de mensajería soportan varios tipos de modalidades de mensaje:

v Entrega de mensajes cortos a través de redes propietarias (como por ejemplo,
Mobitex o DataTAC)
v Correo electrónico que utiliza SMTP
v Protocolo Simple de Paginación de Red (SNPP)
Ejemplos de operaciones de mensajes podrían ser noticias, cotizaciones de bolsa,
mensajes de buscapersonas, mensajes de difusión y la notificación de eventos,
como por ejemplo la llegada de correo electrónico. Consulte la Tabla 2 en la página
22 para obtener una lista de las MNC disponibles para las conexiones de
mensajería.
Servicios de mensajería tiene un recurso dependiente: servicio de aplicación.
| Los servicios de mensajería requieren que se utilice una base de datos relacional
| compatible con ODBC para almacenar los datos de sesión.
Servicios de acceso HTTP

Los servicios de acceso HTTP proporcionan un túnel seguro para la comunicación
HTTP con cualquier cliente HTTP Versión 1.1. La conexión entre los servicios de

acceso HTTP y un cliente HTTP se protege mediante la capa de sockets protegidos
(SSL). La conexión entre el servidor proxy HTTP y los servicios de acceso HTTP se
protegen opcionalmente con SSL.
Los servicios de acceso HTTP utilizan un método de autenticación que establece

una conexión HTTP segura con una corriente de datos de cliente HTTP, por
ejemplo, desde un navegador. Los servicios de acceso HTTP comprueban la
existencia de credenciales válidas en la corriente de datos y, si no existe ninguna,
devuelven una pantalla de inicio de sesión basada en formulario que solicita al
usuario un ID de usuario y una contraseña válidos.
A continuación, los servicios de acceso HTTP envían la corriente de datos HTTP a

un servidor proxy HTTP. La conexión con el proxy HTTP puede estar configurada
para que sólo permita conexiones desde los sistemas principales especificados.
Cuando un cliente HTTP intenta conectarse a los servicios de acceso HTTP, la

cabecera del cliente HTTP se analiza en busca de una cookie que tenga un símbolo
de par nombre-valor concreto. Estos símbolos de par nombre-valor se establecen en
el perfil de autenticación.
Hay dos tipos de cookies válidas: LTPA y una cookie específica de Connection
Manager, cuando LTPA no está configurado. Si el nombre que se encuentra en la
cabecera es LtpaToken=, se utiliza el símbolo codificado en LTPA. Si el nombre que
se encuentra en la cabecera es WgSessionKey=, se utiliza la clave de sesión
codificada de Connection Manager. Si se encuentra una cookie válida en la
cabecera, la solicitud del cliente HTTP se reenvía a un proxy HTTP. Esta cookie se
emplea en los intentos de conexión futuros y tiene un tiempo de vida igual al de la
sesión del navegador, aunque en el caso del símbolo LTPA, el tiempo de vida del
símbolo se puede configurar por separado.
Cuando no hay ninguna cookie valida en la cabecera, se envía una página de inicio
de sesión al cliente HTTP. Una vez que el usuario inicie una sesión y proporcione
las credenciales válidas, los servicios de acceso HTTP establecen una cookie y
redirigen la solicitud de nuevo al cliente HTTP que seguidamente se reconecta, esta
vez con una cookie válida en la cabecera, que los servicios de acceso HTTP utilizan
para validar la sesión y reenviar la solicitud a un proxy HTTP.
La página de inicio de sesión se crea automáticamente y utiliza estos tres archivos,

que vienen en el directorio /wireless/http/msg/<idioma>, que se pueden
personalizar para la pantalla de inicio de sesión:
login_hdr.html
″Espacio reservado para la barra de título″
login_motd.html
″Mensaje del día″
login_tlr.html
″Espacio reservado para los derechos de autor y las declaraciones de
exención de responsabilidad″
Observe que no puede haber <cuerpo> ni elementos <html> en estos archivos

HTML.
No existe ninguna manera explícita de finalizar sesión en esta conexión segura sin
cerrar la ventana del navegador. A modo de sugerencia, edite uno de estos tres
archivos para incluir un mensaje con la indicación de que se cierre la ventana del
navegador una vez que el usuario haya terminado con la conexión, para asegurar
que nadie más pueda utilizarla. Debe saber que la utilización de los Servicios de
acceso HTTP para acceder a la intranet de la empresa desde sistemas cuya
seguridad no se conoce o no es fiable puede comprometer la seguridad de la
información de inicio de sesión o de los datos, si hay instalado un determinado
spyware. Cuando utilice los Servicios de acceso HTTP desde sistemas que no sean
los que controla o confía completamente, asegúrese de que las políticas de
seguridad ofrecen protección contra estos riesgos o soportan la aceptación de los
mismos.
Cada recurso solicitado (URL) debe tener como prefijo un URL de servicio. Por
ejemplo, si el URL de servicio está configurado como mobile.miempresa.com,
cuando el cliente HTTP entra esa ubicación en el navegador, los servicios de acceso
HTTP redirigen el URL como https://mobile.miempresa.com/http://
miempresa.intranet.com.
El URL de servicio se puede entrar directamente en un navegador o almacenar en

un código Host de una cabecera HTTP de la corriente de datos de una aplicación.
Si el valor de Host no coincide con el valor del URL de servicio, los servicios de
acceso HTTP envían un código de estado HTTP 301 Movido Permanentemente al
cliente HTTP, además del URL pertinente para redirigir al puerto configurado para
el servicio HTTP. El valor de Host también debe coincidir con el valor almacenado
en el certificado del cliente para evitar que aparezcan avisos de proceso de
certificado en algunos navegadores
Para añadir servicios de acceso HTTP, en el panel izquierdo, pulse con el botón
derecho del ratón sobre Connection Manager al que desea añadir los servicios y, a
continuación, pulse Añadir --> Servicio de acceso HTTP.

Los Servicios de acceso móvil integran el acceso para todas las redes inalámbricas
y alámbricas soportadas en un único recurso.
Otros recursos que son recursos dependientes de los servicios de acceso móvil
incluyen los siguientes:
v Determinados grupos, como por ejemplo de difusión, filtros y correlación de
paquetes o NAT
v Perfil de conexión
v Conversor de direcciones de red (NAT)
v Correlaciones de paquetes
v Filtros
v Alias de direccionamiento
v Interfaz de red móvil (MNI)
Las propiedades que puede configurar para los servicios de acceso móvil incluyen
las siguientes:
General
Además de un campo de descripción, puede especificar el tiempo máximo
de inactividad.
Protocolo de enlace inalámbrico/PPP
Especifica los valores globales que afectan a todas las redes que ha
instalado y configurado para utilizar con los servicios de acceso móvil. Por
ejemplo, el puerto UDP y TCP utilizado para actualizaciones de

contraseñas y los valores del protocolo punto a punto, como por ejemplo
los intervalos de tiempo de espera y el número máximo de transmisiones
de configuración, terminación y solicitud de eco.
Difusión
Especifica los servidores de aplicaciones de difusión, tanto si la interfaz es
de protocolo de datagramas de usuario (UDP) o de llamada a
procedimiento remoto (RPC), que tienen permiso para enviar difusiones a
dispositivos activos utilizando los servicios de acceso móvil.
Gestor de clústeres
Un gestor de clústeres es un recurso que realiza compensación de carga dinámica y
mejora la disponibilidad en los gestores de conexiones. Cada instalación de un
Connection Manager crea un único recurso de gestor de clústeres.
Edite las propiedades del gestor de clústeres para definir un Connection Manager
como nodo principal, nodo subordinado o como ambos. Un nodo principal
despacha tráfico a los nodos subordinados. Un nodo subordinado está configurado
para aceptar tráfico procedente de uno o varios nodos principales. Un gestor de
clústeres que está definido como nodo principal y a la vez como nodo subordinado
despacha tráfico y procesa datos. Tenga en cuanta que sólo hay un nodo principal
por cada gestor de clústeres.
Para despachar tráfico para una red determinada, asegúrese de que servicios de
mensajería esté configurado como el nodo principal de un clúster.
Para despachar tráfico para una MNC de mensajería, asegúrese de que la MNC
está instalada y configurada en el mismo sistema que los servicios de mensajería.
Un nodo principal inicia la comunicación con los nodos subordinados. Como parte
del rol de recibir y despachar tráfico, un nodo principal mantiene una
comunicación bidireccional con los nodos subordinados. Proporcione una copia de
seguridad para los gestores de conexiones que están configurados como nodos
principales con el fin de asegurar la disponibilidad de los recursos más
importantes.
Los nodos subordinados envían información de carga a los nodos principales y

controlan cuándo debe empezar o finalizar la aceptación de tráfico procedente de
los nodos principales en función de un algoritmo de distribución configurable. Los
algoritmos de distribución son los siguientes:
Por turno circular
El nodo principal repite continuamente la secuencia de distribución del
tráfico entre una serie de nodos subordinados, uno tras otro.
Por turno circular ponderado
El nodo principal repite continuamente la secuencia de distribución del
tráfico entre una serie de nodos subordinados, basándose en los umbrales
de utilización de CPU configurables, denominados límites de nivel
superior e inferior.
Basado en dispositivo/MNC
El nodo principal distribuye el tráfico entre los nodos subordinados,
basándose en la MNC o en el identificador de dispositivo exclusivo del
que procedía.
Cuando concluye un nodo principal, el gestor de clústeres notifica a los nodos
subordinados que deben cancelar anormalmente las transacciones pendientes que
se vuelven a direccionar a través del nodo principal.
Los nodos subordinados pueden configurarse en uno de los tres estados siguientes:
Activo La modalidad normal de operación en la que el gestor de clústeres
despacha el tráfico de acuerdo con el algoritmo de distribución
configurado para el nodo subordinado.
Definido
Una modalidad de operación en la que el gestor de clústeres notifica
inmediatamente al nodo subordinado que debe cancelar anormalmente
todas las transacciones pendientes.
Mantenimiento
Una modalidad de operación en la que el gestor de clústeres no direcciona
tráfico nuevo hacia este nodo subordinado, permitiendo que finalice el
tráfico después de que se hayan completado todas las transacciones
pendientes Para verificar que ha finalizado todo el tráfico, utilice el
programa de utilidad wg_monitor y compruebe el número de sesiones
activas. En el apartado “Supervisión del flujo de paquetes” en la página
107 encontrará más detalles acerca del programa de utilidad.
Los nodos subordinados pueden agruparse en grupos de clústeres y los nodos

principales pueden configurarse para despachar tráfico sólo a los nodos
subordinados de estos grupos. De manera predeterminada, si un gestor de
clústeres no tiene grupos para gestionar, gestiona todos los nodos subordinados
que no están asignados a un grupo de clústeres. Consulte el apartado “Configurar
nodos de clúster” en la página 93 para obtener más información.
Puede mejorar el rendimiento de las MNC sin conexión, como por ejemplo, ip-lan,
enlazando el puerto UDP a una dirección IP específica. Consulte el apartado
“Configurar nodos de clúster para MNC sin conexión” en la página 94 para
Soporte de varios nodos de clúster

Se pueden configurar varios gestores de conexiones como un clúster para distribuir
la carga en una configuración de varios nodos. Además de aprovechar al máximo
las funciones de multiprocesador de UNIX, el soporte de clúster de Connection
Manager mejora la escalabilidad y añade un recurso dinámico de compensación y
compartimiento de la carga de trabajo con un clúster físico.
Puede agrupar los nodos subordinados y asignar un nodo principal que despacha
tráfico a nodos específicos del grupo de clústeres. Los nodos subordinados pueden
añadirse dinámicamente a un grupo de clústeres para aumentar la capacidad del
clúster.

Figura 6. Ejemplo de clúster con varios gestores de conexiones
La Figura 6 muestra un ejemplo del Connection Manager configurado para

distribuir la carga de trabajo. Cada recuadro de la Figura 6 es un Connection
Manager, configurado como nodo subordinado (llamado S) o como nodo principal
(llamado P).
El nodo principal es un Connection Manager configurado para recibir el tráfico de

una conexión de red móvil y distribuir la carga de trabajo entre sus nodos
subordinados. Los nodos subordinados están configurados para aceptar y procesar
el tráfico procedente del nodo principal de acuerdo con un algoritmo de
distribución configurable. Para proporcionar una copia de seguridad del nodo
principal, puede utilizarse HACMP (High Availability Cluster Multi-Processing)
con una segunda máquina. No es necesario realizar una copia de seguridad de los
nodos subordinados.
Grupos
Un grupo es una forma de recopilar recursos inalámbricos para utilizarlos como
grupo en lugar de hacerlo por separado. Puede crear grupos de los siguientes
tipos:
MNC Una agrupación de conexiones de red móvil que pueden asignarse a otro
recurso. Por ejemplo, puede asignar un grupo MNC a un nodo
subordinado, eliminado la necesidad de asignar cada MNC
individualmente.
En el caso de las MNC de conexión de mensajería, puede asignar MNC a
un grupo y direccionar los mensajes sólo a las MNC especificadas en dicho
grupo.
Clúster
Una agrupación de nodos subordinados que pueden asignarse a un nodo
principal, eliminando la necesidad de asignar individualmente cada nodo
subordinado. Para obtener más información, consulte el apartado “Gestor
de clústeres” en la página 19.
Para ver una lista de otros grupos disponibles, consulte el apartado “Grupos para
los servicios de acceso móvil” en la página 128.
Conexión de red móvil (MNC)

Una conexión de red móvil (MNC) es un recurso que se asigna al Connection
Manager y define un tipo específico de conexión de red. La MNC consta de un
controlador de línea, un intérprete de protocolo de red y uno o más puertos físicos.
Configure una MNC para cada proveedor de red que vaya a utilizar.
Los tipos de MNC incluyen:

v Conexiones de mensajería, consulte la Tabla 2.
v Conexiones de acceso móvil, consulte la Tabla 3 en la página 23.
| No todas las MNC están disponibles en todos los sistemas operativos. Por ejemplo,
| el soporte de la MNC X.25 sólo está disponible en AIX.
Las MNC que requieren detalles de configuración específicos incluyen las

siguientes:
v “Configuración de una MNC SMPP” en la página 142
v “Configurar nodos de clúster para MNC sin conexión” en la página 94
v “Configuración de un RNC redundante con conmutadores A/B controlados de
forma remota” en la página 137
Los tipos de MNC incluyen:

Tabla 2. MNC disponibles para las conexiones de los servicios de mensajería
Tipo de Descripción Instalar este soporte de red
MNC
ardis-tcp Direccionamiento de contexto estándar (SCR) Ardis
Motient que utiliza TCP
ardis-x25 SCR Motient que utiliza X.25 Ardis
mobitex Conexión estándar internacional Mobitex que Mobitex
utiliza X.25
mobitex- Mobitex que utiliza TCP, como por ejemplo Mobitex
tcp el servidor de aplicaciones de Internet (IAS)
Mobitex
sms-ois Servicio de mensajes cortos (SMS) que utiliza SMS
la especificación de interfaz abierta
sms-ois- Servicio de mensajes cortos (SMS) que utiliza SMS
x25 la especificación de interfaz abierta a través
de X.25
sms-rpa Mensajería inalámbrica RPA SMS
sms-smpp Servicio de mensajes cortos que utiliza el SMS
Protocolo de Igual a Igual de Mensajes
Cortos (SMPP) Versión 3.4
sms-ucp Servicio de mensajes cortos que utiliza SMS
UCP/EMI (Universal Computer
Protocol/External Machine Interface)
sms-smpp- Servicio de mensajes cortos que utiliza SMPP SMS
x25 Versión 3.4 a través de X.25

Tabla 2. MNC disponibles para las conexiones de los servicios de
mensajería (continuación)
MNC
sms-ucp- Servicio de mensajes cortos que utiliza SMS
x25 UCP/EMI a través de X.25
smtp Protocolo Simple de Transporte de Correo, SMTP
como se especifica en la RFC 821. Tenga en
cuenta que las ampliaciones de la RFC, como
por ejemplo el soporte de MIME o la
autenticación de servidor de correo, no están
soportadas.
snpp Protocolo Simple de Paginación de Red, SNPP
como se especifica en la RFC 1861. Tenga en
cuenta que todas las funciones del nivel uno
y los elementos obligatorios del nivel dos
están soportados. El nivel 3 de SNPP no está
soportado.
wctp Protocolo de Transferencia de WCTP
Comunicaciones Inalámbricas
Tabla 3. MNC disponibles para los servicios de acceso móvil que utilizan conexiones WLP
(protocolo de enlace inalámbrico) o PPP (protocolo punto a punto)
MNC
ardis-tcp Direccionamiento de contexto estándar (SCR) Ardis
Motient que utiliza TCP
ardis-x25 SCR Motient que utiliza X.25 Ardis
dataradio- Controlador de enlace de datos de estación Dataradio
bdlc base (BDLC) Dataradio
dataradio- Controlador multisitio (MSC) Dataradio Dataradio
msc
datatac- DataTAC 5000 que utiliza X.25 DataTAC
5000
datatac- DataTAC 6000 que utiliza TCP DataTAC
6000
dial-pstn Red telefónica pública conmutada, incluidas Acceso telefónico
las conexiones PPP nativas
dial-tcp Conexión de acceso telefónico a través de un Acceso telefónico
servidor de módem conectado por IP,
incluidas las conexiones PPP nativas
ip-lan Red basada en IP, como por ejemplo CDPD, LAN IP
frame relay, conexión con Proveedor de
servicios de Internet (ISP) o LAN
| http-tcp- Basado en HTTP-TCP LAN IP
| lan
mobitex Conexión estándar internacional Mobitex que Mobitex
utiliza X.25
mobitex- Mobitex que utiliza TCP, como por ejemplo Mobitex
tcp el servidor de aplicaciones de Internet (IAS)
Mobitex
Tabla 3. MNC disponibles para los servicios de acceso móvil que utilizan conexiones WLP
(protocolo de enlace inalámbrico) o PPP (protocolo punto a punto) (continuación)
MNC
rnc-3000 Controlador de red de radio 3000 RNC-3000
| tcp-lan Basado en TCP LAN IP
Discriminador de dispositivos
El discriminador de dispositivos funciona juntamente con los servidores de acceso
a red (NAS) para identificar inequívocamente los dispositivos cada vez que los
dispositivos se conectan a la red. Se requiere la identidad exclusiva de un
dispositivo antes de que el Connection Manager pase la identidad del dispositivo a
otros servidores web y proxies de la red. Cuando se habilita el discriminador de
dispositivos, el identificador exclusivo del dispositivo se pasa desde el servidor
NAS al Connection Manager una vez que se ha solicitado en forma de mensajes de
autenticación RADIUS o de contabilidad RADIUS.
El tipo de mensajes RADIUS que se envían desde el servidor NAS (autenticación o

contabilidad) depende de la configuración del servidor NAS y de si existen en la
red otros servidores de autenticación o contabilidad. Puede configurar el
discriminador de dispositivos para que devuelva respuestas RADIUS directamente
al servidor NAS, o bien puede configurarlo como proxy. Como proxy, el
discriminador de dispositivos reenvía los mensajes RADIUS a otros servidores de
la red y luego devuelve las respuestas subsiguientes al servidor NAS.
Dado que el servidor NAS normalmente se configura para distribuir una dirección
IP desde una agrupación de direcciones a los usuarios cuando éstos se conectan a
la red, esta dirección IP no identifica de forma exclusiva a un usuario específico.
Puesto que los dispositivos normalmente no utilizan la misma dirección cada vez
que se conectan a la red, el servidor NAS también debe configurarse para enviar
otro identificador que identifique de manera exclusiva el dispositivo.
El identificador exclusivo enviado por el servidor NAS se define en el

discriminador de dispositivos en términos de su tipo de atributo RADIUS. Estos
tipos de atributos están definidos en la RFC 2865 de autenticación RADIUS y en la
RFC 2866 de contabilidad RADIUS.
Al definir el discriminador de dispositivos, especifique qué tipo de atributo

RADIUS desea utilizar para identificar de manera exclusiva el dispositivo. El
identificador debe ser exclusivo para cada dispositivo y debe ser el mismo cada
vez que un determinado dispositivo se conecta a la red.
El identificador de dispositivo exclusivo puede ser cualquiera de los siguientes

tipos de atributos RADIUS:
Tabla 4. Tipos de atributos RADIUS
Tipo de atributo RADIUS Nombre de atributo Descripción
RADIUS
31 ID de la estación Número de teléfono de
llamante dispositivo o número MSISDN
1 Nombre de usuario ID de usuario de dispositivo

Tabla 4. Tipos de atributos RADIUS (continuación)
Otro tipo de atributo definido Nombre de atributo El tipo de atributo que
en la RFC 2865 RADIUS o en RADIUS especifique debe tener un valor
la RFC 2866 de contabilidad de atributo RADIUS asociado
RADIUS imprimible (el valor no puede
ser binario). El valor del atributo
también debe ser exclusivo para
cada teléfono o dispositivo que
se conecte al Connection
Manager.
Cuando un dispositivo se conecta a la red, el servidor NAS envía el identificador

de dispositivo exclusivo al Connection Manager en los mensajes de autenticación
RADIUS o de contabilidad RADIUS. El servidor NAS debe estar configurado para
enviar el tipo de atributo RADIUS apropiado. El discriminador de dispositivos
extrae la dirección IP de dispositivo y el identificador de dispositivo exclusivo del
mensaje RADIUS, los asocia entre sí y almacena la información. En todas las
solicitudes subsiguientes de este dispositivo, el discriminador de dispositivos
puede recuperar esta información.
Cuando utilice la gestión de clústeres, defina los discriminadores de dispositivos

sólo en el nodo principal. El nodo principal utiliza el protocolo de agrupación en
clústeres para los nodos subordinados apropiados.
Los usuarios que están identificados por el discriminador de dispositivos no se

visualizan como usuarios activos en el Gatekeeper.
Si se utiliza la conversión de direcciones de red (NAT) con el

discriminador de dispositivos
Si se utiliza la conversión de direcciones de red (NAT) para convertir una dirección
IP de la red local a una dirección IP distinta conocida en otra red (o para convertir
una dirección IP a una combinación de dirección IP/número de puerto origen
diferente), el uso del discriminador de dispositivos no está soportado.
El servidor NAS envía un mensaje RADIUS al Connection Manager cada vez que
un cliente móvil se conecta al servidor NAS. El mensaje RADIUS contiene la
dirección IP asignada al dispositivo portátil y un identificador de dispositivo
exclusivo, como por ejemplo un número de teléfono o ID de usuario. En todas las
solicitudes subsiguientes del dispositivo portátil, el Connection Manager utiliza
esta información para establecer una correlación entre la dirección IP del
dispositivo portátil y el identificador exclusivo.
Si existe una máquina NAT en la red entre el dispositivo portátil y el Connection

Manager, la dirección IP origen se cambia por una dirección que asigna la máquina
NAT. Normalmente, esta reasignación de direcciones es dinámica, de modo que es
posible que a un dispositivo individual no se le asigne la misma dirección IP cada
vez que se conecta a la red. El problema es que la dirección IP del mensaje
RADIUS no coincidirá con la dirección asignada por la máquina NAT. La máquina
NAT simplemente modifica la dirección origen de la solicitud del dispositivo y
generalmente no tiene conocimiento de los datos que fluyen a través de ella.
Servidor de directorios
Un servidor de directorios es un recurso que aprovecha las bases de datos de
cuentas de usuario existentes y proporciona la definición de cómo ponerse en
contacto con otro servidor de servicios de directorio (DSS). Siempre y cuando la
base de datos existente soporte un acceso de cliente LDAP (Protocolo Ligero de
Acceso a Directorio), el Connection Manager puede cargar, utilizar y modificar
atributos específicos almacenados con los registros de usuario existentes en los
servidores de directorios locales y/o remotos.
Un recurso de servidor de directorios también se asigna a perfiles de autenticación

por enlace LDAP para especificar qué servidores se utilizan para realizar la
operación de enlace LDAP para autenticar clientes.
Para redirigir las búsquedas de servicio de directorio de determinados atributos de

ID de usuario, añada un recurso de servidor de directorios y, a continuación, edite
las propiedades del gestor de accesos para definir qué servidor de directorio de
empresa desea utilizar. Consulte el apartado “Configurar la búsqueda de cuenta de
usuario” en la página 96 para obtener más información.
Cree un recurso de servidor de directorios para cada servicio de directorio remoto

al que desea redirigir las búsquedas.
Los atributos de ID de usuario utilizados habitualmente que pueden redirigirse

incluyen el nombre común (cn) y la contraseña (userPassword). Para obtener una
lista completa de los atributos de ID de usuario, en una línea de mandatos del
Connection Manager especifique: lswg -T -s wlUser. Para obtener más
información acerca del mandato lswg, utilice el Manual de consulta de mandatos de
IBM Lotus Mobile Connect. Consulte también el apartado “Integrar el Connection
Manager con los esquemas LDAP existentes” en la página 55.
Usuario
Un usuario es una cuenta creada para que una persona pueda utilizar el Mobility
Client para conectarse al servicios de acceso móvil. Si especifica que el ID de
usuario requiere una contraseña, debe asignar una política de contraseñas que
defina las normas de la contraseña. Consulte el apartado “Política de contraseñas”
en la página 32.
Existen varias posibilidades para almacenar de forma persistente la base de

usuarios.
v Utilizar una infraestructura DSS existente. Existe una rama separada de un árbol
de directorio con la que el Connection Manager puede interactuar para asegurar
que los usuarios están autenticados y que el tráfico está cifrado. Para utilizar un
DSS existente, seleccione Utilizar servidor de directorios de empresa en el
separador DSS de usuario de las propiedades del gestor de accesos. La
autenticación y el cifrado pueden realizarse de varias maneras:
Operación de enlace LDAP
Cuando se utiliza este método se elimina de necesidad de gestionar
usuarios en el Gatekeeper. El Connection Manager accede al DSS de
usuario como sólo lectura. Para proteger la conexión, utilice el algoritmo
de intercambio de claves Diffie-Hellman para cifrar el tráfico ya que las
credenciales de autenticación fluyen en el aire.
Para configurar esta opción, utilice un perfil de autenticación por enlace
LDAP y establezca el algoritmo de intercambio de claves en el perfil de
conexión. Consulte los apartados “Perfil de autenticación” en la página
30 y “Conexión y perfiles de transporte” en la página 122.
Protocolo de distribución de claves de dos partes (TPKDP) donde el DSS de
usuario es de sólo lectura
La conexión se protege utilizando el algoritmo de intercambio de claves

TPKDP, donde el Connection Manager se autentica ante el Mobility
Client y el Mobility Client se autentica ante el Connection Manager. El
Connection Manager accede al DSS de usuario como sólo lectura. El
Connection Manager mantiene una copia duplicada de la cuenta de
usuario que incluye campos como el número de intentos de inicio de
sesión fallidos o la cuenta bloqueada. Este método afecta al rendimiento
ya que se requiere una búsqueda para el DSS de usuario y para la copia
duplicada local.
Cuando se utiliza TPKDP, el registro de usuario debe tener como
mínimo la clase de objeto ″person″. Además, el Connection Manager
debe poder recuperar el atributo userPassword, que debe almacenarse
utilizando Borrar texto, Secure Hash Algorithm (SHA) o Salted Secure
Hash Algorithm (SSHA). Normalmente, el acceso a userPassword
requiere una búsqueda enlazada en que el DSS debe configurarse con un
nombre distinguido (DN) administrativo y una contraseña que tenga
acceso a este atributo.
Para configurar esta opción, cree la base de usuarios en el Gatekeeper y
establezca el algoritmo de intercambio de claves en el perfil de conexión.
TPKDP donde el DSS de usuario es ampliable
La conexión entre el Connection Manager y el Mobility Client se protege
utilizando el algoritmo de intercambio de claves TPKDP. El Connection
Manager accede al DSS de usuario y adjunta la clase de objeto
ibm-wlUser a cada cuenta de usuario. Este método mejora el
rendimiento ya que sólo se requiere una única búsqueda. El Connection
Manager sólo modifica el registro de cuenta de usuario en el DSS en los
casos de anomalía, como por ejemplo un inicio de sesión fallido.
Para configurar esta opción, cree la base de usuarios en el Gatekeeper y
establezca el algoritmo de intercambio de claves en el perfil de conexión.
A continuación, en el separador DSS de usuario de las propiedades del
gestor de accesos, seleccione Ampliar registros para que incluyan el
esquema de Connection Manager.
v Utilizar el DSS del Connection Manager para gestionar usuarios. Para configurar
esta opción, seleccione Utilizar servidor de directorios de Connection Manager
en el separador DSS de usuario de las propiedades del gestor de accesos. La
autenticación y el cifrado pueden realizarse de varias maneras, pero para
obtener el mayor rendimiento, utilice el intercambio de claves TPKDP.
Nota: No utilice un almacenamiento para los usuarios en un DSS con el mismo

nombre distinguido (DN) base que el gestor de accesos.
Los ID de usuario no pueden tener más de 32 caracteres ni contener espacios. No

son sensibles a las mayúsculas y minúsculas. Consulte el apartado “Adición de
recursos” en la página 105 para obtener instrucciones sobre cómo añadir ID de
usuario al Gatekeeper.
Administrador
| Un administrador es un usuario definido del Gatekeeper. La primera vez que
| utilice el Gatekeeper, debe iniciar la sesión como administrador predeterminado en
| el sistema del gestor de accesos. Para utilizar el ID de administrador (gkadmin)
| predeterminado, es necesario configurar el gestor de accesos.
Una vez que haya finalizado la configuración inicial, puede crear ID de

administrador adicionales. Existen tres categorías de acceso de administrador:
| Administrador predeterminado de Connection Manager (gkadmin)
| Un administrador preconfigurado (gkadmin) que puede editar las
| propiedades del gestor de accesos y dispone del control de acceso Todos
| para todos los recursos de todas las unidades organizativas. El
| administrador predeterminado puede crear otros ID de administrador y
| perfiles de ACL. El tipo de acceso de gkadmin se limita al superusuario.
| Las listas de control de accesos no son válidas para esta cuenta. Esta
| cuenta no puede caducar.
Superusuario
Un administrador que, con la excepción del gestor de accesos, tiene
definido el control de acceso Todos para todos los recursos de todas las
unidades organizativas. Un administrador superusuario puede crear otros
ID de administrador y perfiles de ACL.
| Lista de control de accesos
| Un administrador a quien se le ha asignado un perfil de lista de control de
| accesos (ACL) configurado por un administrador predeterminado o por un
| administrador superusuario. Un perfil de ACL es una recopilación de ACL
| que define el nivel de acceso a los recursos. Un administrador con un
| perfil de ACL asignado no puede crear otros ID de administrador ni
| perfiles de ACL.
Por ejemplo, puede crear un perfil de ACL y asignarlo a un ID de administrador

para que sólo funcione con los recursos de usuario, restableciendo las contraseñas
y bloqueando o desbloqueando las cuentas de usuario. O bien, puede crear un
perfil de ACL y asignarlo a un ID de administrador que puede funcionar con
cualquier tipo de recurso, pero sólo dentro de una o más OU especificadas.
| Puede especificar si el administrador predeterminado puede iniciar una sesión de

| manera remota en el gestor de accesos utilizando el Gatekeeper. Para impedir el
| acceso remoto de administradores que utilizan el ID de administrador
| predeterminado, edite las propiedades del gestor de accesos en el separador
| Seguridad. Consulte el apartado “Edición de propiedades de recursos” en la
| página 101.
| En AIX, Linux y Solaris, puede habilitar a los usuarios para iniciar la sesión
| utilizando los ID de usuario del sistema operativo local. Puede especificar si
| pueden iniciar sesión de manera remota, así como la categoría de acceso que
| tienen. Para permitir el acceso de usuarios al sistema local, edite las propiedades
| del gestor de accesos en el separador Seguridad.
| Nota: Los usuarios de AIX, Linux y Solaris que inician la sesión utilizando el ID
| de administrador raíz del sistema operativo tienen el mismo acceso a los
| recursos que el administrador predeterminado, incluido el acceso remoto.
Listas de control de accesos y perfiles de ACL

Una lista de control de accesos (ACL) es una tabla de niveles de acceso para todos
los tipos de recursos por unidad organizativa (OU). Un perfil de ACL es una
recopilación de ACL que se asigna a los ID de administrador para definir su nivel
de acceso a los recursos. Puede crear tantos perfiles de ACL como desee y puede
asignar un perfil a tantos ID de administrador como quiera.
Para ver el nivel de acceso del administrador conectado actualmente al Gatekeeper,

pulse Archivo –> Listas de control de accesos.

Para la mayoría de recursos de una OU, los niveles de acceso disponibles son los
siguientes:
Todos El nivel más alto de acceso; el administrador puede suprimir y realizar
todas las demás operaciones en este recurso.
Crear El administrador puede ver, editar y añadir los recursos de este tipo.
Modificar
El administrador puede ver y editar los recursos existentes de este tipo.
Sólo lectura
El administrador sólo puede ver los recursos de este tipo.
Ninguno
El administrador no puede ver los recursos de este tipo.
Cada nivel de acceso incluye todos lo que están debajo del mismo. Si asigna el
acceso Crear a un recurso de una OU, también otorga el acceso Modificar y Sólo
lectura al recurso de dicha OU.
Los recursos que no están asignados directamente a una OU heredan el acceso del
recurso padre. Por ejemplo, un gestor de clústeres hereda el acceso del Connection
Manager.
En el caso de los administradores a los que se les asigna un perfil de ACL, cuando
desee que estos administradores gestionen un recurso, otórgueles acceso a dicho
recurso y otorgue un acceso distinto a todos los recursos necesarios para dar
soporte a dicho recurso. Por ejemplo, si gestiona usuarios, otórgueles como mínimo
acceso de sólo lectura a recursos, como por ejemplo políticas de contraseñas, de
modo que pueda asignar una política al usuario.
Además de los niveles generales de acceso, tres recursos heredan niveles

adicionales de autorización cuando se les asigna niveles de acceso específicos de
una OU: Connection Manager, Usuario y Grupo de difusión.
Lista de control de accesos del Connection Manager

Puede asignar acceso adicional a los administradores que tienen acceso Sólo
lectura, Crear o Modificar a los gestores de conexiones de una OU. Este acceso
adicional está habilitado de manera predeterminada cuando un administrador tiene
acceso Todos, Crear o Modificar al Connection Manager de una OU:
v Restablecer archivos de anotaciones — la posibilidad de restablecer archivos de
anotaciones de mensajes, rastreo y contabilidad
Puede asignar este acceso adicional a los administradores que tienen acceso Sólo
lectura, Crear o Modificar. Este acceso adicional está habilitado de manera
predeterminada cuando un administrador tiene acceso Todos a los gestores de
conexiones de una OU:
v Ver anotaciones de contabilidad — la posibilidad de ver el archivo de
anotaciones de contabilidad
v Ver anotaciones de mensajes — la posibilidad de ver el archivo de anotaciones
de mensajes
v Ver anotaciones de rastreo de usuario — la posibilidad de ver el archivo de
anotaciones de rastreo
Puede asignar este acceso adicional a los administradores que tienen acceso
Modificar o Crear. Este acceso adicional está habilitado de manera predeterminada
cuando un administrador tiene acceso Todos a los gestores de conexiones de una
OU:
v Iniciar/detener un Connection Manager— la posibilidad de iniciar y concluir
gestores de conexiones
Lista de control de accesos de Usuario

Puede asignar este acceso adicional a los administradores que tienen acceso Sólo
lectura a los usuarios de una OU. Este acceso adicional está habilitado de manera
predeterminada cuando un administrador tiene acceso Todos, Crear o Modificar a
los usuarios de una OU:
v Restablecer contraseña — la posibilidad de restablecer la contraseña de un
usuario
v Restablecer cuenta de inicios de sesión anómalos — la posibilidad de devolver a
cero la cuenta de inicios de sesión anómalos de un ID de usuario
v Bloquear/desbloquear una cuenta — la posibilidad de conmutar un ID de
usuario entre bloqueado y desbloqueado
v Forzar fin de sesión — la posibilidad de desconectar un usuario del Connection
Manager
Lista de control de accesos de Grupo de difusión

Difundir un mensaje — habilitado de manera predeterminada cuando un
administrador tiene acceso Todos, Crear y Modificar a los grupos de difusión de
una OU. Puede asignar este acceso adicional a los administradores que tienen
acceso Sólo lectura a los grupos de difusión de una OU.
Perfil de autenticación
Un perfil de autenticación es un conjunto de propiedades de configuración de
terceros que se asignan a un perfil de conexión o a los Servicios de acceso HTTP.
Estas propiedades controlan cómo se autentican los clientes. Tenga en cuenta que
las conexiones de mensajería, como por ejemplo las MNC de servicio de mensajes
cortos (SMS), no utilizan perfiles de autenticación.
Cuando se crean o editan las propiedades de un perfil de conexión o de los

Servicios de acceso HTTP, se asigna un perfil de autenticación. Existe un perfil del
sistema predeterminado que viene con el Gatekeeper. Puede crear otros perfiles,
uno para cada conjunto de propiedades que desee asignar a un servicio individual.
Los perfiles de autenticación incluyen los siguientes:

RADIUS
Autentica a un cliente utilizando RADIUS (Remote Authentication Dial-In
User Service). Puede configurar una solicitud adicional de ID de usuario y
contraseña RADIUS para un cliente. Si la solicitud opcional no está
configurada, este método de autenticación utiliza un ID de usuario y
contraseña especificados anteriormente, como por ejemplo un ID de
usuario y contraseña del Mobility Client, para autenticar al cliente. Si la
solicitud no está validada o si la falla autenticación RADIUS, se envía un
mensaje de error al cliente. Para obtener información más detallada,
consulte el apartado “Autenticación de terceros mediante RADIUS” en la
página 46.
Enlace LDAP
Autentica a un cliente utilizando la autenticación por enlace LDAP

(Protocolo Ligero de Acceso a Directorio) realizando una búsqueda de DSS
utilizando un campo de clave configurable. Después de que el DSS realiza
una operación de enlace LDAP y asocia satisfactoriamente el campo de
clave a un nombre distinguido, el cliente se autentica. Si la operación de
enlace LDAP no es satisfactoria, se envía un mensaje de error al cliente. Si
se especifica la autenticación del sistema además de la autenticación por
enlace LDAP, se solicitará al cliente que presente dos veces las credenciales
(ID de usuario y contraseña). Para obtener información más detallada,
consulte el apartado “Autenticación de terceros por enlace LDAP” en la
página 47.
Basada en certificados
Solicita a un cliente las credenciales válidas utilizando certificados X.509
almacenados. Si la operación de verificación de certificados no es
satisfactoria, se envía un mensaje de error al cliente. Tenga en cuenta que
sólo los perfiles de conexión pueden utilizar perfiles de autenticación
basada en certificados. Para obtener información más detallada, consulte el
apartado “Autenticación de terceros mediante certificados” en la página 48.
Soporte de autenticación ligera de terceros

Los perfiles de autenticación RADIUS y por enlace LDAP pueden configurarse
para utilizar la autenticación LTPA (autenticación ligera de terceros) y el inicio de
sesión único (SSO) sólo para los Servicios de acceso HTTP. LTPA y SSO son
funciones distintas pero complementarias. Habilitar LTPA significa que se genera
un símbolo LTPA con un tiempo de vida específico cuando un usuario se autentica
ante Connection Manager. SSO utiliza el símbolo LTPA y lo almacena en una
cookie del navegador para dar soporte al inicio de sesión único (SSO) con otros
servidores de aplicaciones preparados para LTPA en el mismo dominio de DNS.
Para que la caducidad del símbolo LTPA se maneje correctamente, el Connection
Manager y otros servidores de aplicaciones preparados para LTPA deben tener los
relojes sincronizados.
SSO puede habilitarse para utilizar sólo conexiones SSL (capa de sockets
protegidos).
Todos los servidores que utiliza el soporte LTPA del Connection Manager deben
tener el mismo conjunto de claves y contraseña LTPA. Estas claves se obtienen
utilizando el proceso manual de exportar un archivo de claves desde uno de los
servidores y luego importar el archivo de claves a todos los servidores
participantes. El Connection Manager se inicia con wecmltpa como contraseña
LTPA predeterminada.
Hay varias acciones que pueden configurarse para las claves LTPA:
Generar claves nuevas
Especifica que se generan claves nuevas para utilizar con los símbolos
LTPA. Si se generan claves nuevas, se cancelan los símbolos LTPA actuales.
Las claves nuevas se deben exportar a un archivo de claves LTPA con el fin
de que los servidores de aplicaciones preparados para LTPA participantes
puedan importar un archivo de claves LTPA actualizado para obtener las
claves nuevas.
La acción de generar claves LTPA nuevas tarda tiempo en completarse y se
inicia la primera vez que LTPA se habilita en un Connection Manager o
cuando la acción de clave está configurada para generar claves nuevas. La
generación de claves nuevas requiere una contraseña LTPA para generar
claves.
Importar desde archivo de claves
El archivo de claves LTPA especificado se importa para que el Connection
Manager pueda utilizarlo.
Exportar a archivo de claves
El Connection Manager crea el archivo de claves LTPA especificado.
Ninguno
No se realiza ninguna acción.
Las acciones de claves LTPA se aplican inmediatamente y no tienen persistencia

como valores de configuración.
Siempre que caduca un símbolo LTPA, se produce una nueva solicitud de

autenticación. Otra vez que se fuerza una nueva solicitud de autenticación incluye
la terminación de una sesión del navegador.
Utilizar LTPA en un entorno WebSphere Portal o WebSphere Application

Server: Si utiliza el Connection Manager en un entorno WebSphere Portal o
WebSphere Application Server, hay que tener en cuenta lo siguiente en relación con
la integración:
v El Gestor de accesos debe configurarse para no cifrar contraseñas cuando se
utiliza LTPA/SSO.
v WebSphere Portal o WebSphere Application Server puede utilizar un ID de
usuario definido por un Connection Manager. Sin embargo, una configuración
predeterminada del Connection Manager no puede utilizar un ID de usuario
definido por WebSphere Portal o WebSphere Application Server.
v El conjunto de clases de objeto que WebSphere Portal o WebSphere Application
Server utiliza de manera predeterminada para sus sufijos no permiten que estos
mismos sufijos sean utilizados por la configuración predeterminada del
Connection Manager para crear o acceder a usuarios.
Política de contraseñas
Cuando se crea un ID de usuario y se requiere una contraseña, se especifica una
política de contraseñas para dicho usuario. Una política de contraseñas contiene
normas acerca de las contraseñas de los usuarios y puede configurarse para
especificar lo siguiente:
v El número mínimo de caracteres alfabéticos (a-z, A-Z) que debe tener una
contraseña.
v El número mínimo de caracteres no alfabéticos (por ejemplo, 0-9, #, &, $, %) que
debe tener una contraseña.
v El número máximo de veces que puede repetirse un carácter en una contraseña.
v Si la contraseña puede incluir o no el ID de usuario en su serie.
v Si la contraseña puede empezar o acabar con un carácter numérico.
v El número mínimo de caracteres que debe tener la contraseña.
v El número mínimo de caracteres de la contraseña nueva que deben ser distintos
de los que había en la contraseña antigua. Esta configuración está inhabilitada
cuando el almacenamiento de datos persistente del servicio de directorio cifra las
contraseñas mediante un algoritmo de cifrado en un solo sentido, como el
algoritmo SHA (Secure Hash Algorithm).
v El número de contraseñas anteriores que no podrá reutilizar el usuario.
v La antigüedad máxima (en días) de la contraseña del usuario. Cuando la
contraseña alcanza esta antigüedad, hay que cambiarla para que pueda
producirse una conexión satisfactoria.
v La antigüedad mínima (en días) que debe tener la contraseña del usuario para
que se pueda cambiar.
v El número de intentos de contraseña incorrecta antes de que se bloquee la
cuenta de usuario. Si se supera este número, se bloquea la cuenta y el usuario
no puede conectarse.
v Si el usuario tiene permiso para cambiar la contraseña.
v El número máximo de caracteres idénticos que pueden repetirse
consecutivamente.
v El número mínimo de caracteres que deben utilizarse de dos de los tres grupos
siguientes: letras mayúsculas y minúsculas, números o signos de puntuación y
caracteres especiales.
Cuando se instala el Connection Manager, la unidad organizativa Recursos

predeterminados proporciona dos políticas. La política de contraseñas sin
restricciones no contiene normas. También existe una política de contraseñas
moderadamente segura con un conjunto de restricciones de normas de contraseña.
Puede modificar la política predeterminada y especificar valores para todos o la

mayoría de usuarios editando las propiedades de la política de contraseñas.
Consulte el apartado “Edición de propiedades de recursos” en la página 101.
También puede crear políticas de contraseñas adicionales para satisfacer diferentes
conjuntos de requisitos. Consulte el apartado “Adición de recursos” en la página
105.
Su red
Antes de instalar y configurar el Connection Manager, debe planificar cómo desea
manejar varios aspectos de su funcionamiento:
v ¿Qué portadores o proveedores de red utilizará?
v Para cada MNC que defina en los servicios de acceso móvil, ¿qué modelo de
validación de cliente se necesita?
v ¿Qué jerarquía de unidad organizativa debe desarrollarse que represente la
infraestructura de la organización?
v ¿Cuántos gestores de conexiones instalados necesita para soportar el número de
usuarios que se conectarán simultáneamente?
v ¿Qué subred de direccionamiento IP utilizará para definir una MNI en los
servicios de acceso móvil? ¿Cuántas subredes necesita definir?
v ¿Qué opciones de seguridad implementará?
v ¿Cómo desea administrar los recursos inalámbricos?
v ¿Cuántos administradores necesita definir y qué listas de control de accesos
necesita asignar a cada ID de administrador?
v Si tiene la intención de utilizar la capa de sockets protegidos (SSL), obtenga los
certificados que utilizará.
En las secciones siguientes encontrará información que le ayudará a responder

estas preguntas.
Proveedores de redes inalámbricas

También conocidos como portadores, el Connection Manager soporta:
– Especificación de Interfaz Abierta (OIS)
– Radio Page America (RPA)
– Protocolo de Igual a Igual de Mensajes Cortos (SMPP)
– Protocolo Simple de Transporte de Correo (SMTP)
– Protocolo Simple de Paginación de Red (SNPP)
– Universal Computer Protocol (UCP)
– Protocolo de Transferencia de Comunicaciones Inalámbricas (WCTP)
v Protocolo Simple de Transporte de Correo
v Protocolo Simple de Paginación de Red
v Redes Públicas de Radio por Paquetes
– DataTAC — La red de radio móvil compartida que proporciona protocolos de
Motorola para portadoras de red; por ejemplo:
- DataTAC 4000 (EE.UU.) Motient (antes Advanced Radio Data Information
Services (ARDIS))
- DataTAC 5000 (Europa)
- Modacom (Alemania)
- DataTAC 6000 (Asia)
- DataTAC/IP
– Mobitex (mundial)
– Mobitex/IP (EE.UU.)
– Cellular Digital Packet Data de circuitos integrados (CS-CDPD)
– General Packet Radio Service (GPRS) basado en Global System for Mobile
(GSM) Communication
– Personal Digital Cellular Packet (PDC-P) (Japón)
v Redes celulares
– Advanced Mobile Phone Service (AMPS) y Narrow-Band Advanced Mobile
Phone Service (N-AMPS)
– Code-Division Multiple Access (CDMA)
– Global System for Mobile (GSM) Communication
– Integrated Digital Enhanced Network (iDEN)
– Personal Communications Services 1900 (PCS)
– Personal Digital Cellular (PDC) (Japón)
– Personal Handyphone (PHS) (Japón)
– Time Division Multiple Access (TDMA)
v Conexiones de acceso telefónico
– Dial/TCP
– Red Telefónica Conmutada (RTC) o POTS (Plain Old Telephone Service)
– RDSI (sólo AIX)
– Protocolo punto a punto (PPP)
– Conexiones RTC/RDSI con un servidor de módem, como por ejemplo 3Com
Total Control System (TCS)
v Redes privadas por paquetes
– Dataradio
– DataTAC 3000 (Motorola Private Mobile Radio (PMR))
– ASTRO 25
v 1xRTT
v eVDO

v CDMA2000
v Cualquier red basada en IP
v Conexiones a Internet
– Conexiones de empresa
– Proveedor de servicios de Internet (ISP)
- Módem por cable
- Línea de suscriptores digitales (DSL)
v LAN inalámbrica
– 802.11
Conexiones PPP nativas

Puede conectarse al Connection Manager desde cualquier dispositivo de acceso
telefónico que soporte el protocolo punto a punto (PPP), como se define en la RFC
1661. Con las conexiones PPP nativas, no se recibe la ventaja del cifrado o la
compresión, pero el dispositivo puede declararse y gestionarse como un
dispositivo portátil y las transacciones de la cuenta se anotan.
Asegúrese de que el cliente PPP nativo no habilita la compresión o el cifrado antes

de conectarse al Connection Manager. El Connection Manager proporciona
optimización de datos, como por ejemplo filtrar e impedir la retransmisión de
datos. Para autenticar los clientes PPP nativos, el Connection Manager utiliza el
protocolo de autenticación por contraseña (PAP) o el protocolo de autenticación
por negociación de solicitud (CHAP).
Almacenamiento de datos
La información que almacena y utiliza el Connection Manager incluye:
v La base de usuarios de propiedades y datos de cuenta. Existen varias
posibilidades para almacenar de forma persistente la base de usuarios. En el
apartado “Usuario” en la página 26 encontrará más detalles.
| v La información de configuración está almacenada en:
| – Un servidor de servicio de directorio compatible con LDAP versión 3.
| – Una base de datos relacional (RDB) compatible con ODBC. Seleccione esta
| opción si no dispone de un DSS o no desea instalarlo.
| – Archivos almacenados en el sistema de archivos local. Seleccione esta opción
| sólo si desea utilizar Connection Manager en un entorno de prueba de
| concepto o un entorno de producción pequeño con menos de 100 usuarios.
| Esta selección se realiza durante la configuración inicial del gestor de accesos.
v La información de sesión está almacenada en:
– Una base de datos relacional (RDB) compatible con ODBC.
– Archivos almacenados en el sistema de archivos local. Seleccione esta opción
sólo si desea utilizar Connection Manager en un entorno de prueba de
concepto o un entorno de producción pequeño con menos de 100 usuarios.
v Información de contabilidad y facturación – se almacena en una base de datos
relacional o en un archivo y opcionalmente se envía a un servidor de
contabilidad RADIUS
| Hay muchos factores que determinan la mejor opción de almacenamiento de datos

| en su entorno de red.
| Si desea utilizar Connection Manager en una instalación autónoma, como un
| entorno de prueba de concepto o un entorno de producción pequeño con menos de
| 100 usuarios, todos los datos se pueden almacenar en archivos del sistema de
| archivos local.
| El uso de una RDB tiene ventajas como la fiabilidad, la auditoría de funciones, la

| generación de informes y las opciones integradas de recuperación y copia de
| seguridad. Es una opción viable para las empresas pequeñas o las grandes.
| Si tiene un servicio de directorio empresarial existente compatible con el protocolo

| LDAP (Lightweight Directory Access Protocol), puede utilizarlo para almacenar la
| información de configuración y de la base de usuarios. Los entornos como un nodo
| múltiple o las configuraciones de alta disponibilidad pueden sacar provecho del
| servidor del servicio de directorio.
Información de configuración almacenada en un servidor de

servicios de directorio
La información de configuración acerca de los recursos inalámbricos se puede
almacenar en un servidor de servicio de directorio (DSS).
Cuando configure el gestor de accesos utilizando el Gatekeeper, se le solicitará que

defina el ID de usuario y contraseña del administrador DSS, la dirección IP y el
número de puerto del DSS.
También puede identificar un DSS alternativo que se utilizará si el DSS primario

no está disponible. Los tipos de DSS que deben proporcionar la función
redundante del DSS primario incluyen:
Réplica de sólo lectura
El DSS alternativo se configura como réplica. El DSS primario (maestro) se
configura para propagar actualizaciones al DSS alternativo (réplica). Si el
DSS primario no está disponible, el gestor de accesos recupera entradas del
DSS alternativo, pero no lo actualiza. El administrador DSS es responsable
de determinar la planificación de la réplica entre el DSS primario y
alternativo
Igual a igual
El Connection Manager actualiza el servidor primario, que se sincroniza
con el servidor alternativo. Si el servidor primario tiene una anomalía, el
Connection Manager utiliza el servidor alternativo y continúa utilizando
dicho servidor hasta que éste falla o bien hasta que se vuelve a establecer
la opción Servidor DSS activo en Primario.
El servicio de directorio puede residir en cualquier sistema principal conectado al

Connection Manager y puede contener información acerca de más de un
Connection Manager y red inalámbrica. Consulte el apartado “Requisitos de
software para el almacenamiento de datos persistente” en la página 55 para
| Información de configuración almacenada en una base de datos

| relacional
| La información de configuración sobre los recursos inalámbricos se puede
| almacenar en una base de datos relacional compatible con ODBC, como IBM DB2
| Universal Database.
| Cuando configure el gestor de accesos utilizando el Gatekeeper, especifique el

| nombre de la base de datos de información de configuración y el ID de usuario y

| la contraseña del administrador de base de datos. El gestor de accesos cifra la
| contraseña antes de almacenarla con la configuración del Connection Manager.
| Especifique también la ubicación de la base de datos o la dirección IP y el número
| de puerto del servidor de base de datos remota.
| Una base de datos relacional puede residir en cualquier sistema principal accesible
| y puede almacenar información acerca de más de un Connection Manager.
| Consulte el apartado “Requisitos de software para el almacenamiento de datos
| persistente” en la página 55 para obtener más información.
Información de sesión almacenada en una base de datos

relacional
La información sobre los datos de la sesión se puede almacenar en una base de
datos relacional compatible con ODBC, como IBM DB2 Universal Database. Una
sesión consta de todas las actividades que tienen lugar durante el establecimiento,
mantenimiento y liberación de cualquier conexión con el Connection Manager.
| Los servicios de mensajería requieren que se utilice una RDB compatible con
| ODBC para almacenar los datos de la sesión.
Cuando configure el gestor de accesos utilizando el Gatekeeper, especifique el

nombre de la base de datos de información de sesión y el ID de usuario y la
contraseña del administrador de la base de datos. El gestor de accesos cifra la
contraseña antes de almacenarla con la configuración del Connection Manager.
Especifique también la ubicación de la base de datos o la dirección IP y el número
de puerto del servidor remoto de la base de datos.
Información de contabilidad y facturación almacenada en una

base de datos relacional
La información de contabilidad y facturación abarca los datos de sesión y de los
paquetes individuales. En este caso, los datos de paquetes consisten en información
acerca de paquetes IP individuales o mensajes SMS. Si desea utilizar una
herramienta de informe para auditar y ordenar los datos de sesión y generar
consultas para producir informes de utilización, configure el Connection Manager
para que utilice una base de datos relacional. Consulte el apartado “Esquema de
base de datos de contabilidad y facturación” en la página 149. Además, puede
configurar el Connection Manager para que envíe información de contabilidad y
facturación a servidores de contabilidad RADIUS.
La información de contabilidad y facturación se almacena en un sistema de

archivos local o en una base de datos relacional compatible con ODBC. El sistema
de contabilidad y facturación puede configurarse dinámicamente. Cuando se
cambian las opciones de configuración, el Connection Manager suspende la
conexión de contabilidad y facturación, procesa el cambio y luego reanuda la
conexión automáticamente. Los mensajes de error se informan al archivo de
anotaciones de mensajes del Connection Manager y, cuando Tivoli NetView está
instalado, a la estación de gestión de red.
El soporte para la base de datos relacional de contabilidad y facturación (wgacct)

puede instalarse por separado con el Connection Manager. Una base de datos
relacional puede residir en cualquier sistema principal conectado y puede
almacenar información acerca de más de un Connection Manager. Consulte el
apartado “Almacenamiento de base de datos utilizando una base de datos
relacional” en la página 56 para obtener más información.
Cuando la información de contabilidad facturación se almacena en una base de
datos relacional, debe especificar el nombre de la base de datos y el ID de usuario
y la contraseña del administrador de la base de datos. El gestor de accesos cifra la
contraseña del administrador de la base de datos antes de almacenarla con la
configuración del de Connection Manager. Para instalaciones de DB2, el nombre de
la base de datos predeterminada es wgacct y también debe especificar la ubicación
de la base de datos o la dirección IP y el número de puerto del servidor de base de
datos remota.
Información de número de puerto

En este tema se ofrecen los números de puerto necesarios para que los utilice
Connection Manager e instrucciones sobre cómo cambiarlos.
Connection Manager y el gestor de accesos se instalan en la misma máquina y

necesitan un puerto para la comunicación con Gatekeeper.
9555 Comunicación entre Gatekeeper y el gestor de accesos
9559 Comunicación entre Gatekeeper y el gestor de accesos mediante SSL
Para cambiar estos números de puerto, actualice primero el archivo /etc/services y,

a continuación:
AIX Renueve el daemon inetd especificando refresh -s inetd.
Linux (utilizando el daemon xinetd)
Renueve el daemon inetd especificando kill -SIGUSR2 `ps -e | grep
xinetd | awk ’{print $1}’`.
Linux utilizando el daemon inetd) o Solaris
Renueve el daemon inetd especificando kill -HUP `ps -e | grep inetd |
awk ’{print $1}’`.
Existen otros puertos predeterminados en los que Connection Manager está a la

escucha. Para cambiar estos números de puerto, utilice Gatekeeper para editar las
propiedades de Connection Manager, de los servicios de acceso móvil o de los
servicios de mensajería.
Entre estos puertos se incluyen los siguientes:

Tabla 5. Puertos en los que Connection Manager está a la escucha
Número de Componente que Direction Comentario
puerto y utiliza
protocolo
|| 80 - TCP v Servicios de acceso Lado de Internet de Depende de la
|| HTTP Connection Manager ubicación del servidor
| desde los clientes HTTP de aplicaciones, web o
|| v Servicios de acceso
y lado de Intranet al proxy HTTP
|| móvil
proxy HTTP
443 - TCP v Servicios de acceso Lado de Internet de Depende de la
HTTP Connection Manager ubicación del servidor
desde los clientes HTTP de aplicaciones, web o
| v Servicios de acceso
y lado de Intranet al proxy HTTP
| móvil
proxy HTTP

Tabla 5. Puertos en los que Connection Manager está a la escucha (continuación)
puerto y utiliza
protocolo
1645 o 1812 - Mensajes de Bidireccional – Lado de Se utiliza
UDP autenticación RADIUS Intranet de Connection conjuntamente con el
Manager discriminador de
dispositivos o con
servidores de
autenticación RADIUS
de terceros
1646 o 1813 - Mensajes de Bidireccional – Lado de Se utiliza
UDP contabilidad RADIUS Internet de Connection conjuntamente con el
Manager discriminador de
dispositivos o con
servidores de
autenticación RADIUS
de terceros
9557 - TCP Connection Manager No hay implicación del Se utiliza entre
cortafuegos Connection Manager y
el programa de utilidad
wg_monitor
14356 - TCP Connection Manager Depende de la El nodo subordinado
ubicación de los nodos de un clúster está a la
subordinados - Si los escucha de las
nodos están dentro del solicitudes entrantes
DMZ, no hay procedentes de un
implicación del nodo principal -
cortafuegos; en caso inactivo de manera
contrario, es el lado de predeterminada
Intranet de Connection
Manager
| 8888 - UDP Servicios de acceso Bidireccional Se utiliza entre Mobility
móvil Client y Connection
Manager para cambiar
la contraseña de cliente
8889 - TCP y Servicios de acceso Bidireccional – Lado de Recepción basada en IP
UDP móvil Internet e Intranet
Connection Manager, a
menos que se haya
establecido
específicamente para
enlazar a una dirección
IP de un lado o del otro
| 9551 - TCP Puerto de configuración Bidireccional Connection Manager
| RPC escucha las solicitudes
| de configuración
| dinámicas y se protege
| con autenticación
| basada en RPC, como si
| se utilizase portmap.
Tabla 5. Puertos en los que Connection Manager está a la escucha (continuación)
puerto y utiliza
protocolo
| 9553 - TCP Puerto de difusión RPC Bidireccional Connection Manager
| escucha las solicitudes
| de difusión dinámicas y
| se protege con
| autenticación basada en
| RPC, como si se
| utilizase portmap.
| 9610 - TCP Servicios de acceso Bidireccional Receptor de solicitudes
móvil de autenticación
RADIUS de terceros
desde Mobility Clients
13131 - TCP Servicios de Mensajería Bidireccional – Lado de Puerto de
Intranet de Connection envío/recepción para el
Manager tráfico de API de los
servicios de mensajería
13132 - TCP Servicios de Mensajería Bidireccional – Lado de Puerto de
Intranet de Connection envío/recepción seguro
Manager para el tráfico de API
de los servicios de
mensajería
Enviar paquetes de contabilidad a servidores RADIUS

Puede configurar el Connection Manager para que envíe paquetes de
activación/desactivación de contabilidad y de inicio/detención de contabilidad a
un servidor RADIUS a efectos de contabilidad y facturación para el tráfico IP y
WLP (protocolo de enlace inalámbrico optimizado). La información de
configuración consiste en una dirección IP y puerto para un servidor de
contabilidad RADIUS primario y secundario (opcional), además de un secreto
compartido de contabilidad RADIUS que el gestor de accesos cifra antes de
almacenarlo con la configuración del Connection Manager. Si el servidor RADIUS
primario no responde antes de tres segundos, el paquete vuelve a enviarse, hasta
un total de veces. El primer reintento utiliza un intervalo de tres segundos
mientras espera una respuesta del servidor RADIUS. El segundo reintento utiliza
un intervalo de nueve segundos mientras espera una respuesta del servidor
RADIUS. Si fallan los dos reintentos, el error se anota utilizando una ruptura de
gestión de red y el Connection Manager se conecta al servidor RADIUS
secundario. Se envía otra ruptura de gestión de red cuando ambos servidores
RADIUS no responden.
Cada paquete de solicitud de contabilidad RADIUS válido hace que el servidor

RADIUS envíe el correspondiente paquete de respuesta. Al concluir el Connection
Manager, se envía un paquete de desactivación de contabilidad pero el Connection
Manager no espera un paquete de respuesta del servidor RADIUS antes de
concluir. Cuando se inhabilita la configuración de contabilidad RADIUS durante la
operación normal, el paquete de desactivación de contabilidad se envía al servidor
RADIUS y el Connection Manager continúa procesando los paquetes de respuesta
y reintentando las solicitudes de paquetes que no han obtenido un acuse de recibo.
No se generan nuevos paquetes de solicitud mientras la configuración de
contabilidad RADIUS está inhabilitada.

Capacidad y rendimiento
Hay varios factores que determinan el rendimiento general del Connection
Manager:
v Los recursos del sistema disponibles que están determinados por la memoria y
la potencia del sistema.
v Las demás aplicaciones que se ejecutan en el sistema.
v El número de usuarios que están conectados simultáneamente al Connection
Manager.
v El tipo y la cantidad de transacciones de aplicación que utilizan la conexión
inalámbrica.
Aunque el Connection Manager y el Gatekeeper pueden ejecutarse en la misma
máquina, es posible que se necesite más memoria y capacidad de proceso para
obtener el rendimiento deseado.
Además de las funciones de multiprocesador, se pueden configurar varios gestores

de conexiones como un clúster para distribuir la carga de entre ellos. Diseñados
como nodos principal y subordinado en un gestor de clústeres, mejoran el
rendimiento ya que distribuyen y dan servicio de forma eficiente a las solicitudes
de comunicación. Consulte el apartado “Gestor de clústeres” en la página 19 para
Seguridad
El Connection Manager tiene varias formas de aplicar la seguridad de la red, de las
aplicaciones y de los datos. Existen varios tipos de opciones de seguridad:
Acceso
El proceso mediante el cual los usuarios de cada extremo de un enlace de
comunicación conocen la identidad del usuario del otro extremo se llama
autenticación. El mecanismo básico de autenticación consiste en la
presentación mutua de una clave secreta.
Los servicios de acceso móvil proporcionan automáticamente la
autenticación a los clientes Mobility. Además, puede conectar fácilmente
servidores RADIUS (Remote Authentication Dial-In User Service) de
terceros para proporcionar un acceso seguro.
Confidencialidad
Dado que el enlace de comunicación podría no ser privado, los datos
también deben cifrarse antes de ser enviados. El cifrado de datos ayuda a
impedir el acceso no autorizado a los mismos, transformándolos a un
formato ininteligible y, de esta forma, los datos originales no pueden leerse
o sólo pueden leerse mediante un proceso de descifrado. Los datos se
transforman en datos cifrados utilizando la clave de sesión que se
intercambia durante el proceso de autenticación. Los servicios de acceso
móvil proporcionan opcionalmente el cifrado a los clientes Mobility.
Autorización
La garantía que el usuario está autenticado y tiene permiso para acceder a
los datos. Una conexión SSL (capa de sockets protegidos) con el
Connection Manager asegura que el enlace de comunicación se accede
forma de segura, es confidencial y está autorizado.
Utilizar IPSec
Puede configurar el sistema operativo para que utilice IPsec con el fin de proteger
los datos transmitidos entre el Connection Manager y los servidores remotos o bien
entre los nodos de clúster. Por ejemplo, es posible que desee proteger la
comunicación entre el Connection Manager y el almacenamiento de datos
persistente (servidores de servicios de directorio y servidores de bases de datos
relacionales), el proxy HTTP y software opcional, como por ejemplo los servidores
de autenticación o contabilidad RADIUS.
En AIX, asegúrese de que los conjuntos de archivos apropiados se instalan desde el

paquete de bonificación. Para obtener más información, consulte el Redbook
deIBM™ A Comprehensive Guide to Virtual Private Networks, Volume III: Cross-Platform
Key and Policy Management, SG24-5309.
Opciones de seguridad
La Figura 7 muestra las opciones configurables que están disponibles para aplicar
la seguridad de la red. La Tabla 6 describe las opciones y proporciona enlaces a la
información de planificación y configuración. Para entender mejor cómo puede
aplicar la seguridad de la red, utilice la Figura 7 con la Tabla 6.
Figura 7. Opciones de seguridad del Connection Manager
Tabla 6. Referencia cruzada entre las opciones de seguridad y la información de planificación o configuración
Identificador en Descripción Información de planificación Para obtener información de
la Figura 7 configuración, consulte
1 Conexión SSL (capa de sockets No aplicable No aplicable; proporcionada
protegidos) entre el navegador automáticamente por el
web y el servidor de navegador web
aplicaciones seguro

Tabla 6. Referencia cruzada entre las opciones de seguridad y la información de planificación o
configuración (continuación)
la Figura 7 en la configuración, consulte
página 42
2 Protocolo de enlace Consulte los apartados Proporcionada
inalámbrico optimizado “Autenticación entre los automáticamente por la
servicios de acceso móvil y los conexión entre el Connection
clientes Mobility” en la página Manager y el Mobility Client;
44 y “Cifrado entre los para configurar el tipo de
servicios de acceso móvil y los autenticación utilizado,
clientes Mobility” en la página consulte el apartado
45 “Configuración de la
autenticación entre los
servicios de acceso móvil y el
Mobility Client” en la página
136
3 Conexión SSL entre el cliente Puede configurar las “Configurar certificados SSL en
HTTP y los servicios de acceso conexiones de capa de sockets el Connection Manager” en la
HTTP protegidos para cada punto página 88 con los servicios de
final: el cliente HTTP y los acceso HTTP
servicios de acceso HTTP. La
configuración de punto final
del cliente HTTP depende de
la implementación del
software de cliente y no se
explica en este documento.
4 Servidor de autenticación Consulte el apartado “Utilizar perfiles de
RADIUS, por enlace LDAP y “Autenticación de terceros en autenticación RADIUS” en la
basada en certificados el Connection Manager” en la página 92
página 46
5 Conexión SSL entre el gestor Consulte el apartado “Configurar certificados SSL
de accesos y el Gatekeeper “Autenticación y cifrado entre entre el Gatekeeper y el gestor
el Gatekeeper y el gestor de de accesos” en la página 89 y
accesos” en la página 52 “Añadir un perfil de inicio de
sesión seguro” en la página 91
6 Conexión SSL entre los Puede configurar las “Configurar certificados SSL en
servicios de acceso HTTP y el conexiones de capa de sockets el Connection Manager” en la
servidor de aplicaciones seguro protegidos para cada punto página 88 con los servicios de
final: servicios de acceso HTTP acceso HTTP
y servidores HTTP seguros.
7 Conexión SSL entre los Consulte el apartado “Configurar certificados SSL en
servicios de acceso móvil y las “Autenticación y cifrado entre el Connection Manager” en la
aplicaciones que utilizan las los servicios de mensajería y página 88 y “Configuración de
API de push y de servicios de las aplicaciones que utilizan los certificados SSL para las
mensajería las API de push y de servicios aplicaciones de proceso de
de mensajería” en la página 52 mensajes” en la página 140
8 Conexión SSL entre gestores de Consulte el apartado “Configurar certificados SSL en
clústeres “Autenticación y cifrado entre el Connection Manager” en la
gestores de clústeres” en la página 88, entre gestores de
página 52 conexiones de un clúster
Tabla 6. Referencia cruzada entre las opciones de seguridad y la información de planificación o
configuración (continuación)
la Figura 7 en la configuración, consulte
página 42
9 Conexión SSL entre el Mobility Consulte los apartados “Configurar certificados SSL en
Client y la MNC de HTTPS “Autenticación entre los el Connection Manager” en la
servicios de acceso móvil y los página 88 con los servicios de
clientes Mobility” y “Cifrado acceso HTTP
entre los servicios de acceso
móvil y los clientes Mobility”
en la página 45
Autenticación y cifrado
Es necesario un conjunto gestionado de certificados de clave pública, por lo
general emitido por una entidad emisora de certificados, para habilitar las
comunicaciones SSL. Los certificados raíz se almacenan en una base de datos de
claves y se protegen mediante una contraseña oculta. La capa de sockets
protegidos (SSL) utiliza la interfaz IBM Key Management para ofrecer las
siguientes alternativas al certificado de clave pública:
1. El servidor de red con el que está comunicándose tiene un certificado que
emite una autoridad de certificación conocida. En este caso, el certificado raíz
ya está en la base de datos de claves predeterminada.
Los certificados predeterminados incluyen los siguientes: VeriSign Class 3
Public Primary CA, VeriSign Class 2 Public Primary CA, VeriSign Class 1
Public Primary CA, RSA Secure Server CA, Thawte Personal Basic CA, VeriSign
Test CA Root Certificate, Thawte Personal Premium CA, Thawte Premium
Server CA, Thawte Server CA y Thawte Personal Freemail CA.
2. El servidor de red con el que está comunicándose tiene un certificado que
emite una autoridad de certificación desconocida. En este caso, cree una
solicitud de certificado, envíe la solicitud y reciba un certificado raíz que se
añade a una base de datos de claves.
3. El servidor de red con el que está comunicándose tiene un certificado
autofirmado creado por y para dicho servidor de red. En este caso, cree una
solicitud de certificado personal y añada un certificado raíz a la base de datos
de claves.
Al configurar conexiones SSL, utilice la interfaz IBM Key Management que se

suministra y se instala automáticamente con el Connection Manager y el
Gatekeeper.
Autenticación entre los servicios de acceso móvil y los clientes

Mobility
La autenticación es un prerrequisito para poder cifrar el enlace de comunicación
entre los servicios de acceso móvil y el Mobility Client. Los servicios de acceso
móvil utilizan un protocolo punto a punto (PPP) modificado que se llama
protocolo de enlace inalámbrico optimizado (WLP) para autenticar la conexión
entre ellos mismos y los clientes Mobility. Se configura un perfil de conexión y se
asigna a la MNC a través de la cual se conectan los clientes Mobility.
Puede configurar un perfil de conexión para que realice intercambios de claves que
utilizan:

Protocolo de distribución de claves de una parte
El Mobility Client se autentica ante el Connection Manager utilizando una
contraseña.
Protocolo de distribución de claves de dos partes
El Connection Manager y los clientes Mobility autentican la contraseña del
| otro. El Mobility Client valida que el Connection Manager tenga la
| contraseña de cliente antes de enviar la contraseña al Connection Manager
Algoritmo de negociación de claves Diffie-Hellman
Tanto el Connection Manager como el Mobility Client tienen los medios
para calcular la misma clave.
Nota: Esta opción no realiza ninguna autenticación.
Algunos dispositivos tienen números de serie asociados al hardware que pueden

utilizarse para la identificación. Los usuarios que se conectan utilizando el Mobility
Client configurado para el intercambio de claves por contraseña pueden tener un
nivel adicional de seguridad aprovechando los identificadores de dispositivos. La
identificación de dispositivo no está soportada en todos los dispositivos y
plataformas de cliente. Cuando está disponible, la Ayuda del Mobility Client ->
Acerca se actualiza para visualizar el identificador de dispositivo. Si un usuario
está configurado para utilizar la identificación de dispositivo, el identificador
exclusivo se combina con la contraseña durante la autenticación. Para obtener más
información de configuración, consulte el tema: ″Utilizar la identificación de
dispositivo con los clientes Mobility″ en la ayuda en línea de Gatekeeper.
Para obtener información más detallada acerca del intercambio de claves del
Mobility Client, consulte el apartado “Conexión y perfiles de transporte” en la
página 122.
Cifrado entre los servicios de acceso móvil y los clientes

Mobility
Puede cambiar el tipo de cifrado utilizado para los datos transmitidos entre el
Mobility Client y el servicios de acceso móvil:
Estándar de cifrado avanzado (AES)
Una cifra de bloque basada en la publicación FIPS (Federal Information
Processing Standard) 197. Las potencias de clave de 128, 192 ó 256 son
configurables. La potencia de clave de 256 bits es el tipo de cifrado más
potente que soporta el Mobility Client.
Estándar de cifrado digital (DES)
Una cifra de bloque que ha sido un estándar de cifrado comercial en los
Estados Unidos durante muchos años.
| El cifrado se negocia entre el Connection Manager y el Mobility Client cuando se

| establece la sesión. El Connection Manager establece el nivel mínimo de cifrado. Si
| el Mobility Client propone un nivel de cifrado superior al mínimo requerido por el
| Connection Manager, se utilizará el nivel superior. Por ejemplo, cuando el Mobility
| Client propone utilizar AES 256 y el Connection Manager tiene el valor mínimo
| establecido en AES 128, se utiliza AES 256. Si el Mobility Client ofrece un nivel de
| cifrado inferior al mínimo requerido por el Connection Manager, Connection
| Manager fuerza al cliente hasta el nivel mínimo de manera automática.
Para utilizar un Connection Manager compatible con FIPS (Federal Information

Processing Standards) 140-2, utilice un entorno de sistema operativo homologado
por Common Criteria, como por ejemplo
v AIX 5L 5.2 que utiliza la opción de instalación Controlled Access Protection
Profile (CAPP) y Evaluation Assurance Level 4+ (EAL4+)
v AIX 5.2 con el Paquete de mantenimiento recomendado 5200-01
v Solaris 9 nivel de mantenimiento 08/03
A continuación, conecte los clientes Mobility en los sistemas operativos Microsoft
Windows utilizando el cifrado AES o DES. Si se aplica el mantenimiento, se
invalida la certificación FIPS de Common Criteria. Algunos niveles de
mantenimiento de sistema operativo están homologados como compatibles con
FIPS, como por ejemplo AIX 5.2 Nivel de mantenimiento 1. Para obtener una lista
completa de todos los sistemas operativos que están homologados, consulte
Midsize Systems under Certification Reports o National Information Assurance
Partnership.
Autenticación de terceros en el Connection Manager

Puede configurar perfiles de autenticación para:
v Autenticación de terceros RADIUS (Remote Authentication Dial-In User Service)
v autenticación por enlace LDAP
v Autenticación basada en certificados
Algunos proveedores de autenticación de terceros permiten que los usuarios

cambien sus contraseñas. Es posible que se visualice un diálogo de cambio
contraseña en el sistema del Mobility Client, pero la contraseña no puede
cambiarse.
Si configura un perfil de conexión para que utilice un intercambio de claves del

protocolo de distribución de claves de una o dos partes y especifica un perfil de
autenticación secundario para realizar una autenticación adicional, se necesitará
más tiempo para autenticar los clientes Mobility.
Tenga en cuenta que la conexión entre el Connection Manager y el Mobility Client

no está activa hasta que finaliza el proceso de autenticación. Los paquetes
transmitidos antes de la finalización del proceso de autenticación se descartan.
Tenga en cuenta que los clientes HTTP pueden conectarse utilizando la

autenticación ligera de terceros (LPTA) y el inicio de sesión único (SSO). Consulte
el apartado “Perfil de autenticación” en la página 30.
Autenticación de terceros mediante RADIUS: Puede configurar un perfil de

autenticación para proporcionar autenticación RADIUS (Remote Authentication
Dial-In User Service). Actuando en nombre de los Servicios de acceso HTTP o los
clientes Mobility conectados a éste, el Connection Manager dirige las solicitudes de
autenticación a un servidor RADIUS.
Aunque no formen parte de la especificación RFC RADIUS y no estén soportados

por el Connection Manager, algunos proveedores de software permiten que los
usuarios cambien sus contraseñas RADIUS. Por ejemplo, en el Mobility Client se
visualiza un diálogo de cambio de contraseña, pero la contraseña no puede
cambiarse.
Cuando un perfil de conexión está configurado para utilizar un algoritmo de

intercambio de claves basado en contraseña con un perfil de autenticación
secundario utilizando la autenticación RADIUS, se visualizan dos ventanas de
conexión en el Mobility Client; una para la autenticación del sistema del
Connection Manager y otra para el servidor RADIUS. Después de que los usuarios

del Mobility Client inician una sesión utilizando la ventana Conectar, se visualiza
una segunda ventana para que puedan iniciar una sesión en el servidor RADIUS.
El ID de usuario y la contraseña utilizados en la ventana Autenticación de
certificado están definidos en el servidor RADIUS, aunque es posible que sean el
mismo ID de usuario y contraseña que se utilizan para la conexión con el
Connection Manager.
En función de los requisitos de seguridad, los usuarios pueden guardar los valores
de la ventana Conectar del Connection Manager entre sesiones de modo que sólo
visualizarán la ventana de inicio de sesión de autenticación de certificado. Si el ID
de usuario y la contraseña utilizados en el servidor RADIUS son el mismo ID de
usuario y contraseña que se han utilizado para establecer una conexión con el
Connection Manager, puede impedir que se visualice la ventana de conexión de
autenticación de certificado configurando el perfil de autenticación RADIUS para
que no se solicite al usuario un ID y una contraseña.

intercambio de claves públicas con un perfil de autenticación secundario utilizando
la autenticación RADIUS, los usuarios pueden especificar el ID de usuario y la
contraseña del servidor RADIUS en la ventana Autenticación de certificado.
Los Servicios de acceso HTTP examinan las cabeceras HTTP para encontrar un ID
de usuario y una contraseña en cada solicitud. Si el ID de usuario y la contraseña
están disponibles en la solicitud, no se solicitan al usuario. En caso contrario,
cuando un cliente envía una solicitud, el Connection Manager solicita el ID de
usuario y la contraseña a la solicitud y espera a que el cliente los devuelva. Estas
credenciales se utilizan para realizar la autenticación RADIUS.
Al crear un perfil de autenticación RADIUS, identifique una lista de servidores

RADIUS a utilizar. Todos los servidores RADIUS de un único perfil de
autenticación deben utilizar el mismo secreto compartido y el mismo número de
puerto.
Autenticación de terceros por enlace LDAP: Puede configurar un perfil de

autenticación para utilizar una autenticación por enlace LDAP para los Servicios de
acceso HTTP o los perfil de conexións.
Los Servicios de acceso HTTP examinan las cabeceras HTTP para encontrar un ID
de usuario y una contraseña en cada solicitud. Si el ID de usuario y la contraseña
están disponibles en la solicitud, no se solicitan al usuario. En caso contrario,
cuando un cliente envía una solicitud, el Connection Manager solicita el ID de
usuario y la contraseña a la solicitud y espera a que el cliente los devuelva. Estas
credenciales se utilizan para realizar la autenticación por enlace LDAP.

intercambio de claves basado en contraseña con un perfil de autenticación
secundario utilizando la autenticación por enlace LDAP, se visualizan dos ventanas
de conexión en el Mobility Client; una para la autenticación del sistema del
Connection Manager y otra para el servidor LDAP. Después de que los usuarios
del Mobility Client inician una sesión utilizando la ventana Conectar, se visualiza
una segunda ventana para que puedan iniciar una sesión en el servidor LDAP. El
ID de usuario y la contraseña utilizados en la ventana de conexión de LDAP están
definidos en el servidor LDAP, aunque es posible que sean el mismo ID de usuario
y contraseña que se utilizan para la conexión con el Connection Manager.
En función de los requisitos de seguridad, los usuarios pueden guardar los valores
de la ventana Conectar entre sesiones de modo que sólo visualizarán la ventana de
inicio de sesión LDAP. Si el ID de usuario y la contraseña utilizados en el servidor
LDAP son el mismo ID de usuario y contraseña que se han utilizado para
establecer una conexión con el Connection Manager, puede impedir que se
visualice la ventana de conexión de LDAP configurando el perfil de autenticación
LDAP para que no se solicite al usuario un ID y una contraseña.

intercambio de claves públicas con un perfil de autenticación secundario utilizando
la autenticación LDAP, los usuarios pueden especificar el ID de usuario y la
contraseña del servidor LDAP en la ventana Conectar.
Una vez que se ha validado la solicitud, este perfil de autenticación realiza una
búsqueda de servidor de servicios de directorio (DSS) utilizando un campo de
clave configurable. Después de que el DSS realiza una operación de enlace LDAP
para asociar el campo de clave a un nombre distinguido base, el cliente se
autentica.
Cuando cree un perfil de autenticación por enlace LDAP, especifique lo siguiente:

v Un nombre descriptivo
v Dirección IP y número de puerto de los servidores de servicios de directorio
v Tiempo máximo de inactividad que especifique cuánto tiempo debe mantenerse
conectado el DSS
v Campo de clave de usuario, como por ejemplo uid o correo, para determinar
qué campo se busca en el árbol de directorio
v Nombre distinguido base (DN base) que es la raíz o el sufijo del árbol de
directorio en el que empieza la búsqueda de recursos de autenticación de
clientes.
v Opcionalmente, puede proteger la conexión entre el DSS y el Connection
Manager utilizando la capa de sockets protegidos (SSL).
Autenticación de terceros mediante certificados: En los servicios de acceso móvil,

puede configurar un perfil de conexión para que utilice un perfil de autenticación
basada en certificados. Tenga en cuenta que sólo están soportados los certificados
RSA (Rivest-Shamir-Adleman).
Además de especificar un nombre descriptivo para el perfil, debe elegir cómo

solicita las credenciales al cliente el perfil de autenticación. Connection Manager
siempre verifica la firma digital y, de manera opcional, comprueba:
Caducidad
Todos los certificados tienen una fecha de emisión y una fecha de
caducidad. Connection Manager comprueba que la hora actual del sistema
está dentro del rango válido. Todas las horas se comparan en el uso
horario GMT.
Confianza y revocación
Puede comprobar la relación de confianza con el usuario mediante los
certificados de la autoridad de certificados (CA) almacenados en una base
de datos de claves. Identifique el nombre de archivo de la base de datos de
claves y el nombre de archivo de la contraseña oculta. Asismismo, para
comprobar que la CA no tenga certificados revocados, puede especificar un
directorio en el sistema de archivos local desde el que Connection Manager

puede comprobar las listas de revocación de certificados (CRLs). Configure
un proceso para entregar CRL desde su autoridad de certificados a este
directorio de forma periódica.
| Nota: No se da soporte al código de razón removeFromCRL de las

| extensiones de entrada CRL de Delta. Para eliminar un certificado
| de un CRL, emita una CRL de Delta y una base nueva que no
| contenga el certificado no revocado.
Nombre de asunto
| Elija entre verificar la clave de asunto con respecto a los atributos de
| cuenta de usuario o bien la búsqueda de un servidor de directorios en su
| empresa:
| Atributos de la cuenta de usuario, en los que partes de la clave de asunto
| de certificado coinciden con una parte del registro de usuario
| almacenado en el servidor de servicio de directorio (DSS) de Connection
| Manager
| La clave de asunto se define como el campo de asunto de las credenciales
| de certificado que se pasan al Connection Manager desde el Mobility
| Client durante la autenticación. La cuenta de usuario se define como la
| cuenta almacenada en formato X.500 en el servidor de servicios de
| directorio (DSS) de Connection Manager.
| Para cada atributo especificado en el campo La clave de usuario de
| certificado coincide con la cadena, debe haber un atributo correspondiente
| especificado en el campo La clave de asunto de certificado coincide con la
| cadena. Cree una regla para especificar qué atributos se debe intentar que
| coincidan. Separe cada regla con un punto y coma (;). Para extraer un
| atributo de un tipo base como, por ejemplo, DN (nombre distinguido),
| cualifique el tipo base desde su atributo con dos puntos (:). A continuación,
| separe los argumentos individuales dentro del tipo base con una coma (,).
| Ejemplos:
| 1. Supongamos que desea que coincida el DN completo y, si esto falla,
| intentar el nombre común (CN) y, si esto falla, intentar los valores de
| organización (O) y país (C) del DN.
| La clave de usuario es dn; cn; dn:o, dn:c y la clave de asunto es dn;
| dn:cn; dn:o, dn:c
| Estos valores intentarán hacer que coincidan el DN de usuario
| completo y el DN completo en la clave de asunto. Si esto falla, extraiga
| el atributo CN del registro de usuarios y compárelo con el valor CN
| extraído del DN en la clave de asunto. Si esto falla, extraiga los
| atributos O y C del registro de usuarios y compárelos con los valores O
| y C extraídos del DN en la clave de asunto, y si los valores O y C
| coinciden, se otorga la autenticación.
| 2. Supongamos que desea que coincida sólo la dirección de correo
| electrónico.
| La clave de usuario es mail y la clave de asunto es dn:email
| Estos valores intentarán hacer coincidir la dirección de correo
| electrónico del usuario tal y como está almacenada en el DSS con la
| parte del DN que es la dirección de correo electrónico en la clave de
| asunto.
| 3. Supongamos que desea que coincidan la organización (o) y el país (c).
| En este caso, la clave de usuario almacenada en el DSS utiliza el
| convenio de componente de dominio (dc).
| La clave de usuario es dn:dc, dn:dc y la clave de asunto es dn:o, dn:c
| Estos valores extraerán el valor o del DN de asunto y buscarán en el
| DN de usuario un valor DC que coincida. Si se encuentra una
| coincidencia, extraiga el valor c del DN de asunto y buscarán en el DN
| de usuario un valor DC que coincida. Si los valores O y C coinciden, se
| otorga la autenticación
| Servidor de directorio, en el que se especifica el servidor de servicios de

| directorio (DSS) de la empresa en el que se efectúa la búsqueda de la
| clave de asunto de certificado
| Si el DSS puede localizar el nombre distinguido (DN) de la clave de

| asunto, la clave se autentica.
| También puede especificar una serie de texto para utilizarla en el filtro de

| búsqueda LDAP (lightweight directory access protocol), tal y como se
| define en RFC 2254: “La representación de tipo serie de los filtros de
| búsqueda de LDAP”. Esta serie de filtros ubica un DN de usuario del
| atributo de asunto en el certificado. El atributo de asunto se sustituye en
| esta serie de filtros siempre que se produce %s.
| Como alternativa puede especificar si además de buscar la clave de asunto,

| el registro de usuario que coincide con la clave de asunto se valida para
| convertirse en un miembro de un grupo. Si selecciona esta opción, debe
| especificar:
| v Un lista delimitada por puntos y comas de nombres distinguidos (DN)
| de grupos permitidos. Cuando el registro de usuario es miembro de uno
| o más de los grupos especificados, la autenticación se realiza. Cuando el
| registro de usuario no es miembro de uno de estos grupos, la
| autenticación no se realiza correctamente.
| v Una lista delimitada por puntos y comas de atributos de búsqueda.
| v La modalidad de evaluación de pertenencia a grupo, especificar cómo se
| determina la pertenencia como miembro en un grupo:
| – Grupo a usuario
| Seleccione esta opción para buscar los grupos permitidos y
| determinar si contienen el usuario específico como miembro.
| – Usuario a grupo
| Seleccione esta opción para efectuar una búsqueda de los atributos de
| usuario con el fin de establecer si el usuario es miembro de los
| grupos permitidos. El atributo de búsqueda se recupera directamente
| del nombre distinguido (DN) del asunto.
| Si utiliza la modalidad de evaluación Usuario a grupo, puede
| especificar si se realiza una búsqueda reiterada, de tal modo que si un
| usuario es miembro de un grupo anidado bajo otro grupo, Connection
| Manager debe determinar todos los grupos de los que el usuario es
| miembro, incluidos los padres de los grupos anidados.
| Algunas implementaciones LDAP tienen funciones de cálculo
| reiterado implícito y otras no. Por ejemplo, IBM® Directory Server da
| soporte a la función de búsqueda reiterada implícita cuando se utiliza
| la modalidad de evaluación de Usuario a grupo. Aunque el servidor
| Microsoft® Active Directory da soporte a la función de búsqueda
| Usuario a grupo utilizando el atributo memberOf, este atributo lista
| los grupos que hay debajo y no contiene la lista recurrente de

| predecesores anidados. Si ha seleccionado una modalidad de
| evaluación de Usuario a grupo, asegúrese de seleccionar la búsqueda
| anidada si la implementación de servidor no puede realizar la
| búsqueda reiterada implícita.
| Ejemplos:
| 1. Desea realizar una búsqueda de los atributos de usuario para
| determinar si el usuario de miembro de los grupos permitidos. Está
| utilizando un DSS de Microsoft Active Directory con una estructura de
| grupo plana. Debe especificar estas propiedades en el separador de
| autenticación basada en certificados:
| v DN de grupos permitidos: cn=Connection Manager
| Users,dc=ibm,dc=com
| v Atributo de pertenencia como miembro: memberOf
| v Modalidad de evaluación: Usuario a grupo
| v Realizar una búsqueda de grupo anidado: inhabilitado
| El DN de la clave de asunto de certificado es cn=Cathy
| Johnson,cn=Users,dc=ibm,dc=com y genera una sola búsqueda con
| estas características:
| v Base: cn=Cathy Johnson,cn=Users,dc=ibm,dc=com
| v Ámbito de aplicación: un nivel
| v Atributos para recuperar: memberOf
| Los resultados de la búsqueda podrían ser:
| (“cn=Development,dc=ibm,dc=com”, “cn=Connection Manager
| Users,dc=ibm,dc=com”) El DN del grupo permitido está en esta lista;
| por lo tanto, la autenticación prosigue.
| 2. Desea efectuar una búsqueda de los grupos permitidos para determinar
| si contienen el usuario específico como miembro. Utiliza un DSS
| OpenLDAP. Debe especificar estas propiedades en el separador de
| autenticación basada en certificados:
| v DN de grupos permitidos: cn=Connection Manager
| Users,dc=ibm,dc=com
| v Atributo de pertenencia como miembro: uniqueMember
| v Modalidad de evaluación: Grupo a usuario
| El DN de la clave de asunto de certificado es uid=cathy,dc=ibm,dc=com
| y genera una sola búsqueda con estas características:
| v Base: dc=ibm,dc=com (del objeto de definición del servidor de
| directorios)
| v Filtro: (uniqueMember=uid=cathy,dc=ibm,dc=com)
| v Ámbito: subárbol Atributos para recuperar: dn
| Los resultados de la búsqueda podrían ser: cn=Connection Manager
| Users,dc=ibm,dc=com, y este resultado coincide con uno de los grupos
| permitidos, por lo que la autenticación continúa.
| Cuando un perfil de conexión está configurado para utilizar un algoritmo de

| intercambio de claves basado en contraseña con un perfil de autenticación
| secundario utilizando la autenticación de certificados, se visualizan dos ventanas
| de conexión en el Mobility Client; una para la autenticación del sistema del
| Connection Manager y otra para el certificado. Después de que los usuarios del
| Mobility Client inician una sesión utilizando la ventana Conectar, se visualiza una
| segunda ventana para que puedan especificar el certificado y la contraseña. En
| función de los requisitos de seguridad, los usuarios pueden guardar los valores de
| la ventana entre sesiones, de modo que sólo aparecerá la ventana de certificados o
| no habrá ninguna solicitud.
| Cuando un perfil de conexión está configurado para utilizar un algoritmo de

| intercambio de claves públicas con un perfil de autenticación secundario utilizando
| la autenticación de certificados, los usuarios deben configurar el cliente para que
| no solicite un ID de usuario y contraseña en la ventana Conectar.
Autenticación y cifrado entre los servicios de mensajería y las

aplicaciones que utilizan las API de push y de servicios de
mensajería
Puede configurar los servicios de mensajería para que utilicen las comunicaciones
SSL (capa de sockets protegidos) entre ellos mismos y los servidores de proceso de
mensajes o iniciadores de push para servir el contenido seguro a los clientes de
mensajería. Cuando un cliente de mensajería necesita realizar una solicitud segura
a un servidor web, los servicios de mensajería decodifican la solicitud y abren una
conexión SSL en nombre del cliente.
Emitido por una autoridad de certificación, un conjunto gestionado de certificados

de clave pública se instala en una base de datos de claves predeterminada para
que las aplicaciones que utilizan las API de push y de servicios de mensajería
puedan habilitar la negociación de la comunicación SSL entre los servicios de
mensajería y un servidor web seguro. La base de datos de claves predeterminada
(ppg.trusted.kdb) es distinta de las otras bases de datos de claves.
Autenticación y cifrado entre el Gatekeeper y el gestor de

accesos
El Gatekeeper se comunica con el gestor de accesos abriendo un socket en el que la
comunicación de datos entre los dos puntos finales no está cifrada. Para autenticar
y cifrar esta conexión, puede habilitar las comunicaciones SSL (capa de sockets
protegidos) en cada uno de los dos puntos finales, haciendo que la conexión sea
segura.

de clave pública se instala en una base de datos de claves predeterminada en el
punto final del gestor de accesos seguro y también en el punto final del
Gatekeeper para habilitar la negociación de la comunicación SSL. La base de datos
de claves predeterminada (wgmgrsd.trusted.kdb) es distinta de las otras bases de
datos de claves.
Puede forzar las conexiones remotas del Gatekeeper a utilizar una conexión SSL.
Cuando un administrador inicia una sesión remotamente en el Gatekeeper, si las
propiedades del gestor de accesos están configuradas, sólo se aceptan las
conexiones remotas que utilizan SSL. Edite las propiedades del gestor de accesos
en el separador Seguridad para establecer esta configuración. Consulte el apartado
“Edición de propiedades de recursos” en la página 101.
Autenticación y cifrado entre gestores de clústeres

Puede configurar el Connection Manager para que utilice las comunicaciones SSL
(capa de sockets protegidos) entre gestores de clústeres para proteger la
comunicación internodo.

de clave pública se instala en una base de datos de claves para que el gestor de

accesos pueda habilitar la negociación de la comunicación SSL entre los gestores de
clústeres. La base de datos de claves (cm.trusted.kdb) es distinta de las otras bases
de datos de claves.
Acceso de administrador
Gatekeeper autentica a quien utiliza la interfaz exigiendo un ID de administrador y
una contraseña. Con el Gatekeeper, puede organizar los recursos inalámbricos en
OU y, a continuación, especificar los tipos de accesos que tiene cada administrador
para cada tipo de recurso de cada OU.
Por ejemplo, puede agrupar los usuarios geográficamente y dar a los

administradores acceso sólo a los usuarios de determinadas ubicaciones. Podría
asignar un administrador para que trabaje con dispositivos portátiles y otro para
que trabaje con las MNC. Al planificar la estructura organizativa de los recursos,
puede dar a los administradores mucho o poco acceso y capacidad como desee.
Si no desea utilizar las OU para controlar el acceso a los recursos inalámbricos,

puede definir todos los recursos en la OU raíz, que se crea la primera vez que
inicia una sesión en el gestor de accesos.
| Cuando inicie una sesión en el Gatekeeper como administrador predeterminado

| del Connection Manager (gkadmin), tendrá Todo el acceso a todos los tipos de
| recursos de todas las OU. Puede crear administradores con distinto acceso a
| diferentes tipos de recursos. Debe definir al menos un administrador que no sea el
| administrador predeterminado.
| Puede especificar si el administrador predeterminado (gkadmin) puede iniciar una

| sesión de manera remota en el gestor de accesos utilizando el Gatekeeper. Para
| impedir el acceso remoto del administrador predeterminado, edite las propiedades
| del gestor de accesos en el separador Seguridad. Consulte el apartado “Edición de
| propiedades de recursos” en la página 101.
| Nota: Los usuarios de AIX, Linux y Solaris que inician la sesión utilizando el ID
| raíz del sistema operativo tienen el mismo acceso a los recursos que el
| administrador predeterminado, incluido el acceso remoto.
Capítulo 3. Antes de la instalación
Las tareas previas a la instalación incluyen cumplir los requisitos de hardware y
software, configurar el software de la base de datos y asegurarse de que la
conexión de red que desee desplegar esté instalada.
| Nota: Connection Manager versión 6.1 se puede instalar directamente en un

| release anterior a la versión 5.
Software obligatorio
La lista de requisitos detallados del sistema sólo se encuentra disponible en línea.
Consulte los apartados siguientes:
v Requisitos detallados del sistema
v Requisitos de hardware
v Requisitos de los sistemas operativos con soporte
v Lista de software soportado
Requisitos de software para el almacenamiento de datos

persistente
Para realizar un despliegue de más de 100 usuarios, el Connection Manager
requiere almacenamiento de los datos de sesión en una base de datos relacional
ODBC (Open Database Connectivity). También puede utilizar un servicio de
directorio utilizando la base de datos LDAP (Lightweight Directory Access
Protocol) para almacenar la información de configuración.
Almacenamiento de base de datos utilizando un servicio de

directorio
Para almacenar la información de configuración de sus recursos, puede utilizar un
servicio de directorio que utilice una de las bases de datos LDAP (Lightweight
Directory Access Protocol), tal y como se describe en Lista de software con soporte.
Tenga en cuenta que puede ejecutar la autenticación secundaria por enlace LDAP
utilizando cualquier servidor compatible con LDAP versión 3.
Integrar el Connection Manager con los esquemas LDAP existentes: Si la

infraestructura de red ya incluye un servicio de directorio, es posible que desee
ampliar el esquema LDAP para incluir el Connection Manager o sólo las cuentas
de usuario del Mobility Client. Este procedimiento se realiza después de instalar el
Connection Manager y antes de iniciar por primera vez el Gatekeeper.
1. Determine si desea ampliar el esquema LDAP para incluir datos de cuentas de
usuario o todos los recursos del Connection Manager.
2. Examine el directorio de configuración de instalación del Connection Manager.
En AIX y Solaris, es /opt/IBM/ConnectionManager/conf y en Linux, es
/opt/ibm/ConnectionManager/conf. Busque los archivos de configuración que
coinciden con el servicio de directorio que tiene instalado.
IBM Tivoli Directory
Para las cuentas de usuario: ibm-cm.wluser.ldif. Para todos los recursos
del Connection Manager: ibm-cm.ldif.
55
Sun ONE Directory Server (antes iPlanet)
Para las cuentas de usuario: iplanet-cm.wluser.ldif. Para todos los
recursos del Connection Manager: iplanet-cm.ldif.
Red Hat Directory
Para las cuentas de usuario: netscape-cm.wluser.at.conf y
netscape-cm.wluser.oc.conf. Para todos los recursos del Connection
Manager: netscape-cm.at.conf y netscape-cm.oc.conf.
OpenLDAP
Para las cuentas de usuario: open-cm.wluser.conf. Para todos los
recursos del Connection Manager: open-cm.conf.
Examine cuidadosamente el contenido del archivo para asegurarse de que este

esquema puede coexistir satisfactoriamente con la instalación existente. Busque
en el esquema todo lo que podría solaparse o colisionar con lo que ya tiene
definido en el árbol de directorio.
3. Utilice el mandato ldapmodify para ampliar el esquema. Por ejemplo, al
ejecutar IBM Directory desde un sistema que está en la misma red que la
instalación del servicio de directorio existente, especifique lo siguiente:
ldapmodify -f archivo -D dn enlace -w contraseña -h sistemaprincipal -c
donde
archivo es el archivo de configuración que coincide con el servicio de directorio
que ha instalado
dn enlace
es el nombre distinguido (dn) del administrador que tiene la
autorización de ampliación de esquema para el servicio de directorio.
Por ejemplo, cn=root.
contraseña
es la contraseña del administrador
sistemaprincipal
es el nombre de sistema principal del servidor de servicios de directorio
4. Busque el archivo slapd.errors y examínelo para determinar si se han
producido errores como consecuencia de la ampliación del esquema. Por
ejemplo, en un sistema AIX que ejecuta IBM, este archivo se encuentra en el
directorio /tmp/.
5. Opcionalmente, cree un ID de administrador de servicio de directorio que
tenga los permisos ACL (lista de control de accesos) apropiados para utilizar
con los objetos y atributos del Connection Manager. Asegúrese de que el acceso
incluye autorización de lectura, escritura y modificación.
6. Inicie el Gatekeeper y configure el gestor de accesos para utilizar el nombre
distinguido y la contraseña del administrador que ha creado en el paso
anterior.
Almacenamiento de base de datos utilizando una base de datos

relacional
Para almacenar la información de sesión y, opcionalmente, para la información de
configuración o de contabilidad y facturación, instale cualquiera de los siguientes
clientes y un servidor que le dé servicio, tal y como se describe en el apartado
Lista de software soportado.

Antes de instalar el Connection Manager, asegúrese de que el cliente de tiempo de
ejecución de la base de datos relacional (si es necesario, consulte la información
sobre DataDirect Connect 5.1 y el controlador de Oracle Wire Protocol) está
instalado en la misma máquina.
Si configura varios gestores de conexiones para que utilicen el mismo servidor de

bases de datos relacionales y diferentes servidores de servicios de directorio,
asegúrese de que cada Connection Manager utiliza un nombre de base de datos
relacional distinto.
Para DB2, instale el cliente de tiempo de ejecución DB2 en la máquina del

Connection Manager. Consulte el apartado “Configuración de DB2” en la página
75.
El Connection Manager comprueba si hay una versión soportada de DB2 antes de

comprobar si existe una versión soportada de Oracle. Si tanto DB2 como Oracle
están instalados en la máquina, DB2 se utiliza de manera predeterminada cuando
la versión es 8.1 o posterior.
Consulte el apartado “Almacenamiento de datos” en la página 35 para obtener

información sobre cómo distinguir entre la información de sesión y la información
de contabilidad y facturación.
Consulte el apartado “Esquema de base de datos de contabilidad y facturación” en

la página 149 para obtener información sobre cómo configurar una base de datos
que se utilizará con las herramientas de informe y auditoría.
Buscar una versión soportada de Oracle: Durante la instalación en AIX, Linux o

Solaris, Connection Manager comprueba si hay una versión soportada del cliente
Oracle. Para realizar la comprobación, Connection Manager primero busca en el
entorno una variable ORACLE_BASE y, si se encuentra, utiliza el valor de
ORACLE_BASE. Connection Manager busca en el directorio indicado por
ORACLE_BASE un directorio de release de Oracle (por ejemplo, 9.0.1) para
determinar si está disponible una versión soportada de Oracle.
Cuando la variable ORACLE_BASE no está establecida, la instalación de

Connection Manager busca un archivo llamado oraInst.loc que crea el programa de
instalación de Oracle. En AIX y Linux, este archivo se encuentra en
/etc/oraInst.loc. En Solaris, este archivo se encuentra en /var/opt/oracle/
oraInst.loc. El archivo oraInst.loc contiene entradas como las siguientes:
v inventory_loc=/u01/app/oracle/oraInventory
v inst_group=oinstall
Si se encuentra el archivo, Connection Manager toma el valor de inventory_loc y
busca en el directorio $inventory_loc/../product/ un directorio de release de
Oracle (por ejemplo, 9.0.1) para determinar si está disponible una versión
soportada de Oracle. En el archivo de ejemplo anterior, Connection Manager
buscaría en /u01/app/oracle/oraInventory/../product/ un directorio de release
de Oracle (por ejemplo, 9.0.1).
Finalmente, si no se encuentra un cliente Oracle, el Connection Manager

comprueba el archivo /opt/odbc/odbc.ini. Si este archivo existe, el Connection
Manager supone que DataDirect Connect está instalado y que se accederá a las
bases de datos del Connection Manager utilizando la modalidad de Oracle Wire
Protocol. La característica Oracle Wire Protocol de DataDirect Connect proporciona
una forma de acceder a una base de datos Oracle sin el cliente Oracle.
Capítulo 3. Antes de la instalación 57

Anotaciones de la instalación
Al instalar componentes, algunos sistemas operativos proporcionan un método
para anotar las actividades y los resultados de la instalación con indicaciones de la
hora apropiadas.
AIX Utilice el archivo smit.log del directorio inicial para leer los resultados de
la instalación. Debe tener permiso de escritura para el directorio inicial o
bien el archivo smit.log no se creará. SMIT no sobrescribe el archivo
smit.log y el archivo se añade cuando es posible.
Linux - Connection Manager
Como parámetro adicional del script install_wg, adjunte 2>&1 | tee
myfile.log, donde myfile.log es una vía de acceso y archivo que se elige para
registrar la instalación.
Linux - Gatekeeper
Como parámetro adicional del mandato rpm, adjunte 2>&1 | tee myfile.log,
donde myfile.log es una vía de acceso y archivo seleccionado para registrar
la instalación.
Linux - Mobility Client
Como parámetro adicional del script install_wc, adjunte 2>&1 | tee
myfile.log, donde myfile.log es una vía de acceso y archivo seleccionado para
Solaris
Como parámetro adicional del mandato pkgadd, adjunte 2>&1 | tee
myfile.log, donde myfile.log es una vía de acceso y archivo seleccionado para
| Windows - Gatekeeper
| La instalación coloca un archivo denominado gkInstallLog.txt en el
| directorio de instalación.
Requisitos de hardware del proveedor de red

En función de los proveedores de red a los que desee dar soporte, es posible que
necesite el siguiente hardware y acceso a red:
v Se necesita una tarjeta X.25 si conecta el Connection Manager en AIX a
cualquiera de las siguientes redes y no utiliza una conexión TCP:
– Motient-X.25
– DataTAC-5000
– Mobitex
– Modacom-SCR
– UCP/EMI que utiliza X.25
– SMPP que utiliza X.25
Nota: Si se conecta a cualquiera de estas redes utilizando una conexión TCP, y

no a través de X.25, no necesita una tarjeta de coprocesador X.25.
v Adaptador asíncrono y módem si conecta el Connection Manager a una red
celular de circuitos conmutados utilizando la comunicación RS232, como por
ejemplo RTC, GSM o AMPS.
v Es necesario un adaptador LAN si conecte Connection Manager a cualquiera de
las siguientes redes:
– Una pasarela de red de radio (RNG) de una red de radio DataTAC-TCP,
Mobitex-TCP o RNC3000.
– Un controlador multisitio (MSC) para la red Dataradio
– Otros proveedores de red, como un protocolo simple de transferencia de
correo (SMTP) o un proveedor de red SNPP desde los cuales los datos se
dirigen a Connection Manager a través de Internet o de otro tipo de conexión,
como frame relay
Asegúrese de que la conexión de red y el sistema del proveedor de red estén
completamente operativos antes de iniciar Connection Manager.
Determinar el almacenamiento virtual necesario

El almacenamiento virtual es la suma de RAM y el espacio de paginación en el
almacenamiento en disco. Cuanto más almacenamiento virtual pueda asignar al
Connection Manager y al gestor de accesos, mayor será su rendimiento.
v Se requieren aproximadamente 15 MB de almacenamiento virtual para el primer
Gatekeeper que se conecta al gestor de accesos y 5 MB para cada Gatekeeper
que se conecte a continuación.
v Se requieren aproximadamente 35 KB de almacenamiento virtual para cada
usuario o dispositivo portátil conectado.
Determinar el espacio en disco necesario

Para cada paquete transmitido entre los servicios de acceso móvil y un Mobility
Client o dispositivo portátil, puede generarse un registro de contabilidad de 24
bytes. En una prueba de campo, una cuenta activa típica produjo 250–500 paquetes
por día, dando como resultado un total de 6–12 KB de espacio en disco necesarios
por Mobility Client o dispositivo portátil al día.
También se necesita espacio en disco de tiempo de ejecución adicional para las

anotaciones ampliadas de eventos internos al Connection Manager. Estas
anotaciones adicionales pueden consumir megabytes de espacio en disco en pocos
minutos. Una configuración estándar que sólo anota errores y avisos podría añadir
varios kilobytes al archivo de anotaciones por semana. Para obtener más
información sobre anotaciones, consulte el apartado “Visualización de las
anotaciones del Connection Manager” en la página 105.
Asegurar almacenamiento suficiente para anotaciones en

sistemas basados en UNIX
Para asegurar que hay espacio suficiente para almacenar los archivos de
anotaciones, inicie una sesión como usuario raíz para determinar y establecer el
espacio libre en el sistema de archivos de las anotaciones. El sistema de archivos
predeterminado es /var.
Para determinar la cantidad de espacio libre y asignar almacenamiento suficiente

para instalar y ejecutar el Connection Manager, en una línea de mandatos
especifique:
df -k /<var>
donde <var> es el sistema de archivos de las anotaciones.
La columna Free muestra el espacio libre disponible. La cantidad mostrada es el

número de bloques de 1024 bytes disponibles. 2048 bloques forman 2 MB de
almacenamiento.

Si el valor Free es inferior a 65536, la cantidad total de espacio libre es menor que
32 MB. Reste 65536 menos el valor Free para determinar cuántos bloques deben
añadirse.
En AIX, utilice el siguiente mandato para aumentar el espacio libre:

# chfs -a size=+número_de_bloques_de_512_bytes /var
Por ejemplo, para aumentar el espacio libre en 4 MB, especifique:

# chfs -a size=+8192 /var
Conectividad de red para el Connection Manager

Para configurar TCP/IP para el sistema, debe obtener la siguiente información de
IP y red para definir el Connection Manager como nodo local:
v Nombre de sistema principal
v Dirección IP
v Máscara de red
v Dirección IP del servidor de nombres (opcional)
v Nombre de dominio del servidor de nombres (opcional)
v Dirección de la pasarela predeterminada
v Tipo de interfaz de red (Ethernet, IEEE 802.3 o Token Ring)
Asegúrese de que esta información de IP y red está especificada en el sistema
operativo.
En un sistema Linux, asegúrese de que inetd o xinetd esté ejecutándose y que el

correlacionador de puertos esté ejecutándose.
Instalar y configurar el soporte de X.25

Para el soporte de X.25 en AIX versión 5.1, se necesita el siguiente software:
v AIXlink 1.1.5.0 o posterior
– Entorno de ejecución AIXlink/X.25
– Soporte de servidor AIXlink/X.25
– Interfaz de programación de red (NPI) de AIXlink/X.25
Para el soporte de X.25 en AIX versión 5.2 o AIX 5.3, se necesita soporte de
AIXlink versión 2.0.1.
Utilice conexiones X.25 entre el Connection Manager y una pasarela de red de

radio (RNG) o el centro de servicio de mensajes cortos (SMS-C) de las siguientes
redes:
v Motient
v DataTAC-SCR
v Mobitex
v Modacom-SCR
v UCP/EMI
v SMPP
Para configurar la conectividad de X.25:

1. Instale y configure la tarjeta X.25.
2. Instale y configure el controlador de dispositivo para cada tarjeta instalada.

3. Verifique la instalación de software y hardware, y luego pruebe la red X.25 para
asegurar una conectividad correcta.

Capítulo 4. Instalación y configuración inicial
Utilice la lista de comprobación de la instalación para buscar los procedimientos
que le harán asegurarse de que ha instalado completamente el soporte del
proveedor de red y Lotus Mobile Connect.
Lista de comprobación de la instalación

__ 1. Cumpla los requisitos de hardware y software de los componentes.
| __ 2. Para el almacenamiento persistente de los datos de sesión, instale el
| soporte de bases de datos relacionales o planifique el almacenamiento de
| los datos de la sesión con el sistema de archivos local.
| Para instalar el soporte de bases de datos relacionales, consulte el apartado:
| v “Configuración de DB2” en la página 75.
| v “Configurar Oracle” en la página 76.
| __ 3. Para el almacenamiento persistente de la información de configuración,
| planifique el almacenamiento de los datos de configuración utilizando el
| mismo método que seleccionó para almacenar los datos de sesión, o utilice
| LDAP (Lightweight Directory Access Protocol) e instale un servidor de
| servicios de directorio (DSS). Consulte los apartados siguientes:
| v “Configurar IBM Directory” en la página 70
| v “Configuración de Red Hat Directory” en la página 71
| v “Configurar Sun ONE Directory Server” en la página 72
| v “Configurar OpenLDAP” en la página 72
__ 4. Asegúrese de que TCP/IP está configurado en el sistema. Consulte el
apartado “Conectividad de red para el Connection Manager” en la página
60.
__ 5. Asegúrese de que el software, el puerto físico y los controladores de línea
para las conexiones de red que desea desplegar estén correctamente
instalados. Para línea serie multilínea, o adaptadores de LAN, utilice las
instrucciones de instalación del fabricante.
__ 6. Instale y configure IBM Tivoli License Manager (ITLM) y asegúrese de que
este componente puede supervisar el proceso del Connection Manager.
Tenga en cuenta que ITLM no está disponible en todos los sistemas
operativos. Por ejemplo, ITLM versión 2.1 sólo da soporte limitado de
Linux y una versión específica de kernel. Consulte IBM Tivoli License
Manager Support.
__ 7. Instale el Gatekeeper. Consulte el apartado “Instalar el Gatekeeper” en la
página 64.
__ 8. Instale el Connection Manager. Consulte el apartado “Instalar el
Connection Manager” en la página 68.
Nota: Si instala el Connection Manager, debe instalar también la solución

IBM Support Assistant (ISA) for IBM Lotus Mobile Connect. Puede
obtener el paquete de software del programa de utilidad ISA en el
sitio web de IBM Support Assistant.
__ 9. Consulte el apartado “Seguridad” en la página 41 para revisar las opciones
de seguridad y, a continuación, determine si desea utilizar una conexión
segura:
63
v Entre el Connection Manager y los servidores web seguros
v Entre los servicios de mensajería y las aplicaciones que utilizan las API
de push y de servicios de mensajería
v Entre gestores de clústeres
En caso afirmativo, instale los certificados de clave para habilitar la
comunicación SSL. Consulte el apartado “Habilitar la comunicación
segura” en la página 88.
__ 10. Si tiene la intención de utilizar una conexión segura entre el Gatekeeper y
el gestor de accesos, cree un perfil de inicio de sesión seguro. En caso
contrario, cree un perfil de inicio de sesión. Inicie el Gatekeeper y configure
el gestor de accesos. Consulte el apartado “Configurar el gestor de accesos”
en la página 77.
__ 11. Determine si utilizará servidores RADIUS para la autenticación de terceros
o para fines de contabilidad y facturación. Si es así, configure los servidores
RADIUS. Consulte el apartado “Utilizar servidores RADIUS” en la página
92 para obtener más información.
__ 12. Determine qué componentes desea configurar. Si desea utilizar los servicios
de acceso móvil y los clientes Mobility, consulte la Guía del usuario de
Mobility Client para los sistemas operativos que utilizarán los clientes.
__ 13. Instalación completa. Para obtener información sobre cómo configurar el
Connection Manager, consulte el apartado Capítulo 5, “Configuración de
recursos”, en la página 81.
Instalar el Gatekeeper
El Gatekeeper puede instalarse en el mismo sistema que el Connection Manager y
el gestor de accesos o en otro sistema. La primera vez que inicie el Gatekeeper,
asegúrese de iniciar sesión en el sistema del gestor de accesos utilizando el ID y la
contraseña del administrador gkadmin. Este ID de administrador predeterminado
tiene acceso de superusuario. Una vez que haya instalado satisfactoriamente el
Gatekeeper, puede crear nuevos ID de administrador distintos de gkadmin.
Puede instalar el Gatekeeper en cualquiera de los sistemas operativos que aparecen

en Requisitos de los sistemas operativos con soporte con protocolo TCP/IP
instalado:
Si Gatekeeper se ejecuta en sistemas UNIX, instale Netscape, Mozilla, Konqueror,

Epiphany, Galeon o 11mlview.
El Gatekeeper puede instalarse en varios sistemas operativos. Consulte los

apartados siguientes:
v “Instalar el Gatekeeper en AIX”
v “Instalar el Gatekeeper en Windows” en la página 67
v “Instalar el Gatekeeper en Solaris” en la página 66
v “Instalar el Gatekeeper en Linux” en la página 65
Instalar el Gatekeeper en AIX

La vía de acceso del archivo en el CD 1 de instalación es: /usr/sys/inst.images/
wgcfg.
1. Inicie una sesión como usuario raíz en el sistema donde desea instalar el
Gatekeeper.

2. Si ha instalado previamente el Gatekeeper y utilizaba SSL entre Gatekeeper y
gestor de accesos:
Versión del Gatekeeper anterior a la 5.1
Utilice ikeyman para exportar todos los certificados a una ubicación
temporal.
Gatekeeper versión 5.1 o posterior
Copie el archivo trusted.jks existente desde el directorio de instalación
a una ubicación temporal.
3. Si ha instalado previamente el Gatekeeper, desinstálelo. Consulte el apartado
“Eliminar el Gatekeeper” en la página 119.
4. Coloque el CD 1 de instalación en la unidad de CD e invoque smitty y
seleccione esta vía de acceso a través de los menús:
Mantenimiento e Instalación de Software
Instalar y Actualizar Software
Instalar y Actualizar con software disponible MÁS RECIENTE
5. Para el dispositivo / directorio de ENTRADA de software, pulse F4 para
seleccionar la unidad de CD.
6. Establezca Instalar automáticamente el software de requisito en SÍ, si
| actualmente no tiene instalado Java SDK 1.4.2, release de servicio 6.
7. Para SOFTWARE a instalar, pulse F4 para obtener una lista de los
componentes a instalar.
8. Pulse F7 para seleccionar el Gatekeeper (wgcfg) y, a continuación, pulse Intro
tres veces.
| Nota: Si dispone de Java SDK 1.4.2 con un release de servicio anterior al

| release de servicio 6, pulse F7 y seleccione wgcfg y Java14.sdk.
El directorio de instalación es /opt/IBM/Gatekeeper y contiene enlaces en el
directorio /usr/bin para los siguientes scripts:
v wgcfg
v wgcfgikeyman
v wgcfgnewjvm
v wgcfgnewwin
9. Si estaba utilizando SSL entre Gatekeeper y gestor de accesos:
Utilice ikeyman para añadir los certificados al nuevo archivo
trusted.jks del Gatekeeper (o un archivo jks creado por el usuario).
Copie el archivo trusted.jks existente de la ubicación temporal al
directorio de instalación.
10. Para iniciar el Gatekeeper, especifique wgcfg.
Instalar el Gatekeeper en Linux

La vía de acceso del paquete de instalación en el CD de instalación 1 es:
| linux/IBMwgcfg-6.1-0.0.i386.rpm.
Gatekeeper.
gestor de accesos:
Capítulo 4. Instalación y configuración inicial 65

temporal.
Copie el archivo trusted.jks existente desde el directorio de instalación a
una ubicación temporal.
3. Si ha instalado previamente el Gatekeeper, desinstálelo.
4. Inserte el CD 1 de instalación en la unidad de CD y monte el CD.
| 5. Si no ha instalado IBM JRE 1.4.2 service release 6, desde el directorio /linux del
CD de instalación 1, ejecute:
| rpm -ivh IBMJava2-142-ia32-JRE-1.4.2-6.0.i386.rpm
| 6. En el directorio /linux, ejecute el mandato
| rpm -ivh IBMwgcfg-6.1-0.0.i386.rpm
Este mandato instala el Gatekeeper en el directorio de /opt/ibm/Gatekeeper y

crea enlaces en el directorio /usr/bin para los siguientes scripts:
v wgcfg
v wgcfgikeyman
v wgcfgnewjvm
v wgcfgnewwin
Utilice ikeyman para añadir los certificados al nuevo archivo trusted.jks
del Gatekeeper (o un archivo jks creado por el usuario).
8. Para iniciar el Gatekeeper, ejecute el script wgcfg.
Instalar el Gatekeeper en Solaris

La vía de acceso del archivo de adición de paquete en el CD 1 de instalación es:
/solaris/IBMwgcfg.solaris.pkg.
Gatekeeper.
gestor de accesos:
temporal.
3. Si ha instalado previamente el Gatekeeper, desinstálelo. Suprima todos los
archivos en el directorio donde ha instalado el Gatekeeper. Por ejemplo,
especifique pkgrm IBMwgcfg.
4. Inserte el CD 1 de instalación en la unidad de CD y monte el CD.
5. Desde el directorio /solaris del CD de instalación, añada el paquete:
pkgadd -d ./IBMwgcfg.solaris.pkg

El directorio de instalación es /opt/IBM/Gatekeeper y contiene enlaces en el
directorio /usr/bin para los siguientes scripts:
v wgcfg
v wgcfgikeyman
v wgcfgnewjvm
v wgcfgnewwin
7. Para iniciar el Gatekeeper, ejecute el script wgcfg.
Instalar el Gatekeeper en Windows

| La vía de acceso del archivo en el CD 1 de instalación es: /win32/
| wgcfgsetup.win32.exe.
gestor de accesos:
temporal.
2. Coloque el CD 1 de instalación en la unidad de CD.
| 3. Pulse Instalar –> Instalar Gatekeeper –> Instalar el Gatekeeper en Windows.
4. Siga las instrucciones del asistente durante el proceso de instalación. El
directorio de instalación predeterminado es C:\Archivos de
programa\IBM\Gatekeeper.
6. Para iniciar el Gatekeeper, pulse Inicio > Programas > IBM Lotus Mobile
Connect > Gatekeeper.
| Nota: Desde el directorio en el que se encuentran los archivos de instalación del

| Gatekeeper, puede realizar una instalación silenciosa en plataformas
| Windows de 32 bits. El mandato para iniciar la instalación silenciosa es:
| wgcfgsetup.win32.exe -silent -P installLocation=<vía de acceso>

| donde <vía de acceso> es la vía de acceso de instalación de la aplicación
| Gatekeeper. Si omite el distintivo -P, la vía de acceso de instalación
| predeterminada es el directorio \Archivos de programa\IBM\Gatekeeper de
| la unidad del sistema Windows.
| El mandato de la instalación silenciosa hace que el indicador de mandatos

| vuelva de inmediato, mientras el proceso de instalación sigue ejecutándose
| en segundo plano. Utilice start /WAIT si no desea que el indicador de
| mandatos vuelva hasta que el proceso de instalación haya finalizado:
| start /WAIT wgcfgsetup.win32.exe -silent -P installLocation=<vía de acceso>

|
Instalar el Connection Manager
Antes de instalar los componentes desde los CD de instalación, lea los archivos
readme del CD de Inicio rápido.
| Todas las instalaciones se empaquetan en una única unidad. Todo, incluido el

| soporte de idiomas (excepto AIX), IBM Tivoli License Manager, el soporte de red
| IP, los módulos criptográficos y los servicios de acceso móvil se encuentran en un
| paquete que se instala con el tiempo de ejecución. En AIX, el soporte de idioma se
| encuentra en paquetes independientes.
Antes de realizar la instalación, revise estas notas de instalación:
| 1. Si está realizando una migración desde una versión anterior, consulte la
| información sobre actualizaciones y cambios en las vías de acceso de
| instalación, en el apartado “Vías de acceso de instalación” en la página 113.
2. Asegúrese de que la versión de Connection Manager es la misma o posterior a
la de los Mobility Clients que se conectan a él.
3. El Connection Manager también requiere almacenamiento de datos
persistente. Consulte el apartado “Requisitos de software para el
almacenamiento de datos persistente” en la página 55.
4. Asegúrese de que el puerto 9555 para conexiones no SSL o los puertos 9555 y
9559 para conexiones SSL estén disponibles en el sistema para permitir la
comunicación entre el Connection Manager, el gestor de accesos y el
Gatekeeper. Para obtener una lista de otros números de puerto utilizados,
consulte la Guía de resolución de problemas de IBM Lotus Mobile Connect.
5. El Connection Manager instala automáticamente el software IBM Key
Management (gskit), si todavía no se ha detectado como instalado.
6. En sistemas Solaris, el software de IBM Key Management (gskit) no se instala
automáticamente.
7. El Connection Manager debe instalarse en una instalación de sistema
operativo nueva o de sobrescritura.
8. Antes de instalar el Connection Manager, instale y configure el soporte para
las conexiones de red que utilizará:
9. Si encuentra un error durante la instalación, asegúrese de desinstalar el
Connection Manager antes de volver a instalarlo.
10. Utilice el Gatekeeper para todos los pasos de configuración después de que
haya finalizado la instalación.
11. Después de la instalación y la configuración inicial, asegúrese de mantener
una copia de seguridad del archivo wgated.conf almacenado, para tenerlo a
salvo en caso de que se produzca una anomalía.
| 12. El Connection Manager no da soporte a la instalación silenciosa.

El paquete de software del Connection Manager utiliza:
| AIX el programa installp que se instala y elimina utilizando SMIT o los menús
| de instalación smitty. El directorio de instalación es /opt/IBM/
| ConnectionManager.
| Linux el programa rpm para la instalación y para desinstalar. El directorio de
| instalación es /opt/ibm/ConnectionManager.
| Para obtener información sobre cómo realizar la instalación utilizando el
| asistente de instalación, consulte el manual IBM Lotus Mobile Connect
| Getting Started Guide
Solaris
| el programa pkgadd para la instalación y utiliza pkgrm para desinstalar. El
| directorio de instalación es /opt/IBM/ConnectionManager.
Instalar el Connection Manager en AIX

1. Coloque el CD 1 de instalación en la unidad de CD e invoque smitty y
seleccione esta vía de acceso a través de los menús:
Instalar y Actualizar Software
Instalar y Actualizar con software disponible MÁS RECIENTE
2. Para el dispositivo / directorio de ENTRADA de software, pulse F4 para
seleccionar la unidad de CD.
3. Para SOFTWARE a instalar, pulse F4 para obtener una lista de los
componentes.
4. Pulse F7 para seleccionar los componentes que desea instalar y, a continuación,
pulse Intro tres veces.
La instalación de Connection Manager añade una entrada para rc.wgated en

/etc/inittab parecida a: rcwgated:2:once:/etc/rc.wgated > /dev/console
2>/dev/null Esta entrada garantiza que el proceso wgated se iniciará si la máquina
se recicla. Sin embargo, esta entrada puede causar problemas en un entorno
HACMP (High Availability Cluster Multiprocessing). Si está utilizando HACMP
para controlar el arranque de wgated, elimine o comente la entrada rc.wgated en
/etc/inittab.
Utilizar catálogos de mensajes de entorno local UTF-8

Para utilizar un formato de codificación UTF-8 (Formato de Transformación de
Unicode o UCS de 8 bits) en sistemas AIX, primero instale el soporte de entorno
local UTF-8 del sistema operativo AIX y, a continuación, instale el catálogo de
mensajes codificados UTF-8 del Connection Manager para el entorno local UTF-8
que está utilizando. Los catálogos de mensajes están disponibles en el directorio de
instalación del Connection Manager y tienen UTF-8 como parte del nombre de
archivo; por ejemplo, wg.msg.EN_US.UTF-8 o wg.msg.DE_DE.UTF-8.
Para instalar el soporte de entorno local UTF-8 del sistema operativo AIX desde el
directorio de instalación del Connection Manager:
1. Invoque smitty y seleccione esta vía de acceso a través de los menús:
Entornos de Sistema
Gestionar Entorno de Idioma
Cambiar/Mostrar Aplicaciones para un Idioma
Añadir Idioma para la Aplicación ya Instalada
2. Pulse F4 para seleccionar el soporte de conversión de idiomas de UTF-8
deseado y, a continuación, pulse Intro.

3. Teclee . para el dispositivo/directorio de entrada y pulse Intro dos veces.
Los cambios en el entorno de idioma primario no entran en vigor hasta que se

haya instalado BOS y se haya reiniciado el sistema.
Instalar el Connection Manager en Linux o Solaris

1. En distribuciones Linux, asegúrese de que no se crea un alias del nombre de
sistema principal de la máquina en el archivo /etc/hosts para la dirección de
bucle de retorno antes de realizar la instalación.
2. Inserte el CD 1 de instalación en la unidad de CD y vaya al directorio a
/linux/ o /solaris/.
3. Especifique ./install_wg.
4. En un sistema Linux, se le solicitará si desea inhabilitar el inicio automático al
arrancar el sistema. El valor predeterminado es que el Connection Manager se
iniciará al arrancar el sistema.
5. En un sistema Solaris, se le solicitará que indique qué paquetes desea instalar.
Pulse Intro.
Notas:
1. En distribuciones Linux, asegúrese de que esté instalado un paquete del shell
Korn (ksh). Un paquete que habitualmente está disponible es pdksh.
2. En distribuciones Red Hat, si el cortafuegos bloquea el tráfico, asegúrese de que
las MNI que ha configurado aparecen como dispositivos fiables en el panel de
configuración Nivel de seguridad. El nombre del programa que configura el
cortafuegos es redhat-config-securitylevel.
| 3. Si utiliza la biblioteca de cliente de IBM Tivoli Directory Server y un entorno
| local distinto al inglés, cambie a un entorno local UTF-8 en la línea de
| mandatos o utilice Gatekeeper para ver los usuarios. Si no utiliza un entorno
| local UTF-8, el resultado no se verá correctamente cuando se utilice la línea de
| mandatos para mostrar a los usuarios.
Utilizar catálogos de mensajes de entorno local UTF-8

| Para utilizar un formato de codificación UTF-8 (Formato de Transformación de
| Unicode o UCS de 8 bits) en sistemas Solaris, instale los entornos locales con
| Solaris Web Start como se describe en la guía de instalación de Solaris SPARC
| Edition. Asegúrese de instalar el entorno local con Solaris Web Start antes de
| desinstalar Connection Manager.
En distribuciones Linux, los entornos locales UTF-8 se instalan automáticamente

cuando se instala el Connection Manager.
Configurar IBM Directory

IBM Directory Server tiene una herramienta de configuración (ldapxcfg) o un
programa de utilidad de línea de mandatos (ldapcfg) que pueden utilizarse para
configurar el servidor de servicios de directorio. La herramienta de configuración
le orientará paso a paso en el proceso de configurar el servidor web y el ID de
administrador del servidor de servicios de directorio (DSS). Puede ejecutar el
asistente o utilizar los pasos de la línea de mandatos para configurar el software
DSS. Consulte el manual IBM Directory Server Installation and Configuration
Guide para obtener las instrucciones de configuración completas de la versión 5.1.

Después de la instalación, si la configuración no se inicia automáticamente, utilice
la herramienta de configuración o el programa de configuración de la línea de
mandatos para realizar las siguientes tareas:
v Definir el nombre distinguido (DN) y una contraseña del administrador de IBM
Directory Server. Esta operación puede compararse a la definición del ID de
usuario raíz y contraseña en un sistema UNIX.
v Configurar la base de datos.
Además, puede configurar la herramienta de configuración para llevar a cabo las

siguientes tareas:
v Configurar (o reconfigurar) y desconfigurar la base de datos
v Habilitar e inhabilitar las anotaciones de cambios
v Añadir y eliminar sufijos
v Añadir y eliminar archivos de esquema
v Importar y exportar datos LDIF
v Realizar una copia de seguridad, restaurar y optimizar la base de datos
Configuración de Red Hat Directory

Antes de iniciar el Gatekeeper y configurar el gestor de accesos, copie dos archivos
de configuración en el servidor de servicio de directorio (DSS) de Red Hat y edite
el archivo de configuración LDAP:
1. En AIX o Solaris, en el directorio /opt/IBM/ConnectionManager/conf del
sistema del Connection Manager, copie los archivos netscape-cm.at.conf y
netscape-cm.oc.conf en el directorio del DSS donde se almacenan las
definiciones de clase de objeto y atributo.
En Linux, en el directorio /opt/ibm/ConnectionManager/conf del sistema del
Connection Manager, copie los archivos netscape-cm.at.conf y
netscape-cm.oc.conf en el directorio del DSS donde se almacenan las
definiciones de clase de objeto y atributo.
2. Edite el archivo slapd.conf para añadir las líneas siguientes:
v include /etc/netscape-cm.at.conf
v include /etc/netscape-cm.oc.conf
donde etc es el nombre del directorio que almacena los dos archivos copiados
desde el directorio de configuración del Connection Manager.
Red Hat Directory tiene un asistente que le orientará paso a paso en el proceso de
configurar el servidor de directorios y el ID de administrador DSS. Asegúrese de:
v Anotar el nombre distinguido (DN) y la contraseña del gestor de directorios. El
valor del DN raíz del gestor de directorios se utiliza en la configuración del
gestor de accesos como nombre distinguido y contraseña del administrador.
v Hay un sufijo configurado en el servidor de directorios que se identificará en
gestor de accesos como nombre distinguido (DN) base.
v La selección Cifrado de contraseña está establecida en Secure Hash Algorithm
(SHA) o Borrar texto en el separador Contraseñas de la configuración del
servidor de Red Hat Directory. Si desea que Red Hat Directory cifre contraseñas,
asegúrese de que en el separador Almacenamiento de datos de las propiedades
del gestor de accesos, los recuadros de selección Cifrar contraseñas antes del
almacenamiento estén desmarcados. El Connection Manager no soporta Unix
crypt.

v Utilice la consola de Red Hat para indexar los atributos que buscará más
frecuentemente, como activestatus. Como mínimo, asegúrese de que los
siguientes atributos están indexados:
– ibm-wlOtherOu
– objecttype
Indexar los atributos buscados más frecuentemente mejorará el rendimiento y
asegurará que no produzcan tiempos de espera y fallos en las búsquedas.
Configurar Sun ONE Directory Server

Antes de iniciar el Gatekeeper y configurar el gestor de accesos, añada el archivo
de esquema LDAP del Connection Manager al servidor de servicios de directorio
(DSS) de Sun ONE Directory Server (antes iPlanet):
En el sistema del Connection Manager, especifique:

ldapmodify -c -h srv_DSS D dn_admin_DSS -w contraseña_admin_DSS -f
iplanet-cm.ldif -p puerto
donde srv_DSS es la dirección IP decimal con puntos o el nombre de host del

servidor DSS, dn_admin_DSS es el nombre distinguido del administrador DSS (el
valor predeterminado es cn=Directory Manager), contraseña_admin_DSS es la
contraseña del administrador DSS y puerto es el número utilizado para configurar
el DSS.
Sun ONE Directory Server tiene un asistente que le orientará paso a paso en el
proceso de configurar el servidor de directorios y el ID de administrador DSS.
Asegúrese de:
v Anotar el nombre distinguido (DN) y la contraseña del gestor de directorios. El
valor del DN raíz del gestor de directorios se utiliza en la configuración del
gestor de accesos como nombre distinguido y contraseña del administrador.
v Hay un sufijo configurado en el servidor de directorios que se identificará en
gestor de accesos como nombre distinguido (DN) base.
v La selección Cifrado de contraseña está establecida en Secure Hash Algorithm
(SHA), Salted Secure Hash Algorithm (SSHA) o Borrar texto en el separador
Contraseñas de la configuración de Sun ONE Directory Server. Si desea que Sun
ONE Directory cifre las contraseñas, asegúrese de que en el separador DSS de
Connection Manager de las propiedades del gestor de acceso, el recuadro de
selección Cifrar contraseñas antes del almacenamiento no esté seleccionado. El
Connection Manager no soporta Unix crypt.
v Utilice la consola de Sun ONE para indexar los atributos que seguramente
buscará más frecuentemente, como por ejemplo activestatus. Como mínimo,
asegúrese de que los siguientes atributos están indexados:
– ibm-wlOtherOu
– objecttype
Indexar los atributos buscados más frecuentemente mejorará el rendimiento y
asegurará que no produzcan tiempos de espera y fallos en las búsquedas.
Configurar OpenLDAP
Las versiones soportadas de OpenLDAP son las que se proporcionan con las
distribuciones de Linux soportadas.

Añadir automáticamente el esquema a un servidor OpenLDAP
local
Un script que añade el esquema del Connection Manager a un servidor
OpenLDAP local se incluye en la versión Linux del Connection Manager en
/opt/ibm/ConnectionManager /conf/useopenldap.sh. Una vez que ha finalizado
la instalación, si un archivo de configuración anterior /opt/ibm/
ConnectionManager/wgated.conf no se encuentra en el sistema, se le solicitará que
ejecute el script. Puede elegir ejecutar el script más adelante.
El script finaliza si falla un paso o si se responde negativamente a una solicitud. Se

visualizan mensajes que describen lo que está haciendo el script:
1. Las comprobaciones del script utilizan una consulta rpm (Red Hat Package
Manager) para determinar si se ha instalado una versión del servidor
OpenLDAP que es compatible con el Connection Manager. Si ha compilado e
instalado manualmente OpenLDAP, no se detectará.
2. El archivo de esquema del Connection Manager se copia en el directorio de
esquema OpenLDAP y las sentencias include se añaden a slapd.conf, como se
describe en el apartado “Añadir manualmente el esquema a un archivo de
configuración del servidor OpenLDAP”.
3. Se le solicitará que reinicie el servidor LDAP. Si responde no, el script finaliza.
Para que los cambios surtan efecto, tendrá que reiniciar el servidor.
4. Se le solicitará que configure el Connection Manager para que utilice el
servidor OpenLDAP. El script recupera los atributos rootdn y rootpw del
archivo slapd.conf.
5. Si la contraseña está oculta, se le solicitará la contraseña.
6. El sufijo se crea si no existe ya.
7. El gestor de accesos se configura para utilizar el servidor OpenLDAP con el
puerto predeterminado 389.
Cuando el script haya finalizado, los valores de la configuración OpenLDAP se
guardarán y utilizarán como valores predeterminados de la configuración del
servidor LDAP la primera vez que se ejecute el asistente de configuración del
gestor de accesos.
Si falla algún paso o si responde negativamente a una solicitud, arregle el

problema y vuelva a ejecutar el script.
Añadir manualmente el esquema a un archivo de

configuración del servidor OpenLDAP
Para añadir manualmente el esquema de Connection Manager a un archivo de
configuración del servidor OpenLDAP:
1. Copie el archivo de esquema Connection Manager, /opt/ibm/
ConnectionManager/conf/open-cm.conf, en el directorio de esquema
OpenLDAP. Normalmente el directorio es /etc/openldap/schema.
2. Añada los archivos de esquema al archivo de configuración LDAP, slapd.conf.
Normalmente, este archivo se encuentra en /etc/openldap/slapd.conf. El
ejemplo siguiente muestra un archivo de configuración predeterminado típico
con las adiciones de archivos de esquema necesarias resaltadas en negrita.
# $OpenLDAP: pkg/ldap/servers/slapd/slapd.conf,
# v 1.8.8.7 2001/09/27 20:00:31 kurt Exp $
#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.

#
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/open-cm.conf
# Define global ACLs to disable default read access.
# Do not enable referrals until AFTER you have a working directory

# service AND an understanding of referrals.
#referral ldap://root.openldap.org
pidfile /var/lib/slapd.pid
argsfile /var/lib/slapd.args
# Load dynamic backend modules:

# modulepath /usr/lib/openldap/openldap
# moduleload back_ldap.la
# moduleload back_ldbm.la
# moduleload back_passwd.la
# moduleload back_shell.la
#
# Sample Access Control
# Allow read access of root DSE
# Allow self write access
# Allow authenticated users read access
# Allow anonymous users to authenticate
#
#access to dn="" by * read
#access to *
# by self write
# by users read
# by anonymous auth
#
# if no access controls are present, the default is:
# Allow read by all
#
# rootdn can always write!
#######################################################################
# ldbm database definitions
#########################################################
database ldbm
suffix "dc=my-domain,dc=com"
#suffix "o=My Organization Name,c=US"
rootdn "cn=Manager,dc=my-domain,dc=com"
#rootdn "cn=Manager,o=My Organization Name,c=US"
# Cleartext passwords, especially for the rootdn, should
# be avoid. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw secret
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd/tools. Mode 700 recommended.
directory /var/lib/openldap-ldbm
# Indices to maintain
index objectClass eq
Notas:
1. Para OpenLDAP 2.1.x, ejecute el mandato ldapadd en el sufijo especificado en
el archivo slapd.conf.
Por ejemplo, utilice un archivo LDIF, como el siguiente:

dn: dc=my-domain,dc=com
objectclass: dcObject
objectclass: organizationalUnit
ou: top level suffix
dc: my-domain
con el mandato ldapadd:

ldapadd -D rootdn -w rootpw -p 389 -h 127.0.0.1 -f LDIF
donde rootdn y rootpw están especificados en el archivo slapd.conf y LDIF es el

nombre del archivo LDIF que desea utilizar.
2. OpenLDAP 2.1.13 y superiores sólo pueden tener un sufijo por base de datos.
Configuración de DB2
| El Connection Manager necesita un asistente para instancias para que la instancia
| de la base de datos de DB2 se instale y se configure correctamente. Si utiliza DB2
| con Connection Manager, asegúrese de instalar DB2 Administration Client o el
| cliente de Application Development DB2.
| Al configurar DB2, seleccione una instalación local o remota. En una instalación

| local, el asistente para instancias de DB2 debe estar instalado en la misma máquina
| que el Connection Manager. En una instalación remota, el asistente para instancias
| de DB2 está instalado en la misma máquina que el Connection Manager y el
| servidor de DB2 está conectado a la red.
Asegúrese de instalar el soporte de idiomas de DB2 para el idioma que se utilizará

para instalar y configurar el Connection Manager.
La configuración predeterminada del Connection Manager utilizando DB2 crea

automáticamente un ID de instancia de base de datos de wgdb y un ID de sistema
operativo de wgdb. Asegúrese de que el ID o la contraseña de la instancia de DB2
no tengan más de ocho bytes.
Al configurar DB2 en distribuciones Linux, es bastante habitual que aparezca un

mensaje SQL10003 ″No hay suficientes recursos del sistema para procesar la
solicitud″. Este problema se produce cuando el script de configuración del
Connection Manager intenta crear y configurar una nueva instancia de DB2. La
solución consiste en aumentar el recurso de kernel msgmni, tal y como se describe
en el HOW-TO de Linux.
Cuando instale el servidor DB2 para uso remoto, cree un ID de instancia en el

servidor DB2 que sea el mismo que el ID del administrador de DB2 que está
especificado en el Connection Manager.
En una instalación remota, el Connection Manager necesita el servidor y el número

de puerto o nombre de servicio del servidor DB2. Para determinar el número de
puerto, compruebe el archivo de servicios en el servidor DB2. Después de instalar
y configurar el Connection Manager, el Gatekeeper y el gestor de accesos, añada
un Connection Manager a la interfaz del Gatekeeper para configurar las
propiedades de la base de datos.
También debe asignar un nombre de base de datos y un ID administrativo y una

contraseña. El nombre de base de datos debe tener ocho caracteres como máximo.
El nombre predeterminado de la base de datos de información de sesión es
wgdata. El nombre predeterminado de la base de datos de información de

contabilidad y facturación es wgacct. Puede asignar un ID administrativo exclusivo
o bien puede utilizar el ID de instancia, wgdb. En una instalación local, el
Connection Manager puede utilizar el ID de instancia, wgdb, para conectarse con
DB2, que tiene una contraseña predeterminada vpn4ibm. En una instalación
remota, elija el ID administrativo y la contraseña del servidor remoto que desea
utilizar.
Notas:
| 1. El usuario que configura DB2 en el Connection Manager debe tener
| autorización para crear y catalogar las bases de datos de DB2. Añadir el
| usuario al grupo de administración de DB2 creado al instalar DB2 (ya sea de
| manera local o remota) es una manera de garantizar que estas autorizaciones
| existan.
2. En una instalación local, wgdb pasa a ser el ID de usuario de sistema
operativo. Asegúrese de que los demás servicios de sistema operativo, como
por ejemplo FTP, Telnet y SSH, están bloqueados para esta cuenta de usuario.
Revise los otros servicios que haya configurado para bloquear esta cuenta de
usuario.
3. Si está configurando DB2 en un sistema AIX, el servicio DB2 Warehouse
Manager podría causar un conflicto de puerto con el Mobility Client cuando
intente conectarse al Gatekeeper. Para evitar este conflicto, elimine o comente
las líneas de los puertos 11000, 11001 y 11002 en el archivo <DB2
Server>/etc/services.
Configurar Oracle
Para configurar Oracle para utilizarlo con el Connection Manager:
1. Asegúrese de que el Connection Manager está instalado.
2. Asegúrese de que cumple los requisitos del software de terceros e instale el
software siguiendo las recomendaciones del fabricante.
| 3. Para Oracle Versión 9.0.1, 9.2.0.1, 9.2.0.2, 10g Release 1 o 10g Release 2,
| asegúrese de que el controlador de DataDirect Connect ODBC Versión 5.1 esté
| instalado. Descargue y aplique también los parches más recientes del
| controlador DataDirect ODBC.
4. Cree o elija una base de datos Oracle para que contenga información de sesión
y tablas de contabilidad y facturación.
5. Realice una copia del archivo odbc.ini del controlador ODBC en el directorio
conf del directorio de instalación de Connection Manager y edite esta copia del
archivo odbc.ini. Por ejemplo, en AIX, copie el archivo odbc.ini del controlador
ODBC en /opt/IBM/ConnectionManager/conf y edite /opt/IBM/
ConnectionManager/conf/odbc.ini. Connection Manager utilizará esta copia del
archivo odbc.ini.
6. Añada una nueva línea llamada wgdata=Texto de comentario en la sección del
archivo llamada Orígenes de datos ODBC, donde el texto de comentario puede
ser cualquier serie descriptiva. Si ha instalado el soporte para contabilidad y
facturación, añada también una nueva línea llamada wgacct en la misma
sección del archivo.
7. Utilice la sección de Oracle Wire Protocol como plantilla y cree las definiciones
correspondientes. La sección de Oracle Wire Protocol proporciona acceso a la
base de datos Oracle sin necesidad de un cliente Oracle.
Para una sección de Oracle Wire Protocol, actualice los valores de las claves
Descripción, NombreSistemaPrincipal, NúmeroPuerto y SID (si es necesario).
NombreSistemaPrincipal es un nombre de sistema principal o dirección IP que
identifica el servidor Oracle. NúmeroPuerto identifica el número de puerto en

el que el servidor Oracle está a la escucha. SID es un identificador del sistema
Oracle que es necesario si el servidor Oracle soporta más de una instancia de
una base de datos Oracle.
8. Elimine las claves IDInicioSesión y Contraseña.
9. Guarde el archivo y salga del mismo.
Cuando cree un Connection Manager, el asistente Añadir le solicitará que configure

la base de datos relacional. Asigne un nombre de base de datos y un ID
administrativo y contraseña de base de datos. Para Oracle, el nombre de base de
datos corresponde al nombre de origen de datos definido en el archivo odbc.ini.
Configurar el gestor de accesos

Para configurar el gestor de accesos, inicie el Gatekeeper por primera vez.
1. Cuando inicie el Gatekeeper por primera vez, se visualiza la ventana Perfil de
inicio de sesión. Para configurar un nuevo perfil de inicio de sesión e iniciar
una sesión:
a. Determine si desea una conexión cifrada entre el Gatekeeper y el gestor de
accesos utilizando la capa de sockets protegidos (SSL). Pulse Añadir perfil
seguro para utilizar SSL o bien pulse Añadir perfil para conectarse al gestor
de accesos sin una conexión cifrada. Para obtener más información, consulte
el apartado “Añadir un perfil de inicio de sesión seguro” en la página 91.
Para añadir un perfil sin una conexión cifrada:
1) Escriba un nombre descriptivo del perfil en el campo Nombre de perfil
de inicio de sesión. Este nombre describe el par de nombre de sistema
principal y puerto que se utiliza para establecer una conexión con el
gestor de accesos cuando se selecciona este perfil de inicio de sesión.
2) Especifique la dirección IP o el nombre de sistema principal de destino
del sistema donde está instalado el gestor de accesos en el campo
Nombre de sistema principal.
Además, puede especificar si la resolución de nombres se intenta
automáticamente para el campo de nombre de sistema principal. Quite
la marca del recuadro de selección para las redes sin servicio de sistema
de nombres de dominio (DNS) o al conectarse a un gestor de accesos
multiubicado; de lo contrario, marque el recuadro de selección Intentar
resolución de nombres.
3) Especifique el número de puerto del gestor de accesos en el campo
Puerto. De manera predeterminada, el número de puerto es 9555.
Consulte la Guía de resolución de problemas para obtener más información
sobre los puertos.
b. Después de añadir un perfil de inicio de sesión, seleccione el perfil y luego
pulse Aceptar.
| c. Especifique gkadmin como ID de administrador y la contraseña
| predeterminada inicial (gk4admin) para el sistema del gestor de accesos y, a
| continuación, pulse Iniciar sesión. Después de haber configurado
| correctamente el gestor de accesos, puede crear ID de administración
| adicionales distintos a gkadmin.
| 2. Cuando el inicio de sesión haya finalizado, en sistemas AIX, Solaris o Linux
| que no se instalaron con el asistente de instalación InstallShield, el asistente del
| gestor de accesos le permite decidir dónde almacenar los datos de sesión y de
| configuración. Si utiliza una base de datos relacional (RDB), el asistente
| intentará identificar la que está utilizando y le solicitará la información
| necesaria para configurarla correctamente para trabajar con el gestor de accesos.

| Para obtener una descripción de los distintos tipos de datos almacenados,
| consulte el apartado “Almacenamiento de datos persistente” en la página 5.
| Para obtener una descripción de los distintos métodos de almacenamiento,
| consulte el apartado “Almacenamiento de datos” en la página 35.
| Si decide almacenar los datos de la sesión en archivos que utilizan el sistema
| de archivos local, pulse Siguiente. De no hacerlo así, para almacenar los datos
| de sesión en una base de datos relacional, siga las indicaciones del asistente y
| complete el proceso de configuración:
| a. Identifique el nombre o el alias de la base de datos. El valor
| predeterminado es wgdata. Si utiliza DB2, identifique también el ID de la
| instancia de cliente de DB2. El valor predeterminado es wgdb.
| b. Si utiliza DB2, identifique la ubicación del directorio de la base de datos de
| sesiones del sistema. El valor predeterminado es /home/wgdb en AIX y
| Linux. El valor predeterminado es /export/home/wgdb en Solaris.
| c. Especifique el ID y la contraseña del administrador de base de datos con los
| que ha configurado el software del servicio de directorio.
| d. Si utiliza DB2, identifique si la base de datos está ubicada en el mismo
| sistema que Connection Manager o en un sistema independiente. Si está
| ubicada en un sistema independiente, identifique la dirección IP y el
| número de puerto.
| e. Determine si una base de datos de información de sesión existente se borra
| al crear Connection Manager. Cuando se borra una base de datos, las
| entradas del catálogo de la base de datos se eliminan y el directorio que
| contiene los datos se suprime. El valor predeterminado es que la base de
| datos DB2 existente no se borra.
| f. Pulse Siguiente.
| 3. Si decide almacenar los datos de configuración utilizando el mismo método
| para seleccionar los datos de sesión, pulse El mismo método que el
| seleccionado para el almacenamiento de datos de sesión y, a continuación,
| pulse Siguiente. En caso contrario, para almacenar los datos de configuración
| utilizando un servidor de servicio de directorio (DSS), siga las indicaciones del
| asistente y complete el proceso de configuración:
| a. Especifique el nombre distinguido del administrador como ID de
| administrador y contraseña con los que ha configurado el software del
| servicio de directorio. Por ejemplo, especifique cn=wg.
| b. Especifique la dirección IP y el número de puerto del servidor de servicios
| de directorio primario.
| c. Determine si la conexión con el DSS debe utilizar la capa de sockets seguros
| (SSL). Si es así, identifique el número de puerto, el nombre del archivo de la
| base de datos de claves y el nombre de archivo de la contraseña oculta.
| d. Determine si las contraseñas se cifran antes de que se almacenen. Si el
| servicio de directorio cifra las contraseñas, asegúrese de que no hay una
| marca de selección en este recuadro.
| e. Pulse Siguiente.
4. Identifique el nombre distinguido base que se utiliza para crear una estructura
de directorios que proporciona una clave exclusiva para localizar los recursos
del Connection Manager. Utilizando la notación X.500 estándar, especifique el
nombre distinguido base que especifica el nodo raíz o el sufijo de la unidad
organizativa primaria de este Connection Manager. Tenga en cuenta que este
campo es sensible a las mayúsculas y minúsculas.

Por ejemplo, utilizando un nodo raíz, especifique o=ibm,c=us. Para un punto
de entrada que se encuentra más abajo del árbol de directorio, especifique
ou=la,ou=ca,o=ibm,c=us.
Pulse Siguiente.
| 5. Determine si desea que los administradores que inician una sesión de manera
| remota puedan utilizar el ID de administrador predeterminado, gkadmin, y si
| los intentos de inicio de sesión remotos se deben forzar a utilizar SSL.
| Nota: Los usuarios de AIX, Linux y Solaris que inician la sesión utilizando el
| ID raíz del sistema operativo tienen el mismo acceso a los recursos que
| el administrador predeterminado (gkadmin), incluido el acceso remoto.
6. Especifique las ubicaciones de los archivos de anotaciones del gestor de accesos
y del gestor de accesos seguro, así como los niveles de anotaciones.
7. Pulse Siguiente. A continuación, pulse Finalizar.
Después de configurar el gestor de accesos, se le solicitará que defina los recursos

del Connection Manager. Para obtener más información sobre cómo definir los
recursos que representan su infraestructura, consulte el apartado Capítulo 5,
“Configuración de recursos”, en la página 81.

Capítulo 5. Configuración de recursos
Después de instalar los componentes del Connection Manager y utilizar el
Gatekeeper para configurar el gestor de accesos y el almacenamiento de datos
persistente, estará preparado para definir los recursos que representan la
infraestructura de la red.
Al definir estos recursos, implementa la planificación que ha realizado y que se

describe en el apartado “Su red” en la página 33.
Para obtener información más detallada sobre cómo administrar estos recursos,
consulte el apartado “Utilización del Gatekeeper” en la página 101.
Lista de comprobación de configuración inicial

Después de completar el asistente de configuración del gestor de accesos, se le
solicitará que defina un Connection Manager, las interfaces de red móvil (MNI) y
los usuarios. Sin embargo, puede configurar los recursos de red en cualquier
orden.
Todos los pasos empiezan desde el separador Recursos. Estos pasos pueden
ayudarle a realizar la configuración inicial:
__ 1. Si tiene la intención de utilizar unidades organizativas (OU) distintas para
agrupar los recursos de red, cree una jerarquía organizativa. Para obtener
una descripción de las unidades organizativas, consulte el apartado
“Unidad organizativa” en la página 13. Para añadir una OU:
a. Pulse con el botón derecho del ratón la OU en la que desea crear una
nueva OU.
b. Seleccione Añadir recurso –> Unidad organizativa.
Repita estos pasos hasta que haya creado toda la jerarquía.
__ 2. Para cada Connection Manager instalado, cree un recurso de Connection
Manager.
a. Pulse con el botón derecho del ratón la OU en la que desea añadirlo.
b. Seleccione Añadir recurso –> Connection Manager. Se visualiza una
ventana de inicio de sesión que le permite elegir un perfil o definir un
perfil nuevo.
Después de iniciar una sesión, el asistente Añadir le guiará durante el
proceso de definir el Connection Manager.
Consulte el apartado “Definir un Connection Manager utilizando el
Gatekeeper” en la página 82 para obtener más detalles.
__ 3. Si tiene la intención de utilizar los siguientes recursos, consulte:
v “Añadir servicios de mensajería” en la página 85
v “Añadir Servicios de acceso HTTP” en la página 87
__ 4. Para cada Connection Manager, añada tipos específicos de conexiones de
red utilizando las MNC. Puede añadir MNC del mismo tipo a las distintas
optimizaciones de red. Consulte el apartado “Añadir una conexión de red
móvil” en la página 85.
__ 5. Cree usuarios para servicios de acceso móvil. Consulte el apartado “Añadir
usuarios” en la página 85.
81
__ 6. Puede recopilar algunos recursos para utilizarlos como grupo en lugar de
hacerlo por separado. Cree el grupo y añádale estos recursos: MNC,
clústeres, lista de usuarios de difusión, dispositivos, usuarios DHCP,
correlación de paquetes o NAT y filtros.
Consulte el apartado “Grupos” en la página 21 para obtener una
descripción de los grupos. Para crear un grupo:
a. Pulse con el botón derecho del ratón la OU en la que desea añadir un
nuevo grupo.
b. Pulse Añadir recurso –> Grupo –> y, a continuación, seleccione el tipo
de grupo que desea añadir. Cuando cree recursos que pertenezcan a
dicho grupo, especifique el nombre de grupo.
__ 7. Cree administradores para gestionar los recursos. Para obtener una
descripción de los administradores, consulte el apartado “Administrador”
en la página 27. Para añadir un administrador:
a. Determine si el administrador debe tener un acceso restringido distinto
del acceso de Superusuario. Si es así, primero cree un perfil de ACL.
Pulse con el botón derecho del ratón la OU en la que desea crear el
perfil y, a continuación, pulse Añadir recurso –> Perfil de ACL.
b. Para crear el ID de administrador, pulse con el botón derecho del ratón
la OU en la que desea crear el ID de administrador.
c. Pulse Añadir recurso –> Administrador.
__ 8. Determine si desea utilizar perfiles de autenticación para asignar a las
MNC o a los Servicios de acceso HTTP. Determine qué otras opciones de
seguridad desea configurar. Consulte el apartado “Seguridad” en la página
41 para determinar las opciones de seguridad y buscar procedimientos de
configuración.
Un perfil de autenticación del sistema, que utiliza el campo de contraseña
de las cuentas de usuario definidas en LDAP para validar sesiones, se
incluye como recurso predeterminado. La autenticación del sistema
también incluye una extensión de las propiedades de autenticación ligera
de terceros (LPTA) y de inicio de sesión único (SSO) que pueden habilitarse
una vez que la autenticación se ha realizado satisfactoriamente. Otros
perfiles de autenticación que pueden añadirse son: RADIUS, basada en
certificados y por enlace LDAP.
Para añadir un perfil de autenticación:
a. Pulse con el botón derecho del ratón la OU en la que desea añadir un
nuevo perfil de autenticación.
b. Pulse Añadir recurso –> Perfil de autenticación–> y, a continuación,
seleccione el tipo de perfil que desea añadir.
__ 9. Si desea utilizar un servidor de directorios, consulte el apartado
“Configurar la búsqueda de cuenta de usuario” en la página 96.
__ 10. Determine qué gestores de conexiones desea habilitar en un clúster.
Consulte los apartados “Gestor de clústeres” en la página 19 y “Configurar
nodos de clúster” en la página 93.
Definir un Connection Manager utilizando el Gatekeeper

Cuando se conecte a una máquina del Connection Manager y todavía no haya
configurado el gestor de accesos, lo primero que hará el asistente es ayudarle a
realizar dicha configuración. Consulte el apartado “Configurar el gestor de
accesos” en la página 77.

Al definir un Connection Manager, implementa la planificación que ha realizado y
que se describe en el apartado “Su red” en la página 33. A medida que lleva a cabo
los pasos del asistente, repase los valores predeterminados y especifique lo
siguiente:
v Una serie que identifique de manera exclusiva el Connection Manager
v Una descripción opcional
v Mensajes e información de rastreo; los niveles de los mensajes que desea anotar.
Un Connection Manager que esté configurado exclusivamente como nodo

subordinado en un clúster no necesita tener instalado el soporte de MNC.
Cuando haya acabado de definir los recursos asociados a un Connection Manager,

se le preguntará si desea iniciar el Connection Manager ahora.
Existen algunas características, como por ejemplo los valores de alertas, que sólo
pueden establecerse utilizando la ventana Propiedades del Connection Manager.
Consulte el apartado “Edición de propiedades de recursos” en la página 101 para
Añadir una interfaz de red móvil

En el separador Recursos, pulse con el botón derecho del ratón los servicios de
acceso móvil a los que desea añadir una interfaz de red móvil (MNI) y, a
continuación, pulse Añadir –> Interfaz de red móvil.
A medida que lleva a cabo los pasos del asistente, repase los valores
predeterminados y especifique lo siguiente:
v Cómo se direcciona el tráfico fuera de la MNI. En AIX y Solaris, se asigna una
dirección IP y una máscara de subred para utilizar una subred a través de la
cual el tráfico se direcciona públicamente. En sistemas Linux , puede elegir
entre:
– Utilizar un servidor DHCP ubicado externamente
– Utilizar un servidor DHCP externo con NAT
– Utilizar una subred a través de la cual el tráfico se direcciona públicamente
Para obtener una descripción completa de estas opciones, consulte el apartado
“Interfaz de red móvil (MNI)” en la página 132.
v El estado inicial de la MNI: elija activar si desea que la MNI sea utilizada por el
servicios de acceso móvil al iniciarse. Elija inactivo si no desea que la MNI se
utilice inmediatamente.
v Si Connection Manager envía información de configuración del sistema de
nombres de dominio (DNS) y del servicio de nombres Internet de Windows
(WINS) a los clientes Mobility conectados a esta MNI. La configuración DNS se
utiliza para resolver nombres de sistema en direcciones IP. El protocolo WINS,
en combinación con la difusión de búsqueda de nombres, se utiliza para
convertir nombres de sistema en direcciones IP. En caso de hacerlo, especifique
la dirección IP del servidor primario y, opcionalmente, la dirección IP de un
servidor secundario.
v Si la MNI utiliza filtros para impedir o permitir la comunicación entre las
direcciones IP de una MNI. En las listas de filtros existentes y de correlaciones
de paquetes, elija los que desea aplicar a esta MNI.
Es posible que desee crear una OU que contenga los filtros y las correlaciones de
paquetes definidos. Si desea poner los filtros o las correlaciones de paquetes en
Capítulo 5. Configuración de recursos 83

grupos para que puedan utilizarse juntos, cree primero los grupos y después, a
medida que define cada filtro o correlación de paquetes, colóquelos en un grupo.
1. Pulse el separador Recursos.
2. Pulse con el botón derecho del ratón la OU en la que desea añadir un nuevo
grupo.
3. Seleccione Añadir recurso –> Grupo –>Grupo de filtros o Añadir recurso –>
Grupo –>Grupo de correlaciones de paquetes o NAT.
Para añadir un filtro o una correlación de paquetes:
2. Pulse con el botón derecho del ratón la OU en la que desea añadir un nuevo
filtro o correlación de paquetes.
3. Seleccione Añadir recurso –> Filtro o Correlación de paquetes–> TCP, UDP,
ICMP u otros.
v Determine si desea que los clientes Mobility puedan negociar las entradas de
tabla de direccionamiento durante el inicio de sesión. En caso afirmativo,
especifique la lista de direcciones IP que son rutas válidas que el Connection
Manager baja al Mobility Client.
Añadir otros recursos específicos de los servicios de acceso móvil

Para obtener más información acerca de las propiedades que definen estos recursos
específicos de los servicios de acceso móvil, consulte los apartados siguientes:
v “TCP-Lite” en la página 121
Para crear cualquiera de estos recursos, con la excepción de la interfaz de red

móvil y el alias de direccionamiento, realice lo siguiente:
2. Pulse con el botón derecho del ratón la OU en la que desea crear el recurso.
3. Seleccione Añadir recurso > Recurso a crear.
Para crear un alias de direccionamiento o una MNI:

2. Pulse con el botón derecho del ratón en el servicios de acceso móvil al que
desee añadir el recurso y, a continuación, pulse Añadir > Alias de
direccionamiento o MNI.

Añadir una conexión de red móvil
En el separador Recursos, pulse con el botón derecho del ratón el Connection
Manager al que desea añadir una conexión de red móvil y, a continuación, pulse
Añadir –>Conexión de red móvil.
A medida que lleva a cabo los pasos del asistente, repase los valores
predeterminados y realice lo siguiente:
v Elija un tipo de red en la lista desplegable. Cada tipo de red requiere parámetros
específicos de la red, como por ejemplo uno o más puertos físicos.
v Especifique una descripción opcional
v Elija un perfil de conexión. Consulte el apartado “Conexión y perfiles de
transporte” en la página 122.
v Especifique el puerto UDP en el que Connection Manager está a la escucha.
v Seleccione el estado inicial de la MNC. Elija activo si desea que la MNC sea
utilizada por el Connection Manager al iniciarse. Elija inactivo si no desea que la
MNC se utilice inmediatamente.
Añadir usuarios
Añada usuarios individualmente o en una modalidad por lotes.
Para definir los ID de usuario individualmente, pulse con el botón derecho del
ratón en la OU a la que desee añadir un nuevo usuario. Seleccione Añadir recurso
–> Usuario. Rellene los campos para identificar el usuario.
Añadir recursos en modalidad por lotes

Si está familiarizado con los archivos de formato de intercambio de datos (LDIF)
del protocolo ligero de acceso a directorio (LDAP), puede añadir un gran número
de usuarios (sólo entorno personalizado) o dispositivos portátiles en modalidad
por lotes. Dado que este proceso elude el programa del Gatekeeper, no se lleva a
cabo el proceso de errores que el Gatekeeper realiza al añadir recursos.
Consulte la documentación de la implementación de DSS para obtener información

sobre cómo crear archivos LDIF. Cuando haya terminado de editar los archivos,
cárguelos en la base de datos de servicios de directorio.
Añadir servicios de mensajería

En el separador Recursos, pulse con el botón derecho del ratón el Connection
Manager al que desea añadir los servicios de mensajería y, a continuación, pulse
Añadir –> servicios de mensajería.
Cuando defina los servicios de mensajería en el Connection Manager, especifique el

número de puerto en el que el Connection Manager está a la escucha de solicitudes
procedentes de aplicaciones que utilizan las API de push y de servicios de
mensajería. El puerto predeterminado es 13131.
Para cada MNC de mensajería que desea definir:

v Elija un tipo de red en la lista desplegable. Cada tipo de red requiere parámetros
específicos de la red, como por ejemplo uno o más puertos físicos.
v Determine si desea que esta MNC pertenezca a un grupo MNC preexistente.

v Seleccione el estado inicial de la MNC. Elija activo si desea que la MNC sea
utilizada por el Connection Manager al iniciarse. Elija inactivo si no desea que la
MNC se utilice inmediatamente.
v Especifique un número de puerto de servicio de aplicaciones o una combinación
de URL/número de puerto predeterminado que indica una dirección IP decimal
con puntos (o un nombre de sistema principal) seguida de un número de puerto
que esta MNC utiliza para reenviar los mensajes originados en un dispositivo
portátil y enviados desde el dispositivo portátil a los servicios de mensajería. Si
especifica un dominio y nombre de sistema principal, los servicios de mensajería
utilizan una operación de búsqueda en el sistema de nombres de dominio (DNS)
para resolver el nombre en una dirección IP. Si el servidor DNS no está
disponible, la operación de búsqueda puede tardar varios minutos en
completarse y ello podría afectar negativamente al rendimiento. Si prevé que la
red puede tener problemas de resolución de DNS, asegúrese de que el URL
predeterminado se especifica como una dirección IP decimal con puntos.
También puede configurar conexiones para que utilicen la capa de sockets

protegidos (SSL) entre los servicios de mensajería y las aplicaciones que utilizan las
API de push y de servicios de mensajería. El puerto predeterminado para las
solicitudes SSL es 13132. Para obtener más información, consulte el apartado
“Configuración de los certificados SSL para los servicios de mensajería” en la
página 140.
Existen propiedades adicionales que pueden configurarse una vez que haya
terminado de añadir los servicios de mensajería:
v El nivel de mensajes almacenado en la base de datos de información de sesión.
Seleccione entre:
Ninguno
No se almacenan mensajes en la base de datos. Los mensajes que estén
en cola cuando se concluye el Connection Manager no se recuperan
cuando éste se vuelve a iniciar. El resultado de esta selección es un
aumento de la productividad en los servicios de mensajería.
Sólo mensajes de entrega retardada
Sólo se almacenan los mensajes que están en cola y pendientes porque
una aplicación ha sometido un mensaje para entregarlo más adelante.
Los mensajes que estén en cola cuando se concluye el Connection
Manager se recuperan cuando éste se vuelve a iniciar.
Todos Todos los mensajes se almacenan en la base de datos. Los mensajes que
estén en cola cuando se concluye el Connection Manager se recuperan
cuando éste se vuelve a iniciar. El resultado de esta selección es una
disminución de la productividad en los servicios de mensajería.
v Dos campos adicionales que especifican cuándo los registros de estado de los
mensajes procesados se descartan o comprueban para determinar si han
caducado.
Vea las propiedades de los servicios de mensajería para editar estos campos.
Consulte el apartado “Edición de propiedades de recursos” en la página 101.
Puede añadir un servicio de aplicaciones genérico o paso a través a los servicios de

mensajería. En el panel izquierdo, pulse con el botón derecho del ratón sobre los
servicios de mensajería a los que desea añadir un servicio de aplicaciones y, a
continuación, pulse Añadir servicio de aplicaciones.
Para un servicio de aplicaciones genérico, especifique lo siguiente:

v El nombre común del servicio
v El puerto de entrada que utiliza el cliente de mensajería
v Qué protocolo de transporte debe utilizarse (UDP, TCP o TCP con SSL) entre los
servicios de mensajería y el servidor de aplicaciones
v La dirección y el número de puerto del servidor de aplicaciones
v La cantidad de tiempo que los servicios de mensajería mantienen información
específica acerca del dispositivo portátil después de que no haya habido tráfico
en ninguno de los dos sentidos.
v Si se debe incluir el identificador de dispositivo en la corriente de datos
v Qué MNC o grupos MNC utilizan el servicio de aplicaciones
Para un servicio de aplicaciones paso a través, especifique el nombre común del

servicio de aplicaciones y qué MNC o grupos MNC utilizan el servicio de
aplicaciones.
Añadir Servicios de acceso HTTP

Determine si desea habilitar los servicios de acceso HTTP. En el separador
Recursos, pulse con el botón derecho del ratón el Connection Manager al que
desea añadir los servicios de acceso HTTP y, a continuación, pulse Añadir –>
Servicio de acceso HTTP. Repase los valores predeterminados y especifique lo
siguiente:
v El puerto en el que el Connection Manager está a la escucha de la comunicación
con los servidores HTTP seguros (HTTPS) y con un puerto opcional no seguro
desde el que se redirige todo el tráfico.
v El URL de servicio que los clientes utilizan en su aplicación HTTP (como por
ejemplo un navegador).
v Si se utilizan certificados de autenticación.
v Valores de seguridad utilizando la capa de sockets protegidos (SSL). Existen
varias formas de configurar el conducto SSL:
– Después de crear servicios de acceso HTTP, debe tener un certificado
almacenado en el sistema Connection Manager, protegido por una contraseña
oculta que se utiliza entre Connection Manager y los clientes HTTP. Con la
interfaz IBM Key Management, almacene el certificado utilizando la base de
datos de claves y los archivos de contraseña oculta. Estos archivos son
http.trusted.kdb y http.trusted.sth, y se encuentran en el directorio de
instalación. La contraseña oculta predeterminada es ″trusted″. Para cambiar
los valores predeterminados, edite las propiedades de los servicios de acceso
HTTP en el separador SSL.
– Determine si desea forzar la validación de certificados de dos vías, en la que
el navegador cliente también debe proporcionar un certificado que se
comprueba comparándolo con los certificados almacenados en la base de
datos de claves de Connection Manager. Para cada servicio de acceso HTTP
que se debe verificar, ejecute este mandato:
chwg -s ibm-wlHttpService -l http-service0 -a ibm-wlSslHandshake=509
donde http-service0 es el servicio de acceso HTTP que desea configurar y 509

es el número de puerto. El valor predeterminado de número de puerto es 508.
– Determine si desea tener un certificado almacenado en el sistema Connection
Manager que se utiliza entre Connection Manager y los servidores de
aplicaciones HTTP. Si es así, almacene el certificado utilizando la base de
datos de claves y los archivos de contraseña oculta mediante la interfaz IBM

Key Management. Edite las propiedades de los servicios de acceso HTTP y
asegúrese de seleccionar el recuadro Se necesita SSL en proxy en el
separador Modalidad.
v Un perfil de autenticación.
v El número máximo de hebras de proceso que deben utilizarse para el proceso de
conexiones. Los Servicios de acceso HTTP asignan sesiones por turno circular a
las hebras.
v El tiempo máximo de inactividad en minutos que debe transcurrir para que los
servicios de acceso HTTP desactiven la conexión entre ellos mismos y el servidor
HTTP y entre ellos mismos y el cliente HTTP.
Habilitar la comunicación segura

El proceso de habilitar la comunicación segura depende de las opciones de
seguridad que elija desplegar. Consulte el apartado “Seguridad” en la página 41
para obtener una descripción de las opciones y los enlaces a estos procedimientos
de configuración.
Configurar certificados SSL en el Connection Manager

Puede configurar certificados de clave pública para utilizar la capa de sockets
protegidos (SSL) y habilitar una conexión segura. Para determinar qué certificados
de clave pública desea habilitar, revise las opciones que se describen en el apartado
“Autenticación y cifrado” en la página 44.
Para añadir o ver los certificados de clave en la base de datos de claves de

Connection Manager, inicie una sesión como root y utilice la interfaz IBM Key
Management: Escriba wg_ikeyman. Después de realizar cambios en una base de
datos de claves, concluya y luego inicie el Connection Manager para activar los
cambios.
Puede configurar certificados de clave pública para utilizar SSL:

Entre los servicios de mensajería y las aplicaciones que utilizan las API de push
y de servicios de mensajería
Consulte el apartado “Configuración de los certificados SSL para los
servicios de mensajería” en la página 140.
Entre los gestores de conexiones de un clúster
Para proteger la conexión entre los gestores de conexiones de un clúster,
configure cada nodo del clúster para que utilice el protocolo de
comunicaciones TCP/SSL. Los certificados de clave en el punto final del
Connection Manager se almacenan en una base de datos de claves,
cm.trusted.kdb. La base de datos de claves se protege mediante la
contraseña oculta predeterminada, “trusted”, y se almacena en el archivo,
cm.trusted.sth.
Para establecer el protocolo de comunicaciones internodo, pulse TCP/SSL
en el separador Subordinado de un gestor de clústeres.
Con perfiles de autenticación por enlace LDAP
Para proteger la conexión entre los gestores de conexiones y los servidores
de enlace LDAP, configure cada punto final utilizando la máquina del
Connection Manager. Los certificados de clave en el punto final del
Connection Manager se almacenan en una base de datos de claves y se
protegen mediante una contraseña oculta.

Para especificar un nombre de archivo de base de datos de claves o un
nombre de archivo de contraseña oculta, edite el separador Seguridad de
las propiedades del perfil de autenticación. Para obtener información
detallada sobre cómo asignar un perfil de autenticación a los Servicios de
acceso HTTP o a la MNC, consulte el apartado “Utilizar perfiles de
autenticación por enlace LDAP” en la página 93.
Con perfiles de autenticación basada en certificados
Para verificar un certificado de cliente comparándolo con la información de
la autoridad de certificación almacenada en una base de datos de claves,
especifique la ubicación de los archivos de la base de datos de claves y de
la contraseña oculta.
Para especificar el nombre de archivo de la base de datos de claves o el
nombre de archivo de la contraseña oculta, edite el separador
Autenticación basada en certificados de las propiedades del perfil de
autenticación. Para obtener información más detallada sobre cómo asignar
un perfil de autenticación a una MNC, consulte el apartado “Utilizar
perfiles de autenticación basada en certificados” en la página 93.
| Con servicios de acceso HTTP o para la MNC de HTTPS
Para proteger la conexión entre los servicios de acceso HTTP y los clientes
HTTP o los servidores de aplicaciones HTTP o para la MNC de HTTPS,
configure cada punto final.
Utilice la máquina del Connection Manager para almacenar un certificado
de claves para la MNC de HTTPS o el punto final de los Servicios de
acceso HTTP en una base de datos de claves, protegida por una contraseña
oculta. El nombre de archivo de la base de datos de claves predeterminada
es http.trusted.kdb. La contraseña oculta predeterminada es “trusted” y se
almacena en http.trusted.sth.
Para cambiar el nombre de archivo de la base de datos de claves y el
nombre de archivo de contraseñas ocultas, edite el separador SSL de las
propiedades de la MNC de HTTPS o los Servicios de acceso HTTP. A
continuación, asegúrese de que el servicio de acceso HTTP tiene acceso a
los certificados SSL de los servidores HTTP. Este procedimiento varía en
función de cada producto y no se explica en este documento. Lea la Guía
de administración de su servidor HTTP para obtener información sobre
cómo habilitar las comunicaciones SSL. Visite el Centro de soporte de
Internet de IBM en www.ibm.com/support para obtener la Guía de
administración de IBM WebSphere Edge Server, si utiliza este producto
para el servidor HTTP.
Consulte el apartado “Añadir Servicios de acceso HTTP” en la página 87
para obtener más información.
Si desea obtener más información sobre cómo cambiar la contraseña oculta, crear
una solicitud de certificado, enviar la solicitud de certificado, almacenar
certificados y actualizar el certificado raíz, pulse Ayuda –> Contenido utilizando la
interfaz de gestión de claves de IBM.
Configurar certificados SSL entre el Gatekeeper y el gestor de

accesos
Utilice la interfaz IBM Key Management para completar este procedimiento. Para
obtener más información sobre cómo completar estos pasos, pulse Ayuda ->
Contenido para acceder a la ayuda en línea.

1. Inicie una sesión en el sistema de gestión de accesos como root y escriba
wg_ikeyman.
2. Pulse Archivo de base de datos de claves > Abrir.
3. Seleccione CMS como tipo de base de datos.
4. Desde el directorio de instalación, abra el archivo wgmgrsd.trusted.kdb. La
contraseña predeterminada es trusted.
5. Cree un certificado autofirmado o envíe una solicitud de certificado para
obtener un certificado de una entidad emisora de certificados. Si obtiene un
certificado de una entidad emisora de certificados, añádalo al archivo de base
de datos de claves abierto.
6. Si utiliza un certificado autofirmado, extráigalo a un archivo y transfiera el
archivo al sistema Gatekeeper.
Si utiliza un certificado de una entidad emisora de certificados cuyo
certificado de firmante no se incluye automáticamente en el archivo de la base
de datos de claves, transfiera el archivo de certificados del firmante de la CA
al sistema del Gatekeeper.
7. Pulse Archivo de base de datos de claves > Cerrar.
8. Inicie una sesión en el sistema Gatekeepercomo root y escriba wgcfgikeyman.
Los certificados de firmante de varias entidades emisoras de certificados
conocidas se incluyen automáticamente en el archivo de base de datos de
claves. Si utiliza un certificado de una de estas CA, no tiene que realizar
ninguna otra acción con el archivo de base de datos de claves del Gatekeeper.
Para ver la lista completa de certificados de firmante incluidos, abra el archivo
de base de datos del Gatekeeper y seleccione Certificados de firmante.
9. Pulse Archivo de base de datos de claves -> Abrir.
10. Seleccione JKS como tipo de base de datos de claves.
11. Desde el directorio de instalación del Gatekeeper, abra el archivo trusted.jks.
La contraseña predeterminada es trusted.
12. Seleccione Certificados de firmante en la lista desplegable.
13. Pulse Añadir... .
14. Seleccione el tipo de archivo adecuado para el certificado que está añadiendo.
Seleccione entre los datos ASCII codificados en Base64 para los archivos de
tipo .arm, o datos DER binarios para los archivos de tipo .der.
15. Especifique la ubicación y el nombre de archivo del certificado.
16. Entre una etiqueta para el certificado y, a continuación, pulse Aceptar.
17. Pulse Archivo de base de datos de claves -> Cerrar.
| Observaciones sobre las propiedades del gestor de accesos:

| 1. Puede cambiar los valores predeterminados y configurar valores opcionales
| para SSL en las propiedades del gestor de accesos. Para cambiar los nombres
| predeterminados del archivo de base de datos de claves (wgmgrsd.trusted.kdb)
| y el archivo de contraseña oculta, edite el separador Seguridad de las
| propiedades del gestor de accesos.
| 2. Opcionalmente, en el separador Seguridad, pulse Forzar conexiones remotas a
| utilizar SSL para evitar que los administradores inicien sesión sin utilizar una
| conexión SSL.
| 3. Opcionalmente, en el separador Cifras SSL, especifique qué cifras SSL se deben
| utilizar para la conexión de Gatekeeper con el gestor de accesos.
| 4. Si lo desea, en el separadorRegistro, puede establecer el nombre del archivo de
| registro SSL y el nivel de registro.

Añadir un perfil de inicio de sesión seguro
Antes de añadir un perfil de inicio de sesión seguro, asegúrese de que el
certificado raíz está actualizado en la base de datos de claves del Gatekeeper.
Asegúrese de que el puerto 9555 y el puerto 9559 están disponibles para la

comunicación entre el gestor de accesos y el Gatekeeper. Para especificar números
de puerto distintos del valor predeterminado, consulte el apartado “Connection
Manager” en la página 15 para obtener más información.
Si no se ha creado ningún perfil de inicio de sesión cuando inicie el Gatekeeper, se

visualiza automáticamente la ventana Detalles de perfil de inicio de sesión. Para
abrir la ventana Detalles de perfil de inicio de sesión, pulse Archivo –> Perfiles de
inicio de sesión.
Para añadir un perfil de inicio de sesión seguro:

1. Pulse Añadir perfil seguro.
2. Escriba un nombre descriptivo del perfil en el campo Nombre de perfil de
inicio de sesión. Este nombre describe el par de nombre de sistema principal y
puerto que se utiliza para establecer una conexión con el gestor de accesos
cuando se selecciona este perfil de inicio de sesión.
3. Especifique la dirección IP o el nombre de sistema principal de destino del
sistema donde está instalado el gestor de accesos en el campo Nombre de
sistema principal.
Además, puede especificar si la resolución de nombres se intenta
automáticamente para el campo de nombre de sistema principal. Quite la
marca del recuadro de selección para las redes sin servicio de sistema de
nombres de dominio (DNS) o al conectarse a un gestor de accesos
multiubicado; de lo contrario, marque el recuadro de selección Intentar
resolución de nombres.
4. Especifique el número de puerto del gestor de accesos en el campo Puerto. De
manera predeterminada, el número de puerto es 9559. Tenga en cuenta que un
perfil de inicio de sesión seguro utiliza tanto el puerto 9555 como el puerto
9559.
5. Especifique la vía de acceso y el nombre de archivo del almacenamiento de
claves Java que desea utilizar en el campo Nombre de archivo de base de
datos de claves. Pulse Examinar para visualizar una vista filtrada de archivos
de almacenamiento de claves.
6. Especifique la contraseña en el campo Contraseña oculta. La contraseña oculta
predeterminada es trusted.
7. Pulse Aceptar.
Después de realizar cambios en la base de datos de claves, salga y luego inicie el

Gatekeeper para activar los cambios.
Utilizar servidores de contabilidad o de autenticación de

terceros
Para fines de contabilidad y facturación, consulte el apartado “Utilizar servidores
RADIUS” en la página 92.
Para fines de autenticación, consulte los apartados siguientes:

v “Utilizar servidores RADIUS” en la página 92
v “Utilizar perfiles de autenticación por enlace LDAP” en la página 93

v “Utilizar perfiles de autenticación basada en certificados” en la página 93
Utilizar servidores RADIUS

Puede configurar el Connection Manager para que utilice servidores RADIUS:
v Para configurar un Connection Manager de modo que se conecte directamente
con servidores RADIUS para la autenticación de terceros, consulte el apartado
“Utilizar perfiles de autenticación RADIUS”.
v Para configurar el Connection Manager para que envíe mensajes de contabilidad
RADIUS a un servidor RADIUS, consulte el apartado “Utilizar servidores
RADIUS para contabilidad y facturación”.
Utilizar perfiles de autenticación RADIUS: Para configurar un Connection

Manager que se conecte directamente con servidores RADIUS para la autenticación
de terceros, cree un perfil de autenticación RADIUS y asígnelo a los Servicios de
acceso HTTP o a un perfil de conexión:
2. Pulse con el botón derecho del ratón la OU en la que desea crear un perfil de
autenticación.
3. Seleccione Añadir recurso –> Perfil de autenticación–> RADIUS.
a. Si se trata de una MNC para la conexión con clientes Mobility, determine si
debe recibir una solicitud adicional para la autenticación. Si esta opción no
está seleccionada, la cuenta de usuario del Mobility Client se pasa al
servidor RADIUS.
A continuación, edite las propiedades del Connection Manager. Repase el
número de puerto del Connection Manager que está a la escucha del tráfico
procedente de los clientes Mobility. El puerto predeterminado es 9610.
b. Especifique una lista delimitada por comas de las direcciones IP de los
servidores RADIUS. Todos los servidores RADIUS utilizan el mismo puerto
y secreto compartido.
4. Edite las propiedades del perfil de conexión o del servicio de acceso HTTP.
Pulse el separador Seguridad y, a continuación, seleccione el Perfil de
autenticación secundario deseado.
Utilizar servidores RADIUS para contabilidad y facturación: Para configurar un

Connection Manager de modo que se conecte directamente con servidores RADIUS
para enviar mensajes de contabilidad RADIUS, edite las propiedades del
Connection Manager. Consulte el apartado “Edición de propiedades de recursos”
en la página 101. Pulse el separador Contabilidad RADIUS y, a continuación,
pulse el recuadro de selección Utilizar contabilidad RADIUS.
Especifique la dirección IP y el puerto del servidor primario. Opcionalmente,

identifique un servidor secundario y un puerto que se utilizarán en caso de que no
se pueda acceder al servidor primario. Los servidores RADIUS primario y
secundario utilizan el mismo secreto compartido.
Se proporciona un archivo de diccionario de ejemplo que incluye una lista de los

atributos y de sus valores respectivos para los paquetes de contabilidad que se
envían al servidor RADIUS. El diccionario se suministra con Connection Manager
y se instala en un sistema AIX o Solaris en /opt/IBM/ConnectionManager/conf/
dictionary.ewg. En sistemas Linux se encuentra en /opt/ibm/ConnectionManager/
conf/dictionary.ewg. Consulte el apartado “Información de sesión almacenada en
una base de datos relacional” en la página 37 para obtener más información sobre
cómo utilizar la contabilidad RADIUS.

Utilizar perfiles de autenticación por enlace LDAP
Para configurar un Connection Manager de modo que se conecte directamente con
servidores de enlace LDAP para la autenticación de terceros, primero cree un
recurso de servidor de directorios. A continuación, cree un perfil de autenticación y
asígnelo a un perfil de conexión o a los Servicios de acceso HTTP.
2. Pulse con el botón derecho del ratón la OU en la que desea crear un servidor
de directorios y, a continuación, pulse Añadir recurso –> Servidor de
directorios. En el apartado “Configurar un servidor de directorios” en la
página 96 encontrará más detalles.
autenticación y, a continuación, pulse Añadir recurso –> Perfil de
autenticación–> Enlace LDAP.
a. Especifique la dirección IP o el nombre de sistema principal y el número de
puerto del servidor LDAP.
b. Utilizando la notación estándar de X.500, especifique la raíz o el sufijo del
árbol de directorio en el que empieza la búsqueda de recursos de
autenticación de clientes.
c. Especifique el atributo que se utiliza como clave para determinar en qué
lugar del árbol de directorio debe realizarse la búsqueda de usuarios en el
DSS. Por ejemplo, puede cambiar el campo de clave de usuario para indicar
que la búsqueda en el DSS localice el ID de un usuario (uid) en lugar de la
cuenta de correo electrónico del usuario (mail). El valor predeterminado es
mail.
5. Edite las propiedades del perfil de conexión o del servicio de acceso HTTP.
Pulse el separador Seguridad y, a continuación, seleccione el Perfil de
autenticación deseado.
Utilizar perfiles de autenticación basada en certificados

Para configurar un Connection Manager de modo que se conecte a servidores
basados en certificados para la autenticación de terceros, cree un perfil de
autenticación, asígnelo a un perfil de conexión y asegúrese de que los certificados
de clave están almacenados:
autenticación.
3. Seleccione Añadir recurso –> Perfil de autenticación–> Basada en certificados.
Especifique un nombre descriptivo del perfil y determine cómo desea verificar
la autenticidad del certificado de cliente. Tiene varias opciones. Para obtener
más información sobre cómo se solicitan las credenciales al cliente, consulte
“Autenticación de terceros mediante certificados” en la página 48.
4. Edite las propiedades del perfil de conexión. Pulse el separador Seguridad y, a
continuación, seleccione el Perfil de autenticación secundario deseado.
Configurar nodos de clúster

Instalado automáticamente e inactivo de manera predeterminada, cada recurso de
gestor de clústeres se visualiza debajo del Connection Manager. Los gestores de
clústeres definen nodos subordinados o principales en un clúster. Para cambiar la
configuración de los nodos de clúster, debe tener como mínimo el permiso de
acceso de ACL de modificación al Connection Manager.

Coloque los nodos subordinados en un grupo de clústeres, de modo que los nodos
principales puedan limitarse a despachar tráfico sólo a los nodos del grupo.
Primero cree los grupos de clústeres, asigne los nodos subordinados al grupo y
luego asigne el grupo al nodo principal. Para crear un grupo de clústeres:
2. Pulse con el botón derecho del ratón la OU en la que desea crear un nuevo
grupo.
3. Seleccione Añadir recurso –> Grupo –> Grupo de clústeres.
Para ver o cambiar la configuración de los nodos de clúster, edite las propiedades
del gestor de clústeres. Consulte el apartado “Edición de propiedades de recursos”
en la página 101.
Para habilitar un nodo subordinado, pulse el separador Subordinado y, a

continuación, pulse Permitir que el Connection Manager sea un nodo
subordinado. Revise los valores predeterminados para el protocolo de transporte,
puerto, duración de la sesión y algoritmo de distribución que desea que utilice este
nodo subordinado. Además, elija el estado actual del nodo subordinado: Activo,
Definido o Mantenimiento. Pulse Consejos para obtener una descripción de estos
valores predeterminados y consulte el apartado “Gestor de clústeres” en la página
19 para ver una definición de los algoritmos de distribución y del estado actual.
Para habilitar un Connection Manager para que se convierta en un nodo principal,

pulse el separador Principal y, a continuación, pulse Permitir que el Connection
Manager sea un nodo principal. Seleccione nodos subordinados o grupos de
clústeres individuales a los que el nodo principal despacha tráfico.
Cuando realice una migración del Connection Manager desde una versión anterior
a una versión más reciente, asegúrese de migrar el nodo principal antes de migrar
los nodos subordinados. Asegúrese de que todos los nodos de clúster se migran al
mismo nivel de código. Consulte la Guía de resolución de problemas para obtener más
información sobre cómo determinar el nivel de código.
Configurar nodos de clúster para MNC sin conexión

Puede mejorar el rendimiento de las MNC sin conexión, como por ejemplo ip-lan o
ip-wdp, utilizando interfaces IP lógicas. Las interfaces IP lógicas son un forma de
asociar más de una dirección IP a una determinada interfaz física. La utilización de
interfaces IP lógicas permite que los nodos subordinados eludan el nodo principal
al enviar datos a un dispositivo portátil o al Mobility Client. Esta desviación
mejora los tiempos de respuesta y reduce la carga de proceso en el nodo principal.
Tenga en cuenta que los nodos principal y subordinado deben tener la misma vía
de conectividad; es decir, no ubique los nodos subordinados detrás de un
cortafuegos y separados del nodo principal.
Para configurar una interfaz IP lógica, debe añadir un alias a la tarjeta de interfaz
red del nodo principal para que una dirección de clúster reciba tráfico de los
clientes. Esta dirección de clúster también se utiliza para configurar una interfaz IP
lógica en el nodo subordinado que está asociado a la interfaz de bucle de retorno.
A continuación, edite las propiedades de la MNC en el nodo primario para
enlazarla a esta dirección de clúster. Este enlace directo hace que la MNC del nodo
principal esté a la escucha de los datos utilizando la dirección de clúster.
Finalmente, configure los clientes de modo que utilicen la dirección de clúster para
enviar datos al Connection Manager.

Para configurar nodos de clúster para MNC sin conexión:
1. Añada la dirección de clúster como un alias a la tarjeta de interfaz de red (NIC)
primaria en la máquina del nodo principal.
Por ejemplo, emita el mandato o siga el procedimiento:
AIX
chdev -l <en0> -a alias4=<204.67.172.72,255.255.255.0>
donde <en0> es el nombre lógico de la NIC, <204.67.172.72> es la

dirección de clúster y <255.255.255.0> es la máscara de subred.
Linux
ip addr add 204.67.172.72/24 dev eth0
donde 204.67.172.72 es la dirección de clúster, 24 es la máscara de

subred y eth0 es el nombre de la NIC física.
Solaris
ifconfig hme0:1 204.67.172.72 255.255.255.0
donde hme0:1 es el nombre de la NIC física, seguido del nombre lógico

de la NIC, 204.67.172.72 es la dirección de clúster y 255.255.255.0 es la
máscara de subred.
2. Establezca el sistema operativo para que los valores de red sean persistentes
después de reiniciar el sistema.
3. En todos los nodos subordinados, asegúrese de que el dispositivo de bucle de
retorno subordinado no responda a solicitudes ARP. A continuación, se
proporcionan dos ejemplos de cómo realizar este paso en distribuciones Linux:
Red Hat Enterprise Linux 4.0 ES
a. Asegúrese de que arptables está instalado.
b. Vacíe la tabla ARP para todos los nodos subordinados ejecutando el
mandato: arptable -F
c. Ejecute el siguiente mandato para restablecer todas las cadenas:
/etc/init.d/arptables_jf stop
d. Elimine las respuestas ARP para la dirección del clúster del tráfico
entrante: /sbin/arptables -A IN -j DROP -d 204.67.172.72 , donde
204.67.172.72 es la dirección de clúster.
e. Añada la regla de mutilación a la cadena saliente: /sbin/arptables
-A OUT -j mangle -o eth0 -s 204.67.172.72 --mangle-ip-s
204.67.172.72 , donde 204.67.172.72 es la dirección de clúster.
f. Guarde el arptable: /etc/init.d/arptables_jf save
g. Verifique que estos valores se hayan añadido al arptable: arptables
-L -n -v
h. Active la cadena: /etc/init.d/arptables_jf start
i. Cree un alias de la dirección de clúster en el adaptador de bucle de
retorno:
ip addr add 204.67.172.72/32 dev lo
donde 204.67.172.72 es la dirección de clúster

SuSE Linux Enterprise Server 9 y 10
a. Emita estos mandatos:
sysctl -w net.ipv4.conf.all.hidden=1
sysctl -w net.ipv4.conf.lo.hidden=1

b. Cree un alias de la dirección de clúster en el adaptador de bucle de
retorno:
ip addr add 204.67.172.72/32 dev lo
donde 204.67.172.72 es la dirección de clúster

4. Modifique las propiedades de la MNC en el nodo principal. En el separador
Red, pulse el recuadro de selección Enlazar puerto a una dirección específica
y, a continuación, especifique la dirección de clúster en el campo Dirección con
la que enlazar.
Nota: Si decide enlazar a otra tarjeta de interfaz de red de la máquina, reinicie

el Connection Manager para que el cambio surta efecto o bien cree una
nueva MNC a la que enlazará la dirección de la otra tarjeta.
5. Asegúrese de que los clientes están configurados para utilizar la dirección de
clúster para enviar datos al Connection Manager.
Configurar un servidor de directorios

Un servidor de directorios es un recurso que permite al Connection Manager
aprovechar las bases de datos de cuentas de usuario existentes y proporciona la
definición de cómo ponerse en contacto con otro servidor de servicios de directorio
(DSS). También se asigna a perfiles de autenticación por enlace LDAP para
especificar qué servidores se utilizan para realizar la operación de enlace LDAP
para autenticar clientes.
Para crear un recurso de servidor de directorios:

1. Pulse con el botón derecho del ratón la OU donde desea crear el servidor de
directorios y, a continuación, pulse Añadir recurso > Servidor de directorios.
2. Identifique la dirección IP o el nombre de sistema principal y el número de
puerto del servidor de servicios de directorio remoto.
3. Identifique el nombre distinguido base que se utiliza para crear una estructura
de directorios que proporciona una clave exclusiva para localizar los recursos
del Connection Manager. Utilizando la notación X.500 estándar, especifique el
nombre distinguido base que especifica el nodo raíz o el sufijo de la unidad
organizativa primaria de este Connection Manager. Tenga en cuenta que este
campo es sensible a las mayúsculas y minúsculas.
4. Identifique el nombre distinguido del administrador en el servicio de directorio
remoto y la contraseña de la cuenta.
5. Determine si la conexión con el DSS debe protegerse utilizando la capa de
sockets protegidos (SSL). En caso afirmativo, especifique el puerto seguro.
Opcionalmente, especifique los archivos de base de datos de claves y de
contraseña oculta sólo si el servidor de destino requiere autenticación de
cliente. En este caso, asegúrese de que los certificados de clave en el punto final
de Connection Manager están almacenados en una base de datos de claves y
están protegidos mediante una contraseña oculta y que Connection Manager
tiene acceso a los certificados SSL del servidor.
Configurar la búsqueda de cuenta de usuario

Para establecer una asociación entre atributos específicos almacenados en un
servicio de directorio remoto y la información de configuración que está
almacenada en el servicio de directorio definido para los recursos, utilice un
recurso de servidor de directorios.

Las búsquedas de servicio de directorio no se ven afectadas por la OU en la que se
ha creado el DSS de empresa. El Connection Manager utiliza el nombre distinguido
(DN) completo para buscar objetos en LDAP, incluido un DSS de empresa. Por
tanto, puede crear un DSS de empresa en cualquier OU que elija.
Para redirigir las búsquedas de servicio de directorio de determinados atributos de

ID de usuario utilizando el Gatekeeper, añada un servidor de directorios para
utilizarlo como DSS de empresa y, a continuación, edite las propiedades del gestor
de accesos.
1. Con el botón derecho del ratón, pulse Gestor de accesos y pulse Propiedades.
2. Pulse el separador DSS de usuario y pulse Utilizar servidor de directorios de
empresa.
3. Seleccione los servidores de directorios de los que desea recuperar datos de
cuentas de usuario.
4. Determine si desea ampliar el árbol de directorio de la empresa para que
incluya el esquema del Connection Manager para las cuentas de usuario.
Para ampliar el servicio de directorio de la empresa, asegúrese de añadir los
siguientes archivos a la definición de esquema de empresa para la
implementación de DSS que ha instalado:
IBM Directory
ibm-cm.wluser.ldif
iPlanet
iplanet-cm.wluser.ldif
Netscape
netscape-cm.wluser.at.conf y netscape-cm.wluser.oc.conf
Código abierto
open-cm.wluser.conf
En AIX o Solaris, estos archivos se instalan en /opt/IBM/ConnectionManager/

conf. En Linux, se instalan en /opt/ibm/ConnectionManager/conf/. Cuando se
selecciona ampliar registros, cada transacción se recupera y se almacena en el
registro de usuario de empresa que incluye los atributos y la clase de objeto
wlUser.
5. Determine si el Connection Manager puede comprobar en los registros de
usuario el atributo ibm-WgClient para determinar si se debe permitir que una
cuenta de usuario acceda al Connection Manager.
6. Pulse Aceptar.
Configurar un servidor de directorios alternativo

Para conseguir una alta disponibilidad, puede especificar un servidor de servicios
de directorio (DSS) alternativo. El DSS alternativo contendrá una copia de la
información de configuración de modo que si el servidor primario deja de estar
disponible, Connection Manager continuará ejecutándose utilizando la información
del DSS alternativo.
Durante la configuración del gestor de accesos, el DSS primario recibe

actualizaciones de esquema. Estas actualizaciones se añaden al archivo
/etc/ldapschema/V3.modifiedschema. Este archivo debe copiarse en el servidor
DSS alternativo en la misma vía de acceso del archivo ya que procede del servidor
primario.

Notas:
1. Detenga el DSS antes de realizar este procedimiento.
2. Una parte de este procedimiento fue escrito para trabajar con IBM Directory
Server utilizando la interfaz de línea de mandatos. Como alternativa, puede
utilizar la consola de administración del navegador web. Siga las instrucciones
del fabricante de DSS para exportar e importar archivos LDIF. Por ejemplo, con
OpenLDAP, utilice el mandato slapcat para exportar archivos y slapadd para
importar archivos.
3. Gatekeeper hace referencia a los servidores DSS como primario y alternativo,
mientras que la administración de LDAP se refiere a los mismos como maestro
y réplica. Para mantener la coherencia, este procedimiento utiliza los términos
″primario″ y ″alternativo″.
Para configurar un DSS alternativo:

1. Configure el gestor de accesos utilizado solamente el DSS primario.
2. Exporte el esquema. Especifique db2ldif -o nombrearchivo, donde
nombrearchivo es el nombre del archivo que desea importar al servidor
alternativo.
3. Importe el esquema. Especifique ldif2db -i nombrearchivo, donde
nombrearchivo es el nombre del archivo de esquema que ha exportado.
4. Modifique las propiedades del gestor de accesos para especificar la dirección IP
del DSS alternativo. Complete el campo Servidor de servicios de directorio en
el separador DSS alternativo del gestor de accesos.
5. Acceda a la consola de administración de LDAP iniciando un navegador y
utilizando el siguiente URL: http://xxxxx/ldap, donde xxxxx es el nombre de
sistema principal o dirección IP del servidor DSS primario. Utilizando la
consola de administración de LDAP:
a. Pulse Replicación –> Réplicas –> Añadir una réplica.
b. Especifique valores para Nombre común = yyyyy, Nombre de sistema
principal = xxx.xxx.xxx.xxx, Intervalo de actualización = x, DN
maestro=cn=admin, Contraseña = xxxxx, Contraseña de confirmación =
xxxxx
donde
yyyyy es el nombre común mediante el cual se pretende hacer referencia
al DSS alternativo
xxx.xxx.xxx.xxx es el valor direccionable IP del DSS alternativo
x es el intervalo de actualización, en segundos, en el que los cambios
realizados en el DSS primario se propagan al DSS alternativo
cn=admin es el nombre del administrador del DSS alternativo
xxxxx es la contraseña y la contraseña de confirmación del administrador
al que hace referencia el DN maestro
c. Pulse Añadir.
6. Utilizando la consola de administración de LDAP del servidor DSS alternativo,
realice lo siguiente:
a. Pulse Replicación –> Valores.
b. Especifique valores para DN maestro = cn=admin, Contraseña = xxxxx,
Contraseña de confirmación = xxxxx, Referencia = ldap://
xxx.xxx.xxx.xxx:389
donde:
cn=admin es el nombre del administrador del DSS primario

xxxxx es la contraseña y contraseña de confirmación del administrador
del DSS primario
xxx.xxx.xxx.xxx es la dirección IP del DSS primario
c. Pulse Actualizar.

Capítulo 6. Administración
Utilice el programa de utilidad wg_monitor para visualizar el flujo de paquetes.
Consulte el apartado “Supervisión del flujo de paquetes” en la página 107 para
Consulte las Mobility Client Guías del usuario para obtener más información sobre la
navegación de las interfaces del Mobility Client en Linux, Symbian OS y Windows.
Utilización del Gatekeeper

El Gatekeeper es la consola del administrador en el Connection Manager. En este
apartado se describe cómo se presenta la información en el Gatekeeper y cómo
puede utilizarlo para administrar los recursos.
La mayoría de las tareas se pueden ejecutar de varias formas. Por ejemplo, para
crear un recurso, puede partir del separador Tareas y seleccionar Añadir recurso o
puede pulsar con el botón derecho del ratón en una unidad de organización del
separador Recursos y seleccionar Añadir recurso.
Navegación en la interfaz del Gatekeeper

Cuando pulsa dos veces algunos de los recursos del panel izquierdo, en el panel
derecho aparece una lista de ese tipo de recurso. Por ejemplo, si pulsa dos veces
Usuario en el panel izquierdo, aparece una lista de usuarios en el panel derecho.
Cuando aparece una lista de recursos en el panel derecho, puede realizar acciones
en cualquiera de los recursos de la lista.
Cada acción abre una nueva ventana y la coloca delante de las ventanas existentes.
Puede ordenar las ventanas en el panel derecho y colocar una ventana en primer
plano utilizando el menú Ventana.
Pulse con el botón derecho del ratón en un recurso para mostrar un menú de
contexto con las acciones correspondientes a ese recurso. Por ejemplo, para un
recurso del Connection Manager, puede restablecer los archivos de anotaciones,
iniciar o cerrar el Connection Manager y añadir recursos como, por ejemplo,
servicios de acceso móvil, servicios de mensajería, MNC.
Para obtener otro ejemplo, desde el menú contextual de un recurso de ID de

usuario, puede realizar acciones como bloquear, restablecer un inicio de sesión
fallido o restablecer la contraseña. Cuando los recursos aparecen en el panel
derecho, algunas de estas opciones también aparecen en la parte inferior como
botones.
Edición de propiedades de recursos

La ventana Propiedades es una herramienta que permite ver y modificar las
características de un recurso. Propiedades es una opción que aparece en el menú
de contexto de cada tipo de recurso.
Para visualizar la ventana Propiedades de un recurso, pulse con el botón derecho

del ratón en el recurso de la lista y seleccione Propiedades. Puede cambiar los
valores especificados cuando creó el recurso. En algunos casos, puede entrar
valores que no son necesarios cuando se crea el recurso.
101
Las ventanas Propiedades utilizan separadores para agrupar los parámetros de los
recursos. Normalmente, el primer separador muestra los parámetros más generales,
incluidos los que identifican el recurso.
Utilice el botón Renovar en el panel izquierdo para renovar la vista del panel
izquierdo. Utilice el botón Renovar en el panel derecho para renovar sólo la vista
del panel derecho.
| Nota: Si tiene varios objetos de Connection Manager definidos en un almacén de

| datos común, puede ver todos los Connection Manager y acceder a ellos
| desde el panel izquierdo. Si trata de editar los Connection Manager o los
| recursos subordinados de un Connection Manager en el que no ha iniciado
| sesión, es posible que algunos de los atributos no se visualicen
| correctamente si se ejecutan en un sistema operativo distinto al del gestor de
| accesos en el que ha iniciado sesión. Por ello, no debe modificar las
| propiedades de los recursos entre plataformas.
Opciones de la barra de menús

Archivo –> Iniciar la sesión: Inicia el diálogo Iniciar la sesión, que le conecta al
gestor de accesos. En el diálogo Iniciar la sesión, puede crear o seleccionar el perfil
de inicio de sesión que desea utilizar para conectarse al gestor de accesos.
Archivo –> Desconectar: Esta opción le desconecta del gestor de accesos al que
estaba conectado, pero no cierra el Gatekeeper, lo que permite iniciar una sesión en
otro gestor de accesos.
Archivo –> Cambiar contraseña de inicio de sesión: Permite cambiar la

contraseña del administrador conectado actualmente. Esta opción no está
disponible cuando está conectado el administrador raíz.
Archivo –> Perfiles de inicio de sesión: Permite editar la lista de perfiles que
aparece cuando se conecta al gestor de recursos.
Archivo –> Lista de control de accesos: Muestra las listas de control de accesos
del administrador conectado actualmente. Si ha iniciado una sesión como usuario
raíz o administrador con acceso de Superusuario, tendrá acceso total.
Archivo –> Salir: Cierra el Gatekeeper.
Las siguientes opciones controlan los procesos del Gatekeeper, no los procesos del
Connection Manager.
Opciones –> Rastreo de Gatekeeper: Normalmente, el rastreo sólo se activa si así

lo indica el personal de servicio. Puede elegir:
v Las categorías de información de estado de los subsistemas del Gatekeeper que
se escriben en el archivo de rastreo MainTrace1.txt.
v Restablecer el archivo de rastreo o adjuntar información de rastreo al archivo de
rastreo al iniciar el Gatekeeper. De manera predeterminada, cada vez que se
detiene el Gatekeeper y se vuelve a iniciar, el archivo de rastreo se restablece y
se registra la información encima del archivo, sobrescribiendo la información
anterior.
v Cuando se restablece el archivo de rastreo, si se hace una copia de seguridad del
archivo antiguo. La próxima vez que se inicie el Gatekeeper, se cambia el
nombre del antiguo archivo de rastreo por MainTrace1.txt.bak y se incluyen la
fecha y la hora actuales.

Tenga en cuenta que el Gatekeeper almacena las contraseñas de forma visible en el
archivo de rastreo. Para comprobar que no se almacenen las contraseñas en el
archivo de rastreo, deseleccione los recuadros de selección de Connection Manager,
el vuelco hexadecimal de comunicaciones y los subsistemas de comunicaciones.
Opciones –> Anotaciones de mensajes de Gatekeeper: Puede elegir:

v Los mensajes de gravedad que se escriben en el archivo de anotaciones de
mensajes, MessageLog.txt
v Restablecer el archivo de mensajes o adjuntar mensajes al archivo al iniciar el
Gatekeeper. De manera predeterminada, cada vez que se detiene el Gatekeeper y
se vuelve a iniciar, el archivo de mensajes se restablece y se registra la
información encima del archivo, sobrescribiendo la información anterior.
v Cuando se restablece el archivo, si se hace una copia de seguridad del archivo
antiguo. La próxima vez que se inicie el Gatekeeper, se cambia el nombre del
antiguo archivo de rastreo por MessageLog.txt.bak y se incluyen la fecha y la
hora actuales.
Nota: Si las anotaciones de mensajes del Gatekeeper no muestran correctamente

todos los caracteres, elija otra herramienta del sistema operativo para ver el
archivo.
Opciones –> Salida de consola de Gatekeeper: Después de dirigir a un archivo

la información de anotaciones de mensajes y de rastreo del Gatekeeper, también
puede dirigir información de anotaciones de mensajes y de rastreo a la consola. La
consola es una ventana que muestra la información de mensajes y de rastreo en el
tiempo de ejecución.
Opciones –> Propiedades de Gatekeeper:

Renovación automática
Cuando un gran número de administradores están añadiendo y
modificando recursos simultáneamente, puede que la vista de los recursos
no se actualice con la frecuencia deseada. Puede elegir si desea que la vista
de los recursos se actualice automáticamente y, en el caso afirmativo, el
intervalo en segundos. El valor predeterminado es 60 segundos.
Visualización de recursos
Pulse Avisarme cuando la lista sobrepase el valor máximo para
especificar que el Gatekeeper muestre un mensaje indicando que el número
de recursos que se visualiza en una lista sobrepasa el valor máximo
configurable.
Pulse Mostrar el diálogo de búsqueda cuando la lista sobrepase el valor
máximo para especificar que aparezca automáticamente el diálogo de
búsqueda para restringir la búsqueda de los recursos que desee.
Cambiar fonts de Gatekeeper
Seleccione el tamaño de los fonts que muestra el Gatekeeper desplazando
el indicador al nivel que desee.
Establecer el URL del Information Center
Pulse Mostrar un elemento de menú de ayuda para Information Center
para añadir Information Center al menú de ayuda. Utilice esta opción
para iniciar un navegador web y ver información sobre el producto.
Consulte el apartado “Utilizar el Information Center” en la página 159.
| Visualizando archivos de configuración ISA recopilados
| Pulse Habilitar navegador del archivo de configuración para habilitar el
Capítulo 6. Administración 103

| navegador de archivos de configuración de IBM Support Assistant (ISA).
| Al seleccionar esta opción, se añadirá el separador Navegador de archivos
| al panel izquierdo del Gatekeeper. El separador Navegador de archivos le
| permite navegar y seleccionar los archivos predefinidos y de configuración
| que visualizará.
| Consulte la Guía de resolución de problemas o la ayuda en línea del Gatekeeper
| para obtener más detalles sobre el uso de ISA.
Menú Ventana: Cada vez que abre una ventana, el título se añade a este menú.
Puede pulsar la opción de menú Ventana y, a continuación, elegir el título de una
ventana para que aparezca en primer plano. Si tiene más de nueve ventanas
visualizadas en el panel derecho, este menú muestra una opción Más ventanas que
muestra todas las ventanas abiertas.
También puede seleccionar la forma en que desea que aparezcan las ventanas
abiertas dentro del panel derecho: en cascada (solapándose diagonalmente) o en
mosaico (comprimidas en subventanas sin solaparse), ya sea vertical u
horizontalmente.
| Puede cerrar las ventanas una a una o todas a la vez. Si ha habilitado la

| navegación en archivos ISA, puede cerrar todas las ventanas abiertas desde los
| separadores Recursos o Navegador de archivos.
Menú Ayuda: Consulte el apartado “Obtener ayuda en línea” en la página 160

para obtener más información sobre el menú de ayuda.
Búsqueda de recursos
Para localizar un recurso, pulse Buscar en la parte inferior del panel izquierdo del
separador Recursos.
Elija un recurso en la lista desplegable y entre una serie de texto. Elija si desea
buscar en todas las OU o sólo dentro de una OU. Utilice el recuadro de selección
Incluir recursos de nivel inferior para especificar si desea buscar dentro de la
jerarquía debajo de las OU especificadas de nivel superior. Pulse Buscar ahora para
empezar la búsqueda. Los recursos que coincidan con los criterios de búsqueda
aparecen en una lista en el panel derecho.
También puede buscar atributos asociados con determinados recursos,

especificando operadores lógicos booleanos O y Y como criterios de búsqueda. Por
ejemplo, supongamos que ha definido una OU como Ontario y ha añadido en ella
usuarios con una descripción de Ventas. Para buscar todos los usuarios en la OU
Ontario que tienen direcciones IP fijas y la descripción de Ventas:
1. Pulse el recurso Usuario.
2. Pulse Examinar... y seleccione la OU Ontario.
3. Pulse Y en el campo de criterios de búsqueda.
4. Pulse dirección fija en el campo Tipo de asignación de direcciones IP.
5. Especifique Ventas en el campo Descripción.
6. Pulse Buscar ahora.
Un carácter comodín es un carácter especial que representa uno o varios caracteres.

La búsqueda admite un carácter comodín con el asterisco (*), que representa cero o
más caracteres en una serie de caracteres. Por ejemplo, si especifica fran*o significa
cualquier palabra que contenga ″fran″, uno o varios caracteres y una ″o″. Por
ejemplo, ″francisco″.

| Si inicia la sesión como ID del sistema operativo raíz o como el administrador
| predeterminado del Connection Manager (gkadmin), puede configurar las
| propiedades del gestor de accesos de los valores del límite máximo de aciertos de
| búsqueda y el número máximo de recursos que aparecen en una lista. Para
| cambiar estos valores, edite las propiedades del gestor de accesos. Consulte el
| apartado “Edición de propiedades de recursos” en la página 101.
Adición de recursos
Los recursos son objetos o contenedores de objetos. Por ejemplo, una OU es un
recurso que contiene otros recursos, por ejemplo, gestores de conexiones, usuarios
o dispositivos portátiles. Para añadir más recursos, pulse con el botón derecho del
ratón en la OU en la que desee añadir el recurso y pulse Añadir recurso. En el
menú, seleccione el recurso que desee añadir.
También puede añadir algunos recursos desde Añadir recurso en el separador

Tareas.
Algunos recursos dependen de otros. Por ejemplo, los servicios de acceso móvil,
los servicios de mensajería y las MNC son recursos dependientes de los gestores de
conexiones. Los servicios de aplicaciones son recursos dependientes de los servicios
de mensajería. Estos recursos dependientes se añaden pulsando con el botón
derecho del ratón en el recurso padre del panel izquierdo y seleccionando Añadir
recurso dependiente.
Cuando se pulsan dos veces, algunos recursos muestran listas de esos recursos en
el panel derecho como, por ejemplo, los administradores. Para añadir recursos
dependientes, muestre una lista de los recursos padres en el panel derecho,
seleccione un recurso específico, pulse con el botón derecho del ratón y seleccione
Añadir recurso dependiente.
Visualización de las anotaciones del Connection Manager

Las anotaciones de mensajes y de rastreo se almacenan en archivos en el
Connection Manager. Los registros de contabilidad se almacenan en una base de
datos relacional o en un archivo en el sistema del Connection Manager. Consulte la
Guía de resolución de problemas para obtener más información sobre el uso de los
registros.
Para visualizar estas anotaciones desde el Gatekeeper, pulse el separador Tareas y,

a continuación, pulse Ver anotaciones del Connection Manager. Cuando pulse las
anotaciones que desee visualizar, aparecerán paneles de asistente en los que podrá
definir cómo desea visualizar estas anotaciones.
Nota: Para ver anotaciones de contabilidad, mensajes o rastreo, el ID de

administrador debe tener un acceso adicional habilitado por una ACL con al
menos acceso de sólo lectura en el Connection Manager. Si desea obtener
más información, consulte el apartado sobre niveles de acceso específicos del
Connection Manager en el apartado “Listas de control de accesos y perfiles
de ACL” en la página 28.
Puede elegir copiar las anotaciones desde el Connection Manager al Gatekeeper

como archivo local. También puede ver las entradas más recientes de las
anotaciones en una ventana de consola dinámica. Para ver las entradas más
recientes, especifique el número de líneas de las anotaciones o de la base de datos
que desee visualizar. Cuando aparezca el número de líneas especificado, la ventana
de consola se actualiza dinámicamente con nuevas entradas en las anotaciones.

Para los registros de contabilidad, también puede filtrar los registros para ver las
entradas de las anotaciones:
v Por ID de usuario
v Durante intervalos específicos de tiempo
v Por tipo de tráfico
Visualización de usuarios
Para visualizar todos los usuarios, pulse Buscar en el panel izquierdo. Seleccione
Usuario en la lista de recursos y seleccione buscar en Todas las OU. Escriba un
asterisco (*) en el campo ID de usuario y pulse Buscar.
Los usuarios que no se añaden de forma explícita a Gatekeeper pero que aparecen
en la interfaz incluyen aquellos que utilizan sólo RADIUS o enlace LDAP como
métodos de autenticación secundarios o aquellos que se definen como usuarios de
sólo lectura utilizando un servicio de directorio de empresa en el separador DSS de
usuario del gestor de accesos. Cuando estos usuarios inician una sesión en el
Connection Manager, aparecen según se indica en el método con el que se solicitan
las credenciales de autenticación al usuario. Por ejemplo, si el usuario entra una
dirección de correo electrónico para las credenciales de la autenticación secundaria,
la dirección de correo electrónico es el ID de usuario que aparece en el Gatekeeper.
De esta forma, puede gestionar usuarios (por ejemplo, obligarles a finalizar la
sesión o restablecer una contraseña) sin necesidad de crear los ID de usuario en el
Gatekeeper. Los usuarios se almacenan como datos de configuración en el
contenedor del sistema.
Los usuarios identificados por el discriminador de dispositivos no aparecen como

usuarios activos en el Gatekeeper.
Utilización de grupos de difusión

Puede utilizar el Gatekeeper para definir grupos de difusión y emitir mensajes de
difusión a esos grupos. Para definir un grupo de difusión:
1. Elija la unidad de organización (OU) en la que desee crear el grupo de
difusión.
2. En el separador Recursos, pulse con el botón derecho del ratón en la OU y
seleccione Añadir recurso –> Grupo –> Grupo de difusión. Puede definir un
grupo de difusión para una red con su propia función de difusión (por
ejemplo, Dataradio o Motorola PMR) o puede crear su propio grupo
especificando usuarios y conexiones de red móvil (MNC).
Una vez creado un grupo de difusión, puede cambiar sus propiedades:

1. Pulse dos veces el grupo en el separador Recursos para que aparezcan los
grupos en el panel derecho.
2. Pulse con el botón derecho del ratón el grupo en el panel derecho y, a
continuación, pulse Propiedades.
3. Modifique los campos que desee. Utilice los separadores para acceder a toda la
información del grupo.
4. Pulse Aceptar o Aplicar.
Después de crear un grupo de difusión, puede enviar un mensaje de difusión a sus

miembros:
1. Pulse dos veces el grupo en el separador Recursos para que aparezcan los
grupos en el panel derecho.

2. Pulse con el botón derecho del ratón el grupo en el panel derecho y, a
continuación, pulse Difundir un mensaje.
También puede configurar servicios de acceso móvil para difundir el protocolo de

datagramas de usuario (UDP) en un determinado puerto. Esta función aprovecha
una interfaz de difusión, si está disponible, o envía mensajes a cada usuario de
forma individual. Para configurar la difusión de UDP:
1. Edite las propiedades de los servicios de acceso móvil. En el separador
Difusión, habilite el recuadro Utilizar interfaz UDP del servicio de difusión.
2. En Escuchar en el puerto UDP, especifique el número de puerto.
3. El tráfico de datos en el puerto debe tener un formato específico:
v El formato de datos requiere 0 (cero) o más nombres distinguidos de destino
(utilizando el DN completo) y texto, en formato de elemento de información.
Los DN pueden ser usuarios listados específicamente o grupos de difusión
definidos.
v El elemento de información está formado por un identificador de un byte
(0x01 para un DN y 0x03 para datos), información de dos bytes de longitud
en orden de byte de red y, a continuación, los datos. El indicador de longitud
es la longitud de los datos sin incluir la cabecera del elemento de
información.
v Cuando se incluyen 0 (cero) DN, los datos se difunden a todos los usuarios
conectados.
Supervisión del flujo de paquetes

Utilice el mandato wg_monitor para ver el flujo de paquetes que pasa a través de
Connection Manager. Connection Manager debe estar ejecutándose para poder
ejecutar este mandato.
Sintaxis
wg_monitor
-c on | off
-f nombre de archivo
-g pasarela
-l destino de distintivo t
-p puerto
-s cadencia de renovación
| -S
-t key | device | type | uid
-T
-u all | thruput | status | connect
Descripción
En la Figura 8 en la página 108 se muestra una vista de ejemplo del programa de
utilidad wg_monitor. Tenga en cuenta que el programa de utilidad wg_monitor
muestra sólo los recursos para los que está configurado Connection Manager y está
disponible sólo en inglés.

Figura 8. Vista de ejemplo de wg_monitor
Tabla 7. Descripción de la vista de ejemplo de wg_monitor

Identificador en Descripción
la Figura 8
1 Muestra el nombre de sistema principal de Connection Manager
supervisado y la cantidad de tiempo desde que se inició por última vez
Connection Manager.
Sesiones
Número de sesiones activas que maneja Connection Manager.
Cadencia
Número de sesiones activadas por segundo.
Pico Número máximo de sesiones que se han identificado por
segundo desde la invocación del programa de utilidad.
Promedio de carga
Promedio de carga de CPU de los últimos 1, 5 y 15 minutos,
respectivamente.
Almacenamiento dinámico
Cantidad de memoria en MB asignada por el proceso wgated
del sistema
Almacenamiento dinámico (libre)
Cantidad de memoria en MB asignada por wgated que no se
está utilizando (en el almacenamiento libre para la
recuperación)

Tabla 7. Descripción de la vista de ejemplo de wg_monitor (continuación)
la Figura 8 en la
página 108
2 Muestra un gráfico de barras dinámico del flujo de paquetes de entrada
(IN) y de salida (OUT) por segundos. Cuando el flujo de paquetes
sobrepasa los 250 paquetes/segundo, la escala cambia los incrementos
de 25 a 50 paquetes/segundo. Tenga en cuenta que las cadencias de
datos bajas (de aproximadamente 4 paquetes por segundo) no mostrarán
el gráfico de barras.
3 Muestra el número de paquetes o mensajes que utilizan WLP/PPP
(túnel optimizado y cifrado), los servicios de acceso HTTP, la pasarela de
mensajería o CMP (cluster management protocol):
IN El número de paquetes por segundo que entran en Connection
Manager.
OUT El número de paquetes por segundo que salen de Connection
Manager.
AVG El promedio de paquetes de entrada y salida por segundo.
PEAK El número máximo de paquetes por segundo de tráfico de
entrada o de salida desde la invocación del programa de
utilidad wg_monitor.
TOTAL
Recuento del número total de paquetes enviados o recibidos
desde la invocación del programa de utilidad wg_monitor.
kb/s La cadencia de número de kilobytes (KB) enviados o recibidos
por segundo.
kb Recuento del total de kilobytes (KB) enviados o recibidos desde
la última vez que se inició Connection Manager.
4 Muestra el recuento acumulativo de paquetes desde que se inició
Connection Manager por última vez:
Total El número total de paquetes y el número total de kilobytes de
datos recibidos por Connection Manager para su transmisión a
los dispositivos.
Xmit El número total de paquetes y el número total de kilobytes de
datos transmitidos desde todos los protocolos desde que se
inició Connection Manager por última vez.
Red El porcentaje de paquetes y el porcentaje de bytes de datos que
no se han transmitido debido a las mejoras de rendimiento de
optimización de datos.
Filt Número de paquetes y número de bytes que se han descartado
según los filtros configurados en Connection Manager.
SNMP Número de paquetes descartados de los eventos de gestión de
red.
TCP-D Número de paquetes y número de bytes descartados debido a
la optimización TCP de Connection Manager.
TCP-R Número de paquetes TCP y número de bytes retransmitidos.
WLP q Número de paquetes TCP y de bytes que esperan en la cola de
proceso. Estos números incluyen los inicios de sesión, los cierres
de sesión y los dispositivos de la itinerancia entre redes.

Tabla 7. Descripción de la vista de ejemplo de wg_monitor (continuación)
la Figura 8 en la
página 108
5 Una lista del número de paquetes o de mensajes que hay en las colas
internas:
MSG q El número de mensajes en cola en la pasarela de mensajería
para la entrega inmediata.
D MSG q
El número de mensajes en cola en la pasarela de mensajería
para la entrega retardada.
6 Una lista del número de paquetes de cada MNC configurada en
Connection Manager:
Pkts/sec
El número de paquetes por segundo que entran en la MNC.
TOTAL
Recuento del número total de paquetes enviados o recibidos
desde la última vez que se inició Connection Manager.
DEV El número de dispositivos activos en esta MNC.
Distintivos
-c on|off
Ofrece la posibilidad de inhabilitar la salida de curses cuando se utiliza el
distintivo -f para escribir estadísticas en un archivo mientras no se
visualiza nada en STDOUT.
-f nombre de archivo
Escribe datos de estadísticas de cadencia en un archivo. El archivo que se
crea es un archivo de texto separado por comas. La primera línea del
archivo son las cabeceras de columna de los datos delimitados de las líneas
que van a continuación. Importe este archivo en un programa de hoja de
cálculo para que sea más cómodo visualizarlo.
La primera columna de los datos es la fecha y hora. La segunda columna
de los datos es el número de usuarios de servicios de acceso móvil
conectados de forma activa. Las siguientes columnas vienen determinadas
por los componentes configurados (servicios de acceso móvil y servicios de
mensajería), el número de MNC y si se ha utilizado el distintivo -T para
generar el archivo.
Dentro de la cadencia de renovación especificada y para MNC configurada,
las siguientes columnas indican el número de:
Paquetes de entrada
Paquetes de salida
Kilobytes de datos de entrada
Kilobytes de datos de salida
Total de paquetes (si se ha utilizado el distintivo -T)
Total de kilobytes de datos (si se ha utilizado el distintivo -T)
Las siguientes columnas sólo aparecen cuando se han configurado servicios
de acceso móvil:
Paquetes IP de entrada
Paquetes IP de salida
Total de paquetes IP (si se ha utilizado el distintivo -T)

Total de kilobytes de datos IP (si se ha utilizado el distintivo -T)
Las siguientes columnas sólo aparecen cuando se han configurado servicios
de mensajería:
Paquetes de servicios de mensajería de entrada
Paquetes de servicios de mensajería de salida
Total de paquetes de servicios de mensajería (si se ha utilizado el
distintivo -T)
Total de kilobytes de datos de servicios de mensajería (si se ha utilizado
el distintivo -T)
-g pasarela
El nombre de sistema principal o la dirección IP de Connection Manager
que se va a supervisar. El valor predeterminado es localhost.
-l destino de distintivo -t
Utilice este distintivo conjuntamente con los distintivos -t y -u para
recopilar y filtrar información en tiempo real sobre la tabla de sesión activa
almacenada en la memoria del proceso wgated. El distintivo -l especifica el
nombre de la clave, el dispositivo, el tipo o el ID de usuario, según se ha
especificado en el distintivo -t.
-p puerto
Especifica el puerto TCP en el que escucha Connection Manager. El
número de puerto predeterminado es 9557.
-s cadencia de renovación
Número de segundos entre la vista que aparece y la vista renovada. El
valor predeterminado es 10 segundos.
| -S Utilice este distintivo junto con el distintivo -u all para proporcionar un
| resumen de la información en tiempo real sobre la tabla de sesión activa
| almacenada en la memoria del proceso wgated. La modalidad de resumen
| muestra una única línea de totales de datos con el formato:
| Totales de sesión actuales para 127.0.0.1: LOGINS:1356 FAILED:53 ACTIVE:43
| Donde:
| LOGINS
| Representa el número total de inicios de sesión desde que se inició
| Connection Manager.
| FAILED
| Representa el número total de intentos de inicio de sesión fallidos.
| ACTIVE
| Representa el número total de sesiones activas.
-t key | device | type | uid
Utilice este distintivo conjuntamente con los distintivos -l y -u para
recopilar y filtrar información en tiempo real sobre la tabla de sesión activa
almacenada en la memoria del proceso wgated. Las variables del distintivo
-t son:
key - Una clave de sesión activa. Para los servicios de acceso móvil, es
la dirección IP asignada por Connection Manager. Para los servicios de
acceso HTTP, es la cookie.
device - Un identificador del dispositivo dependiente de la red. Para los
dispositivos IP, es la dirección IP física del dispositivo. Para Mobitex, es
el número MAN (Mobitex Access Number). Para los dispositivos
DataTAC, es la interfaz de enlace lógico (LLI).

type - Acceso móvil (WLP) o mensajería, tipo de conexión
uid - ID de usuario
-T Utilice este distintivo conjuntamente con el distintivo -f para añadir totales
al archivo de salida.
-u all | thruput | status | connect
Utilice este distintivo para recopilar información en tiempo real sobre la
tabla de sesión activa almacenada en la memoria del proceso wgated. Las
variables del distintivo -u son:
all - Muestra toda la información en la tabla de sesión.
thruput - Muestra información de transferencia de datos como, por
ejemplo, el número de paquetes enviados y recibidos.
status - Muestra información de estado de la sesión como, por ejemplo,
el tipo de conexión, el tipo de cifrado y la hora de la última conexión.
connect - Muestra información de la conexión como, por ejemplo, el
tipo de MNC, las direcciones IP de dispositivo y la hora de inicio de
sesión.
La salida de este distintivo genera cabeceras de columna en la primera
línea, seguidas de una salida del registro detallada línea a línea. Las
cabeceras de columna posibles son:
UID - ID de usuario
DEVICE - Un identificador del dispositivo dependiente de la red. Para
los dispositivos IP, es la dirección IP física del dispositivo. Para
Mobitex, es el número MAN (Mobitex Access Number). Para los
dispositivos DataTAC, es la interfaz de enlace lógico (LLI).
MNC - Nombre de la MNC con la que se realiza la conexión
LAST - Indicación de la hora de la última vez que se intercambió el
tráfico
CRYPT - Tipo de cifrado utilizado
COMPR - Algoritmo de compresión utilizado
VJ - Estado de reducción de cabecera, donde habilitado = 1 o
inhabilitado = 0
TYPE - Tipo de conexión de acceso móvil o mensajería
S - Estado de sesión: 0 significa abierta - inicializada pero no activa, 1
significa conectada - iniciada, 2 significa cerrada - últimas fases del
cierre, y 4 significa rotación de clave - se está intercambiando una clave
criptográfica
D - Estado de desactivación, donde un valor de 0, 1 o 2 marca las fases
dentro del proceso de cierre
R - Contador de referencia que se utiliza para la información de
depuración
KB - Número total de kilobytes procesados en la sesión
PKT - Número total de paquetes procesados en la sesión
SND KB - Número total de kilobytes de datos enviados
RCV KB - Número total de kilobytes de datos recibidos
SND PKT - Número total de paquetes de datos enviados
DURATION - Cantidad de tiempo que ha estado conectada esta sesión
KEY - Clave activa de la sesión: especifica la dirección IP de los
servicios de acceso móvil o el ID de cookie de los servicios de acceso
HTTP. Los servicios de mensajería no utilizan este campo.

LOGIN TIMESTAMP - Fecha y hora de inicio de sesión
Cuando se utiliza conjuntamente con los distintivos -t y -l, los datos

recopilados se filtran según se indica en estos dispositivos.
Ejemplos
1. Para listar el registro de sesión de un ID de usuario específico:
wg_monitor -u all -t uid -l sunny
donde sunny es el ID de usuario
2. Para listar las estadísticas de conexión para el mismo ID de usuario:
wg_monitor -u connect -t uid -l sunny
3. Para ejecutar wg_monitor en modalidad continua, renovando cada segundo:
wg_monitor -g grotto -s 1
donde grotto es el nombre de host de Connection Manager
4. Para averiguar qué ID de usuario está utilizando actualmente una determinada
dirección:
wg_monitor -u all -t key -l dirección IP
donde dirección IP es la dirección IP decimal con puntos asignada al Mobility
Client
Aplicar mantenimiento
En el sitio web de soporte de productos de Connection Manager existen enlaces a
arreglos de programa para clientes autorizados con una clave de descarga. Los
clientes pueden registrarse en el sitio web, proporcionar la clave de bajada que se
les ha facilitado y luego bajar los arreglos de programa. Las claves de bajada
pueden obtenerse del Centro de soporte de software de IBM para el Connection
Manager de nivel 2 llamando al número 800-IBM-SERV (800-426-7378). Fuera de
Estados Unidos, utilice e l sitio web www.ibm.com/planetwide para buscar el
directorio de soporte de IBM con la lista de contactos en todo el mundo.
Para obtener instrucciones de instalación más específicas, consulte:

v “Instalar el Connection Manager” en la página 68
v “Instalar el Gatekeeper” en la página 64
v La Guía del usuario de Mobility Client para obtener información sobre el sistema
operativo que necesita.
Tenga en cuenta que cuando baje el código del producto desde el sitio web de
soporte de productos, no todo el software de prerrequisito puede estar disponible.
Vías de acceso de instalación

| A partir de la versión 6.1, ha cambiado la vía de acceso de instalación de todos los
| componentes que utilizan sistemas operativos AIX, Linux o Solaris. Las
| instalaciones nuevas son directas, aunque las instalaciones de migración incluyen
| realizar una copia de seguridad de los archivos de configuración existentes.
| Cuando se restauran, los archivos de copia de seguridad se colocan en el nuevo
| directorio de instalación.
| Las vías de acceso de instalación no se pueden cambiar.

| Tabla 8. Vías de acceso de instalación para Connection Manager y Gatekeeper
| Vía de acceso
| anterior del
| Sistema Connection Nueva vía de acceso del Vía de acceso anterior Nueva vía de acceso del
| operativo Manager Connection Manager del Gatekeeper Gatekeeper
| AIX /usr/opt/wecm /opt/IBM/ /usr/opt/Gatekeeper /opt/IBM/Gatekeeper
| ConnectionManager
| Linux /opt/IBM/wecm /opt/ibm/ /opt/IBM/Gatekeeper /opt/ibm/Gatekeeper
| ConnectionManager
| Solaris /opt/IBM/wecm /opt/IBM/ /opt/IBM/Gatekeeper Esta vía de acceso sigue
| ConnectionManager siendo la misma que la vía
| de acceso anterior:
| /opt/IBM/Gatekeeper.
|
Consideraciones sobre la migración

La instalación de migración copia todo el contenido del directorio de nivel superior
antiguo (por ejemplo, todo el contenido del directorio /opt/IBM/wecm) así como
varios archivos seleccionados de algunos de los subdirectorios antiguos. Al final, la
instalación de migración redenomina el directorio antiguo añadiendo la fecha y la
hora actuales al nombre del directorio antiguo; por ejemplo /opt/IBM/
wecm.20060921-08:05:33.
Antes de actualizar a la versión 6.1:

1. Coordine las actualizaciones entre los gestores de conexiones que comparten
recursos LDAP que contienen información de vía de acceso. Dos de estos
recursos son los perfiles de autenticación y los recursos códec HTTP de
TCP-Lite. Si se actualiza uno de los gestores de conexiones que comparten estos
recursos, se actualizará la información de vía de acceso correspondiente, y los
otros gestores de conexiones no actualizados que hacen referencia al mismo
recurso ya no podrán localizar los archivos a los que hace referencia el recurso
actualizado.
2. De manera predeterminada, los archivos que se encuentran en la vía de acceso
de instalación del Connection Manager se mueven automáticamente al nuevo
directorio de instalación. Estos archivos incluyen todos los archivos de la base
de datos de claves (.kdb) y de la contraseña oculta (.sth). Los archivos que
normalmente no se encuentran en la vía de acceso de instalación del
Connection Manager no se mueven automáticamente al nuevo directorio. Si
alguno de estos archivos, como por ejemplo los archivos de anotaciones,
contabilidad o rastreo, se han configurado para utilizar el directorio de
instalación del Connection Manager, restáurelos una vez que haya finalizado la
instalación de actualización. Restaure estos archivos a la misma ubicación
relativa del nuevo directorio de instalación que tenían en el directorio de
instalación anterior ya que el proceso de instalación actualiza la información de
vía de acceso de forma correspondiente.
| 3. Al migrar las conexiones de Mobility Client en Linux y Windows, sólo se
| habilitará UDP. Si desea sacar provecho de HTTP y HTTPS utilizando
| conexiones inteligentes en las que Mobility Client determina qué transporte
| utilizar, cree una conexión nueva o modifique las propiedades de la conexión
| migrada para habilitar los protocolos HTTP y HTTPS.
4. Los Mobility Clients que utilizan Windows XP y Windows 2000 y que desean
utilizar la compresión, deben utilizar la versión 5.1.1.3 o 6.1 del Mobility Client
al conectarse a un Connection Manager versión 6.1.

5. Si está realizando la migración a Connection Manager desde la versión 5.0.1.1
mediante la versión 5.0.1.6, debe reiniciar el sistema antes de iniciar Connection
Manager versión 6.1. No todos los recursos de estas versiones se migran a la
versión 6.1.
6. Si utiliza DB2 para almacenar datos de sesión, antes de iniciar Connection
Manager, espere hasta que el gestor de bases de datos DB2 haya finalizado el
inicio de la instancia de base de datos y haya empezado la escucha de
conexiones.
Para obtener el procedimiento completo sobre cómo realizar la migración a la

versión 6.1, consulte el manual IBM Lotus Mobile Connect Migration Guide,
disponible desde un enlace (documentación del producto) del sitio web de soporte.
Bajadas de software
El código que puede bajarse del sitio web de soporte tiene el siguiente formato y
los siguientes tamaños de archivo de bajada aproximados:
Connection Manager
Detenga el Connection Manager antes de aplicar un nuevo release. Las
bajadas disponibles incluyen las siguientes:
| v AIX: aproximadamente 58,6 MB. El nombre de archivo es
wgversión.aix.tar.Z, donde versión es el número de versión del código.
Después de bajar el archivo, descomprímalo utilizando el mandato
uncompress nombre_archivo y, a continuación, ejecute untar para
descomprimirlo y utilice smitty para realizar la instalación.El directorio
de instalación predeterminado es /opt/IBM/ConnectionManager.
Tenga en cuenta que si el Centro de soporte le solicita que instale una
versión de TESTFIX, es posible que sea necesario cambiar las opciones
de instalación de SMIT. Por ejemplo, si tiene instalada la versión 5.0.1.1
y el Centro de soporte proporciona una actualización cuya versión de
creación también es 5.0.1.1, entonces deberán cambiarse los parámetros
SMIT del panel Instalar y Actualizar con software disponible MÁS
RECIENTE. Cambie Instalar automáticamente el software de requisito
a No y cambie SOBRESCRIBIR las mismas versiones o las versiones
más nuevas a Sí. Desde este panel, pulse Intro dos veces para completar
la instalación.
Rearranque el sistema si está realizando una instalación de sobrescritura;
es decir, si está instalando el mismo nivel (o uno anterior) encima de
una instalación existente. Si se trata de una instalación nueva, no es
necesario rearrancar el sistema.
| v Instalación nativa de Linux: aproximadamente 18,4 MB. El nombre de
archivo es wgversión.linux.tar.gz, donde versión es el número de versión
del código. Después de bajar el archivo, descomprímalo utilizando el
mandato uncompress nombre_archivo y, a continuación, utilice el script
install_wg para instalarlo. El directorio de instalación predeterminado es
/opt/ibm/ConnectionManager.
| v Linux con asistente de instalación: aproximadamente 17,2 MB. El
nombre de archivo es wgversión.linux.tar.gz, donde versión es el número
de versión del código. Después de bajar el archivo, descomprímalo
utilizando el mandato uncompress nombre_archivo y, a continuación,
utilice el script setup.sh para instalarlo. El directorio de instalación
predeterminado es /opt/ibm/ConnectionManager.
v Solaris – aproximadamente 33,2 MB. El nombre de archivo es
wgversión.solaris.tar.Z, donde versión es el número de versión del código.

Después de bajar el archivo, descomprímalo utilizando el mandato
uncompress nombrearchivo y, a continuación, utilice pkgadd para
instalarlo. El directorio de instalación predeterminado es
/opt/IBM/ConnectionManager.
Si hay cambios en el esquema LDAP para una determinada versión de
mantenimiento, asegúrese de ejecutar el mandato ldapmodify después de
instalar el código. Determine si hay cambios en el esquema consultando en
el archivo readme de la versión que está instalando.
Después de instalar el código, mire en el directorio de configuración de
instalación de Connection Manager.
AIX y Solaris
/opt/IBM/ConnectionManager/conf
Linux /opt/ibm/ConnectionManager/conf
Busque los archivos de configuración que coinciden con el servicio de

directorio que tiene instalado. A continuación, emita el mandato
ldapmodify –h servidor –D dn admin –w ctr admin –c –f xxx–cm.ldif
donde
servidor es la dirección IP de DSS
dn admin es el ID del administrador DSS que debe tener autorización de
ampliación de esquema
ctr admin es la contraseña del administrador DSS
xxx coincide con el servicio de directorio que tiene instalado
Los archivos de configuración para el servicio de directorio también están

disponibles antes de realizar la instalación. Hay un archivo tar llamado
wg_releaseNotes.tar que está empaquetado en el archivo tar del código de
Connection Manager. Este archivo contiene los archivos de configuración
del servicio de directorio y copias de los archivos readme convertidos.
Gatekeeper
Las bajadas disponibles incluyen las siguientes:
| v AIX: con el SDK y el código 99,1 MB o sólo el código 14.7 MB. El
nombre de archivo es wgcfgversión.aix..sdk.tar o wgcfgversión.aix.tar,
donde versión es el número de versión del código. Después de descargar
el archivo, ejecute untar y utilice smitty para realizar la instalación. El
directorio de instalación predeterminado es /opt/IBM/Gatekeeper.
Si baja el archivo que incluye el SDK, al realizar la instalación utilizando
smitty asegúrese de elegir la opción Instalar AUTOMÁTICAMENTE el
software de prerrequisito.
| v Solaris: aproximadamente 62,3 MB. El nombre de archivo es
wgcfgversión.solaris.tar.Z, donde versión es el número de versión del
código. Después de bajar el archivo, descomprímalo utilizando el
mandato uncompress nombrearchivo y, a continuación, ejecute untar para
descomprimirlo. Utilice pkgadd para instalarlo. El directorio de
instalación predeterminado es /opt/IBM/Gatekeeper.
| v Linux: con el JRE y el código 47,6 MB o sólo el código 7.8 MB. El
nombre de archivo es wgcfgversión.linux.i386.jre.tar o
wgcfgversión.linux.i386.rpm, donde versión es el número de versión del
código. Después de bajar el archivo, ejecute untar para descomprimirlo y
utilice el gestor de paquetes de Red Hat (rpm) para realizar la

instalación. Por ejemplo, ejecute rpm -ivh wgcfgversiónlinux.i386.rpm .
El directorio de instalación predeterminado es /opt/ibm/Gatekeeper.
Si baja el archivo que incluye el JRE, asegúrese de instalar el JRE antes
de instalar el Gatekeeper. Para instalar el JRE, ejecute el mandato
| rpm -ivh IBMJava2-JRE-1.4.2-6.0.i386.rpm
| v Windows: aproximadamente 86,7 MB. El nombre de archivo es
wgcfgversión.win.exe, donde versión es el número de versión del código.
Después de descargar el archivo, ejecute el archivo para instalar el
código. El directorio de instalación predeterminado es Archivos de
programa/IBM/Gatekeeper.
Mobility Client para Linux
| Aproximadamente 9,7 MB, el nombre de archivo es wcversiónlinux-
x86.tar.gz. Después de bajar el archivo, descomprímalo utilizando el
mandato
tar -xzvf wcversiónlinux-nombrearchivo.tar.gz
A continuación, utilice el script ./install_wc para instalarlo. Especifique

./install_wc.
Mobility Client para dispositivos Nokia Communicator
Hay un archivo que tiene aproximadamente 3,4 MB y contiene todos los
idiomas soportados. El nombre de archivo es wcversión9500.zip, donde
versión es el número de versión del código. Después de bajar el archivo,
descomprímalo por zip y asegúrese de que el dispositivo está conectado al
sistema de sobremesa. Pulse dos veces en el archivo wc_9500.sis para
empezar la instalación.
Mobility Client para Windows
| Hay un archivo que tiene aproximadamente 9,2 MB. El nombre de archivo
es WCversiónWin32.exe, donde versión es el número de versión del código.
Después de bajar el archivo, pulse Inicio –>Ejecutar y especifique el
nombre el archivo que ha bajado. Iniciar este archivo descomprimirá
automáticamente el archivo y ejecutará el programa de instalación.
Asegúrese de especificar la vía de acceso en la que ha bajado el archivo.
Cuando se visualice un mensaje acerca de una firma digital, pulse Sí o
Continuar para continuar la instalación.
Mobility Client para Windows CE
Hay dos archivos que tienen aproximadamente 8,4 MB y 104 MB,
respectivamente. Los nombres de archivo son WCversiónPocketPC.exe y
WCversiónCEDotNET.exe, donde versión es el número del código. Todas las
versiones de Windows CE utilizan el archivo PocketPC, excepto Windows
CE .NET 4.2
Después de bajar el archivo, pulse Inicio –>Ejecutar y especifique el
nombre el archivo que ha bajado. Iniciar este archivo descomprimirá
automáticamente el archivo y ejecutará el programa de instalación.
Asegúrese de especificar la vía de acceso en la que ha bajado el archivo.
De manera predeterminada, se instala el código base, el cifrado base y el
soporte de red de controlador IP. El soporte de todas las redes adicionales
se instala aparte. El idioma inglés se instala de manera predeterminada y el
soporte de todos los demás idiomas se instala aparte.
El soporte de cifrado adicional también se instala aparte. Durante la
instalación, puede elegir el soporte de la certificación FIPS 140–2 y/o el
soporte de cifrado WTLS. La certificación FIPS 140-2 especifica los
requisitos de los módulos criptográficos para asegurar la protección de la

información confidencial en sistemas informáticos. Las conexiones entre
Mobility Client en Windows o Windows CE que se conectan a un
Connection Manager de AIX versión 5.2 están aprobadas por la
certificación FIPS 140-2.
Mobility Client para su utilización con WebSphere Everyplace Access en
dispositivos Nokia
Hay un archivo que tiene aproximadamente 4,7 MB. El nombre de archivo
es WC_PocketPC_DMS.zip. Después de descargar el archivo,
descomprímalo y siga las instrucciones en el archivo readme.html para
cargar y asignar paquetes utilizando los portlets de gestión de dispositivos.
Mobility Client para su utilización con WebSphere Everyplace Access en
Windows CE
| Hay un archivo de aproximadamente 11,1 MB. El nombre de archivo es
WC_PocketPC_DMS.zip. Después de descargar el archivo, descomprímalo
y siga las instrucciones en el archivo readme.html para cargar y asignar
paquetes utilizando los portlets de gestión de dispositivos.
Eliminar el Connection Manager

Si ha instalado el soporte de bases de datos de contabilidad y facturación, utilice el
mandato db2idrop para suprimir el ID de instancia wgdb. A continuación, suprima
los ID de usuario de sistema operativo wgdb y wgdbudf.
Para eliminar el Connection Manager:

AIX
1. Asegúrese de que ha iniciado una sesión en el sistema utilizando el ID
de sistema operativo raíz.
Programas de Utilidad y Mantenimiento de Software
Eliminar el Software Instalado
3. Especifique wg en el campo Nombre de SOFTWARE para eliminar
todas las redes soportadas y el Connection Manager, o bien pulse F4
para obtener una lista de los componentes que desea eliminar. Todos
los componentes tienen como prefijo las letras wg. Utilice F7 para
seleccionar los componentes que desea eliminar.
4. Pulse Intro tres veces.
Linux
2. Inserte el CD 1 de instalación en la unidad de CD y vaya al directorio
del CD /linux/.
3. Especifique ./uninst_wg.
4. Suprima el directorio /opt/ibm/ConnectionManager para borrar todos
los archivos de configuración.
Solaris
| 2. Inserte el CD 1 de instalación en la unidad de CD y vaya al directorio
| del CD /solaris/
| 3. Especifique ./uninst_wg

| 4. Suprima el directorio /opt/IBM/ConnectionManager para borrar todos
| los archivos de configuración.
Eliminar el Gatekeeper
Elimine el Gatekeeper utilizando el método apropiado al sistema operativo:
AIX Utilice SMIT:
Programas de Utilidad y Mantenimiento de Software
Eliminar el Software Instalado
3. Especifique wgcfg.rte en el campo Nombre de SOFTWARE.
4. Pulse Intro tres veces.
5. Si desea desinstalar el Gatekeeper permanentemente, suprima el
directorio .wgcfg del directorio inicial de cada usuario. Si realiza la
desinstalación antes de actualizar a una nueva versión, no suprima el
directorio .wgcfg.
Linux Especifique rpm -e IBMwgcfg. Si desea desinstalar el Gatekeeper
permanentemente, suprima el directorio .wgcfg del directorio inicial de
cada usuario. Si realiza la desinstalación antes de actualizar a una nueva
versión, no suprima el directorio .wgcfg.
Solaris
Especifique pkgrm IBMwgcfg. Si desea desinstalar el Gatekeeper
permanentemente, suprima el directorio .wgcfg del directorio inicial de
cada usuario. Si realiza la desinstalación antes de actualizar a una nueva
versión, no suprima el directorio .wgcfg.
Windows
Utilice el applet Agregar o quitar programas del Panel de control:
1. Pulse Inicio –> Configuración –> Panel de control y, a continuación,
pulse Agregar o quitar programas.
| 2. Pulse IBM Gatekeeper y, a continuación, Cambiar o Quitar.
3. En el panel Confirmar supresión de archivo, pulse Sí.
Si desea desinstalar el Gatekeeper permanentemente, suprima el directorio
.wgcfg del directorio inicial de cada usuario. Si realiza la desinstalación
antes de actualizar a una nueva versión, no suprima el directorio .wgcfg.
| Notas:
| 1. El directorio de instalación permanece después de desinstalar el
| producto y contiene un archivo denominado gkUninstallLog.txt
| 2. También puede eliminar el Gatekeeper de forma silenciosa, utilizando
| estos mandatos:
| C:\<dir_instal_GK>\_uninst\UninstallGatekeeper.exe -silent
| donde C: es la unidad donde está instalado el Gatekeeper y

| <dir_instal_GK> es el directorio donde está instalado el Gatekeeper. La
| vía de acceso de instalación predeterminada del Gatekeeper es
| \Archivos de programa\IBM\Gatekeeper.

| Este mandato hace que el indicador de mandatos vuelva de inmediato,
| mientras la desinstalación silenciosa se sigue ejecutando en segundo
| plano. Utilice start /WAIT si no desea que el indicador de mandatos
| vuelva hasta que el proceso de desinstalación haya finalizado:
| start /WAIT C:\<dir_instal_GK>\_uninst\UninstallGatekeeper.exe -silent
Instalar y configurar el plug-in TAI

Connection Manager tiene un interceptor de asociación de confianza (TAI) que se
utiliza con WebSphere Application Server (WAS). El plug-in TAI impide que se
produzcan solicitudes de credenciales adicionales cuando Connection Manager ya
ha autenticado al usuario. El plug-in TAI es un software que puede bajarse desde
el sitio web de soporte de productos.

Capítulo 7. Utilización de los servicios de acceso móvil
En este apartado:
v “Definición de los recursos que utilizan los servicios de acceso móvil”
v “Habilitación de la comunicación segura para los servicios de acceso móvil” en
la página 136
v “Configuración de un RNC redundante con conmutadores A/B controlados de
forma remota” en la página 137
Definición de los recursos que utilizan los servicios de acceso móvil

Los recursos que se asignan a los servicios de acceso móvil son:
v “TCP-Lite”
TCP-Lite
TCP-Lite es un servicio que proporciona un canal de transporte que intercepta TCP
para reducir la carga adicional relacionada con la gestión de sesiones en las que no
se transmiten ni se reciben datos de aplicación. TCP-Lite reduce o elimina las PCU
(Unidades de datos de protocolo) TCP puras que se utilizan en la configuración, la
eliminación y el acuse de recibo de un canal, a la vez que mantiene el orden, la
integridad, la fiabilidad y la seguridad del transporte TCP original.
Las aplicaciones que utilizan TCP para comunicarse entre un cliente y un servidor
no necesitan ninguna modificación para utilizar TCP-Lite. En entornos en los que
los clientes requieren un establecimiento de sesiones frecuente o múltiple, TCP-Lite
reduce de forma fiable la cantidad de datos que se transfieren entre el cliente y el
servidor.
Se aplica un transporte TCP-Lite a un perfil de conexión, que es un conjunto de

propiedades de configuración que se asigna a una MNC para controlar las
opciones de rendimiento entre una MNC y los clientes Mobility que se conectan a
ella.
Cuando añada un transporte TCP-Lite, revise los valores predeterminados y

proporcione:
v Un nombre común y un nombre descriptivo del servicio
121
v Para limitar el transporte a un determinado tipo de aplicación TCP, puede
proporcionar también un puerto de destino TCP específico para realizar un
filtro.
v Para limitar el transporte a servidores de aplicaciones de destino específicos,
puede proporcionar también una dirección IP y una máscara de subred.
v El número máximo de veces que puede intentar volver a transmitirse un
paquete antes de descartarlo y restablecer la sesión.
v El tiempo en segundos que esperará el transporte TCP-Lite para volver a
transmitir un segmento de datos cuando no ha recibido un acuse de recibo.
Codec HTTP
El códec HTTP es un servicio que utiliza TCP-Lite como transporte subyacente
para reducir el recuento de bytes OTA (Over-The-Air, en el aire) mediante la
eliminación y/o la codificación de bytes de los campos de cabecera en una
corriente de datos HTTP (Protocolo de Transporte de Hipertexto).
En el Mobility Client, un códec HTTP elimina o codifica las cabeceras de solicitud

HTTP, transmite la corriente de datos HTTP y, a continuación, reconstituye las
cabeceras de solicitud en el Connection Manager antes de pasar el tráfico a los
servidores web de destino. Posteriormente, el Connection Manager elimina o
codifica las cabeceras de respuesta HTTP antes de pasar el tráfico a los Mobility
Client.
Cuando añada un códec HTTP, revise los valores predeterminados y especifique:

v Los valores de las propiedades de transporte TCP-Lite que se van a utilizar
v Cómo se procesa el símbolo de sistema principal en las cabeceras de solicitud.
Puede elegir las siguientes opciones en las que el códec HTTP:
– Elimina la cabecera si coincide exactamente con lo que se ha especificado y
codifica las cabeceras que no coincidan.
– Elimina la cabecera si coincide exactamente con lo que se ha especificado y
devuelve un código de estado HTTP 403 al solicitante para las cabeceras que
no coincidan.
– Elimina el símbolo de sistema principal en todas las cabeceras de solicitud
enviadas desde el Mobility Client y, a continuación, lo sustituye por otro
símbolo de sistema principal diferente en el Connection Manager antes de
pasar la solicitud
v Cómo se procesa el identificador de recursos uniformes (URI) en las cabeceras
de solicitud. Puede elegir las siguientes opciones en las que el códec HTTP:
– Elimina el URI si coincide exactamente con lo que se ha especificado y pasa
los URI que no coincidan.
– Elimina sólo la parte del URI que coincida con el valor del campo de URI
especificado. Cuando se recibe la cabecera de solicitud en el Connection
Manager, el códec HTTP añade el valor del prefijo al principio del campo de
URI antes de pasar la solicitud.
v Qué símbolos de cabecera HTTP se codifican y se transmiten. Los símbolos que
no se seleccionen se eliminarán de la cabecera.
v Si los símbolos de la cabecera que no aparezcan en la lista se transmiten o no.
Conexión y perfiles de transporte

Un perfil de conexión es un conjunto de propiedades de configuración que se
asigna a una MNC para controlar las opciones de seguridad y rendimiento entre la

MNC y los clientes Mobility que se conectan a ella. Cuando se crea una MNC o se
editan sus propiedades, se le asigna un perfil de conexión.
Algunas propiedades de configuración de la capa de transporte, como por ejemplo

la compresión, la reducción de cabecera o la optimización TCP, se negocian
utilizando los perfiles de conexión y de transporte.
Un perfil de transporte es un conjunto de propiedades de configuración de la capa

de transporte que se asignan sólo a los perfiles de conexión de red basados en IP.
Estas propiedades son valores que identifican el tipo de red, por ejemplo, el
nombre de adaptador y la velocidad de la conexión. Se pueden asociar varios
nombres de red con un perfil de transporte y se puede asignar más de un perfil de
transporte a un perfil de conexión IP.
Cuando Connection Manager obtiene una solicitud de inicio de sesión de un

Mobility Client en una red basada en IP, intenta que el nombre de red del cliente o
la velocidad de red coincidan con un perfil de transporte e intenta aplicar las
propiedades de configuración asociadas a ese perfil. Mobility Client propone los
valores de nombre de red y velocidad de red cuando se inicia la sesión o cuando
cambia de una red a otra.
Cuando se determina qué perfil de transporte se va a utilizar, Connection Manager

intenta primero que coincida con el nombre de red y la velocidad que utiliza
Mobility Client. Si no se encuentra ninguna correspondencia exacta para el nombre
de red y la velocidad, se utiliza el nombre exacto de la red. Si no se encuentra
ninguna correspondencia, se utiliza la velocidad exacta de la red. Si no se
encuentra ninguna correspondencia, se realiza una búsqueda aproximada del
nombre y, por último, si no se encuentra ninguna correspondencia, se utiliza la
velocidad de red más próxima.
Si utiliza un perfil de conexión IP sin ningún perfil de transporte asignado o si el

archivo de configuración de Mobility Client tiene RequestTransportProfile
establecido como 0, se asigna un perfil de transporte predeterminado. Asegúrese
de establecer el perfil de transporte predeterminado con un valor válido para los
clientes Mobility que se conecten y que no tengan capacidad para negociar valores
de configuración en el momento de configurar la conexión. Por ejemplo, los
clientes Mobility anteriores a la versión 5.1 no tendrán esta capacidad. Si no se
establece ningún perfil de transporte predeterminado, se asigna uno
automáticamente: el primero que haya disponible en la lista de perfiles de
transporte.
Tenga en cuenta que un perfil de transporte hereda la lista de control de accesos

(ACL) del perfil de conexión al que está asignado.
Un perfil de conexión especifica:

v Si Mobility Client utiliza la compresión. Puede elegir entre los siguientes valores:
| Obligatorio
| La compresión es necesaria.
| Nunca No se realiza ninguna compresión. Cuando se habilita un perfil de
| transporte para la compresión, no se utiliza, ya que nunca se ha
| negociado.
| Opcional
| No se necesita ningún tipo de compresión para esta MNC y el Mobility
Capítulo 7. Utilización de los servicios de acceso móvil 123

| Client puede negociar la compresión. Si se negocia, el valor del perfil de
| transporte determina si se utiliza o no.
| ZLIB Las bibliotecas de compresión de datos basadas en el algoritmo
| Lempel-Ziv-Welch que proporciona ZLIB.
El valor predeterminado es Opcional.

v Si se ejecuta la reducción de cabecera.
v El algoritmo de intercambio de claves se utiliza para validar los clientes
Mobility. Tenga en cuenta que el algoritmo de intercambio de claves se asigna a
una MNC y los clientes Mobility no pueden negociarlo individualmente. Todos
los clientes Mobility conectados mediante una MNC deben utilizar el mismo
acuerdo de intercambio de claves.
Algunos dispositivos tienen números de serie asociados con el hardware que se
pueden utilizar para la identificación. Los usuarios que se conecten utilizando el
Mobility Client configurado para el intercambio de claves de contraseña pueden
tener un nivel de seguridad adicional si aprovechan los identificadores de
dispositivos. No todas las plataformas de cliente ni todos los dispositivos
admiten la identificación de dispositivos. Cuando está disponible, la opción
Ayuda -> Acerca de Mobility Client se actualiza para mostrar el identificador de
dispositivo. Si se configura un usuario para que utilice la identificación de
dispositivo, el identificador exclusivo se combina con la contraseña durante la
autenticación. Si desea obtener más información de configuración, consulte el
tema de seguridad Cómo: ″Utilizando identificación de dispositivo con clientes
Mobility″ en la ayuda en línea de Gatekeeper.
Puede elegir uno de estos algoritmos de intercambio de claves:
Ninguno
El Connection Manager acepta una conexión iniciada por un Mobility
Client utilizando cualquier dispositivo. Cuando se define un perfil de
conexión sin validación, el Gatekeeper proporciona un nombre de
usuario predeterminado (genérico) que se utiliza en las anotaciones de
contabilidad. El ID de usuario de Sin validación es el ID de usuario que
aparece en el archivo de contabilidad (wg.acct) de todos los clientes
Mobility que se conectan mediante una MNC utilizando este perfil.
Para esta opción no es necesario definir ID de usuario ni dispositivos
portátiles en el Gatekeeper.
Hay dos MNC que sólo dan soporte a Sin validación: SNPP (Protocolo
Simple de Paginación de Red) y SMTP (Protocolo Simple de Transporte
de Correo).
Notas:
1. El Mobility Client se debe configurar en el separador Seguridad de
las propiedades de las conexiones como Ninguno.
2. Si utiliza un intercambio de claves Ninguno y el modelo de
validación del cliente se establece como Validación de usuario, se
omite el valor del modelo de validación.
Distribución de claves de dos partes
El Connection Manager se autentica ante el Mobility Client y el Mobility
Client se autentica ante el Connection Manager.
Puede especificar un tipo adicional de autenticación si selecciona Perfil
secundario de autenticación. Si lo especifica, asegúrese de definir y de
elegir un perfil de autenticación distinto al perfil de autenticación de
sistema predeterminado.

Nota: El Mobility Client se debe configurar en el separador Seguridad
de las propiedades de las conexiones para el intercambio de
claves de Contraseña.
Distribución de claves de una parte
El Mobility Client se autentica ante el Connection Manager.
Puede especificar un tipo adicional de autenticación si selecciona Perfil
secundario de autenticación. Si lo especifica, asegúrese de definir y de
elegir un perfil de autenticación distinto al perfil de autenticación de
sistema predeterminado.
Tenga en cuenta que el Mobility Client se debe configurar en el
separador Seguridad de las propiedades de las conexiones para el
intercambio de claves de Contraseña.
Diffie-Hellman
Se proporcionan al Connection Manager y al Mobility Client los medios
para calcular la misma clave compartida. No tiene que definir ID de
usuario ni dispositivos portátiles en Gatekeeper; no obstante, en este
caso, el modelo de validación del cliente se debe establecer como
Ninguno.
El uso del intercambio de claves de Diffie-Hellman no proporciona
ninguna autenticación. Si desea proporcionar la autenticación, debe
especificar un Perfil secundario de autenticación. Si utiliza un
intercambio de claves de Diffie-Hellman y desea utilizar un método de
autenticación secundario, establezca el modelo de validación del cliente
como Usuario y asegúrese de que los usuarios estén definidos en
Gatekeeper.
Nota: El Mobility Client se debe configurar en el separador Seguridad

de las propiedades de las conexiones para el intercambio de
claves de Clave pública.
v Un nivel mínimo de cifrado. Puede elegir entre: estándar de cifrado avanzado
(AES) o estándar de cifrado digital (DES). Consulte el apartado “Cifrado entre
los servicios de acceso móvil y los clientes Mobility” en la página 45 para ver
una descripción.
v Si Connection Manager rota periódicamente la clave de cifrado.
v Un modelo de validación de cliente que determina el nivel de validación que se
necesita cuando el Mobility Client inicia una conexión con el Connection
Manager. En el momento de establecer la conexión, el Connection Manager
asocia un nombre de usuario con esa conexión de cliente. Este nombre se utiliza
para las anotaciones y se puede identificar de varias formas: se puede especificar
en el Mobility Client como ID de usuario, se puede derivar del identificador del
dispositivo portátil que se está utilizando o puede ser un valor predeterminado.
Puede elegir entre los siguientes valores:
Ninguno
No se realiza ninguna validación.
Validación del usuario
Cuando el Mobility Client inicia una conexión, el Connection Manager
necesita un ID de usuario y una contraseña opcional. El ID de usuario
debe definirse en el Gatekeeper. Con un ID de usuario válido, una
persona puede iniciar una sesión utilizando cualquier dispositivo
portátil. Si selecciona esta opción cuando el algoritmo de intercambio de
claves está establecido como Ninguno, se omitirá.

Validación de dispositivo y usuario
valida primero el identificador del dispositivo portátil y, a continuación,
necesita un ID de usuario y una contraseña opcional. El Connection
Manager comprueba si este dispositivo portátil está asociado con el ID
de usuario proporcionado. Se puede asociar más de un dispositivo
portátil con un ID de usuario, y se puede asociar un dispositivo con más
de un ID de usuario. Utilice este modelo si tiene dispositivos asignados
a más de un usuario, o si tiene varios dispositivos asignados a un
usuario y varios compartidos.
Validación de dispositivo a usuario
comprueba el identificador del dispositivo portátil y, a continuación,
deriva el ID de usuario asignado a ese dispositivo portátil. Normalmente
se utiliza en los clientes Mobility que están configurados para no
mostrar los ID de usuario. Este modelo necesita que a cada dispositivo
portátil se le asigne sólo un ID de usuario. No obstante, a un usuario se
le puede asignar más de un dispositivo portátil. Este modelo requiere
que se definan dispositivos portátiles e ID de usuario en el Gatekeeper.
v Un perfil secundario de autenticación, necesario para el intercambio de claves
Diffie-Hellman y opcional para los demás algoritmos de intercambio de claves.
v Si los clientes PPP como, por ejemplo, los marcadores PPP, tienen permiso para
conectarse al Connection Manager.
v En las redes basadas en IP, los perfiles de transporte asociados con este perfil de
conexión. Tenga en cuenta que puede asignar varios perfiles de transporte a un
solo perfil de conexión basado en IP.
v En las redes que no están basadas en IP, los valores de unidad máxima de
transmisión:
– El tamaño máximo en bytes de los paquetes de UDP que se enviarán por la
red a la MNC de Mobility Client.
red desde la MNC de Mobility Client.
– El valor de MTU en bytes de la interfaz de red móvil (MNI) de Mobility
Client. Esta MTU limita el tamaño de los paquetes IP no procesados que se
envían desde la pila IP del cliente al código de Mobility Client. También la
utiliza la pila TCP en el cliente para determinar el tamaño máximo del
segmento (MSS). El MSS se anuncia durante el establecimiento de una
conexión TCP para indicar al socio la cantidad máxima de datos que se envía
en un paquete. El MSS tiene 40 bytes menos que la MTU para tener en cuenta
las cabeceras TCP/IP. Por lo tanto, el tamaño de la MTU de la MNI afecta al
tamaño de los paquetes IP no procesados que envía al cliente la pila IP del
cliente y, para las conexiones TCP, afecta también al tamaño de los paquetes
que envía el sistema principal remoto.
v En las redes que no están basadas en IP, los valores de optimización TCP:
– Si se intenta y se supervisa la optimización TCP y, si es así, el tamaño de la
ventana TCP y la cantidad de tiempo que se bloquea la entrega de los
paquetes retransmitidos, así como si los paquetes se unen en paquetes más
grandes de hasta 4096 bytes.
– La cantidad de tiempo que transcurre antes de descartar un paquete
incompleto.
– El número máximo de veces que puede intentar volver a transmitirse un

v En las redes que no estén basadas en IP:
– La cantidad de tiempo que transcurre antes de descartar un paquete
incompleto.
– Si se iguala el tamaño de los fragmentos antes de transmitirlos en la red.
– La cantidad de retraso de transmisión creado para que el Connection
Manager pueda unir varios paquetes para hacer un uso más eficaz de la capa
de transporte.
– El número máximo de bytes de datos que se pueden transmitir como un
fragmento único.
– El número mínimo de bytes de espacio disponible que debe existir en el
almacenamiento intermedio para poder añadir más datos. El almacenamiento
intermedio contiene los datos que se transmiten como un fragmento único.
– Los filtros que se deben aplicar. Si se seleccionan estos filtros, Mobility Client
no puede enviar tráfico utilizando el protocolo en el número de puerto de la
lista. De esta forma, Mobility Client puede impedir retardos de ancho de
banda y posiblemente evitar cargos de red sin garantía. Seleccione entre los
filtros proporcionados en Recursos predeterminados o cree sus propios filtros.
v Si se utiliza un transporte TCP-Lite.
Un perfil de transporte especifica:

v Un nombre descriptivo del perfil.
v Palabras claves o frases que se pueden utilizar para determinar la coincidencia
de un nombre de red.
v La velocidad de la red.
v Cómo se determina el valor de unidad máxima de transmisión (MTU). Los
valores de MTU determinan el tamaño máximo en bytes de un paquete que se
puede enviar en una determinada interfaz. Cuando se trata de una conexión
TCP que se ejecuta en la conexión VPN, se deben considerar varios valores de
configuración de MTU. Puede elegir entre los siguientes valores:
Negociar
Connection Manager y Mobility Client utilizan el valor de MTU que
especifica Mobility Client.
Bajar al cliente
Connection Manager ignora los valores que envía Mobility Client y
utiliza los valores tal como se han especificado. Estos valores se envían
también para que los utilice Mobility Client.
v Los valores de unidad máxima de transmisión:
red a la MNC de Mobility Client.
red desde la MNC de Mobility Client.
– El valor de MTU en bytes de la interfaz de red móvil (MNI) de Mobility
Client. Esta MTU limita el tamaño de los paquetes IP no procesados que se
envían desde la pila IP del cliente al código de Mobility Client. También la
utiliza la pila TCP en el cliente para determinar el tamaño máximo del
segmento (MSS). El MSS se anuncia durante el establecimiento de una
conexión TCP para indicar al socio la cantidad máxima de datos que se envía
en un paquete. El MSS tiene 40 bytes menos que la MTU para tener en cuenta
las cabeceras TCP/IP. Por lo tanto, el tamaño de la MTU de la MNI afecta al

tamaño de los paquetes IP no procesados que envía al cliente la pila IP del
cliente y, para las conexiones TCP, afecta también al tamaño de los paquetes
que envía el sistema principal remoto.
v El intervalo en segundos con el que Mobility Client envía solicitudes de eco a
Connection Manager.
v Si los datos se comprimen en la conexión entre Mobility Client y Connection
Manager.
v Si Mobility Client y Connection Manager reducen el tamaño del paquete
reduciendo el tamaño de las cabeceras IP.
v Si se iguala el tamaño de los fragmentos antes de transmitirlos en la red.
v La cantidad de retraso de transmisión creado para que Connection Manager
pueda unir varios paquetes para hacer un uso más eficaz de la capa de
transporte.
v El número máximo de bytes de datos que se pueden transmitir como un
fragmento único.
v El número mínimo de bytes de espacio disponible que debe existir en el
almacenamiento intermedio para poder añadir más datos. El almacenamiento
intermedio contiene los datos que se transmiten como un fragmento único.
v Si Mobility Client transmite datos Connection Manager uniendo varios paquetes
para disminuir la carga adicional y hacer un uso más eficaz de la capa de
transporte.
v Si se intenta y se supervisa la optimización TCP y, si es así, el tamaño de la
ventana de transmisión y la cantidad de tiempo que se bloquea la entrega de los
paquetes retransmitidos.
v La cantidad de tiempo que transcurre antes de descartar un paquete incompleto.
v El número máximo de veces que puede intentar volver a transmitirse un
v Los filtros que se deben aplicar. Si se seleccionan estos filtros, Mobility Client no
puede enviar tráfico utilizando el protocolo en el número de puerto de la lista.
De esta forma, Mobility Client puede impedir retardos de ancho de banda y
posiblemente evitar cargos de red sin garantía. Seleccione entre los filtros
proporcionados en Recursos predeterminados o cree sus propios filtros.
Con el Gatekeeper se proporcionan perfiles predeterminados. Puede modificar los

perfiles predeterminados o crear otros perfiles, uno para cada conjunto de
propiedades que desee asignar a una MNC. Si suprime un recurso
predeterminado, no se puede restaurar sin volver a instalar Connection Manager.
Grupos para los servicios de acceso móvil

Un grupo es una forma de recopilar recursos para utilizarlos en grupo en lugar de
por separado. Puede crear grupos de los siguientes tipos:
Difusión
Una lista de destinatarios a los que se puede enviar un mensaje de
difusión. Un grupo de difusión puede incluir usuarios y MNC.
Dispositivo portátil
Una agrupación de dispositivos portátiles que se puede asignar a uno o
varios usuarios, con lo que se elimina la necesidad de asignar cada
dispositivo de forma individual. Un grupo de dispositivos portátiles es
especialmente útil cuando los usuarios comparten una agrupación de
dispositivos.

DHCP
Una agrupación de direcciones IP que se puede asignar a los usuarios de
forma dinámica. Un grupo DHCP puede incluir direcciones IP de distintas
MNI.
Filtro Una lista de filtros que se aplican conjuntamente. Si tiene varias MNI,
puede definir un grupo de filtros y aplicarlo a cada MNI, en lugar de
asignar cada filtro por separado.
Correlación de paquetes o NAT
Una lista de correlaciones de paquetes o conversores de direcciones de red
(NAT) que se aplican en conjunto. Si tiene varias MNI, puede definir un
grupo y aplicarlo a cada MNI, en lugar de asignar cada correlación de
paquetes o cada conversor de direcciones de red por separado.
Dispositivo portátil
Aunque un dispositivo portátil se define en el Connection Manager, los servicios
de acceso móvil lo utilizan de forma explícita.
Un dispositivo portátil es un dispositivo que utilizan los clientes para comunicarse

con el Connection Manager. Los dispositivos portátiles se definen en el Gatekeeper
para controlar qué dispositivos pueden acceder al Connection Manager.
La información que se utiliza para identificar un dispositivo portátil depende del

proveedor de red. Debe tener el identificador exclusivo del dispositivo, que a
menudo se monta en el dispositivo o se incluye como firmware en el dispositivo.
Para los sistemas como RTC y GSM, debe registrar el teléfono, no el módem.
Cuando especifique los números de registro de un usuario GSM, utilice el número
de teléfono normal, que se conoce como MSISDN, ya que es la voz combinada y el
número de datos ISDN V.110 del servicio GSM-ISDN. Utilice el número de datos
independiente para V.32 y los otros protocolos de módem convencionales para el
servicio GSM-PSTN. Solicite la activación de estos servicios de datos y la
asignación del número de datos adicional antes de utilizar estos servicios.
Perfil de módem
Un perfil de módem contiene información de configuración que permite a los
servicios de acceso móvil comunicarse con un módem RTC (Red Telefónica
Conmutada). El módem está conectado a los servicios de acceso móvil y forma el
extremo de pasarela del enlace entre los Servicios de acceso móvil y el Mobility
Client. El perfil de módem contiene el mandato predeterminado y las series de
inicialización de un módem determinado.
Los servicios de acceso móvil se proporcionan con varios perfiles de módem

predeterminados. Puede modificar los perfiles existentes o puede añadir un nuevo
perfil.
Si utiliza más de un perfil de módem, debe definir una MNC aparte para cada
perfil. Consulte el apartado “Adición de recursos” en la página 105.
Conversor de direcciones de red

Un conversor de direcciones de red (NAT) es un recurso que se asigna a una MNI.
NAT se utiliza para redireccionar el tráfico a través de una subred específica
representada por una MNI.

NAT permite al Connection Manager actuar como agente entre una red pública y
una red privada. Basándose en RFC 1631, NAT permite utilizar direcciones IP en
un dominio de stub que se puede utilizar en otros dominios de stub. En un
dominio de stub como, por ejemplo, una red corporativa que maneje sólo tráfico
de origen y de destino desde dentro de la red, hay muy pocas direcciones IP que
necesiten direcciones IP exclusivas de forma global. Esto significa que sólo se
necesita una dirección IP exclusiva para representar a un grupo completo de
equipos.
NAT define un rango de direcciones IP de origen exclusivas y, a continuación,

asigna de forma aleatoria un paquete de origen a un número de puerto (de 1024 a
65535). NAT mantiene la correlación del paquete con el número de puerto en una
tabla de conversión el tiempo que dure una sesión TCP o hasta que se exceda el
tiempo de espera de una sesión TCP o una conexión UDP.
Cuando se crea una NAT, se especifica:

v La dirección IP que identifica la dirección NAT. Cuando se especifica más de una
dirección, las direcciones IP se asignan en forma de turno rotativo continuo.
v La cantidad de tiempo de inactividad en minutos que determina un tiempo de
espera de sesión TCP y UDP.
v La información de direccionamiento de datos del paquete de origen y de destino
que filtra si NAT debe procesar un paquete o no. Si no se especifica ninguna
dirección de origen o de destino, NAT se aplica a todo el tráfico conectado
mediante la MNI.
v Un grupo de correlaciones de paquetes si desea añadir la NAT a un grupo.
Asegúrese de crear primero un grupo de correlaciones de paquetes y, a
continuación, añada la NAT.
Utilizando NAT, el tráfico destinado a la dirección NAT se direcciona en la subred

de MNI para que el proceso del Connection Manager pueda recuperarlo. Para ello,
el Connection Manager añade una ruta a la dirección MNI en la tabla de
direccionamiento para enviar los paquetes destinados a la dirección NAT. En el
sistema operativo Solaris, la ruta que se añade a la tabla de direccionamiento es la
dirección MNI más 1.
Para asegurar que el tráfico se direcciona a la máquina donde está instalado el

Connection Manager, el Connection Manager se enlaza a un adaptador de red y
luego utiliza el protocolo de resolución de direcciones (ARP), si es necesario. No es
necesario ejecutar un mandato arp para asociar la dirección NAT con la dirección
MAC de la máquina. Las direcciones NAT deben ser direccionables en la misma
subred física que el adaptador de red. Si no es así, el direccionador de red debe
configurarse para aceptar este tráfico.
Flujo de ejemplo
Por ejemplo, el Mobility Client realiza una solicitud HTTP de una página web.
v Dirección IP del Mobility Client = 34.34.130.3
v NAT utilizando la dirección IP = 48.48.130.9
v Dirección IP del servidor HTTP = 129.42.16.99
El paquete de la solicitud HTTP del Mobility Client tiene un par de dirección de
origen y puerto igual a 34.34.130.3@32771, y un par de dirección de destino y
puerto igual a 129.42.16.99@80. Cuando el paquete alcanza la NAT, ésta reasigna la
dirección de origen a su propia dirección IP y le asigna un número de puerto
aleatorio. NAT envía el paquete al servidor HTTP con un par de dirección de
origen y puerto igual a 48.48.130.9@6022 y el par de dirección de destino y puerto
queda como 129.42.16.99@80. Cuando se recupera la página web, el servidor HTTP
responde con un paquete que tiene un par de dirección de origen y puerto igual a
129.42.16.99@80. El par de dirección de destino y puerto del servidor HTTP es
48.48.130.9@6022. NAT recibe el paquete y correlaciona la dirección de destino y el
puerto con el Mobility Client y se establece como 34.34.130.3@32771.
Correlación de paquetes
Aunque las correlaciones de paquetes se definen en un Connection Manager, se
utilizan de forma explícita en los servicios de acceso móvil.
Una correlación de paquetes es un recurso que se asigna a una MNI. Una

correlación de paquetes es una forma de redireccionar algunos tipos de tráfico a
través de una subred específica representada por una MNI. Puede crear
correlaciones de paquetes para cuatro tipos de paquetes:
v TCP
v UDP
v ICMP
v Otros
Puede utilizar correlaciones de paquetes para modificar algunos campos dentro de

la cabecera de un paquete. Por ejemplo, puede configurar una correlación para
cambiar el número de puerto en los paquetes TCP de salida por un puerto en un
servidor de correo que se ha optimizado para los clientes Mobility.
Filtro
Aunque los filtros se definen en un Connection Manager, se utilizan de forma
explícita en los servicios de acceso móvil.
Un filtro es un recurso que se asigna a una MNI. Los filtros positivos o negativos
son una forma de controlar algunos tipos de tráfico a través de una subred
específica representada por una MNI. Puede crear filtros para cuatro tipos de
paquetes:
v TCP
v UDP
v ICMP
v Otros
Los criterios de filtro que se utilizan en un filtro dependen del tipo de paquete. Se
puede definir un filtro para bloquear paquetes o para pasar paquetes, según los
criterios especificados. Con el Gatekeeper se proporciona un conjunto de filtros
predeterminado y un grupo de filtros denominado Filtros predeterminados.
Puede asignar filtros a los perfiles de transporte para controlar el flujo de datos
desde el Mobility Client a los servicios de acceso móvil.
Alias de direccionamiento
Un alias de direccionamiento es un Mobility Client que actúa como un nodo
multiubicado para direccionar los datos entre los servicios de acceso móvil y una
subred especificada por el usuario. Los servicios de acceso móvil entregan todo el

tráfico destinado a la subred especificada a la dirección IP del Mobility Client.
Posteriormente, el Mobility Client actúa como pasarela de destino y direcciona los
datos a la dirección de destino.
Interfaz de red móvil (MNI)

MNI es una interfaz de red que define una subred IP a través de la cual los
servicios de acceso móvil direccionan el tráfico IP de los clientes Mobility. Una
subred IP es un rango contiguo de direcciones IP o grupos de direcciones IP que
dan soporte al número de clientes Mobility y dispositivos portátiles que se pueden
conectar simultáneamente al Connection Manager. A cada Mobility Client o
dispositivo portátil se le asigna una dirección IP dentro de la subred de una MNI y
se conecta a la LAN cableada de la organización a través de la MNI.
| Connection Manager da soporte a un máximo de 256 MNI en AIX o Solaris. Se da

| soporte a un máximo de 32 MNI en Linux. Si se definen más de 250 MNI,
| Gatekeeper muestra sólo las primeras 250 MNI en orden aleatorio, tal y como las
| devuelve la búsqueda. El número máximo de MNI se calcula sustrayendo las
| interfaces de red que se encuentran activas de 256.
MNI reserva una dirección IP en una subred como propia y esta dirección es el
punto de presencia del Connection Manager en la red LAN cableada de la
organización. La forma en qué se asigna esta dirección IP depende del sistema
operativo. En AIX y Solaris, se asigna una dirección IP y una máscara de red para
utilizar una subred a través de la cual el tráfico se direcciona públicamente.
En Linux, la forma en que se asigna esa dirección IP y en que se direcciona el

tráfico públicamente fuera de la MNI viene determinada por las opciones de
configuración:
Utilizar una subred a través de la cual el tráfico se direcciona públicamente
A todos los clientes Mobility se les asigna una dirección del rango de
direcciones definido por una dirección IP configurable y una submáscara
de red. Tenga en cuenta que esta opción requiere que las máquinas de la
LAN cableada de la organización puedan direccionar tráfico a esta subred
utilizando la dirección IP de Connection Manager en la LAN cableada.
Tenga en cuenta que esta opción es la que está disponible en los sistemas
operativos AIX y Solaris.
Utilizar un servidor DHCP ubicado externamente
Todas las direcciones de Mobility Client para la MNI se asignan utilizando
un servidor DHCP (Protocolo de Configuración Dinámica de Sistema
Principal). El servidor DHCP también direcciona todo el tráfico público de
los paquetes destinados fuera de la subred de MNI.
Esta opción requiere que se enlace con la MNI un adaptador de interfaz de
red específico. Está especialmente indicada para su uso en instalaciones
pequeñas, ya que requiere entradas de tabla ARP y tabla de
direccionamiento para cada dirección asignada, lo que puede afectar al
rendimiento.
Utilizar un servidor DHCP externo con NAT
A todos los clientes Mobility se les asigna una dirección del rango de
direcciones definido por una dirección IP configurable y una submáscara
de red. Normalmente, este rango de direcciones es privado y no es
globalmente exclusivo (esto es, no hay direcciones IP exclusivas en
Internet). Connection Manager obtiene un rango de direcciones IP de
origen exclusivas que se utilizan para la conversión de direcciones de red

(NAT) basándose en el número configurable de direcciones NAT solicitadas
y, a continuación, asigna de forma aleatoria un paquete de origen a un
número de puerto. NAT mantiene la correlación del paquete con una de
estas direcciones y el número de puerto en una tabla de conversión el
tiempo que dure una sesión TCP o hasta que se exceda el tiempo de espera
de una sesión TCP desocupada o una conexión UDP desocupada. Las
direcciones NAT se obtienen de un servidor DHCP.
Esta opción requiere que se enlace con la MNI un adaptador de interfaz de
red específico. Está especialmente indicada para su uso en instalaciones en
las que no hay disponible un gran número de direcciones direccionables
para asignarlas a la MNI y reduce el número de solicitudes que se realiza
al servidor DHCP a una. El rendimiento se ve afectado cuando hay una
base de usuarios grande con una elevada tasa de inicio de sesión.
Los Servicios de acceso móvil pueden tener una MNI para todas las redes o varias
MNI para los distintos rangos de redes.
No todos los clientes de mensajería y clientes de servicios de acceso HTTP utilizan

recursos MNI. Consulte el apartado “Conexiones PPP nativas” en la página 35 para
También puede:
v Configurar la conversión de direcciones de red para que el Connection Manager
pueda actuar como agente entre una red pública y una red privada utilizando
menos direcciones IP exclusivas para representar un grupo completo de equipos.
Consulte el apartado “Conversor de direcciones de red” en la página 129.
v Definir un alias de direccionamiento en una MNI para que actúe como una
pasarela de destino multiubicada que direccione los datos entre los servicios de
acceso móvil y una subred especificada por el usuario. Consulte el apartado
“Alias de direccionamiento” en la página 131.
v Configurar filtros para permitir o no la comunicación entre las direcciones IP
dentro de una MNI. Consulte el apartado “Filtro” en la página 131.
v Redireccionar datos hacia o desde direcciones de una MNI utilizando la
correlación de paquetes, que modifica un paquete de cabecera IP para
redireccionar datos. Consulte el apartado “Correlación de paquetes” en la página
131.
Si la máscara de subred que se aplica a la MNI es demasiado restrictiva y desea

que los clientes Mobility que se conectan mediante esa MNI tengan un rango de
subredes más amplio, puede aplicar una máscara de subred alternativa a esa MNI.
La máscara de subred alternativa amplía el rango de direcciones que pueden
alcanzar los clientes Mobility, y probablemente elimina la necesidad de una ruta
predeterminada en el Mobility Client.
Para comprobar que la organización puede acceder a los clientes Mobility y los
dispositivos portátiles, actualice las tablas de direccionamiento de la organización
para que incluyan el punto de presencia del Connection Manager en la subred de
MNI.
Definición de una subred de MNI estática

Para definir una subred de MNI a través de la cual se direcciona el tráfico
públicamente, debe saber cómo:
1. Adquirir una subred utilizando una dirección IP de sistema principal y una
máscara de subred para esa dirección.

2. Comprobar que las direcciones reservadas en la subred no se utilizan como
direcciones IP del Mobility Client o dispositivo portátil. Aunque no es un
requisito, algunas redes reservan el uso de las direcciones inferior y superior
del rango de subredes como direcciones de difusión de red.
3. Determinar si necesita una máscara de subred alternativa.
4. Actualizar las tablas de direccionamiento de la organización para que incluyan
la dirección IP del Connection Manager.
5. Actualizar las tablas de direccionamiento de la organización para que
direccionen el rango de direcciones MNI a la dirección IP del Connection
Manager.
6. Comprobar que el tráfico se direcciona de forma segura entre el Mobility Client
y los servicios de acceso móvil.
7. Configurar, de manera opcional, filtros, correlaciones de paquetes o alias de
direccionamiento para la MNI.
Conceptos del direccionamiento IP: Una subred es un rango contiguo de

direcciones IP. Para determinar las direcciones inferior y superior del rango,
especifique una dirección IP de sistema principal y una máscara de subred para
esa dirección. La dirección IP es la dirección de la MNI. La máscara de subred se
aplica a la dirección para especificar un rango de direcciones que define una
subred dentro de la red. La subred no se puede ampliar más allá del rango de la
red.
La máscara de subred tiene un formato parecido al de una dirección formada por

cuatro octetos, con todos los bits excepto los del final de la máscara que indican
cuántas direcciones hay disponibles. Por ejemplo, una máscara de 255.255.255.0
puede ser:
11111111.11111111.11111111.00000000
mientras que una máscara de 255.255.240.0 será:
11111111.11111111.11110000.00000000
y permite un rango mayor de direcciones de sistema principal.
En general, cada vez que se cambia el último uno por un cero, se duplica el
número de direcciones disponibles. Si cambia más de un bit de uno a cero (por
ejemplo, si cambia de 255 a 240, se cambian cuatro bits), se multiplica el número
de direcciones disponibles por dos elevado a la potencia n, donde n es el número
de bits modificados. Por ejemplo, si cambia de 255 a 240, se multiplica el número
de direcciones disponibles por dos elevado a la cuarta potencia, o 16.
Todos estos ejemplos utilizan una red de clase B, en la que los dos primeros
octetos definen la dirección de red, y los dos últimos octetos definen las
direcciones de subred y sistema principal.
v Dirección IP 34.34.130.1, máscara de subred 255.255.255.0
La máscara indica que se pueden utilizar para la subred todos los bits del último
octeto, quedando disponible el rango de 34.34.130.0 a 34.34.130.255. 34.34.130.1
se reserva para la MNI; 34.34.130.0 y 34.34.130.255 (la primera y la última
dirección del rango completo) se reservan como direcciones de difusión de red.
Esto significa que las direcciones de la 34.34.130.2 a la 34.34.130.254 (253
direcciones) están disponibles para los clientes Mobility.

El resultado es el mismo rango de direcciones disponibles que en el ejemplo
anterior, excepto que la dirección que se utiliza para la MNI es diferente.
Continúa habiendo disponibles 253 direcciones.
Esta máscara de subred abre un bit más, lo que amplía el rango de direcciones
disponibles de 34.34.130.0 a 34.34.131.255. De esta forma se obtienen 512
direcciones; después de eliminar las direcciones individuales de difusión y de la
MNI, quedan 509 disponibles para su uso en los clientes Mobility.
Esta máscara de subred amplía el rango de direcciones disponibles de 34.34.128.0
a 34.34.143.255. De esta forma se obtienen 4096 direcciones; después de eliminar
las direcciones individuales de difusión y de la MNI, quedan 4093 disponibles
para su uso en los clientes Mobility.
Después de adquirir una subred y definirla como MNI en el Gatekeeper, actualice

las tablas de direccionamiento de la organización para que incluyan la subred que
se está utilizando para la MNI. Puede añadir entradas de rutas de red estáticas a
los equipos individuales de la red, o actualizar el direccionador de red para que
incluya las direcciones de subred de MNI que se deben direccionar mediante los
servicios de acceso móvil.
Figura 9. Ejemplo de una subred de MNI y una entrada de tabla de direccionamiento
Por ejemplo, en la Figura 9, los servicios de acceso móvil con una dirección IP
38.38.130.9 residen en una LAN cableada. Esta LAN tiene un direccionador con
una dirección IP 38.38.130.1. Los servicios de acceso móvil definen una MNI que es
una subred de direcciones que van de la 34.34.130.0 a la 34.34.130.255. La MNI
utiliza 34.34.130.1. Para poder direccionar el tráfico de la LAN cableada a la subred
de MNI, se crea una entrada de tabla de direccionamiento en la que la dirección IP
de destino y la máscara de la subred (34.34.130.0 y 255.255.255.0, respectivamente)
se direccionan a través de los servicios de acceso móvil (38.38.130.9).

Habilitación de la comunicación segura para los servicios de acceso
móvil
Puede controlar el tráfico de datos y configurar la autenticación entre los servicios
de acceso móvil y el Mobility Client.
Control de tráfico de datos

Puede utilizar la conversión de direcciones de red, los filtros y las correlaciones de
paquetes para controlar los protocolos y el direccionamiento a los recursos en la
red ampliada. Un conversor de direcciones de red (NAT) reasigna las direcciones
IP de los clientes Mobility de forma que, por ejemplo, la dirección de origen real
de un paquete del Mobility Client se asigna a la dirección NAT y la NAT
correlaciona el paquete con un puerto determinado. Los filtros controlan el flujo de
datos dependiendo del tipo de paquete. La correlación de paquetes es una forma
de redireccionar datos a través de una subred.
Configuración de la autenticación entre los servicios de

acceso móvil y el Mobility Client
El Connection Manager utiliza un protocolo de punto a punto (PPP) modificado
denominado protocolo de enlace inalámbrico optimizado (WLP) para autenticar su
conexión con los clientes Mobility mediante una conexión de red móvil (MNC).
Cada MNC de WLP puede utilizar un protocolo de distribución de claves de una
parte, un protocolo de distribución de claves de dos partes o Diffie-Hellman para
intercambiar claves y validar o autenticar los clientes Mobility.
Para visualizar o cambiar el tipo de acuerdo de claves que utiliza la MNC entre el
Connection Manager y el Mobility Client, edite las propiedades del Perfil de
conexión asignado a la MNC. Pulse el separador Seguridad y, a continuación,
pulse el campo Algoritmo de intercambio de claves.
Determine si los clientes Mobility deben tener un certificado de clave pública

instalado en sus sistemas. Consulte el apartado “Almacenamiento de certificados
basados en clientes”.
Almacenamiento de certificados basados en clientes

Para almacenar certificados basados en clientes:
1. Utilice un PC de escritorio para crear una solicitud de certificado.
2. Envíe la solicitud de certificado a una autoridad de certificados (CA). La CA
devuelve un archivo de solicitud de certificado con un tipo de archivo p12.
3. Compruebe que el archivo p12 esté en el sistema o dispositivo que lo va a
utilizar.
4. Inicie la conexión del Mobility Client que utiliza la autenticación basada en
certificados. Cuando aparezca el diálogo de autenticación, pulse Examinar para
seleccionar el archivo p12. A continuación, pulse Aceptar dos veces. Tenga en
cuenta que en los dispositivos Pocket PC sólo puede examinar los archivos
almacenados en las carpetas Mis documentos.

Configuración de un RNC redundante con conmutadores A/B
controlados de forma remota
Un conmutador A/B controlado de forma remota puede indicar a un controlador
de red de radio (RNC) que envíe tráfico a una determinada estación base de radio
móvil privado (PMR) de Motorola. Puede configurar los servicios de acceso móvil
para que envíen mensajes de alerta a un conmutador A/B controlado de forma
remota conectado a un RNC 3000 redundante. Puede definir hasta cuatro
conmutadores.
Si no hay tráfico de red, los servicios de acceso móvil envían un mensaje de

pulsación al RNC para comprobar que sigue allí. Si el RNC no responde a dos
mensajes consecutivos de pulsación, los servicios de acceso móvil interrumpen la
conexión e intentan restablecerla con la RNC primaria. Si no se puede restablecer
la conexión, los servicios de acceso móvil cambian el control al RNC redundante
para establecer una conexión y reanudar el proceso normal. Los servicios de acceso
móvil pueden enviar una alerta SNMP (Simple Network Management Protocol) al
conmutador A/B para indicarle que cambie las estaciones base PMR al RNC en
espera (redundante).
Para configurar una MNC rnc3000 con un RNC redundante y un conmutador A/B
controlado de forma remota:
1. Compruebe que la MNC rnc3000 se ha añadido al Connection Manager.
2. Edite las propiedades de la MNC rnc3000. Consulte el apartado “Edición de
propiedades de recursos” en la página 101 para obtener más información.
3. Pulse el separador Controlador en línea y revise los valores de la dirección IP
de RNC, el puerto de lectura TCP y el puerto de escritura TCP que se
asignaron cuando se añadió la MNC.
4. Pulse Modificar configuración RNC redundante y entre la Dirección IP del
RNC redundante.
5. Pulse Conmutador A/B de control y entre la Dirección IP de conmutador A/B
remoto.
6. Entre el archivo MIB (Management Information Base) que utiliza el Connection
Manager que describe el conmutador A/B remoto.
7. Entre la Dirección IP de conmutador A/B remoto y la dirección IP de hasta tres
conmutadores adicionales.
8. Pulse el campo Correlación de puerto de conmutador A/B remoto para
identificar si la correlación de puertos etiquetada como A en el conmutador
A/B controlado de forma remota está conectada con el RNC primario o
redundante.
Tenga en cuenta que siempre que se conmutan los RNC primario y redundante, los
servicios de acceso móvil envían una alerta al conmutador A/B especificando qué
RNC está activo.

Capítulo 8. Utilización de los servicios de mensajería
En este apartado:
v “Definición de los recursos que utilizan los servicios de mensajería”
v “Habilitación de la comunicación segura para los servicios de mensajería” en la
página 140
v “Configuración de una MNC SMPP” en la página 142
Definición de los recursos que utilizan los servicios de mensajería

Un “Servicio de aplicaciones” es un recurso utilizado por los servicios de
mensajería.
Servicio de aplicaciones
Utilizado por los servicios de mensajería, un servicio de aplicaciones proporciona
acceso basado en conexiones directas con las aplicaciones de servidor de programa
de fondo. El servicio de aplicaciones define el protocolo que se utiliza entre el
servidor de aplicaciones y los servicios de mensajería. Identifica el puerto que se
reserva para la comunicación entre una aplicación en los dispositivos de cliente de
mensajería y los servicios de mensajería. La aplicación proporciona un determinado
conjunto de información de cabecera dentro de la corriente de datos que utilizan
los servicios de mensajería para correlacionar el tráfico con el servidor de
aplicaciones de programa de fondo. Hay dos tipos de servicios de aplicaciones:
Genérico
Permite el flujo del tráfico de aplicaciones entre servidores de aplicaciones
de programa de fondo y dispositivos de cliente de mensajería. Entre el
servidor de aplicaciones de programa de fondo y los servicios de
mensajería, el tráfico fluye a través de UDP, TCP o TCP utilizando SSL.
Entre los dispositivos de cliente de mensajería y los servicios de
mensajería, el tráfico fluye a través de todas las MNC, excepto las MNC de
SMTP, SNPP o basadas en marcación.
Por ejemplo, un cliente de correo electrónico POP3 en un dispositivo de
mensajería se conecta con el Connection Manager utilizando un protocolo
SMS. servicios de mensajería convierte la corriente de datos al protocolo
UDP o TCP, y envía las solicitudes directamente al servidor POP3. Cuando
se devuelven las respuestas desde el servidor POP3, se vuelven a convertir
al protocolo SMS y se devuelven al cliente de correo electrónico en el
dispositivo de mensajería.
Este servicio se puede configurar para añadir información de identificación
de dispositivos de cliente como una cabecera en la corriente de datos de la
aplicación. La aplicación que recibe la corriente de datos es la responsable
de interpretar la cabecera. Consulte el Apéndice A, “Referencia de
programación”, en la página 147 si desea obtener más información sobre el
Kit de utilidades de push y de servicios de mensajería.
Este servicio también se puede configurar para realizar transacciones TCP
seguras. Este servicio sólo está disponible como un servicio de aplicaciones
adicional que se añade a los servicios de mensajería.
Paso a través
Permite el flujo del tráfico de aplicaciones entre servidores de aplicaciones
139
de programa de fondo y dispositivos de cliente de mensajería, pero no
convierte el protocolo de la corriente de datos. Los servicios de mensajería
mantienen registros de contabilidad de la corriente de datos, que se
pueden enviar a otro servidor de contabilidad. Los servicios de
aplicaciones de paso a través están soportados en las MNC basadas en
Mobitex y DataTAC.
Habilitación de la comunicación segura para los servicios de

mensajería
Puede configurar certificados SSL para el servicio de mensajería y para las
aplicaciones de proceso de mensajes.
Configuración de los certificados SSL para los servicios de

mensajería
Puede configurar certificados de clave pública para que utilicen SSL (capa de
sockets protegidos) y habiliten una conexión segura entre los servicios de
mensajería y las aplicaciones utilizando las API de push y de servicios de
mensajería. Para determinar qué certificados de clave pública desea habilitar, revise
las opciones del apartado “Autenticación y cifrado” en la página 44.
Para configurar una conexión segura entre los servicios de mensajería y los
servidores de proceso de mensajes o los iniciadores de envío (push), configure cada
punto final. Los certificados de claves en el punto final de los servicios de
mensajería se almacenan en la base de datos de claves y se protegen mediante una
contraseña oculta. El nombre de archivo de la base de datos de claves
predeterminada es ppg.trusted.kdb. La contraseña oculta predeterminada es
“trusted” y se almacena en ppg.trusted.sth. Para cambiar el nombre de archivo de
la base de datos de claves o el nombre de archivo de la contraseña oculta, edite el
separador Pasarela de las propiedades de los servicios de mensajería. Consulte el
apartado “Edición de propiedades de recursos” en la página 101. Para configurar el
punto final del servidor de proceso de mensajes o el iniciador de envío (push),
consulte el apartado “Configuración de los certificados SSL para las aplicaciones de
proceso de mensajes”.
Para añadir o visualizar certificados de claves en la base de datos de claves, inicie

una sesión como raíz y utilice la interfaz de gestión de claves de IBM: Entre
wg_ikeyman.
Si desea obtener más información sobre cómo cambiar la contraseña oculta, crear
una solicitud de certificado, enviar la solicitud de certificado, almacenar
certificados y actualizar el certificado raíz, pulse Ayuda –> Contenido utilizando la
interfaz de gestión de claves de IBM.
Una vez realizados los cambios en la base de datos de claves, cierre y reinicie el
Connection Manager para activar los cambios.
Configuración de los certificados SSL para las aplicaciones

de proceso de mensajes
Para configurar una conexión segura entre los servicios de mensajería y las
aplicaciones utilizando las API de push y de servicios de mensajería, asegúrese de
configurar cada punto final. Consulte el apartado “Configurar certificados SSL en
el Connection Manager” en la página 88 para obtener más información sobre la
configuración del punto final de servicios de mensajería.

Para crear una conexión segura para las aplicaciones que utilicen las API de push y
de servicios de mensajería, deberá:
v Crear un certificado autofirmado o emitir una solicitud de certificado para
obtener un certificado de una autoridad de certificados.
v Añadir el certificado a la base de datos de claves de los servicios de mensajería
existente y, a continuación, extraer el certificado. Consulte el apartado
“Configuración de los certificados de claves de la base de datos de claves de los
servicios de mensajería”.
v Crear una nueva base de datos de claves para que la utilice la aplicación de
proceso de mensajes y añadirle el certificado extraído.
v Transferir la base de datos de claves al sistema de la aplicación de proceso de
mensajes. Consulte los apartado “Creación de un archivo de almacenamiento de
claves Java para las aplicaciones Java” o “Creación de una base de datos de
claves y un archivo oculto para las aplicaciones C” en la página 142.
Tenga en cuenta que el tipo de base de datos de claves depende del idioma de
programación que se utiliza para crear la aplicación de proceso de mensajes. Las
aplicaciones C utilizan una combinación de base de datos de claves y archivo
oculto. Las aplicaciones Java utilizan un archivo de clase de base de datos de
claves.
Configuración de los certificados de claves de la base de datos

de claves de los servicios de mensajería
Este procedimiento es común para las aplicaciones que utilizan los lenguajes de
programación C o Java:
1. Inicie una sesión como usuario raíz y entre wg_ikeyman.
2. Pulse Archivo de base de datos de claves –> Abrir. En el directorio de
instalación, abra el archivo ppg.trusted.kdb. La contraseña predeterminada es
“trusted”.
3. Cree un certificado autofirmado o emita una solicitud de certificado para
obtener un certificado de una autoridad de certificados predefinida (conocida).
Si obtiene un certificado de una autoridad de certificados, añádalo al archivo de
base de datos de claves abierto. Pulse Ayuda –> Contenido para obtener
información en línea sobre cómo crear un certificado autofirmado o cómo
obtener un certificado y añadirlo a la base de datos de claves.
4. Pulse Certificados personales.
5. Elija el certificado que acaba de añadir a la base de datos de claves abierta y, a
continuación, pulse Extraer certificado.
6. Asegúrese de que el tipo de datos sea Datos ASCII codificados en Base 64.
7. Especifique la ubicación y el nombre del archivo del certificado y, a
continuación, pulse Aceptar.
8. Pulse Archivo de base de datos de claves –> Cerrar.
| Creación de un archivo de almacenamiento de claves Java para

| las aplicaciones Java
2. Cree un nuevo archivo de clase de base de datos de claves que se utilizará en
la aplicación de proceso de mensajes. Pulse Archivo de base de datos de
claves –> Nuevo.
| 3. Seleccione JKS como tipo de base de datos de claves.
Capítulo 8. Utilización de los servicios de mensajería 141

4. Especifique la ubicación y el nombre de archivo de la nueva base de datos de
claves. Coloque el archivo en una ubicación desde la que pueda copiarlo o
transferirlo fácilmente al sistema de la aplicación de proceso de mensajes. A
5. Entre la contraseña dos veces y pulse Aceptar.
6. Pulse Certificados de firmante.
7. Pulse Añadir... y seleccione Datos ASCII codificados en Base 64 como tipo de
datos.
8. Especifique la ubicación y el nombre del archivo del certificado que ha
añadido a la base de datos de claves abierta en el apartado “Configuración de
los certificados de claves de la base de datos de claves de los servicios de
mensajería” en la página 141 y, a continuación, pulse Aceptar.
11. Transfiera el archivo de base de datos de claves al sistema de la aplicación de
proceso de mensajes. Siga las instrucciones de la Guía del desarrollador del
Kit de utilidades de push y servicios de mensajería para utilizar el archivo de
base de datos de claves.
Creación de una base de datos de claves y un archivo oculto

para las aplicaciones C
2. Cree un nuevo archivo de base de datos de claves que se utilizará en la
aplicación de proceso de mensajes. Pulse Archivo de base de datos de claves
–> Nuevo.
3. Seleccione Archivo de base de datos de claves CMS como tipo de datos.
4. Especifique la ubicación y el nombre de archivo de la nueva base de datos de
claves. Coloque el archivo en una ubicación desde la que pueda copiarlo o
transferirlo fácilmente al sistema de la aplicación de proceso de mensajes. A
5. Entre la contraseña dos veces y pulse el recuadro de selección ¿Ocultar la
contraseña en un archivo? . A continuación, pulse Aceptar dos veces.
6. Pulse Certificados de firmante.
7. Pulse Añadir...
8. Seleccione Archivo de base de datos de claves CMS como tipo de datos.
9. Especifique la ubicación y el nombre del archivo del certificado que ha
añadido a la base de datos de claves abierta en el apartado “Configuración de
los certificados de claves de la base de datos de claves de los servicios de
mensajería” en la página 141 y, a continuación, pulse Aceptar.
Configuración de una MNC SMPP

El protocolo de igual a igual de mensajes cortos (SMPP) se basa en el intercambio
de unidades de datos de protocolo (PDU) de solicitud y respuesta entre el
Connection Manager que actúa como entidad externa de mensajes cortos (ESME) y
el centro de servicios de mensajes cortos (SMS-C). El Connection Manager da
soporte a todas las operaciones de PDU que se definen en la especificación SMPP
Versión 3.4.

El Connection Manager puede intentar registrarse o enlazarse con un SMS-C
utilizando uno de los métodos siguientes:
Transceptor
El Connection Manager envía mensajes a SMS-C y recibe mensajes de
SMS-C a través de una sesión SMPP única. Si se selecciona este método y
SMS-C no lo admite, el Connection Manager intentará de nuevo realizar el
enlace utilizando el método Transmisor/Receptor.
Transmisor
El Connection Manager envía mensajes cortos a SMS-C y recibe las
respuestas SMPP correspondientes de SMS-C.
Receptor
El Connection Manager recibe mensajes cortos de SMS-C y devuelve las
repuestas de mensajes SMPP correspondientes a SMS-C.
Transmisor/Receptor
Utiliza dos sesiones para enviar y recibir mensajes cortos entre el
Connection Manager y SMS-C.
Para ver o modificar el método de enlace, edite las propiedades de la MNC SMPP.
Pulse el separador Enlace y, a continuación, seleccione el método de enlace que
desee utilizar entre esta MNC y SMS-C.
Para ver o modificar las operaciones de PDU cuando se configura el Connection

Manager como Receptor, edite las propiedades de la MNC SMPP. Pulse el
separador PDU (Recibir) y, a continuación, seleccione las operaciones. Cuando se
configura el Connection Manager como Receptor, se puede configurar para
permitir estas operaciones de PDU:
outbind
Especifica si SMS-C tiene permiso para señalar al Connection Manager
para que origine una solicitud bind_receiver en la que el Connection
Manager pueda recibir mensajes cortos de SMS-C y devolver las repuestas
de mensajes SMPP correspondientes a SMS-C.
Esta operación de PDU también se puede configurar para que requiera que
la conexión se autentique mutuamente.
unbind
Especifica si el Connection Manager o SMS-C pueden enviar una solicitud
de fin de sesión para cerrar la sesión SMPP actual.
data_sm
Especifica si el Connection Manager tiene permiso para solicitar que
SMS-C transfiera un mensaje a un cliente SMS. SMS-C también puede
utilizar esta operación para transferir un mensaje originado mediante un
dispositivo portátil al Connection Manager.
deliver_sm
Especifica si SMS-C direcciona mensajes cortos al Connection Manager
para su entrega.
alert_notification
Especifica si SMS-C envía un mensaje al Connection Manager cuando
SMS-C detecta que un determinado cliente SMS está disponible y se ha
establecido un distintivo de pendiente de entrega para ese suscriptor en
una operación de data_sm anterior.

enquire_link
Especifica si el Connection Manager o el SMS-C que se utiliza para
proporcionar una comprobación de confianza de la vía de comunicación
entre el Connection Manager y SMS-C puede enviar un mensaje. Al recibir
esta solicitud, la parte receptora envía una respuesta que comprueba el
funcionamiento de la conexión a nivel de aplicación entre ambos.
Asimismo, las operaciones data_sm y deliver_sm se pueden utilizar para transferir

los siguientes tipos de mensajes especiales al Connection Manager:
Recepción de entrega SMS-C
Al detectar el estado final de un mensaje registrado almacenado en SMS-C,
SMS-C genera un mensaje de recepción dirigido al originador del mensaje.
Acuse de entrega de entidad de mensajes cortos (SME)
Una indicación de la SME receptora de que el usuario ha leído el mensaje
corto.
Acuse de recibo manual/de usuario de SME
Un mensaje de respuesta generado por la aplicación como respuesta a un
mensaje de solicitud de aplicación.
Notificación intermedia
Proporciona un estado intermedio de un intento de entrega de mensaje.
Para ver o modificar las operaciones de PDU cuando se configura el Connection

Manager como Transmisor, edite las propiedades de la MNC SMPP. Pulse el
separador PDU (Transmitir) y, a continuación, seleccione las operaciones. Cuando
se configura el Connection Manager como Transmisor, se puede configurar para
permitir estas operaciones de PDU:
submit_sm
Permite al Connection Manager enviar un mensaje corto a SMS-C para la
transmisión hacia adelante a una entidad de mensajes cortos (SME)
específica. Esta operación no permite la modalidad de mensajes de
transacción.
data_sm
Especifica si el Connection Manager tiene permiso para solicitar que
SMS-C transfiera un mensaje a un cliente SMS. SMS-C también puede
utilizar esta operación para transferir un mensaje originado mediante un
dispositivo portátil al Connection Manager.
unbind
Especifica si el Connection Manager o SMS-C pueden enviar una solicitud
de fin de sesión para cerrar la sesión SMPP actual.
query_sm
Especifica si el Connection Manager tiene permiso para consultar el estado
de un mensaje corto enviado anteriormente.
replace_sm
Especifica que el Connection Manager sustituya un mensaje corto enviado
anteriormente que está pendiente de entrega.
enquire_link
Especifica si el Connection Manager o el SMS-C que se utiliza para
proporcionar una comprobación de confianza de la vía de comunicación
entre el Connection Manager y SMS-C puede enviar un mensaje. Al recibir
esta solicitud, la parte receptora envía una respuesta que comprueba el
funcionamiento de la conexión a nivel de aplicación entre ambos.

Configuración de una MNC WCTP
WCTP (Wireless Communications Transfer Protocol) es un protocolo de mensajería
de dispositivos inalámbricos. Cuando se configura una MNC WCTP, se
proporciona:
1. La dirección IP y el puerto de envío del servidor WCTP
2. El método que utiliza Connection Manager para recibir mensajes del servidor
WCTP. Puede elegir entre los siguientes valores:
Estar a la escucha de envíos HTTP
Requiere un número de puerto en el que Connection Manager escucha
las solicitudes HTTP entrantes que contienen mensajes entrantes y de
estado de WCTP. La elección del método también requiere la
identificación de un número de puerto.
Sondear el servidor WCTP
Requiere un ID de sondeo, una contraseña y un intervalo de sondeo
durante el que Connection Manager sondea el servidor WCTP en busca
de mensajes entrantes y de estado. La elección del método también
requiere la identificación de un ID de sondeo, una contraseña de
sondeo y un intervalo de sondeo.
3. El comportamiento de la conexión entre Connection Manager y el servidor
WCTP, y si se persiste o no un socket durante la conexión. Puede elegir entre
los siguientes valores:
Entregar múltiples mensajes por un solo socket
Connection Manager envía varias transacciones WCTP por el mismo
socket al servidor WCTP.
Crear un socket nuevo para cada transacción
Connection Manager abre un nuevo socket en el servidor WCTP para
cada transacción WCTP.
4. Si se debe utilizar un ID de usuario junto con el dominio (por ejemplo,
user@domain) como parte de la dirección de respuesta en el campo
send-responses-to (enviar respuestas a). Algunos proveedores de telefonía (por
ejemplo, Skytel) requieren sólo el uso del dominio en las direcciones de
respuesta, mientras que otros (por ejemplo, Arch Wireless) requieren que los ID
de usuario originadores se anexen como prefijo al dominio.

Apéndice A. Referencia de programación
Hay varias consideraciones sobre programación que se deben tener en cuenta:
v Para añadir un gran número de usuarios al Gatekeeper, consulte el apartado
“Añadir recursos en modalidad por lotes” en la página 85.
v Para configurar y propagar una configuración común del Mobility Client,
consulte las Guías del usuario del Mobility Client para obtener más información.
| v Puede establecer el Mobility Client para los dispositivos Nokia E-series para que
| notifiquen los sucesos relacionados con el estado de la red. Mobility Client envía
| un paquete UDP al puerto local 14889 de la dirección IP para indicar si el
| Mobility Client dispone actualmente de alguna conexión física real con la red. El
| formato de este datagrama es:
| bytes 0-3 -- 0X’FABC1101’
| byte 4 - Indica si existe una conexión activa:
| 0 - Mobility Client no tiene conexión física con la red
| 1 - Mobility Client está conectado a una conexión de red activa
| Para escuchar este suceso, cree un socket UDP y enlácelo a 127.0 .0.1, puerto
| 14889. Cuando Mobility Client obtiene una conexión activa o se desplaza
| correctamente a una nueva conexión, se envía un paquete con el byte 4
| establecido en 1. Si Mobility Client pierde una conexión y no puede encontrar
| otra activa, se envía un paquete con el byte 4 establecido en 0.
v Para crear aplicaciones que puedan interactuar con el Mobility Client, utilice el
Kit de utilidades del Mobility Client. El Kit de utilidades del Mobility Client,
una guía de desarrollador y una referencia de API (Interfaz de programas de
aplicación), está disponible en la web. Enlace para descargar el kit de utilidades.
v Para añadir una aplicación para transportar datos a y desde dispositivos de
cliente de mensajería, utilice la interfaz de programas de servicio de aplicaciones
de los servicios de mensajería, que forma parte del Kit de utilidades de push y
de servicios de mensajería de la web. Un servicio de aplicación permite el flujo
del tráfico de aplicaciones entre servidores de aplicaciones de programa de
fondo y dispositivos de cliente de mensajería. Entre el servidor de aplicaciones
de programa de fondo y los servicios de mensajería, el tráfico fluye a través de
UDP, TCP o TCP utilizando SSL. Entre los dispositivos de cliente de mensajería
y los servicios de mensajería, el tráfico fluye a través de todas las MNC, excepto
las MNC de SMTP, SNPP o basadas en marcación. Enlace para descargar el kit
de utilidades.
v Para crear una aplicación de mensaje o envío (push) también puede utilizar las
API de push o de servicios de mensajería. El kit de utilidades proporciona
información de referencia para clases e interfaces Java y funciones C para que
los desarrolladores puedan crear y enviar mensajes a dispositivos móviles
utilizando los servicios de mensajería. El kit de utilidades también proporciona
un conjunto de aplicaciones de ejemplo. Enlace para descargar el kit de
utilidades.
147
Apéndice B. Información del esquema de base de datos
La base de datos es una base de datos DB2 o Oracle que contiene tablas de
información sobre la actividad actual y pasada de las sesiones de Connection
Manager. Las siguientes tablas se crean y se accede a ellas utilizando el nombre de
calificador wg de las instalaciones de DB2.
Para una configuración de DB2 Connection Manager predeterminada, la instalación

crea automáticamente un ID de instancia de base de datos wgdb y un ID de
sistema operativo wgdb. Los campos cuyo tipo es Varchar incluyen cuatro bytes
para especificar la longitud del campo, además de los datos contenidos en el
campo.
Cuando se instala DB2 Universal Database en el servidor, incluye publicaciones en

línea en formato Postscript y HTML. Para determinar cómo hacer una copia de
seguridad y restaurar la base de datos wgacct, utilice la publicación IBM DB2
Universal Database Administration Guide para obtener una visión general e
información de planificación sobre la recuperación de una base de datos.
Utilice la publicación IBM DB2 Universal Database Command Reference para obtener
información sobre los mandatos BACKUP DATABASE y RESTORE DATABASE.
Esquema de base de datos de contabilidad y facturación

El esquema de base de datos de contabilidad y facturación se proporciona para
que pueda utilizar una herramienta de informes SQL (Structured Query Language)
para realizar auditorías y ordenar los datos, así como para generar consultas y
producir informes de uso. El nombre de la base de datos predeterminada es
wgacct.
Nota: Tenga cuidado cuando edite la base de datos wgacct. Si se dañan los datos,
lo mejor es desactivar el soporte de contabilidad y facturación, desactivar las
tablas de wgacct, y volver a activar el soporte de contabilidad y facturación.
La información contenida en la Tabla 12 en la página 154 (AcctDiscInfo) se

corresponde con los paquetes y los bytes que se transmiten realmente a través del
enlace entre el Connection Manager y el cliente conectado. Por su parte, la
información contenida en la Tabla 10 en la página 151 (AcctDataInfo) contiene
información de los paquetes de datos IP/PPP originales y los paquetes
fragmentados o unidos que se transmiten realmente. Para presentar esta
información cuando se produce una fragmentación o una unión, se crean entradas
en la tabla de datos de paquete de la siguiente manera:
v Una entrada para uno o varios paquetes de datos IP/PPP con los campos IP,
Cifrado, Comprimido y Reducido establecidos en algún valor, y los campos
Marco y Transmitir establecidos en cero.
v Entradas para uno o varios paquetes unidos/fragmentados con los campos
Marco y Transmitir establecidos en algún valor y los campos IP, Cifrado,
Comprimido y Reducido establecidos en cero.
Esto significa que puede que no coincidan los recuentos de paquetes en la tabla de
sesión y la tabla de datos de paquete de una determinada sesión de usuario; no
obstante, los valores BytesIn/BytesOut de la tabla de sesión coincidirán con los
totales de TransmitSize de la tabla de datos de paquete de la sesión de usuario.
149
Para todas las tablas que incluyan el campo RDNType, el tipo y el valor
correspondiente es:
0 — MobileNI
1 — Datatac5000
2 — Datatac6000
3 — ModacomScr
4 — ArdisX25
5 — ArdisTCP
6 — Rnc3000TCP
7 — MobitexX25
8 — MobitexTCP
9 — OpenRdn
10 — IP
11 — DialPstn
12 — DialIsdn
13 — DialTCP
14 — DataradioMSC
15 — DataradioBDLC
16 — SmsEMI
17 — SmsSMPP
18 — WdpUDP
19 — Cluster
20 — SmtpMail
21 — SmsEMIX25
22 — SmsSMPPX25
23 — SNPP
24 — SmsOIS
25 — SmsOISX25
26 — Reservado
27 — SmsRPA
28 — WCTP
| 29 — TcpLan
| 30 — HttpTcpLan
Tenga en cuenta que aunque los campos de dirección IP pueden manejar una
dirección IPv6, todos los campos de direcciones IP son actualmente direcciones
IPv4.
Tabla 9. AcctConnInfo - Almacena la información de conexión inicial.
Nombre de campo Tipo Tamaño Valor Longitud Comentarios
del campo necesario cero
permitida
| AcctType Small Integer 2 Sí No Denota el tipo de entrada:
| X'0001' inicio de sesión
| X'0100' inicio de sesión erróneo
DevAddr Varchar[16] para 5-20 Sí No Valor de dirección IP in6_addr
datos de bit del dispositivo portátil
DevName Varchar[256] 5-260 No Sí Serie de identificador de
dispositivo

Tabla 9. AcctConnInfo - Almacena la información de conexión inicial. (continuación)
permitida
EventTime Integer 4 Sí No El valor time_t de la indicación
de hora del paquete. La hora a la
que se escribió la entrada de
cuenta, expresada como el
número de segundos desde
medianoche (0 horas) del 1 de
enero de 1970.
EventSqlTimeStamp TIMESTAMP / 26 Sí No El valor es TIMESTAMP para las
DATE instalaciones de DB2 o DATE
para las instalaciones de Oracle.
MNC Varchar[17] 5-21 Sí No Serie de identificador de MNC
RDNType Char[1] para datos 1 Sí No Identificador RDN (Radio Data
de bit Network). Consulte la lista del
principio del tema.
UserID Varchar[256] 4-260 No Sí Serie de nombre distinguido del
usuario
WLPVersion Small Integer 2 Sí No Versión de máquina de sentencia
WLP propuesta por el Mobility
Client
PlatformType Small Integer 2 Sí No Tipo de plataforma
1 - Reservado
2 - Reservado
3 - Reservado
4 - Reservado
5 - Reservado
6 - Windows de 32 bits
7 - Windows CE
8 - Reservado
9 - Reservado
10 - Reservado
11 - Reservado
12 - Reservado
13 - Reservado
14 - Reservado
15 - Linux
PlatformString Varchar[256] 4-260 No Sí Descripción del sistema operativo
del cliente.
ClientVersion Varchar[128] 4-132 No Sí Información de versión y de
build del Mobility Client
Tabla 10. AcctDataInfo - Almacena el tráfico del paquete IP.

permitida
AcctType Small Integer 2 Sí No Denota el tipo de la entrada (fin
de sesión, inicio de sesión,
conexión, desconexión, datos) y
es siempre un valor de X’04’.
Apéndice B. Información del esquema de base de datos 151

Tabla 10. AcctDataInfo - Almacena el tráfico del paquete IP. (continuación)
permitida
enero de 1970.
RDNType Char[1] para datos 1 Sí No Identificador RDN (Radio Data
de bit Network). Consulte la lista del
principio del tema.
UserID Varchar[256] 4-260 No Sí Serie de nombre distinguido del
usuario
RemoteAddr Varchar[16] para 8-20 Sí No Valor de dirección IP in6_addr
datos de bit del Connection Manager
Direction Char[1] para datos 1 Sí No X’00’ = El paquete proviene del
de bit dispositivo portátil (origen
portátil) X’01’ = El paquete se
dirige al dispositivo portátil
(origen del Connection Manager)
Nota: Los registros que tienen IPSize pero no TransmitSize o FrameSize son entradas para registrar el IP procesado,
pero no reflejan los datos en el aire. Estas entradas indican que el paquete se ha combinado con otros paquetes y/o
fragmentado. Esta entrada va seguida de entradas que no tienen el conjunto de IPSize, CryptSize o CompSize, pero
que tienen el conjunto de TransmitSize y FrameSize. Estas entradas representan en lo que se ha convertido el
paquete.
IPSize Integer 4 Sí No Tamaño del paquete IP original
sin modificar
RedSize Integer 4 Sí No Tamaño del paquete después de
la reducción de la cabecera IP, si
existe.
CompSize Integer 4 Sí No Tamaño del paquete después de
la compresión, si existe.
CryptSize Integer 4 Sí No Tamaño del paquete después del
cifrado, si existe.
FrameSize Integer 4 Sí No Tamaño del paquete después del
marco de protocolo necesario.
TransmitSize Integer 4 Sí No Tamaño del paquete transmitido
después de la reducción, la
compresión, el cifrado o el marco
correspondiente.
GwVersion Char[1] para datos 1 Sí No Distingue los registros de los
de bit distintos releases de Connection
Manager – identificador de
versión interno, actualmente
X’03’.

Tabla 10. AcctDataInfo - Almacena el tráfico del paquete IP. (continuación)
permitida
dispositivo
Total 84-639
Tabla 11. AcctSMSInfo - Almacena el tráfico del mensaje SMS.

permitida
AcctType Small Integer 2 Sí No Denota el tipo de la entrada
(SMS) y es siempre un valor de
X’80’.
dispositivo
enero de 1970.
RDNType Char 1 Sí No Identificador RDN (Radio Data
Network). Consulte la lista del
principio del tema.
UserID Varchar[256] 4-260 No Sí Serie de usuario reservada
DSize Integer 4 Sí No Tamaño de datos de paquete del
mensaje transmitido
MsgType Small Integer 2 Sí No Tipo de mensaje y siempre es un
valor de 3.
Dest Varchar[512] 5-516 Sí No Serie de destino del mensaje
Direction Char[1] para datos 1 Sí No X’00’ = El paquete proviene del
de bit dispositivo portátil (origen
portátil) X’01’ = El paquete se
dirige al dispositivo portátil
(origen del Connection Manager)
GwVersion Char1[1] para datos 1 Sí No Distingue los registros de los
de bit distintos releases de Connection
X’03’.
Total 58-1097

Tabla 12. AcctDiscInfo - Almacena el tráfico del paquete de la sesión (conexión/desconexión, inicio de sesión/fin de
sesión).
permitida
Nota: Esta tabla se utiliza para cuatro tipos de paquetes diferentes: inicio de sesión, fin de sesión, conexión y
desconexión. Algunas columnas tendrán valores significativos sólo para determinados tipos de paquetes. En concreto,
los campos como PktsIn que contienen valores de resumen de una sesión de usuario (período entre el inicio de sesión
y el fin de sesión) o una conexión virtual (período entre la conexión y la desconexión) sólo tendrán un valor distinto
de cero para el paquete de punto final (fin de sesión o desconexión).
AcctType Small Integer 2 Sí No Denota el tipo de entrada:
X’0002’ fin de sesión
X’0008’ desconexión
X’0010’ conexión
X’0020’ itinerancia
enero de 1970.
RDNType Char 1 Sí No Identificador RDN (Radio Data
Network). Consulte la lista del
principio del tema.
UserID Varchar[256] 4-260 No Sí Serie del nombre distinguido del
usuario
TimeConnEstab Integer 4 Sí No Hora a la que se estableció la
conexión. El valor time_t de la
indicación de hora de la conexión
(paquete de desconexión) o el
inicio de sesión (paquete de fin
de sesión)
Nota: PktsIn y PktsOut se desechan ahora; la información actual de esas columnas para los registros existentes
continuará siendo válida, pero los nuevos registros sólo tendrán información para las nuevas columnas PktsIn_Int y
PktsOut_Int.
PktsIn Small Integer 2 Sí No Número de paquetes entrantes
(recibidos desde el dispositivo
portátil) desde el momento de la
conexión (paquete de
desconexión) o el inicio de sesión
(paquete de fin de sesión)

sesión). (continuación)
permitida
PktsOut Small Integer 2 Sí No Número de paquetes salientes
(enviados al dispositivo portátil)
desde el momento de la conexión
de sesión)
PktsIn_Int Integer 4 Sí No Número de paquetes entrantes
PktsOut_Int Integer 4 Sí No Número de paquetes salientes
de sesión)
BytesIn Integer 4 Sí No Número de bytes entrantes
BytesOut Integer 4 Sí No Número de bytes salientes
de sesión)
GwVersion Char 1 Sí No Distingue los registros de los
distintos releases de Connection
X’03’.
DevName Varchar[256] 5-260 No Sí Identificador del dispositivo
DiscardPkts Integer 4 Sí No Número de paquetes TCP
descartados durante la conexión
actual desde el momento de la
RetransmitPkts Integer 4 Sí No Número de paquetes TCP
retransmitidos durante la
conexión actual desde el
momento de la conexión (paquete
de desconexión) o el inicio de
sesión (paquete de fin de sesión)

sesión). (continuación)
permitida
DiscardBytes Integer 4 Sí No Número de bytes contenidos en
los paquetes TCP descartados
durante la conexión actual desde
el momento de la conexión
de sesión)
RetransmitBytes Integer 4 Sí No Número de bytes contenidos en
los paquetes TCP retransmitidos
durante la conexión actual desde
el momento de la conexión
de sesión)
Total 92-634
Esquema de base de datos de sesión

El esquema de base de datos de sesión se proporciona para que pueda utilizar una
herramienta de informes SQL (Structured Query Language) para realizar auditorías
y ordenar los datos, así como para generar consultas y producir informes de uso.
El nombre de la base de datos DB2 predeterminada es wg.
Para el campo ActvStat, los valores y el significado correspondiente son:

0 - IDLE
1 - ACTIVE_WLP
2 - ACTIVE_PPP
4 - Reservado
8 - ACTIVE_HTTP
16 - ACTIVE
32 - SHORT_HOLD
Para los campos ActvKeyType y DevKeyType, los valores y el significado

correspondiente son:
0 - InvalidDT
1 - DialDT
2 - ArdisDT
3 - MobitexDT
4 - DataradioDT
5 - DatatacDT
6 - Rnc3000DT
7 - IpDT
8 - SmsDT
9 - IpV6DT
10 - RpaDT
11 - HttpDT
12 - Reservado
Los campos ActvKey, DevKey, MNC y LoginTimeStamp se relacionan directamente

con las variables de ruptura que se incluyen en la Guía de resolución de problemas.

Cuando la variable 2 es una dirección IP, se relaciona directamente con el campo
ActvKey. Tenga en cuenta que la dirección IP (ActvKey) es la dirección IP privada
(asignada por Connection Manager). Cuando la variable 3 es un nombre de
dispositivo, se relaciona directamente con el campo DevKey. Tenga en cuenta que
el nombre de dispositivo (DevKey) es la dirección IP pública (del proveedor de
telefonía). Cuando la variable 4 es una interfaz de red, se relaciona directamente
con el campo MNC. Cuando la variable 5 es una indicación de la hora, se relaciona
directamente con el campo LoginTimeStamp.
| El campo ActvStat corresponde al campo Estado actual y el campo DevKeyType

| corresponde al campo Tipo de red cuando se están visualizando los usuarios que
| actualmente están conectados. Para visualizar todos los usuarios que están
| conectados actualmente, utilizando Gatekeeper:
| 1. Pulse Buscar en el panel izquierdo.
| 2. En el campo Recursos, pulse Sesión activa.
| 3. En el campo Buscar en, pulse Todas las OU y, a continuación, pulse Buscar
| ahora.
Tabla 13. ActiveSessionAttribute - Almacena el tráfico de los atributos de la sesión de cuentas activa.
permitida
ActvStat Small Integer 2 Sí No Estado de la sesión actual
ActvKeyId Small Integer 2 Sí No ID de clave activa
ActvKey Varchar[512] 5-516 Sí No Clave activa de la tabla de sesión
exclusiva. Campo necesario.
ActvKeyType Small Integer 2 Sí No Tipo de clave activa
| BANDWIDTH Real 4 No Sí Ancho de banda del dispositivo
DevKey Varchar[192] 5-196 Sí No Clave de dispositivo. Campo
necesario.
DevKeyId Small Integer 2 Sí No ID de clave de dispositivo
opcional
DevKeyType Small Integer 2 Sí No Tipo de dispositivo activo
DevLocation Varchar[256] 4-260 No Sí Reservado
DevName Varchar[256] 4-260 No Sí Contiene el nombre de adaptador
tal como lo ha especificado el
cliente durante el inicio de sesión
y la itinerancia.
DN Varchar[256] 5-259 Sí No Serie del nombre distinguido
plenamente cualificado de la
cuenta. Campo necesario.
GW Varchar[255] 5-259 Sí No Nombre distinguido plenamente
cualificado del Connection
Manager. Campo necesario.
LoginTimeStamp TIMESTAMP / 26 Sí No El valor es TIMESTAMP para las
MNC Varchar[255] 4-259 Sí No Nombre distinguido plenamente
cualificado de la MNC
SessData Varchar[1024] 4-1028 Sí No Datos de sesión opcionales
Total 69-2812

Tabla 13. ActiveSessionAttribute - Almacena el tráfico de los atributos de la sesión de cuentas activa. (continuación)
permitida
USERID Varchar[256] 5-259 Sí No Nombre abreviado del usuario.
Campo necesario.
Recuperación del espacio después de suprimir los registros

En condiciones normales, cuando se suprimen filas en una tabla de DB2, el espacio
de disco entre esas filas no se libera, sino que se reutiliza cuando se insertan filas
adicionales. Con el tiempo, una base de datos y las tablas pueden aumentar mucho
de tamaño y llegar a utilizar más espacio de disco. Si es necesario recuperar el
espacio utilizado por los registros de contabilidad suprimidos, tiene dos opciones.
Para ambas, debe detener primero el Connection Manager y las aplicaciones que
accedan a la base de datos de contabilidad (por ejemplo, wg_acct). Una vez
detenidas todas las aplicaciones de base de datos que accedan a la base de datos
de contabilidad, conéctese a la base de datos con la instancia de base de datos
correspondiente. A continuación, tiene dos opciones:
1. Ejecute db2 reorg table wg.nombre_tabla, donde nombre_tabla puede ser
acctinfo, acctdiscinfo, acctsmsinfo
2. Ejecute db2 drop table wg.nombre_tabla, donde nombre_tabla puede ser
acctinfo, acctdiscinfo, acctsmsinfo. Tenga en cuenta que esta opción sólo se debe
utilizar si la tabla está vacía, esto es, si se han suprimido todas las filas.

Apéndice C. Otros recursos
Los apartados incluidos son los siguientes:
v “Utilizar el Information Center”
v “Accesibilidad” en la página 160
v “Obtener ayuda en línea” en la página 160
v “Información de consulta” en la página 161
Utilizar el Information Center

El Information Center de Connection Manager es la documentación del producto
que se encuentra en Internet y es proporcionada por Eclipse. Ofrece acceso
centralizado a los conocimientos básicos para instalar, configurar, mantener y
utilizar Connection Manager. Entre los temas principales, se incluyen:
v Guía de inicio
v Guía del administrador
v Ayuda en línea de Gatekeeper, con información conceptual y de procedimientos
que le ayudará a realizar tareas utilizando el Gatekeeper
v Guías del usuario de Mobility Client para Linux, dispositivos Nokia y Windows
v Resolución de problemas y guía de soporte
Además, hay archivos PDF disponibles en el CD de inicio rápido para:

v Guía de inicio rápido
v Guía de inicio
v Guía del administrador
v Guías del usuario de Mobility Client para Linux, dispositivos Nokia y Windows
v Resolución de problemas y guía de soporte
Puede ver el Information Center desde el sitio web de entrega del software, o
puede descargarlo y hacer que esté disponible para los administradores y
programadores de la empresa instalándolo en un servidor web con tecnología
Eclipse.
Para descargar el conector del Information Center:

1. Descargue el conector de http://publib.boulder.ibm.com/infocenter/lmc/v6r1/
lmc61.zip.
2. Extraiga el archivo en el directorio de conectores de la instalación de Eclipse e
inicie Eclipse.
3. Configure las propiedades de Gatekeeper para iniciar un navegador web que
establezca un enlace con el servidor web. Pulse Opciones –> Propiedades de
Gatekeeper.
4. Pulse Mostrar un elemento de menú de ayuda para Information Center y, a
continuación, especifique el URL del servidor web.
159
Accesibilidad
Las características de accesibilidad ayudan a un usuario que tenga una
discapacidad física (como una movilidad restringida o una visión limitada) a
utilizar satisfactoriamente los productos de software. Este Gatekeeper incluye las
principales funciones de accesibilidad del Connection Manager:
v Puede utilizar un aumentador de pantalla para agrandar lo que se muestra en
pantalla.
v Puede navegar por la interfaz de usuario utilizando el teclado.
Navegar por medio del teclado

Mediante las teclas aceleradoras y los accesos directos desde el teclado, podrá
navegar por el Gatekeeper y realizar las operaciones que también se pueden llevar
a cabo accionando el ratón. También se puede utilizar el tabulador para pasar de
un campo o un elemento a otro.
Teclas aceleradoras
Las teclas aceleradoras suelen estar identificadas con una letra subrayada en la
interfaz de usuario y se utilizan para acceder a un elemento de la interfaz desde el
teclado. Para desencadenar una tecla aceleradora, mantenga pulsada la tecla Alt
mientras pulsa la letra subrayada. Por ejemplo, el menú Opciones del Gatekeeper
tiene una O como tecla aceleradora. Si pulsa Alt y O, aparecerá el menú Opciones.
Las teclas aceleradoras pueden aparecer en una serie de elementos de la interfaz de

usuario, como en las opciones de menú, en los botones y en las etiquetas de los
campos de entrada.
Utilizar teclas aceleradoras con los menús: Cuando abra un menú por medio del
teclado, no hace falta que utilice la tecla Alt para desencadenar las teclas
aceleradoras de las opciones de menú.
Accesos directos por teclado

Los accesos directos por teclado sirven para desencadenar directamente una acción.
Los accesos directos por teclado son útiles para las acciones que se llevan a cabo
con más frecuencia.
El acceso por teclado del Gatekeeper utiliza características de accesibilidad

similares a las de los sistemas operativos Windows. Para navegar por la interfaz,
utilice las teclas de dirección o el tabulador. Para cambiar el foco entre el panel
derecho y el panel izquierdo, pulse las teclas Mayús y F6.
Obtener ayuda en línea

La ayuda en línea se suministra con las interfaces de Mobility Client, Gatekeeper y
IBM Key Management. La ayuda describe la mayoría de las tareas que deben
realizarse para administrar los recursos inalámbricos.
Ayuda de Gatekeeper
El Gatekeeper ofrece varios tipos de ayuda. Puede elegir entre las siguientes:
Cómo...
Temas que proporcionan explicaciones de los procedimientos que tienen
más de un paso.

¿Qué es?
Para obtener información sobre cualquier tipo de recurso, pulse con el
botón derecho del ratón el nombre de recurso en el separador Recursos y, a
continuación, pulse Qué es.
Consejos de campos
Cuando rellene un panel, puede ver la ayuda según contexto de cualquier
campo pulsando en dicho campo y después pulsando el botón Consejos.
Menú Ayuda
En el menú Ayuda, seleccione las siguientes opciones:
v Ayuda ofrece una introducción al Gatekeeper, explica cómo navegar por
la interfaz y muestra todos los temas Cómo y Qué es.
v Information Center es una opción que puede configurar para iniciar un
navegador web desde el menú Ayuda.
v Sitio de soporte de productos es un enlace al sitio web de soporte de
productos.
v Acerca de identifica el número de versión de Gatekeeper.
Ayuda de IBM Key Management

La interfaz IBM Key Management le permite añadir certificados SSL a una base de
datos de claves, protegidos mediante una contraseña oculta. Para obtener ayuda en
línea con la interfaz IBM Key Management, pulse Ayuda –> Contenido.
Información de consulta
A Comprehensive Guide to Virtual Private Networks, Volume III: Cross-Platform Key and Policy
Management, SG24–5309, un REDBOOK de IBM.
Understanding LDAP, SG24–4986, un REDBOOK de IBM.
Stevens, W. Richard. TCP/IP Illustrated, Volume 1: The Protocols. Reading,
Massachusetts:Addison-Wesley, 1994.
Información de autenticación y cifrado- de RSA Security
Manual de consulta de mandatos de Connection Manager
Foro de Connection Manager
Sitio web de soporte de productos de Connection Manager
Sitio web de producto Connection Manager
Redbook de Connection Manager
La biblioteca de DB2
Bajar License Use Management Runtime Kit
Bajar el Kit de utilidades de push y de servicios de mensajería o el Kit de utilidades de
Mobility Client
Descargar portlets desde Portal y Lotus Workplace Catalog
Aumentar el recurso de kernel msgmni en distribuciones Linux
Información sobre la Guía de seguridad de AIX 5L 5.2
Información sobre IBM Directory
Páginas RFC del Grupo de ingeniería de Internet (IETF)
Entorno de ejecución Java para Gatekeeper en Linux
Código más reciente de producto de Connection Manager
Notas técnicas (Technotes) más recientes de Connection Manager
Apéndice C. Otros recursos 161

Midsized Systems under Certification Reports- para obtener información sobre qué sistemas
operativos están homologados por Common Criteria
National Information Assurance Partnership- para obtener información sobre qué sistemas
operativos están homologados por Common Criteria
Information Center de Portal
Información sobre los parches del sistema operativo Solaris
Terminología de muchos productos IBM consolidados en una ubicación apropiada

Avisos
Esta información se ha desarrollado para productos y servicios ofrecidos en EE.UU.
Puede que en otros países IBM no ofrezca los productos, servicios o características
que se describen en esta información. Consulte al representante de IBM para
obtener información sobre los productos y servicios que están disponibles
actualmente en su zona geográfica. Cualquier referencia a un producto, programa o
servicio IBM no pretende afirmar ni implicar que sólo pueda utilizarse dicho
producto, programa o servicio IBM. En su lugar se puede utilizar cualquier
producto, programa o servicio funcionalmente equivalente que no vulnere ningún
derecho de propiedad intelectual de IBM. Sin embargo, es responsabilidad del
usuario evaluar y verificar el funcionamiento de cualquier producto, programa o
servicio que no sea de IBM.
IBM puede tener patentes o solicitudes de patente en tramitación referentes a

apartados descritos en la presente publicación. La posesión de este documento no
le otorga ninguna licencia sobre dichas patentes. Puede solicitar información sobre
licencias, por escrito, a:
IBM Director of Licensing
IBM Corporation
North Castle Drive
Armonk, NY 10504–1785
USA
Para consultas sobre licencias relacionadas con información de doble byte (DBCS),
póngase en contacto con el departamento de propiedad intelectual de IBM de su
país o envíe sus consultas, por escrito, a:
IBM World Trade Asia Corporation
Licensing
2-31 Roppongi 3-chome, Minato-ku
Tokio 106, Japón
El párrafo siguiente no se aplica al Reino Unido ni a ningún otro país donde

estas disposiciones sean incompatibles con la legislación local:
INTERNATIONAL BUSINESS MACHINES CORPORATION PROPORCIONA
ESTA PUBLICACIÓN ″TAL CUAL″, SIN NINGÚN TIPO DE GARANTÍA, NI
EXPLÍCITA NI IMPLÍCITA, INCLUIDAS, PERO SIN LIMITARSE A ELLAS, LAS
GARANTÍAS IMPLÍCITAS DE NO VULNERACIÓN, COMERCIALIZACIÓN O
ADECUACIÓN A UN PROPÓSITO DETERMINADO. Algunas legislaciones no
contemplan la declaración de limitación de responsabilidades, ni implícitas ni
explícitas, en determinadas transacciones, por lo que cabe la posibilidad de que
esta declaración no se aplique en su caso.
Esta información puede contener imprecisiones técnicas o errores tipográficos.

Periódicamente se efectúan cambios en la información incluida en este documento;
estos cambios se incorporarán en nuevas ediciones de la publicación. IBM puede
efectuar mejoras y/o cambios en los productos y/o programas descritos en esta
publicación en cualquier momento y sin previo aviso.
Cualquier referencia en esta información a sitios web que no son de IBM se

proporciona únicamente para su comodidad y no debe considerarse de ninguna
manera como una aprobación de dichos sitios web. Los materiales de estos sitios
163
web no forman parte de los materiales de este producto IBM y el uso que se haga
de estos sitios web es de la entera responsabilidad del usuario.
IBM podría utilizar o distribuir la información que el usuario suministre de la

forma que crea apropiada sin que incurra en ninguna obligación ante el usuario.
Los titulares de licencias de este programa que deseen información sobre el mismo
con el fin de permitir: (i) el intercambio de información entre programas creados
independientemente y otros programas (incluido éste) y (ii) la utilización mutua de
la información intercambiada, deben ponerse en contacto con:
IBM Corporation
P.O. Box 12195
3039 Cornwallis Road
Research Triangle Park, NC 27709-2195
Estados Unidos
Dicha información puede estar disponible, sujeta a los términos y condiciones

adecuados, incluyendo, en algunos casos, el pago de unos derechos.
IBM proporciona el programa bajo licencia descrito en este documento y todo el

material bajo licencia disponible para el mismo de acuerdo con lo establecido en
las Condiciones Generales de International Business Machines S.A., el Acuerdo
Internacional de Programas Bajo Licencia de IBM o cualquier acuerdo equivalente
entre IBM y el cliente.
Cualquier información de rendimiento que aparezca en este documento ha sido

determinada en un entorno controlado. Por lo tanto, los resultados obtenidos en
otros entornos operativos podrían ser distintos. Algunas mediciones se han
realizado en sistemas en fase de desarrollo y, por lo tanto, no hay ninguna garantía
que estas mediciones sean las mismas en los sistemas normalmente disponibles.
Además, algunas mediciones podrían haberse estimado mediante extrapolación.
Los resultados reales podrían ser diferentes. Los usuarios de este documento
deberían verificar los datos aplicables para su entorno específico.
Todas las afirmaciones relativas a los planes futuros de IBM están sujetas a
cambios o retiradas sin previo aviso, y solamente representan planes y objetivos.
Esta información contiene ejemplos de datos e informes utilizados en operaciones

comerciales diarias. Para ilustrarlas de la forma más completa posible, los ejemplos
incluyen nombres de personas, empresas, marcas y productos. Todos estos
nombres son ficticios y cualquier parecido con nombres y direcciones utilizados
por una empresa real es mera coincidencia.
LICENCIA DE COPYRIGHT: Esta información contiene programas de aplicación

de ejemplo en lenguaje fuente, que ilustra técnicas técnicas de programación en
varias plataformas operativas. Puede copiar, modificar y distribuir estos programas
de ejemplo en cualquier formato y sin tener que efectuar ningún pago a IBM con
la finalidad de desarrollar, utilizar, comercializar o distribuir programas de
aplicación que se ajusten a la interfaz de programas de aplicación correspondiente
a la plataforma operativa para la que están escritos los programas de ejemplo.
Estos ejemplos no se han probado de forma exhaustiva en todas las condiciones.
Por tanto, IBM no puede garantizar ni dar a entender la fiabilidad, la
disponibilidad o el funcionamiento de estos programas. Puede copiar, modificar y
distribuir estos programas de ejemplo en cualquier formato y sin tener que

efectuar ningún pago a IBM con la finalidad de desarrollar, utilizar, comercializar o
distribuir programas de aplicación que se ajusten a las interfaces de programas de
aplicación de IBM.
Si está viendo esta información en copia software, es posible que las fotografías y
las ilustraciones en color no aparezcan.
El software incluido en este producto contiene rutinas de PPP Magic Number bajo
licencia de Carnegie Mellon University.
El software incluido en este producto contiene derivaciones del algoritmo de

conversión de mensajes MD5 de RSA Data Security, Inc. Esta tecnología se ofrece
bajo licencia de RSA Data Security, Inc.
SNMP++ Toolkit ha contribuido en el desarrollo del Soporte de gestión de redes

(Network Management Support) de Connection Manager. SNMP++ Toolkit es
copyright© 1999 Hewlett-Packard Company.
Marcas registradas
Los términos siguientes son nombres comerciales o marcas registradas de IBM
Corporation en los Estados Unidos y/o en otros países:
AIX AIX 5L
DB2 DB2 Universal Database
Everyplace HACMP
IBM Lotus
NetView Tivoli
WebSphere Workplace
Los términos siguientes son marcas registradas de otras empresas:
Java y todas las marcas registradas basadas en Java son marcas registradas de Sun
Microsystems, Inc. en los Estados Unidos y/o en otros países.
Linux es una marca registrada de Linus Torvalds en Estados Unidos o en otros

países.
Microsoft y Windows son marcas registradas de Microsoft Corporation en Estados

Unidos o en otros países.
UNIX es una marca registrada de The Open Group en los Estados Unidos y en
otros países.
Los nombres de otras empresas, productos y servicios pueden ser marcas

registradas o marcas de servicio de terceros.
El logotipo de FIPS 140-2 es una marca de certificación de NIST, que no implica la

aprobación del producto por parte de NIST, el gobierno de EE.UU. ni el gobierno
de Canadá.
Avisos 165
FIPS 140–2 Inside

Índice
A almacenamiento de datos (continuación)
métodos 5
autenticación (continuación)
entre los servicios de mensajería y las
accesibilidad 160 almacenamiento de datos persistente aplicaciones que utilizan las API de
acceso Véase almacenamiento de datos push y de servicios de
como opción de seguridad 41 almacenamiento virtual necesario 59 mensajería 52
gestor 14 alternativa, máscara de subred 133 perfiles
lista de control 28 ampliar los esquemas LDAP existentes añadir 82
servicios, HTTP 16 para incluir el Connection Manager 55 configurar basada en
acceso por teclado 160 anotaciones de la instalación 58 certificados 93
AcctConnInfo 150 anotaciones de mensajes del configurar para SSL 88, 89
AcctDataInfo 151 Gatekeeper 103 configurar por enlace LDAP 93
AcctDiscInfo 154 añadir configurar RADIUS de
AcctSMSInfo 153 administrador 82 terceros 92
ActiveSessionAttribute 157 conexión de red móvil (MNC) 85 descripción de 30
actualizar código y aplicar Connection Manager 81 protocolo de distribución de claves de
mantenimiento 113 gran número de usuarios 85 dos partes 44
acuerdo de intercambio de claves 124 grupo 82 protocolo de distribución de claves de
adición interfaz de red móvil (MNI) 83 una parte 44
recursos en el Gatekeeper 105 perfiles de autenticación 82 RADIUS 46
administrador Servicios de acceso HTTP 87 terceros 46
controlar el acceso 53 servicios de mensajería 85 y cifrado 44
crear un ID 82 unidad organizativa 81 autenticación de terceros 46
descripción de 27 aplicación configurar 93
gkadmin 14, 28 servicio configurar RADIUS 92
ID para el gestor de accesos 14 añadir 86 autenticación ligera de terceros
lista de control de accesos (ACL) 28 aplicaciones (LPTA) 82
superusuario 28 servicio autenticación ligera de terceros
administrador predeterminado 28 descripción de 139 (LTPA) 31
administrador superusuario 28 aplicar mantenimiento 113 autenticación por enlace LDAP
AIX archivo de anotaciones configurar 93
instalar el Connection Manager 69 mensaje del Gatekeeper 103 descripción de 30, 47
instalar el Gatekeeper 64 archivo de anotaciones de contabilidad autorización 41
instalar el soporte de UTF-8 69 determinar el espacio en disco avisos 163
instalar y configurar el soporte de necesario 59 avisos legales 163
X.25 60 archivo de servicios, actualizar cambios ayuda en línea, obtener 160
paquete de instalación 69 de números de puerto 38
requisitos de hardware 55 archivo readme 68
requisitos de software 55
requisitos de software y hardware
archivos
determinar el espacio en disco
B
para el Gatekeeper 55 barra de menús 102
necesario para anotaciones 59
Soporte a dispositivos de Connection base de datos, esquema de 149
visualización de anotaciones 105
Manager 7 base de datos relacional
archivos de anotaciones
algoritmo de distribución de almacenamiento de datos de
determinar el espacio en disco
compensación de carga, configurar 93 configuración 5
necesario 59
alias de direccionamiento, descripción almacenamiento de datos de
instalación 58
de 131 contabilidad 6
visualización 105
almacenamiento almacenamiento de datos de sesión 6
archivos p12 136
base de usuarios 26 como almacenamiento de datos
arreglos, aplicar mantenimiento de
Connection Manager 59 persistente 37
código 113
datos, persistente 5 configurar DB2 75
ASTRO 25 34
descripción del servicio de configurar Oracle 76
autenticación
directorio 36 instalar 63
como acceso 41
requisitos 59 requisitos de software 57
configuración entre los servicios de
virtual 59 base de datos relacional compatible con
acceso móvil y el Mobility
almacenamiento de certificados 136 ODBC 37
Client 136
almacenamiento de datos 35 búsqueda
entre el Gatekeeper y el gestor de
comunicar con el Connection configurar un servicio de
accesos 52
Manager 5 directorio 96
entre gestores de clústeres 52
de información de configuración 36 búsqueda de cuenta 96
entre los servicios de acceso móvil y
de información de contabilidad y búsqueda de recursos 104
los clientes Mobility 44
facturación 37
de información de sesión 37
167
C conexión (continuación)
soporte de X.25 60
control del flujo de datos
conversión de direcciones de red 129
cambiar puerto de la contraseña 38 conexión de red correlaciones de paquetes 131
capa de sockets protegidos (SSL) móvil (MNC) 22 filtros 131
actualizar bases de datos de privada virtual 2 controlador de red de radio,
claves 88 conexión de red móvil (MNC) configuración con conmutadores
añadir perfil de inicio de sesión 91 configuración de SMPP 142 A/B 137
como opción de seguridad 42 configuración de WCTP 145 conversión de direcciones de red (NAT)
configuración de certificados configurar 85 descripción de 129
entre los servicios de mensajería y configurar nodos de clúster para sin utilizar con discriminador de
las aplicaciones de proceso de conexión 94 dispositivos 25
mensajes 140 definir en el Gatekeeper 85 cookies 24
para los servicios de descripción de 22 copia de seguridad, almacenamiento de
mensajería 140 lista de tipos 22 datos 36
configurar certificados 88 mensajería 22
entre el Gatekeeper y el gestor de protocolo de enlace inalámbrico
accesos 89
habilitar la autorización 42
(WLP) 22
confidencialidad 41
D
habilitar la comunicación 88 daemon wgmgrd 14
configuración
catálogos, instalar el soporte de UTF-8 en daemon wgmgrsd 15
autenticación entre los servicios de
AIX 69 DataDirect 55
acceso móvil y el Mobility
catálogos, instalar el soporte de UTF-8 en Dataradio 34
Client 136
Linux o Solaris 70 DataTAC 34
MNC 142, 145
catálogos de mensajes, instalar el soporte datos de sesión, recopilación 111
configuración TCP/IP 60
de UTF-8 en AIX 69 DB2
configurar
catálogos de mensajes, instalar el soporte configurar 75
búsqueda de cuenta de usuario 96
de UTF-8 en Linux o Solaris 70 copia de seguridad y
Connection Manager 82
certificados restauración 149
DSS alternativo 97
almacenamiento 136 instalar 63
gestor de accesos 14
autenticación de terceros utilizado para el almacenamiento de
lista de comprobación inicial 81
mediante 48 datos 6
MNC 85
configurar para autenticación 93 versiones soportadas 55
servidor de servicios de directorio 96
descripción del perfil de definir un Connection Manager 82
servidores RADIUS 92
autenticación 31 desinstalar
soporte de X.25 60
utilizando listas de revocación 48 Connection Manager 118
conmutadores, configuración de
certificados X.509 136 Gatekeeper 119
A/B 137
cifrado determinar la capacidad y el
conmutadores A/B controlados de forma
entre el Gatekeeper y el gestor de rendimiento 41
remota, configuración 137
accesos 52 direccionamiento, alias 131
conmutadores Hadax, configuración 137
entre gestores de clústeres 52 direccionamiento IP 134
Connection Manager
entre los servicios de acceso móvil y discapacidad 160
autenticación 44
los clientes Mobility 45 discriminador de dispositivos
cifrado 45
entre los servicios de mensajería y las descripción de 24
como nodo principal o subordinado
aplicaciones que utilizan las API de dispositivo portátil
de un clúster 19
push y de servicios de descripción de 129
comunicar con el almacenamiento de
mensajería 52 grupo 128
datos 5
proteger la confidencialidad 41 negociación PPP 35
definir en el Gatekeeper 81, 82
y autenticación 44 dispositivos, discriminador 24
eliminar 118
cifrar contraseñas 15 distribución de la carga 93
gestor de clústeres 19
clave de asunto 49 DSS alternativo 97
instalar 68
claves, acuerdo de intercambio 124 DSS alternativo, añadir un 97
lista de control de accesos 29
cliente DSS de copia de seguridad 97
planificación de la capacidad 41
Véase Mobility Client planificación del rendimiento 41
códec HTTP 122 puertos utilizados 38
codificador/decodificador, HTTP 122 recursos 11 E
código redes soportadas 33 eliminar
aplicar mantenimiento 113 requisitos de hardware 55 Connection Manager 118
common criteria 45 requisitos de software 55 Gatekeeper 119
compatibilidad, software 55 soporte a dispositivos por sistema enlace X.25
compensación de carga utilizando un operativo 7 instalar y configurar en AIX 60
gestor de clústeres 19 supervisión de flujo de paquetes 107 entorno de ejecución Java 55
conexión visualización de anotaciones 105 entorno WebSphere Application Server
con el almacenamiento de datos 5 consulta, información 161 utilizar LTPA en 32
direccionamiento IP 134 contraseña entorno WebSphere Portal
perfil, descripción de 122 política, descripción de 32 utilizar LTPA en 32
proveedores de red 33 puerto, cambiar 38 entornos locales
red móvil (MNC) 22 control de accesos, lista (ACL) 28 utilizar UTF-8 en AIX 69
seguridad 41

entornos locales (continuación) gestor de accesos (continuación) iniciar
utilizar UTF-8 en Linux o Solaris 70 autenticación y cifrado con el el Connection Manager 83
entradas de rutas 132 Gatekeeper 52 el Gatekeeper 65
espacio en disco 59 configurar certificados SSL 89 inicio de sesión único (SSO) 31, 82
esquema de base de datos de puerto utilizado 38 instalación silenciosa, Gatekeeper 67
contabilidad y facturación 149 gestor de accesos seguro 52 instalar
esquema de configuración, base de datos gestor de clústeres anotaciones 58
relacional 151 configurar MNC sin conexión 94 Connection Manager 68
esquema LDAP existente, ampliar 55 configurar nodos 93 DB2 63
estación de trabajo VMware 55 descripción de 19 Gatekeeper 64
estándar de cifrado avanzado (AES) 45 distribución, subordinado 19 Gatekeeper, silenciosa 67
estándar de cifrado digital (DES) 45 ejemplo 20 lista de comprobación 63
planificación del rendimiento 41 soporte de X.25 60
global security toolkit 55 vías de acceso de directorio 113
F grupo
definir en el Gatekeeper 82
installp 69
integrar los esquemas LDAP existentes
federal information processing standard
descripción de 21, 128 con el Connection Manager 55
(FIPS) 45
grupo de clústeres, descripción de 21 intercambio de claves, acuerdo 124
filtrado de datos de sesión 111
grupo de difusión intercambio de claves de
filtro, descripción de 131
crear o cambiar 82 Diffie-Hellman 136
FIPS 140–2 45
descripción de 128 interceptor de asociación de
FIPS 197 45
lista de control de accesos 30 confianza 120
flujo de paquetes, supervisión 107
grupo de filtros, descripción de 129 interfaz
formato de transformación de Unicode de
grupo DHCP, descripción de 129 elementos del Gatekeeper 8
8–bits (UTF-8) 69, 70
grupo MNC, descripción de 21 Gatekeeper, descripción de 8
gskit 55 Mobility Client, descripción de 8
navegación en el Gatekeeper 101
G red móvil (MNI) 132
Gatekeeper
añadir un perfil de inicio de sesión
H utilización del Gatekeeper 101
interfaz de red
habilitar SSL 88
seguro 91 móvil (MNI) 132
hardware, prerrequisito 55
búsqueda de recursos 104 interfaz de red móvil (MNI)
hardware obligatorio
configurar certificados SSL en el definir en el Gatekeeper 83
gestor de accesos seguro 89 descripción de 132
Gatekeeper 55
definir recursos inalámbricos en 82 direccionamiento IP 134
HTTP, códec 122
descripción de 8 IP, direccionamiento 134
descripción de la barra de iPlanet Directory Server
menús 102 configurar 72
elementos de la interfaz 8 I requisitos de software 55
eliminar 119 IBM Directory IPSec 41
instalar 64 configurar 70
navegación en la interfaz 101 requisitos de software 55
obtener ayuda en línea 160
requisitos de hardware 55
IBM Support Assistant 103
igual a igual, DSS 14
J
JRE necesario, Gatekeeper 55
requisitos de software 55 inalámbrica
utilización 101 módems
Gatekeeper, anotaciones de requisito de hardware 58
mensajes 103 productos de telefonía 58 L
generar claves LTPA 31 protocolo de enlace (WLP) license manager 55
gestión de claves descripción de 44 Linux
configuración de certificados red instalar el Connection Manager 70
entre los servicios de mensajería y definir recursos 82 instalar el Gatekeeper 65
las aplicaciones de proceso de planificar 33 instalar el soporte de UTF-8 70
mensajes 140 proveedores, descripción de 9 paquete de instalación 69
para los servicios de proveedores, lista de 33 requisitos de hardware de Connection
mensajería 140 soporte, instalar y configurar 60 Manager 55
configurar certificados inalámbrico requisitos de software 55
entre el Gatekeeper y el gestor de módems requisitos de software y hardware
accesos 89 como dispositivo portátil 129 para el Gatekeeper 55
obtener ayuda en línea 161 protocolo de enlace (WLP) Soporte a dispositivos de Connection
utilizar 89 tipos de MNC 23 Manager 7
gestor información de consulta 161 lista de comprobación
acceso 14 información de contabilidad y facturación configuración 81
clúster 19 almacenamiento de datos de 6 instalación 63
gestor de accesos esquema de base de datos de 149 lista de control de accesos (ACL),
descripción de 14 information center 159 descripción de 28
gestor de accesos seguro 15 listas de revocación, certificado 48
Índice 169
lógica, interfaz IP 94 normas para políticas de contraseñas 32 posibilidades para almacenar de forma
notas de instalación 68 persistente la base de usuarios 26
números, puerto predeterminado 38 PPP, negociación 35
M números de puerto predeterminados 38
números de puerto utilizados 38
programa de utilidad
wg_monitor 107
mandato arp 130
protocolo de distribución de claves de
mandatos
dos partes
df 59
mantenimiento, aplicar 113 O configuración 136
descripción de 44
marcas de servicio 165 OpenLDAP
protocolo de distribución de claves de
marcas registradas 165 configurar 72
una parte
máscara de subred alternativa 133 versiones soportadas 55
configuración 136
menú de contexto 101 operación de unidad de datos de
descripción de 44
Mobility Client protocolo (PDU) alert_notification 143
protocolo de resolución de
autenticación 44 operación de unidad de datos de
direcciones 130
cifrado 45 protocolo (PDU) data_sm 143, 144
protocolo ligero de acceso a directorio
como componente del Connection operación de unidad de datos de
(LDAP)
Manager 8 protocolo (PDU) deliver_sm 143
como almacenamiento de datos
como dispositivo portátil 129 operación de unidad de datos de
persistente 5
como usuario 26 protocolo (PDU) enquire_link 144
configurar para la autenticación por
contraseña operación de unidad de datos de
enlace LDAP 93
política 32 protocolo (PDU) outbind 143
descripción de 36
descripción de 8 operación de unidad de datos de
descripción de la autenticación por
utilización protocolo (PDU) query_sm 144
enlace LDAP 30, 47
como alias de operación de unidad de datos de
integrar los esquemas existentes con el
direccionamiento 131 protocolo (PDU) replace_sm 144
modelo de validación del cliente operación de unidad de datos de
requisitos de software 55
descripción de 125 protocolo (PDU) submit_sm 144
tipos de servidores secundarios 36
módem operación de unidad de datos de
utilizar archivos LDIF 85
como dispositivo portátil 129 protocolo (PDU) unbind 143, 144
protocolo simple de transferencia de
perfil 129 operaciones de unidades de datos de
correo (SMTP), utilizado con los
requisito de hardware 58 protocolo (PDU) 143
servicios de mensajería 16
MTU (unidad máxima de Oracle
protocolo simple de transferencia de
transmisión) 126 configurar 76
correo (SNPP), utilizado con los
multiubicado versiones soportadas 55
servicios de mensajería 16
el Connection Manager como sistema OU primaria 13
proveedores de red
principal 6
como portadores 7
resolución de nombres y utilizar el
descripción de 9
gestor de accesos 77
utilización del Mobility Client como
P dispositivo portátil 129
paquete instalar el soporte 60
alias de direccionamiento 131
correlación planificar 33
descripción de 131 tipos de MNC 22
grupo 129 visión general 9
N flujo, supervisión 107 proxy
navegación red de radio 60 pasarela de proxy de push 16
la interfaz del Gatekeeper 101 ejemplos de 34 puerto de envío/recepción de LAN
navegador de archivos 103 requisitos de hardware 58 IP 38
navegar paquetes de contabilidad, enviar a un punto de presencia en una subred de
por medio del teclado 160 servidor RADIUS 40 MNI 134
negociación PPP (punto a punto) 35 pasarela de proxy de push (PPG)
nivel añadir 85
aplicar mantenimiento 113
nodo
descripción de 16
perfil de autenticación del sistema 30
R
rastreo
configurar principal y perfil de inicio de sesión 77
anotaciones, visualización 105
subordinado 93 perfiles
Gatekeeper 102
principal 19 autenticación 30
rastreo del Gatekeeper 102
subordinado, algoritmos de conexión 122
receptor 143
distribución 19 inicio de sesión 77, 91
recopilación de datos de sesión 112
nodo principal lista de control de accesos 28
recursos
configurar 93 módem 129
añadir en modalidad por lotes 85
descripción de 19 transporte 122
búsqueda 104
ejemplo 20 pkgadd 69
definir 81, 84
nodo subordinado planificación de la capacidad 41
separador de la interfaz del
algoritmo de distribución 19 planificar la red 33
Gatekeeper 8
configurar 93 política
red
descripción de 19 contraseña 32
definir recursos 82
ejemplo 20 portlets de gestión de dispositivos 118
planificar 33

red (continuación) servicio servidor (continuación)
recursos, definir 81 acceso HTTP descripción del servicio de
Red Hat Directory añadir 87 directorio 36
configurar 71 descripción de 16 servidor de acceso a red (NAS)
requisitos de software 55 aplicación utilizado con el discriminador de
red privada virtual (VPN) 2 añadir 86 dispositivos 24
redes celulares de circuitos descripción de 139 servidor de directorios
conmutados 34 códec HTTP 122 alternativo, añadir 97
redes de datos 34 descripción del directorio 36 configurar 96
redes RTC 34 directorio, utilizar IPSec con 41 descripción del recurso 25
redes soportadas 33 recurso de servicio de directorio 25 servidor de directorios de empresa 26
reducción de la carga adicional de la requisitos de software de servidor DHCP (protocolo de
sesión TCP utilizando TCP-Lite 121 directorio 55 configuración dinámica de sistema
reducción de la corriente de datos HTTP servicio de aplicaciones de paso a través principal) 132
utilizando el códec HTTP 122 descripción de 139 servidor DHCP, utilizar 132
remote authentication dial-in user service servicio de aplicaciones genérico sesión
(RADIUS) añadir 86 almacenamiento de datos 6
autenticación de terceros 30 descripción de 139 almacenamiento de datos en RDB 37
configurar para autenticación de servicio de aplicaciones paso a través software, bajadas 115
terceros 92 añadir 86 software, prerrequisito 55
configurar para contabilidad 92 servicio de directorio software obligatorio 55
descripción de 46 como almacenamiento de datos Connection Manager 55
enviar paquetes de contabilidad a 40 persistente 5 Gatekeeper 55
mensajes, utilizar para identificar configurar un servidor 96 Solaris
dispositivos 24 descripción de 36 instalar el Connection Manager 70
perfil de autenticación 30 información de configuración 5 instalar el Gatekeeper 66
rendimiento integrar los esquemas existentes con el instalar el soporte de UTF-8 70
compensación de carga utilizando un Connection Manager 55 paquete de instalación 69
gestor de clústeres 19, 41 requisitos de software 55 requisitos de hardware 55
planificar 41 tipos de servidores secundarios 36 requisitos de software 55
réplica, DSS de sólo lectura 14 utilizar archivos LDIF 85 requisitos de software y hardware
restablecer anotaciones 102 utilizar IPSec 41 para el Gatekeeper 55
restablecer archivos 103 servicio de mensajes cortos (SMS) Soporte a dispositivos de Connection
RNC redundante, configuración con operación de entrega 3 Manager 7
conmutadores A/B 137 operación de mensajes originados en soporte a dispositivos específicos del
rpm 69 dispositivos portátiles 4 sistema operativo 7
RSA, utilizar securID con perfiles de protocolo, configuración de MNC SSL, certificados
autenticación RADIUS 30, 92 SMPP 142 actualización de las bases de datos de
protocolo, configuración de MNC claves
WCTP 145 entre los servicios de mensajería y
S redes soportadas 34
tipos de MNC 22
las aplicaciones de proceso de
mensajes 140
secundaria
utilizado con los servicios de para los servicios de
OU 14
mensajería 16 mensajería 140
tipos de servidores 36
servicios actualizar bases de datos de claves
securID, utilizar perfiles de autenticación
mensajería entre el Gatekeeper y el gestor de
RADIUS 30, 92
descripción de 16 accesos 89
seguridad
Servicios de acceso HTTP subred 132
acuerdo de intercambio de
acceso seguro 16 subred alternativa, máscara 133
claves 124
añadir 87 Sun ONE Directory Server
control del tráfico de datos 136
configurar para SSL 89 configurar 72
descripción de
descripción de 16 requisitos de software 55
acceso 41
servicios de acceso móvil supervisión de flujo de paquetes 107
acceso de administrador 53
añadir otros recursos específicos
autenticación 44
de 84
autorización 41
cifrado 44
cifrado 45
servicios de mensajería
T
confidencialidad 41 TAI 120
añadir 85
lista de control de accesos 28 TCP-Lite 121
configuración de certificados SSL 140
modelo de validación del teclas aceleradoras 160
descripción de 16
cliente 125 teléfono, registro 129
servicio de aplicaciones
política de contraseñas 32 tipos de compresión 123
añadir 86
habilitar 88 Tivoli license manager 55
descripción de 139
IPSec 41 transceptor 143
tipos de MNC 22
opciones 42 transmisión, unidad máxima 126
servidor
separador de tareas de la interfaz del transmisor 143
configurar RADIUS 92
Gatekeeper 8 transmisor/receptor 143
descripción de, directorio 25
Índice 171
transporte
perfil 122
X
TCP-Lite 121 X.500 13
U
unidad máxima de transmisión 126
unidad organizativa
definir en el Gatekeeper 81
descripción de 13
universal computer protocol (UCP), tipo
de MNC 22
usuario
añadir un gran número de 85
búsqueda de cuenta utilizando un
servidor de directorios 96
descripción de 26
lista de control de accesos 30
posibilidades para almacenar de
forma persistente 26
UTF-8
instalar el soporte en AIX 69
instalar el soporte en Linux o
Solaris 70
utilización
Gatekeeper 101
wg_monitor 107
utilizar
servidor de directorios de
empresa 26
V
validación del cliente, modelo
descripción de 125
varios usuarios, añadir en modalidad por
lotes 85
ventana de propiedades 101
versión
aplicar mantenimiento 113
vía de acceso, directorio de
instalación 113
vías de acceso de directorio,
instalación 113
visualización
anotaciones del Connection
Manager 105
flujo de paquetes 107
visualización de datos de sesión 112
W
WCTP (Wireless Control Transfer
Protocol) 145
WebSphere Everyplace Access 118
wg_monitor 107
wgdb 57
Windows
instalar el Gatekeeper 67
requisitos de software y hardware
para el Gatekeeper 55
WLP
descripción de 44

򔻐򗗠򙳰

Lotus Mobile Connect - Administrator Guide

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Lotus Mobile Connect - Administrator Guide

Diunggah oleh

Hak Cipta:

Format Tersedia

Lotus Mobile Connect 򔻐򗗠򙳰

Guía del administrador

Guía del administrador

Quinta edición (diciembre de 2006)

Capítulo 1. Visión general . . . . . . . 1 Capítulo 4. Instalación y configuración

iv Lotus Mobile Connect Administrator’s Guide

Novedades en este release

Novedades en esta versión:

vi Lotus Mobile Connect Administrator’s Guide

El Lotus Mobile Connect incluye los siguientes componentes:

Comunicación de los Servicios de acceso móvil

Figura 1. Comunicación inalámbrica y alámbrica

Una configuración básica de los servicios de acceso móvil se ilustra en la Figura 1.

Las aplicaciones inalámbricas que utilizan una conexión orientada a paquetes no

2 Lotus Mobile Connect Administrator’s Guide

Operación de entrega de mensajes cortos

Capítulo 1. Visión general 3

Figura 3. Comunicación de mensajes

Operación de mensajes originados en dispositivos portátiles

Figura 4. Servicios de mensajería que aceptan mensajes originados en dispositivos portátiles

Una operación de mensaje originado en un dispositivo portátil empieza cuando un

4 Lotus Mobile Connect Administrator’s Guide

Almacenamiento de datos persistente

El almacenamiento de datos puede residir en cualquier sistema principal accesible

| Puede seleccionar el método de almacenamiento que desea utilizar para cada

Una base de datos relacional o un servicio de directorio pueden residir en

Para obtener más información sobre la planificación, consulte los apartados:

Capítulo 1. Visión general 5

Para obtener más información sobre la planificación, consulte los apartados:

Información de contabilidad y facturación

Para obtener más información de planificación, consulte el apartado “Información

El Connection Manager puede configurarse para permitir la comunicación

6 Lotus Mobile Connect Administrator’s Guide

| Soporte a dispositivos específicos del sistema operativo

Capítulo 1. Visión general 7

Elementos de la interfaz del Gatekeeper

| El panel izquierdo de la interfaz contiene tres separadores, Tareas, Recursos y

El separador Tareas muestra tareas comunes como, por ejemplo, Buscar un

Los recursos se muestran en el separador Recursos dentro de la jerarquía de las

| La información de configuración se muestra en el separador Navegador de

Puede tener muchos administradores que utilizan diferentes instalaciones del

Para obtener más información, consulte los apartados “Navegación en la interfaz

8 Lotus Mobile Connect Administrator’s Guide

El Mobility Client se coloca debajo de la pila TCP/IP y le permite ejecutar las

Capítulo 1. Visión general 9

La Figura 5 en la página 12 muestra una representación gráfica de todos los

| Tenga en cuenta que se crearán automáticamente tres unidades organizativas. La

12 Lotus Mobile Connect Administrator’s Guide

El recurso específico del servicios de mensajería es “Servicio de aplicaciones” en la

Las OU utilizan el esquema de denominación X.500, definido en la RFC 1777 del

Si la red de Ontario tiene subredes centradas en Ottawa y Toronto, las OU podrían

Otra forma de representar esta organización es la siguiente:

El gestor de accesos se implementa como un daemon llamado wgmgrd y se instala

Si utiliza LDAP (lightweight directory access protocol) para almacenar las

14 Lotus Mobile Connect Administrator’s Guide

De manera predeterminada, el gestor de accesos está configurado de manera que

Si el servicio de directorio cifra las contraseñas, asegúrese de que esta propiedad

El gestor de accesos seguro es un proceso opcional (wgmgrsd) que se instala con el

Los Servicios de mensajería soportan varios tipos de modalidades de mensaje:

Servicios de mensajería tiene un recurso dependiente: servicio de aplicación.

Servicios de acceso HTTP

16 Lotus Mobile Connect Administrator’s Guide

Los servicios de acceso HTTP utilizan un método de autenticación que establece

A continuación, los servicios de acceso HTTP envían la corriente de datos HTTP a