Anda di halaman 1dari 1108

Juniper Networks Secure Access

Gua de Administracin

Versin 6.3

Juniper Networks, Inc.


1194 North Mathilda Avenue
Sunnyvale, CA 94089
EE. UU.
408-745-2000

www.juniper.net
Nmero de pieza: 63A091008-ES

This product includes the Envoy SNMP Engine, developed by Epilogue Technology, an Integrated Systems Company. Copyright 19861997, Epilogue
Technology Corporation. All rights reserved. This program and its documentation were developed at private expense, and no part of them is in the public
domain.
This product includes memory allocation software developed by Mark Moraes, copyright 1988, 1989, 1993, University of Toronto.
This product includes FreeBSD software developed by the University of California, Berkeley, and its contributors. All of the documentation and software
included in the 4.4BSD and 4.4BSD-Lite Releases is copyrighted by The Regents of the University of California. Copyright 1979, 1980, 1983, 1986, 1988,
1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved.
GateD software copyright 1995, The Regents of the University. All rights reserved. Gate Daemon was originated and developed through release 3.0 by
Cornell University and its collaborators. Gated is based on Kirtons EGP, UC Berkeleys routing daemon (routed), and DCNs HELLO routing protocol.
Development of Gated has been supported in part by the National Science Foundation. Portions of the GateD software copyright 1988, Regents of the
University of California. All rights reserved. Portions of the GateD software copyright 1991, D. L. S. Associates.
Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, the NetScreen logo, NetScreen-Global Pro, ScreenOS, and GigaScreen are
registered trademarks of Juniper Networks, Inc. in the United States and other countries.
The following are trademarks of Juniper Networks, Inc.: ERX, E-series, ESP, Instant Virtual Extranet, Internet Processor, J2300, J4300, J6300, J-Protect,
J-series, J-Web, JUNOS, JUNOScope, JUNOScript, JUNOSe, M5, M7i, M10, M10i, M20, M40, M40e, M160, M320, M-series, MMD, NetScreen-5GT,
NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400,
NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-SA 1000 Series,
NetScreen-SA 3000 Series, NetScreen-SA 5000 Series, NetScreen-SA Central Manager, NetScreen Secure Access, NetScreen-SM 3000, NetScreen-Security
Manager, NMC-RX, SDX, Stateful Signature, T320, T640, T-series, and TX Matrix. All other trademarks, service marks, registered trademarks, or registered
service marks are the property of their respective owners. All specifications are subject to change without notice.
Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that are owned by or licensed
to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312, 6,429,706, 6,459,579, 6,493,347,
6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785.
Copyright 2008, Juniper Networks, Inc.
All rights reserved. Printed in USA.
Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify, transfer, or
otherwise revise this publication without notice.
Year 2000 Notice
Juniper Networks hardware and software products are Year 2000 compliant. The JUNOS software has no known time-related limitations through the year
2038. However, the NTP application is known to have some difficulty in the year 2036.
Software License
The terms and conditions for using this software are described in the software license contained in the acknowledgment to your purchase order or, to the
extent applicable, to any reseller agreement or end-user purchase agreement executed between you and Juniper Networks. By using this software, you
indicate that you understand and agree to be bound by those terms and conditions.
Generally speaking, the software license restricts the manner in which you are permitted to use the software and may contain prohibitions against certain
uses. The software license may state conditions under which the license is automatically terminated. You should consult the license for further details.
For complete product documentation, please see the Juniper Networks Web site at www.juniper.net/techpubs.
End User License Agreement
READ THIS END USER LICENSE AGREEMENT ("AGREEMENT") BEFORE DOWNLOADING, INSTALLING, OR USING THE SOFTWARE. BY
DOWNLOADING, INSTALLING, OR USING THE SOFTWARE OR OTHERWISE EXPRESSING YOUR AGREEMENT TO THE TERMS CONTAINED HEREIN, YOU
(AS CUSTOMER OR IF YOU ARE NOT THE CUSTOMER, AS A REPRESENTATIVE/AGENT AUTHORIZED TO BIND THE CUSTOMER) CONSENT TO BE BOUND
BY THIS AGREEMENT. IF YOU DO NOT OR CANNOT AGREE TO THE TERMS CONTAINED HEREIN, THEN (A) DO NOT DOWNLOAD, INSTALL, OR USE THE
SOFTWARE, AND (B) YOU MAY CONTACT JUNIPER NETWORKS REGARDING LICENSE TERMS.
1. The Parties. The parties to this Agreement are Juniper Networks, Inc. and its subsidiaries (collectively Juniper), and the person or organization that
originally purchased from Juniper or an authorized Juniper reseller the applicable license(s) for use of the Software (Customer) (collectively, the Parties).
2. The Software. In this Agreement, Software means the program modules and features of the Juniper or Juniper-supplied software, and updates and
releases of such software, for which Customer has paid the applicable license or support fees to Juniper or an authorized Juniper reseller.
3. License Grant. Subject to payment of the applicable fees and the limitations and restrictions set forth herein, Juniper grants to Customer a non-exclusive
and non-transferable license, without right to sublicense, to use the Software, in executable form only, subject to the following use restrictions:
a. Customer shall use the Software solely as embedded in, and for execution on, Juniper equipment originally purchased by Customer from Juniper or an
authorized Juniper reseller, unless the applicable Juniper documentation expressly permits installation on non-Juniper equipment.
b. Customer shall use the Software on a single hardware chassis having a single processing unit, or as many chassis or processing units for which Customer
has paid the applicable license fees.
c. Product purchase documents, paper or electronic user documentation, and/or the particular licenses purchased by Customer may specify limits to
Customers use of the Software. Such limits may restrict use to a maximum number of seats, registered endpoints, concurrent users, sessions, calls,
connections, subscribers, clusters, nodes, or transactions, or require the purchase of separate licenses to use particular features, functionalities, services,
applications, operations, or capabilities, or provide throughput, performance, configuration, bandwidth, interface, processing, temporal, or geographical
limits. Customers use of the Software shall be subject to all such limitations and purchase of all applicable licenses.
The foregoing license is not transferable or assignable by Customer. No license is granted herein to any user who did not originally purchase the applicable
license(s) for the Software from Juniper or an authorized Juniper reseller.

4. Use Prohibitions. Notwithstanding the foregoing, the license provided herein does not permit the Customer to, and Customer agrees not to and shall not:
(a) modify, unbundle, reverse engineer, or create derivative works based on the Software; (b) make unauthorized copies of the Software (except as necessary
for backup purposes); (c) rent, sell, transfer, or grant any rights in and to any copy of the Software, in any form, to any third party; (d) remove any
proprietary notices, labels, or marks on or in any copy of the Software or any product in which the Software is embedded; (e) distribute any copy of the
Software to any third party, including as may be embedded in Juniper equipment sold in the secondhand market; (f) use any locked or key-restricted
feature, function, service, application, operation, or capability without first purchasing the applicable license(s) and obtaining a valid key from Juniper, even
if such feature, function, service, application, operation, or capability is enabled without a key; (g) distribute any key for the Software provided by Juniper to
any third party; (h) use the Software in any manner that extends or is broader than the uses purchased by Customer from Juniper or an authorized Juniper
reseller; (i) use the Software on non-Juniper equipment where the Juniper documentation does not expressly permit installation on non-Juniper equipment;
(j) use the Software (or make it available for use) on Juniper equipment that the Customer did not originally purchase from Juniper or an authorized Juniper
reseller; or (k) use the Software in any manner other than as expressly provided herein.
5. Audit. Customer shall maintain accurate records as necessary to verify compliance with this Agreement. Upon request by Juniper, Customer shall furnish
such records to Juniper and certify its compliance with this Agreement.
6. Confidentiality. The Parties agree that aspects of the Software and associated documentation are the confidential property of Juniper. As such, Customer
shall exercise all reasonable commercial efforts to maintain the Software and associated documentation in confidence, which at a minimum includes
restricting access to the Software to Customer employees and contractors having a need to use the Software for Customers internal business purposes.
7. Ownership. Juniper and Junipers licensors, respectively, retain ownership of all right, title, and interest (including copyright) in and to the Software,
associated documentation, and all copies of the Software. Nothing in this Agreement constitutes a transfer or conveyance of any right, title, or interest in the
Software or associated documentation, or a sale of the Software, associated documentation, or copies of the Software.
8. Warranty, Limitation of Liability, Disclaimer of Warranty. The warranty applicable to the Software shall be as set forth in the warranty statement that
accompanies the Software (the Warranty Statement). Nothing in this Agreement shall give rise to any obligation to support the Software. Support services
may be purchased separately. Any such support shall be governed by a separate, written support services agreement. TO THE MAXIMUM EXTENT
PERMITTED BY LAW, JUNIPER SHALL NOT BE LIABLE FOR ANY LOST PROFITS, LOSS OF DATA, OR COSTS OR PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES, OR FOR ANY SPECIAL, INDIRECT, OR CONSEQUENTIAL DAMAGES ARISING OUT OF THIS AGREEMENT, THE SOFTWARE, OR ANY JUNIPER
OR JUNIPER-SUPPLIED SOFTWARE. IN NO EVENT SHALL JUNIPER BE LIABLE FOR DAMAGES ARISING FROM UNAUTHORIZED OR IMPROPER USE OF
ANY JUNIPER OR JUNIPER-SUPPLIED SOFTWARE. EXCEPT AS EXPRESSLY PROVIDED IN THE WARRANTY STATEMENT TO THE EXTENT PERMITTED BY
LAW, JUNIPER DISCLAIMS ANY AND ALL WARRANTIES IN AND TO THE SOFTWARE (WHETHER EXPRESS, IMPLIED, STATUTORY, OR OTHERWISE),
INCLUDING ANY IMPLIED WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT. IN NO EVENT DOES
JUNIPER WARRANT THAT THE SOFTWARE, OR ANY EQUIPMENT OR NETWORK RUNNING THE SOFTWARE, WILL OPERATE WITHOUT ERROR OR
INTERRUPTION, OR WILL BE FREE OF VULNERABILITY TO INTRUSION OR ATTACK. In no event shall Junipers or its suppliers or licensors liability to
Customer, whether in contract, tort (including negligence), breach of warranty, or otherwise, exceed the price paid by Customer for the Software that gave
rise to the claim, or if the Software is embedded in another Juniper product, the price paid by Customer for such other product. Customer acknowledges and
agrees that Juniper has set its prices and entered into this Agreement in reliance upon the disclaimers of warranty and the limitations of liability set forth
herein, that the same reflect an allocation of risk between the Parties (including the risk that a contract remedy may fail of its essential purpose and cause
consequential loss), and that the same form an essential basis of the bargain between the Parties.
9. Termination. Any breach of this Agreement or failure by Customer to pay any applicable fees due shall result in automatic termination of the license
granted herein. Upon such termination, Customer shall destroy or return to Juniper all copies of the Software and related documentation in Customers
possession or control.
10. Taxes. All license fees for the Software are exclusive of taxes, withholdings, duties, or levies (collectively Taxes). Customer shall be responsible for
paying Taxes arising from the purchase of the license, or importation or use of the Software.
11. Export. Customer agrees to comply with all applicable export laws and restrictions and regulations of any United States and any applicable foreign
agency or authority, and not to export or re-export the Software or any direct product thereof in violation of any such restrictions, laws or regulations, or
without all necessary approvals. Customer shall be liable for any such violations. The version of the Software supplied to Customer may contain encryption
or other capabilities restricting Customers ability to export the Software without an export license.
12. Commercial Computer Software. The Software is commercial computer software and is provided with restricted rights. Use, duplication, or
disclosure by the United States government is subject to restrictions set forth in this Agreement and as provided in DFARS 227.7201 through 227.7202-4,
FAR 12.212, FAR 27.405(b)(2), FAR 52.227-19, or FAR 52.227-14(ALT III) as applicable.
13. Interface Information. To the extent required by applicable law, and at Customer's written request, Juniper shall provide Customer with the interface
information needed to achieve interoperability between the Software and another independently created program, on payment of applicable fee, if any.
Customer shall observe strict obligations of confidentiality with respect to such information and shall use such information in compliance with any
applicable terms and conditions upon which Juniper makes such information available.
14. Third Party Software. Any licensor of Juniper whose software is embedded in the Software and any supplier of Juniper whose products or technology
are embedded in (or services are accessed by) the Software shall be a third party beneficiary with respect to this Agreement, and such licensor or vendor
shall have the right to enforce this Agreement in its own name as if it were Juniper. In addition, certain third party software may be provided with the
Software and is subject to the accompanying license(s), if any, of its respective owner(s). To the extent portions of the Software are distributed under and
subject to open source licenses obligating Juniper to make the source code for such portions publicly available (such as the GNU General Public License
(GPL) or the GNU Library General Public License (LGPL)), Juniper will make such source code portions (including Juniper modifications, as appropriate)
available upon request for a period of up to three years from the date of distribution. Such request can be made in writing to Juniper Networks, Inc., 1194 N.
Mathilda Ave., Sunnyvale, CA 94089, ATTN: General Counsel. You may obtain a copy of the GPL at http://www.gnu.org/licenses/gpl.html, and a copy of the
LGPL at http://www.gnu.org/licenses/lgpl.html.
15. Miscellaneous. This Agreement shall be governed by the laws of the State of California without reference to its conflicts of laws principles. The
provisions of the U.N. Convention for the International Sale of Goods shall not apply to this Agreement. For any disputes arising under this Agreement, the
Parties hereby consent to the personal and exclusive jurisdiction of, and venue in, the state and federal courts within Santa Clara County, California. This
Agreement constitutes the entire and sole agreement between Juniper and the Customer with respect to the Software, and supersedes all prior and
contemporaneous agreements relating to the Software, whether oral or written (including any inconsistent terms contained in a purchase order), except that
the terms of a separate written agreement executed by an authorized Juniper representative and Customer shall govern to the extent such terms are
inconsistent or conflict with terms contained herein. No modification to this Agreement nor any waiver of any rights hereunder shall be effective unless
expressly assented to in writing by the party to be charged. If any portion of this Agreement is held invalid, the Parties agree that such invalidity shall not
affect the validity of the remainder of this Agreement. This Agreement and associated documentation has been written in the English language, and the
Parties agree that the English version will govern. (For Canada: Les parties aux prsents confirment leur volont que cette convention de mme que tous
les documents y compris tout avis qui s'y rattach, soient redigs en langue anglaise. (Translation: The parties confirm that this Agreement and all related
documentation is and will be in the English language)).

Contenido
Acerca de esta gua

xxiii

Audiencia .................................................................................................... xxiii


Informacin complementaria...................................................................... xxiii
Documentacin para administradores y desarrolladores ...................... xxiii
Documentacin relacionada con los mensajes de error ........................ xxiv
Documentacin sobre hardware........................................................... xxiv
Descargas del producto ........................................................................ xxiv
Convenciones ............................................................................................. xxiv
Documentacin............................................................................................ xxv
Notas de versin.................................................................................... xxv
Acceso web ........................................................................................... xxv
Contactar al servicio de soporte tcnico ....................................................... xxv

Parte 1

Gua de inicio
Captulo 1

Verificacin inicial y conceptos clave

Verificar la accesibilidad del usuario ................................................................ 3


Crear un supuesto de prueba para aprender los conceptos y prcticas
recomendadas con IVE .............................................................................. 6
Definir un rol de usuario............................................................................ 7
Definicin de un perfil de recurso.............................................................. 9
Definicin de un servidor de autenticacin.............................................. 11
Definicin de un territorio de autenticacin............................................. 15
Definir una directiva de inicio de sesin .................................................. 18
Utilizacin del supuesto de prueba .......................................................... 21
Configurar ajustes predeterminados para administradores ............................ 23
Captulo 2

Introduccin al IVE

25

Qu es el IVE?............................................................................................... 25
Qu puedo hacer con el IVE? ........................................................................ 27
Puedo usar el IVE para proporcionar seguridad en el trfico de todas
las aplicaciones, servidores y pginas web de mi empresa? .............. 28
Puedo usar mis servidores actuales para autenticar a los usuarios
del IVE?............................................................................................. 29
Puedo ajustar con mayor precisin el acceso al IVE y a los recursos
para los que proporciona intermediacin? ........................................ 30
Puedo crear una integracin sin fisuras entre el IVE y los recursos
para los que proporciona intermediacin? ........................................ 31
Puedo usar el IVE para proporcionar proteccin contra equipos
infectados y otras amenazas a la seguridad? ..................................... 31
Contenido

Gua de administracin de Secure Access de Juniper Networks

Puedo garantizar la redundancia en el entorno de mi IVE? .................... 32


Puedo hacer que la interfaz del IVE coincida con la apariencia
y aspecto de mi empresa?.................................................................32
Puedo habilitar usuarios de equipos y dispositivos diversos para
que usen el IVE?................................................................................ 33
Puedo proporcionar acceso seguro a los usuarios internacionales? ........ 33
Cmo comienzo a configurar el IVE? ............................................................ 34
Uso de Network and Security Manager con el IVE.......................................... 35
La manera en que se comunican el IVE y el NSM .................................... 35
Resumen de tareas: Configuracin de las comunicaciones DMI
para el NSM ...................................................................................... 37
Administracin de grandes archivos de datos binarios ............................ 39

Parte 2

Marco de administracin de acceso


Captulo 3

Administracin de acceso general

51

Licencia: Disponibilidad de la administracin de acceso ................................ 52


Vista general de las directivas, reglas, restricciones y condiciones ................. 52
Acceso a territorios de autenticacin ....................................................... 52
Acceso a los roles de usuario ................................................................... 53
Acceso a directivas de recursos ............................................................... 54
Evaluacin de las directivas, reglas, restricciones y condiciones .................... 54
Evaluacin dinmica de directivas .................................................................57
Comprensin de la evaluacin dinmica de directivas............................. 57
Comprensin de la evaluacin de directivas estndar.............................. 58
Habilitacin de la evaluacin dinmica de directivas ............................... 59
Configuracin de los requisitos de seguridad ................................................. 60
Especificacin de las restricciones de acceso de la direccin
IP de origen ...................................................................................... 60
Especificacin de las restricciones de acceso para exploradores.............. 62
Especificacin de las restricciones de acceso para certificados ................ 65
Especificacin de las restricciones de acceso para contraseas ............... 66
Especificacin de las restricciones de acceso para Host Checker ............. 67
Especificacin de las restricciones de acceso para Cache Cleaner............ 67
Especificacin de las restricciones de lmite ............................................ 67
Captulo 4

Roles de usuario

69

Licencia: Disponibilidad de roles de usuario................................................... 70


Evaluacin de rol de usuario .......................................................................... 70
Pautas de combinacin permisiva ........................................................... 72
Configuracin de los roles de usuario............................................................. 72
Configuracin de las opciones generales del rol....................................... 73
Configuracin de restricciones de rol....................................................... 74
Especificacin de alias de IP de origen basados en roles ......................... 75
Especificacin de las opciones de sesin ................................................. 76
Especificacin de las opciones de UI........................................................ 79
Definicin de opciones predeterminadas para roles de usuario ............... 84
Personalizacin de las vistas de UI para roles de usuario ............................... 86

vi

Contenido

Contenido

Captulo 5

Perfiles de recursos

91

Licencia: Disponibilidad de perfiles de recursos ............................................. 92


Resumen de tareas: Configuracin de perfiles de recursos............................. 92
Componentes de los perfiles de recursos ....................................................... 92
Definicin de recursos ............................................................................. 95
Definicin de directivas automticas ....................................................... 96
Definicin de roles................................................................................... 98
Definicin de marcadores........................................................................ 98
Plantillas de los perfiles de recursos ............................................................... 99
Captulo 6

Directivas de recursos

101

Licencia: Disponibilidad de directivas de recursos........................................102


Componentes de las directivas de recursos..................................................103
Especificacin de los recursos para una directiva de recursos ...............103
Evaluacin de las directivas de recursos.......................................................106
Creacin de reglas detalladas para las directivas de recursos .......................108
Escritura de una regla detallada.............................................................109
Personalizacin de las vistas de la interfaz de usuario de directivas
de recursos ............................................................................................110
Captulo 7

Servidores de autenticacin y de directorios

111

Licencia: Disponibilidad de servidores de autenticacin...............................112


Resumen de tareas: configuracin de servidores de autenticacin...............113
Definicin de una instancia de servidor de autenticacin.............................114
Definicin de una instancia de servidor de autenticacin ......................115
Modificacin de una instancia de servidor de autenticacin existente ...115
Configuracin de una instancia de servidor annimo...................................115
Restricciones de servidores annimos ...................................................116
Definicin de una instancia de servidor annimo ..................................116
Configuracin de una instancia de ACE/Server.............................................117
Definicin de una instancia de ACE/Server ............................................118
Generacin de un archivo de configuracin de ACE/Agent ....................119
Configuracin de una instancia de Active Directory o dominio NT...............120
Definicin de una instancia de servidor Active Directory o dominio
de Windows NT ..............................................................................121
Autenticacin de usuarios de varios dominios .......................................124
Compatibilidad con consulta de grupos de Active Directory y NT ..........125
Configuracin de una instancia de servidor de certificados ............................ 126
Configuracin de una instancia de servidor LDAP ........................................128
Definicin de una instancia de servidor LDAP .......................................129
Configuracin de los atributos de bsqueda de LDAP para creadores
de reuniones ...................................................................................132
Supervisin y eliminacin de sesiones de usuario activas......................132
Habilitacin de la administracin de contraseas de LDAP ...................133
Configuracin de una instancia de servidor de autenticacin local...............138
Definicin de una instancia de servidor de autenticacin local ..............138
Creacin de cuentas de usuario en un servidor local de autenticacin...140
Administracin de cuentas de usuario ...................................................142
Delegacin de derechos de administracin de usuarios a usuarios
finales .............................................................................................142
Configuracin de una instancia de servidor NIS ...........................................144

Contenido

vii

Gua de administracin de Secure Access de Juniper Networks

Configuracin de una instancia de servidor de RADIUS ...............................145


Experiencia de los usuarios de RADIUS .................................................146
Configuracin del IVE para trabajar con el servidor backend RADIUS ...147
Habilitacin de la contabilidad RADIUS .................................................151
Configuracin de una instancia de servidor eTrust SiteMinder .....................160
Informacin general sobre eTrust SiteMinder ........................................161
Configuracin de SiteMinder para que funcione con el IVE....................165
Configuracin del IVE para que funcione con SiteMinder ......................172
Depuracin de SiteMinder y problemas del IVE .....................................186
Configuracin de una instancia de servidor de SAML ...................................187
Uso del perfil de artefacto y del perfil POST ..........................................187
Creacin de una nueva instancia de servidor SAML...............................192
Captulo 8

Territorios de autenticacin

195

Licencia: disponibilidad de territorios de autenticacin ................................196


Creacin de un territorio de autenticacin ...................................................196
Definicin de directivas de autenticacin .....................................................198
Creacin de reglas de asignacin de roles ....................................................199
Cmo especificar reglas de asignacin de roles para un territorio
de autenticacin..............................................................................201
Personalizacin de vistas de UI de territorios de usuario..............................209
Captulo 9

Directivas de inicio de sesin

211

Licencia: Disponibilidad de directivas y pginas de inicio de sesin.............213


Resumen de tareas: Configuracin de directivas de inicio de sesin ............213
Configuracin de directivas de inicio de sesin ............................................214
Definicin de las directivas de inicio de sesin ......................................214
Definicin de directivas de acceso slo con autorizacin.......................215
Definicin de las directivas de inicio de sesin de reunin ....................217
Habilitacin y inhabilitacin de directivas de inicio de sesin................219
Especificacin del orden de evaluacin de las directivas de inicio
de sesin.........................................................................................219
Configuracin las pginas de inicio de sesin...............................................220
Configuracin de las pginas de inicio de sesin estndares .................221
Captulo 10

Inicio de sesin nico

223

Licencia: Disponibilidad de inicio de sesin nico........................................223


Informacin general de inicio de sesin nico .............................................224
Informacin general de credenciales de inicios de sesin mltiples .............226
Resumen de tareas: configuracin de mltiples servidores
de autenticacin..............................................................................226
Resumen de tareas: Activacin de SSO para recursos protegidos
por autenticacin bsica .................................................................227
Resumen de tareas: Activacin de SSO para recursos protegidos
por NTLM........................................................................................227
Ejecucin de credenciales de inicios de sesin mltiples .......................229
Configuracin de SAML ................................................................................234
Configuracin de perfiles SAML SSO ............................................................237
Creacin de un perfil de artefacto..........................................................237
Creacin de un perfil POST....................................................................242
Creacin de una directiva de control de acceso .....................................245
Creacin de una relacin de confianza entre sistemas habilitados
por SAML ........................................................................................249
viii

Contenido

Contenido

Parte 3

Defensa en el punto final


Captulo 11

Host Checker

257

La arquitectura TNC dentro de Host Checker ...............................................257


Vista general de Host Checker......................................................................258
Licencia: Disponibilidad de Host Checker.....................................................258
Resumen de tareas: Configuracin de Host Checker ....................................259
Creacin de directivas de Host Checker globales..........................................261
Habilitacin de directivas predefinidas del lado cliente
(solo en Windows) ..........................................................................262
Creacin y configuracin de nuevas directivas del lado cliente ....................267
Bsqueda de aplicaciones de terceros usando reglas predefinidas
(slo en Windows) .................................................................................268
Configuracin de una regla de antivirus predefinida con opciones
de correccin ..................................................................................269
Configuracin de una regla de cortafuegos predefinida con opciones
de correccin ..................................................................................272
Configuracin de una regla predefinida de Spyware ..............................273
Configuracin de la supervisin de la versin de la firma de virus
y de la supervisin de los datos de la evaluacin de parches...........274
Especificacin de requisitos personalizados usando reglas
personalizadas.......................................................................................276
Uso de un comodn o una variable de entorno en una regla de
Host Checker ..................................................................................283
Evaluacin de varias reglas en una directiva nica de Host Checker......284
Configuracin de directivas de evaluacin de parches ...........................285
Uso de Comprobadores de medicin de integridad de terceros ...................289
Configuracin de un servidor IMV remoto .............................................289
Implementacin de la directiva para IMV de terceros ............................295
Combinacin de varias reglas de medicin de integridad con expresiones
personalizadas.......................................................................................296
Habilitacin de directivas personalizadas del lado del servidor..............296
Implementacin de las directivas del Host Checker .....................................298
Ejecucin de las directivas del Host Checker .........................................299
Configuracin de las restricciones de Host Checker...............................301
Correccin de las directivas de Host Checker ...............................................303
Experiencia del usuario en la correccin de Host Checker .....................304
Configuracin de la correccin general de Host Checker .......................305
Definicin de los tneles de acceso de autenticacin previa de
Host Checker .........................................................................................310
Especificacin de las definiciones de los tneles de acceso
de autenticacin previa de Host Checker ........................................311
Especificacin de las opciones generales de Host Checker ...........................314
Especificacin de las opciones de instalacin de Host Checker ....................316
Eliminacin del control ActiveX de Juniper ............................................317
Uso de Host Checker con la funcin de inicio de sesin automtica
de GINA ..........................................................................................318
Instalacin automtica de Host Checker ................................................318
Instale Host Checker de forma manual ..................................................319

Contenido

ix

Gua de administracin de Secure Access de Juniper Networks

Uso de registros de Host Checker.................................................................319


Configuracin de Host Checker para Windows Mobile .................................320
Uso de excepciones Proxy ...........................................................................321
Habilitacin de Secure Virtual Workspace ....................................................321
Caractersticas de Secure Virtual Workspace .........................................322
Restricciones y ajustes predeterminados de Secure Virtual
Workspace ......................................................................................323
Configuracin de Secure Virtual Workspace ..........................................324
Captulo 12

Cache Cleaner

331

Licencia: Disponibilidad de Cache Cleaner ...................................................332


Ajuste de las opciones globales de Cache Cleaner ........................................332
Implementacin de las opciones de Cache Cleaner......................................335
Ejecucin de Cache Cleaner...................................................................336
Especificacin de las restricciones de Cache Cleaner .............................338
Especificacin de las opciones de instalacin de Cache Cleaner...................339
Uso de los registros de Cache Cleaner..........................................................340

Parte 4

Acceso remoto
Eleccin de un mecanismo de acceso remoto..............................................344
Captulo 13

Plantillas de applets de Java hospedados

345

Licencia: disponibilidad de applets de Java hospedados ...............................345


Resumen de tareas: hospedaje de applets de Java........................................346
Informacin general de applets de Java hospedados ....................................346
Carga de applets de Java al IVE..............................................................347
Firma de applets de Java cargados.........................................................348
Creacin de pginas HTML que hacen referencia a los applets de
Java cargados ..................................................................................349
Acceso a los marcadores de applet de Java............................................349
Definicin de perfiles de recursos: applets de Java hospedados ...................350
Definicin de marcadores del applet de Java hospedado .......................352
Caso de uso: creacin de un marcador de applet de Java Citrix JICA 9.5......357
Ejemplo de applet JICA 9.5 ....................................................................358
Ejemplo de JICA 8.x...............................................................................359
Captulo 14

Plantillas de Citrix

361

Informacin general sobre las plantillas Web de Citrix.................................361


Comparacin de los mecanismos de acceso del IVE para la
configuracin de Citrix ..........................................................................362
Creacin de perfiles de recursos mediante aplicaciones Web de Citrix ........365

Contenido

Captulo 15

Plantillas de Lotus iNotes

371

Captulo 16

Plantillas de Microsoft OWA

375

Captulo 17

Plantillas de Microsoft Sharepoint

379

Contenido

Captulo 18

Reescritura web

383

Licencia: Disponibilidad de la reescritura web..............................................384


Resumen de tareas: configuracin de la caracterstica de
reescritura web......................................................................................384
Informacin general sobre la reescritura de URL web ..................................386
Informacin general de SSO remoto......................................................388
Informacin general de proxy passthrough ...........................................389
Definicin de perfiles de recursos: Aplicaciones web personalizadas ...........392
Definicin de URL de base.....................................................................394
Definicin de una directiva automtica de control de acceso web .........395
Definicin de recursos Web...................................................................396
Definicin de una directiva automtica de inicio de sesin nico ..........397
Definicin de una directiva automtica de almacenamiento
en cach .........................................................................................401
Definicin de una directiva automtica de control de acceso a Java ......404
Definicin de una directiva automtica de reescritura ...........................406
Definicin de una directiva automtica de compresin web..................411
Definicin de un marcador web ............................................................412
Definicin de los ajustes de rol: URL web.....................................................415
Creacin de marcadores a travs de perfiles de recursos existentes ......415
Creacin de marcadores web estndar ..................................................416
Especificacin de opciones generales de exploracin web.....................418
Definicin de directivas de recursos: Informacin general ...........................422
Definicin de directivas de recursos: acceso web.........................................424
Definicin de directivas de recursos: inicio de sesin nico .........................425
Escritura de una directiva de recursos de intermediacin de
autenticacin bsica o NTLM...........................................................426
Escritura de una directiva de recursos POST de formulario de
SSO remoto.....................................................................................429
Escritura de una directiva de recursos de encabezados/cookies
de SSO remoto................................................................................431
Definicin de directivas de recursos: almacenamiento en cach..................433
Escritura de una directiva de recursos de almacenamiento en cach.....434
Creacin de directivas de recursos de almacenamiento en
cach OWA y Lotus Notes ...............................................................437
Especificacin de opciones generales de almacenamiento en cach......438
Definicin de directivas de recursos: applets de Java externos.....................439
Escritura de una directiva de recursos de control de acceso a Java ........439
Escritura de una directiva de recursos de firma de cdigo Java .............441
Definicin de directivas de recursos: reescritura ..........................................443
Creacin de una directiva de recursos de reescritura selectiva...............443
Creacin de una directiva de recursos proxy passthrough .....................446
Creacin de una directiva de recursos de encabezados
personalizados ................................................................................449
Creacin de una directiva de recursos de parmetros ActiveX...............450
Restauracin de las directivas de recursos ActiveX predeterminadas
del IVE ............................................................................................452
Creacin de filtros de reescritura ...........................................................454
Definicin de directivas de recursos: compresin web.................................454
Escritura de una directiva de recursos de compresin web ...................454
Definicin de una directiva de recursos de compresin OWA ...............456
Definicin de directivas de recursos: proxy web ..........................................456
Escritura de una directiva de recursos proxy web..................................456
Especificacin de servidores proxy web ................................................458
Contenido

xi

Gua de administracin de Secure Access de Juniper Networks

Definicin de directivas de recursos: protocolo HTTP 1.1 ............................459


Definicin de directivas de recursos: Acceso a dominio cruzado
(llamadas XMLHttpRequest) ..................................................................461
Definicin de directivas de recursos: opciones generales .............................462
Administracin de directivas de recursos: Personalizacin de vistas de UI...463
Captulo 19

Reescritura de archivos

465

Licencia: Disponibilidad para la reescritura de archivos ...............................465


Definicin de perfiles de recursos: Reescritura de archivo ...........................465
Definicin de recursos de archivos ........................................................467
Definicin de una directiva automtica de control de acceso
a archivos .......................................................................................468
Definicin de una directiva automtica de compresin de archivos.......469
Definicin de una directiva automtica de inicio de sesin nico
(slo Windows) ...............................................................................470
Definicin de un marcador de archivo...................................................471
Definicin de los ajustes de rol: Recursos de Windows ................................473
Creacin de marcadores avanzados para recursos de Windows ............474
Creacin de marcadores de Windows que se asignan a servidores
LDAP...............................................................................................475
Definicin de opciones generales para la exploracin de archivos.........476
Definicin de directivas de recursos: Recursos de archivos de Windows......476
Formato cannico: Recursos de archivos de Windows ..........................477
Escritura de una directiva de recurso de acceso para Windows .............478
Para escribir una directiva de recurso SSO para Windows.....................479
Para escribir una directiva de recurso de compresin para Windows ....481
Definicin de opciones generales de escritura de archivos ....................482
Definicin de los ajustes de rol: Recursos de archivos para UNIX/NFS .........483
Creacin de marcadores avanzados a recursos de UNIX........................483
Definicin de opciones generales para la exploracin de archivos.........485
Definicin de directivas de recursos: Recursos de archivos para
UNIX/NFS ..............................................................................................485
Formato cannico: Recursos de archivos para UNIX/NFS ......................486
Escritura de directivas de recursos para UNIX/NFS ................................487
Para escribir una directiva de recurso de compresin para
Unix/NFS.........................................................................................488
Definicin de opciones generales de escritura de archivos ....................489
Captulo 20

Secure Application Manager

491

Licencia: Disponibilidad de Secure Application Manager..............................492


Resumen de tareas: Configuracin de WSAM ..............................................492
Informacin general de WSAM ....................................................................493
Trfico de cliente/servidor seguro con WSAM........................................494
Compatibilidad del antivirus y la aplicacin cliente VPN........................496
Inicio de Network Connect durante una sesin de WSAM .....................497
Depuracin de problemas de WSAM .....................................................497
Definicin de perfiles de recursos: WSAM....................................................498
Creacin de perfiles de recursos de aplicaciones de cliente WSAM........498
Creacin de perfiles de recursos de red de destino de WSAM................500
Definicin de los ajustes de rol: WSAM ........................................................501
Especificacin de aplicaciones y servidores para proteger
con WSAM ......................................................................................501
Especificacin de aplicaciones que necesitan evitar WSAM ...................504

xii

Contenido

Contenido

Especificacin de opciones WSAM a nivel de rol ...................................506


Descarga de aplicaciones WSAM ...........................................................507
Definicin de directivas de recursos: WSAM ................................................508
Especificacin de los servidores de aplicaciones a los
cuales los usuarios pueden tener acceso .........................................508
Especificacin de opciones WSAM a nivel de recurso ............................510
Uso del iniciador de WSAM ..........................................................................510
Ejecucin manual de scripts ..................................................................512
Ejecucin automtica de scripts.............................................................513
Resumen de tareas: Configuracin de JSAM.................................................514
Informacin general de JSAM.......................................................................516
Uso de JSAM para comunicaciones cliente/servidor ...............................517
Compatibilidad con Linux y Macintosh ..................................................526
Compatibilidad con aplicaciones estndar: MS Outlook.........................526
Compatibilidad con aplicaciones estndar: Lotus Notes.........................528
Compatibilidad con aplicaciones estndar: Citrix Web Interface for
MetaFrame (NFuse Classic) .............................................................530
Compatibilidad con aplicaciones personalizadas: aplicaciones
publicadas de Citrix configuradas desde el cliente nativo ................531
Compatibilidad con aplicaciones personalizadas: Citrix Secure
Gateways ........................................................................................534
Definicin de perfiles de recursos: JSAM ......................................................535
Definicin de los ajustes de rol: JSAM ..........................................................540
Especificacin de aplicaciones para proteger con JSAM .........................540
Especificacin de opciones JSAM a nivel de rol......................................543
Definicin de directivas de recursos: JSAM...................................................545
Inicio automtico de JSAM.....................................................................545
Especificacin de los servidores de aplicaciones a los cuales los
usuarios pueden tener acceso .........................................................547
Especificacin de opciones JSAM a nivel de recurso ..............................548
Captulo 21

Telnet/SSH

551

Licencia: Disponibilidad de Telnet/SSH ........................................................552


Resumen de tareas: Configuracin de la caracterstica Telnet/SSH...............552
Definicin de perfiles de recursos: Telnet/SSH .............................................553
Definicin de un marcador de perfil de recursos de Telnet/SSH ............554
Definicin de los ajustes de rol: Telnet/SSH..................................................556
Creacin de marcadores de sesin avanzada.........................................557
Configuracin de las opciones generales de Telnet/SSH.........................558
Definicin de directivas de recursos: Telnet/SSH..........................................559
Escritura de las directivas de recursos de Telnet/SSH.............................560
Coincidencia de direcciones IP con nombres de host ............................561
Captulo 22

Terminal Services

563

Licencia: Disponibilidad de Terminal Services..............................................563


Resumen de tareas: Configuracin de la caracterstica Terminal Services ....564
Vista general de Terminal Services...............................................................565
Experiencia del usuario de Terminal Services ........................................566
Ejecucin de Terminal Services .............................................................567
Configuracin de Citrix para admitir el equilibrio de carga de ICA.........568
Definicin de perfiles de recursos: Vista general de Terminal Services.........570

Contenido xiii

Gua de administracin de Secure Access de Juniper Networks

Definicin de perfiles de recursos: Windows Terminal Services ...................572


Definicin de directivas automticas del applet de Java hospedado.......573
Definicin de un marcador para un perfil de servicios de terminal
de Windows ....................................................................................575
Definicin de perfiles de recursos: Terminal Services de Citrix
(ICA predeterminado) ............................................................................583
Definicin de un marcador para un perfil Citrix usando los ajustes
de ICA predeterminados .................................................................584
Definicin de perfiles de recursos: Terminal Services de Citrix
(ICA personalizado) ...............................................................................591
Definicin de un marcador para un perfil Citrix usando un archivo
ICA personalizado ...........................................................................593
Definicin de perfiles de recursos: Lista de aplicaciones Citrix.....................594
Definicin de un marcador para las aplicaciones de la lista del perfil
de Citrix ..........................................................................................596
Definicin de los ajustes de rol: Terminal Services .......................................599
Creacin de marcadores de sesin de servicios de terminal
avanzados .......................................................................................600
Creacin de enlaces desde un sitio externo a un marcador de
sesin de Terminal Services ............................................................608
Especificacin de las opciones generales de Terminal Services .............612
Definicin de directivas de recursos: Terminal Services ...............................615
Configuracin de directivas de recursos de servicios de terminal ..........616
Especificacin de la opcin de recursos de Terminal Services ...............617
Captulo 23

Secure Meeting

619

Licencia: Disponibilidad de Secure Meeting .................................................619


Resumen de tareas: Configuracin de Secure Meeting .................................620
Informacin general de Secure Meeting .......................................................622
Programacin de reuniones...................................................................622
Envo de correos electrnicos de notificacin ........................................625
Entrar en una reunin ...........................................................................626
Asistencia a las reuniones......................................................................628
Direccin de reuniones..........................................................................629
Presentacin de reuniones ....................................................................630
Creacin de reuniones instantneas y de reuniones de apoyo...............630
Creacin de reuniones MySecureMeeting ..............................................632
Definicin de los ajustes de rol: Secure Meeting...........................................633
Habilitacin y configuracin de Secure Meeting ....................................633
Pautas de fusin permisiva para Secure Meeting ...................................638
Especificacin de los servidores a los que pueden acceder los
creadores de reuniones ...................................................................638
Configuracin de los ajustes de reunin a nivel de sistema ..........................640
Resolucin de problemas de Secure Meeting ...............................................643
Problemas conocidos.............................................................................644
Supervisin de Secure Meeting ....................................................................645

xiv

Contenido

Contenido

Captulo 24

Email Client

647

Licencia: Disponibilidad de Email Client ......................................................648


Informacin general sobre Email Client .......................................................648
Eleccin de un Email Client ...................................................................648
Funcionamiento con un servidor de correo basado en estndares.........649
Funcionamiento con el servidor Microsoft Exchange.............................649
Funcionamiento con Lotus Notes y el servidor de correo de
Lotus Notes .....................................................................................651
Definicin de los ajustes de rol: Email Client................................................652
Definicin de directivas de recursos: Email Client........................................652
Captulo 25

Network Connect

655

Resumen de tareas: Configuracin de Network Connect..............................658


Informacin general de Network Connect....................................................660
Ejecucin de Network Connect ..............................................................660
Perfiles de conexin de Network Connect compatibles con
ajustes de varios DNS......................................................................667
Aprovisionamiento de la red para Network Connect..............................668
Registro del lado cliente.........................................................................669
Compatibilidad de proxy de Network Connect ......................................669
Calidad de servicio de Network Connect................................................670
Soporte de multicast de Network Connect .............................................671
Definicin de los ajustes de rol: Network Connect .......................................671
Definicin de directivas de recursos: Network Connect................................674
Definicin de directivas de control de acceso de Network Connect .......674
Creacin de perfiles de conexin de Network Connect..........................675
Definicin de directivas de divisin de encapsulamiento de
Network Connect ............................................................................682
Caso de uso: Configuracin de directivas de recursos de
Network Connect ............................................................................683
Definicin de directivas de administracin de ancho de banda
de Network Connect .......................................................................684
Definicin de los ajustes de sistema: Network Connect................................690
Especificacin de filtros IP .....................................................................690
Descarga del instalador de Network Connect.........................................690
Dependencias del proceso de instalacin de Network Connect .............691
Dependencias del proceso de desinstalacin de Network Connect ........693
Uso del iniciador de Network Connect (iniciador de NC) ..............................694
Solucin de errores de Network Connect .....................................................697
nc.windows.app.23792 .........................................................................697
Conflicto de versiones al cambiar a una anterior ...................................697

Contenido

xv

Gua de administracin de Secure Access de Juniper Networks

Parte 5

Administracin de sistema
Captulo 26

Administracin general del sistema

701

Licencia: Disponibilidad de la administracin del sistema............................701


Resumen de tareas: Configuracin de las funciones de administracin........702
Configuracin de los ajustes de la red ..........................................................702
Puertos de enlace ..................................................................................703
Configuracin de los ajustes generales de la red ....................................703
Configuracin de los puertos internos y externos ..................................706
Configuracin de puertos SFP................................................................708
Configuracin del puerto de administracin ..........................................708
Configuracin de VLAN..........................................................................709
Configuracin de puertos virtuales ........................................................711
Resumen de tareas: Definicin de los destinos de subred en
base a roles .....................................................................................713
Configuracin de las rutas estticas para el trfico de red......................714
Creacin de cachs ARP ........................................................................715
Especificacin de nombres de host para que el IVE resuelva de
manera local ...................................................................................716
Especificacin de filtros IP .....................................................................716
Uso de las caractersticas de administracin central.....................................717
Modificacin de los grficos del panel de la administracin central .......718
Configuracin de las utilidades del sistema ..................................................720
Revisin de los datos del sistema ..........................................................720
Actualizacin o cambio a una versin anterior del IVE .........................721
Ajuste de las opciones del sistema.........................................................722
Descarga de los instaladores de aplicaciones .........................................724
Configuracin de licencias, seguridad y NCP................................................727
Introduccin o actualizacin de licencias de IVE....................................727
Activacin y desactivacin del modo de emergencia .............................734
Ajuste de las opciones de seguridad ......................................................735
Configuracin de NCP y JCP ..................................................................738
Instalacin de un paquete de actualizacin de software de Juniper........739
Configuracin y uso del puerto de administracin .......................................740
Configuracin de los ajustes de red del puerto de administracin .........741
Inclusin de rutas estticas en la tabla de rutas de administracin ........742
Asignacin del certificado al puerto de administracin ..........................743
Control del acceso de inicio de sesin del administrador.......................743
Inicio de sesin a travs del puerto de administracin ..........................744
Ajuste de las reglas de asignacin de roles a travs de expresiones
personalizadas ................................................................................744
Resolucin de problemas del puerto de administracin.........................745
Uso del puerto de administracin en un clster .....................................746
Importacin de las configuraciones a un sistema con el puerto de
administracin habilitado................................................................746

xvi

Contenido

Contenido

Captulo 27

Certificados

749

Licencia: Disponibilidad de certificados .......................................................750


Uso de certificados de dispositivo ................................................................750
Importacin de certificados en el IVE ....................................................751
Descarga de un certificado de dispositivo del IVE ..................................754
Creacin de una solicitud de firma de certificado (CSR) para un
nuevo certificado ............................................................................754
Uso de los certificados de CA de servidor intermedio ............................755
Uso de varios certificados de dispositivo del IVE ...................................756
Uso de CA de cliente de confianza ...............................................................758
Habilitacin de CA de cliente de confianza ............................................759
Habilitacin de jerarquas de CA cliente.................................................767
Habilitacin de CRL ...............................................................................768
Habilitacin de OCSP.............................................................................771
Uso de CA del servidor de confianza ............................................................774
Carga de certificados de CA del servidor de confianza...........................775
Renovacin del certificado de CA de servidor de confianza ...................775
Eliminacin del certificado de CA del servidor de confianza ..................776
Visualizacin de detalles del certificado de CA del servidor
de confianza ...................................................................................776
Uso de certificados de firma de cdigo ........................................................776
Consideraciones adicionales para los usuarios de SUN JVM ...................778
Resumen de tareas: configurar el IVE para que firme o vuelva
a firmar los applets .........................................................................778
Importacin de un certificado de firma de cdigo .................................778
Captulo 28

Archivado del sistema

781

Licencia: Disponibilidad de archivado del sistema .......................................781


Archivado de archivos de configuracin binarios del IVE .............................782
Creacin de copias de seguridad locales de los archivos de
configuracin del IVE.............................................................................784
Importacin y exportacin de archivos de configuracin del IVE .................787
Exportacin de un archivo de configuracin del sistema .......................788
Importacin de un archivo de configuracin del sistema .......................788
Exportacin de cuentas de usuario locales o directivas de recursos .......789
Importacin de cuentas de usuario locales o directivas de recursos.......790
Importacin de ajustes de configuracin IVS .........................................790
Importacin de ajustes de configuracin IVS .........................................791
Importacin y exportacin de archivos de configuracin XML .....................791
Creacin y modificacin de instancias XML...........................................794
Restricciones de integridad referencial ..................................................797
Asignacin de instancia XML a componentes UI....................................798
Descarga del archivo de esquema..........................................................800
Estrategias para trabajar con instancias XML.........................................800
Reinicios del sistema .............................................................................808
Casos de uso de XML Import/Export......................................................810
Importacin de un sistema con el puerto de administracin .................814
Uso de los atributos de operacin..........................................................814
Configuraciones de envo de un IVE a otro...................................................816
Definicin de los IVE de destino ............................................................818
Envo de ajustes de configuracin..........................................................819
Archivado de Secure Meetings .....................................................................821

Contenido

xvii

Gua de administracin de Secure Access de Juniper Networks

Captulo 29

Registro y supervisin

823

Licencia: Disponibilidad de registro y supervisin ........................................823


Informacin general de registro y supervisin .............................................824
Niveles de gravedad del archivo de registro...........................................825
Archivos de registro personalizado del filtro ..........................................826
Filtros de registro dinmicos .................................................................826
Visualizacin y eliminacin de sesiones de usuario ...............................827
Configuracin de las caractersticas de supervisin de registro ....................828
Configuracin de eventos, acceso de usuario, acceso de administrador
y sensor IDP .........................................................................................828
Creacin, restablecimiento o guardado de una consulta de registro
dinmico.........................................................................................829
Especificacin de los eventos que se guardarn en el archivo
de registro.......................................................................................830
Creacin, edicin o eliminacin de filtros ..............................................831
Creacin de filtros y formatos personalizados para sus archivos
de registro.......................................................................................832
Supervisin del IVE como un agente de SNMP .............................................833
Visualizacin de estadsticas del sistema......................................................840
Habilitacin de registros del lado cliente ......................................................840
Habilitacin de registros y opciones globales del lado cliente ................841
Habilitacin de cargas de registro del lado cliente .................................842
Visualizacin de registros cargados del lado cliente ...............................843
Visualizacin del estado general...................................................................844
Visualizacin del uso de la capacidad del sistema..................................844
Especificacin del rango de tiempo y los datos que aparecen en
los grficos......................................................................................845
Configuracin de la apariencia del grfico .............................................845
Visualizacin de eventos crticos del sistema .........................................846
Descarga del paquete de servicio actual ................................................846
Edicin de la fecha y hora del sistema...................................................847
Supervisin de usuarios activos....................................................................847
Visualizacin y cancelacin de reuniones programadas. ..............................849
Captulo 30

Resolucin de problemas

851

Licencia: Disponibilidad de la resolucin de problemas ...............................851


Simulacin o seguimiento de eventos ..........................................................852
Simulacin de eventos que causan un problema ...................................852
Rastreo de eventos usando el seguimiento de directivas .......................854
Grabacin de sesiones..................................................................................856
Creacin de imgenes instantneas del estado del sistema IVE ...................857
Creacin de archivos de volcado TCP...........................................................859
Prueba de la conectividad de red del IVE .....................................................861
Protocolo de resolucin de direcciones (ARP) ........................................861
Ping .......................................................................................................861
Traceroute .............................................................................................861
NSlookup ...............................................................................................862
Ejecucin de las herramientas de depuracin de forma remota ...................862
Creacin de registros de depuracin ............................................................863
Supervisin de los nodos del clster.............................................................864
Configuracin de la supervisin de la comunicacin del grupo en
un clster...............................................................................................865
Configuracin de la supervisin de la conectividad de red en un clster ......866

xviii

Contenido

Contenido

Captulo 31

Creacin de clsteres

869

Licencia: Disponibilidad para creacin de clsteres......................................870


Resumen de tareas: Implementacin de un clster ......................................870
Creacin y configuracin de un clster ........................................................872
Definicin e inicializacin de un clster.................................................873
Integracin en un clster existente ........................................................874
Configuracin de las propiedades del clster ...............................................877
Implementacin de dos nodos en un clster activo/pasivo ....................877
Implementacin de dos o ms unidades en un clster activo/activo......879
Sincronizacin del estado del clster .....................................................881
Configuracin de las propiedades del clster .........................................883
Administracin y configuracin de clsteres ................................................885
Adicin de nodos mltiples al clster.....................................................885
Administracin de los ajustes de red para los nodos del clster.............886
Actualizacin de nodos en clster..........................................................886
Actualizacin del paquete de servicio del clster ...................................887
Eliminacin de un clster ......................................................................888
Reinicio o rearranque de nodos en clster.............................................889
Procedimientos de la consola de administracin ...................................889
Supervisin de clsteres ........................................................................891
Resolucin de problemas de clsteres ...................................................892
Procedimientos de la consola serie ..............................................................894
Integracin de un IVE en un clster a travs de su consola serie ...........894
Inhabilitacin de un IVE en clster por medio de su consola serie.........897
Captulo 32

Delegacin de los roles de administrador

899

Licencia: Disponibilidad de roles de administrador delegado .......................900


Creacin y configuracin de roles de administrador ....................................900
Creacin de las roles de administrador..................................................901
Modificacin de los roles de administrador ...........................................902
Eliminacin de los roles de administrador .............................................902
Especificacin de tareas de administracin para delegar..............................903
Delegacin de tareas de administracin de sistema...............................903
Delegacin de la administracin de usuarios y roles..............................904
Delegacin de la administracin del territorio de usuarios.....................905
Delegacin de la gestin administrativa.................................................906
Delegacin de la administracin de las directivas de recursos ...............907
Delegacin de la administracin de los perfiles de recursos ..................908
Definicin de ajustes generales del rol de administrador de sistema............909
Definicin de opciones predeterminadas para los roles de
administrador .................................................................................909
Administracin de los ajustes y opciones generales de los roles ............910
Especificacin de opciones de administracin de acceso para el rol ......910
Especificacin de opciones generales de sesin.....................................911
Especificacin de las opciones de la interfaz de usuario ........................912
Eliminacin del acceso a los sistemas IVS..............................................913

Contenido

xix

Gua de administracin de Secure Access de Juniper Networks

Captulo 33

Sistema IVS

915

Licencia: Disponibilidad de IVS ....................................................................916


Implementacin de un IVS...........................................................................916
Arquitectura del IVE virtualizado ...........................................................918
Inicio de sesin en el sistema raz o el IVS ...................................................920
Inicio de sesin usando el prefijo de direccin URL de inicio
de sesin.........................................................................................920
Inicio de sesin en puertos virtuales ......................................................922
Inicio de sesin en una interfaz de VLAN...............................................923
Navegacin al IVS ..................................................................................924
Determinacin del perfil del suscriptor ........................................................924
Hoja de trabajo de la configuracin de IVS ............................................924
Administracin del sistema raz.............................................................926
Configuracin del administrador raz.....................................................926
Aprovisionamiento de un IVS.......................................................................927
Comprensin del proceso de aprovisionamiento .........................................928
Configuracin de los puertos de inicio de sesin ..........................................930
Configuracin del puerto externo ..........................................................931
Configuracin de un puerto virtual para iniciar sesin en el
puerto externo ................................................................................931
Configuracin de un puerto virtual para iniciar sesin en el
puerto interno .................................................................................932
Configuracin de una red de rea local virtual (VLAN)..................................932
Configuracin de VLAN en el IVE virtualizado........................................934
Adicin de rutas estticas a la tabla de rutas de VLAN ...........................935
Eliminacin de una VLAN ......................................................................936
Carga del servidor de certificados ................................................................936
Creacin de un sistema virtual (perfil de IVS) ...............................................937
Definicin del perfil de IVS ....................................................................937
Configuracin inicial de IVS mediante una copia del sistema raz
o de otro IVS ...................................................................................940
Inicio de sesin en el IVS directamente como administrador de IVS ............941
Configuracin de alias de IP de origen basados en roles ..............................942
Asociacin de roles con VLAN y la direccin IP de origen......................943
Configuracin de puertos virtuales para una VLAN ................................943
Asociacin de roles con direcciones IP de origen en un IVS...................943
Configuracin de reglas de enrutamiento de directivas en el IVS .................944
Reglas de enrutamiento.........................................................................945
Superposicin de espacios de direccin IP.............................................946
Definicin de directivas de recursos ......................................................946
Creacin de clsteres en un IVE virtualizado................................................946
Configuracin del DNS para el IVS ...............................................................948
Acceso a un servidor de DNS en la red del MSP.....................................948
Acceso a un servidor de DNS en la intranet de una empresa
suscriptora ......................................................................................948
Configuracin de Network Connect para uso en un IVE virtualizado ............950
Configuracin del perfil de conexin de Network Connect ....................950
Configuracin de Network Connect en enrutadores backend ................951
Configuracin de un servidor DHCP centralizado.........................................954
Configuracin de servidores de autenticacin ..............................................955
Reglas que rigen el acceso a los servidores de autenticacin .................956
Configuracin de la autenticacin en un servidor RADIUS.....................956
Configuracin de la autenticacin en Active Directory...........................957
Delegacin del acceso administrativo a los sistemas IVS..............................957
xx

Contenido

Contenido

Acceso a los instaladores independientes.....................................................958


Realizacin de la exportacin y la importacin de los archivos
de configuracin del IVS ........................................................................959
Exportacin e importacin de la configuracin del sistema raz ............959
Supervisin de los suscriptores ....................................................................961
Suspensin del acceso de un suscriptor al IVS .......................................961
Resolucin de problemas de las VLAN .........................................................962
Realizacin de TCPDump en una VLAN .................................................962
Uso de comandos en una VLAN (ping, traceroute, NSLookup, ARP) ......963
Casos de uso del IVS ....................................................................................963
Caso de uso de la resolucin de las reglas del enrutamiento
de directivas para IVS......................................................................964
Configuracin de un servidor de autenticacin global para varios
suscriptores.....................................................................................970
Configuracin de una direccin IP del servidor DNS/WINS
por suscriptor..................................................................................970
Configuracin del acceso a las aplicaciones Web y a la navegacin
Web para cada suscriptor................................................................970
Configuracin del acceso a la exploracin de archivos para cada
suscriptor ........................................................................................971
Configuracin de varias direcciones IP de subred para los usuarios
finales de un suscriptor ...................................................................973
Configuracin de varios sistemas IVS para permitir el acceso al
servidor compartido........................................................................973
Captulo 34

Interoperabilidad de IVE e IDP

975

Licencia: Disponibilidad de IDP....................................................................976


Escenarios de implementacin ....................................................................976
Configuracin del IVE para interactuar con IDP ...........................................977
Configuracin de las conexiones IDP.....................................................978
Interaccin entre el IVE y el sensor IDP.................................................980
Definicin de directivas de eventos de sensor de respuesta
automtica ......................................................................................981
Identificacin y administracin manual de usuarios en cuarentena.......983

Parte 6

Servicios de sistema
Captulo 35

IVE Consola serie

987

Licencia: Disponibilidad de la consola serie .................................................987


Conexin a la consola serie de un dispositivo IVE ........................................987
Retroactivacin a un estado anterior del sistema .........................................988
Retroactivacin a un estado anterior del sistema a travs de la
consola de administracin ..............................................................989
Retroactivacin a un estado anterior del sistema a travs de la
consola serie ...................................................................................989
Restablecimiento de un dispositivo IVE con la configuracin de fbrica.......990
Tareas comunes de recuperacin.................................................................993

Contenido

xxi

Gua de administracin de Secure Access de Juniper Networks

Captulo 36

UI personalizables para el administrador y el usuario final

995

Licencia: Disponibilidad de UI personalizables .............................................995


Informacin general de los elementos personalizables de la consola
de administracin..................................................................................996
Informacin general de los elementos configurables de la interfaz
de usuario final......................................................................................997
Captulo 37

Secure Access 6000

999

Hardware estndar ......................................................................................999


Unidades reemplazables in situ para el SA 6000 ........................................ 1001
Captulo 38

Secure Access 4500 y 6500

1003

Hardware estndar .................................................................................... 1003


Unidades reemplazables in situ para el SA 6500 ........................................ 1005
Reemplazo de los ventiladores de refrigeracin ......................................... 1006
Extraccin e instalacin de un ventilador de refrigeracin...................1006
Reemplazo de un disco duro ...................................................................... 1007
Extraccin e instalacin de un disco duro............................................ 1007
Reemplazo de mdulos IOC....................................................................... 1007
Instalacin de un IOM ......................................................................... 1008
Extraccin de un IOM.......................................................................... 1008
Reemplazo de una fuente de alimentacin de CA ...................................... 1009
Extraccin e instalacin de una fuente de alimentacin de CA ............ 1009
Extraccin e instalacin de una fuente de alimentacin de CC ............ 1009
Captulo 39

Secure Access FIPS

1011

Licencia: Disponibilidad de Secure Access FIPS.......................................... 1012


Ejecucin de Secure Access FIPS................................................................ 1012
Creacin de tarjetas de administrador........................................................ 1013
Precauciones con la tarjeta de administrador ...................................... 1014
Implementacin de un clster en un entorno Secure Access FIPS.............. 1015
Creacin de un entorno de seguridad nuevo .............................................. 1017
Creacin de un entorno de seguridad en un IVE independiente IVE .... 1018
Creacin de un entorno de seguridad en un entorno de clsteres........ 1019
Reemplazo de tarjetas de administrador ............................................. 1019
Recuperacin de un entorno de seguridad archivado................................. 1020
Importacin de un entorno de seguridad en un IVE independiente ..... 1021
Importacin de un entorno de seguridad a un clster.......................... 1022
Captulo 40

Compresin

1023

Licencia: Disponibilidad de compresin ..................................................... 1023


Ejecucin de la compresin ....................................................................... 1023
Tipos de datos admitidos ........................................................................... 1025
Habilitacin de la compresin en el nivel de sistema ................................. 1026
Creacin de perfiles y directivas de recursos de compresin...................... 1026
Captulo 41

Compatibilidad con varios idiomas

1027

Licencia: Disponibilidad de varios idiomas................................................. 1028


Codificacin de archivos ............................................................................ 1028
Traduccin de la interfaz de usuario .......................................................... 1029
Traduccin de pginas de inicio de sesin y sistema personalizadas.......... 1029
xxii

Contenido

Contenido

Captulo 42

Dispositivos de mano y PDA

1031

Licencia: Disponibilidad de soporte para dispositivos de mano y PDA ....... 1032


Resumen de tareas: Configuracin del IVE para PDA y dispositivos
de mano .............................................................................................. 1032
Definicin de tipos de clientes ................................................................... 1034
Habilitacin de WSAM en PDA................................................................... 1036
Habilitacin de Activesync ......................................................................... 1037

Parte 7

Informacin complementaria
Apndice A

Escritura de expresiones personalizadas

1041

Licencia: Disponibilidad de expresiones personalizadas............................. 1041


Expresiones personalizadas ....................................................................... 1041
Coincidencia con comodines ............................................................... 1045
Variables y funciones de DN................................................................ 1046
Variables del sistema y ejemplos................................................................ 1046
Uso de variables del sistema en territorios, roles y directivas
de recursos ..........................................................................................1054
Uso de atributos de varios valores ....................................................... 1055
Especificacin de los atributos de bsqueda en un territorio ............... 1057
Especificacin del atributo homeDirectory para LDAP......................... 1057

Contenido

xxiii

Gua de administracin de Secure Access de Juniper Networks

xxiv

Contenido

Acerca de esta gua


Esta gua proporciona la informacin necesaria para entender el funcionamiento,
configurar y hacer mantenimiento al dispositivo Instant Virtual Extranet (IVE) de
Juniper Networks, el cual incluye:

Material general para familiarizarse con los productos Secure Access y el


sistema de administracin de accesos subyacente

Material general que describe las caractersticas bsicas y avanzadas, adems


de las opciones de actualizacin

Instrucciones para configurar y administrar el clster o dispositivo IVE

Audiencia
Esta gua est destinada a los administradores de sistema responsables de
configurar los productos Secure Access y Secure Access FIPS.

Informacin complementaria
Documentacin para administradores y desarrolladores

Para descargar una versin PDF de esta gua de administracin, dirjase


a la pgina IVE OS Product Documentation del Juniper Networks Customer
Support Center.

Para obtener ms informacin sobre los cambios que los clientes Secure Access
realizan en los equipos cliente, incluidos los archivos instalados y los cambios
de registro, adems de informacin sobre los derechos necesarios para instalar
y ejecutar clientes Secure Access, consulte la gua Client-side Changes Guide.

Para obtener ms informacin sobre cmo desarrollar aplicaciones Web


compatibles con el motor de intermediacin de contenido de IVE, consulte la
gua Content Intermediation Engine Best Practices Guide.

Para obtener informacin sobre cmo personalizar la apariencia de las pginas


de autenticacin previa, administracin de contrasea y pginas de Secure
Meeting que el sistema IVE muestra a los usuarios finales y administradores,
consulte la gua Custom Sign-In Pages Solution Guide.

Audiencia

xxv

Gua de administracin de Secure Access de Juniper Networks

Documentacin relacionada con los mensajes de error

Para obtener informacin sobre los mensajes de error que Network Connect y
WSAM muestran a los usuarios finales, consulte la gua Network Connect and
WSAM Error Messages.

Para obtener informacin sobre los mensajes de error que Secure Meeting
muestra a usuarios finales administradores, consulte la gua Secure Meeting
Error Messages.

Documentacin sobre hardware

Para obtener ayuda para la instalacin, consulte la gua Quick Start Guide que
viene con el producto.

Para obtener informacin sobre la seguridad de Secure Access y Secure Access


FIPS, consulte la gua Juniper Networks Security Products Safety Guide.

Para obtener informacin sobre cmo instalar discos duros, fuentes de


alimentacin y ventiladores en los dispositivos Secure Access 6000, consulte la
gua Secure Access 6000 Field Replaceable Units Guide.

Descargas del producto

Para descargar la ltima versin del sistema Secure Access y Secure Access
FIPS, con las notas de la versin, dirjase a la pgina IVE OS Software del
Juniper Networks Customer Support Center.

Convenciones
La Tabla 1 define los iconos de avisos y la Tabla 2 define las convenciones de texto
que se utilizan en esta gua.
Tabla 1: Iconos de aviso
Icono

Significado

Descripcin

Nota de informacin

Indica instrucciones o caractersticas importantes.

Cuidado

Indica que puede estar en riesgo de perder datos o daar


el hardware.

Advertencia

Alerta sobre el riesgo de sufrir una lesin personal.

Tabla 2: Convenciones de texto (salvo por sintaxis de comandos)

xxvi

Convencin

Descripcin

Ejemplos

Negrita

Indica botones, nombre de campos,


nombre de cuadros de dilogo y otros
elementos de la interfaz de usuario.

Use las fichas Scheduling y Appointment para


programar una reunin.

Convenciones

Acerca de esta gua

Tabla 2: Convenciones de texto (salvo por sintaxis de comandos) (continuacin)


Convencin

Descripcin

Tipo de letra sans serif sin estilos Representa:


Cdigos, comandos y palabras clave
Direcciones URL, nombres de archivo

y directorios

Ejemplos
Ejemplos:
Cdigo:

certAttr.OU = 'Retail Products Group'


URL:

Descargue la aplicacin JRE desde el sitio:


http://java.sun.com/j2se/

Cursiva

Identifica:

Ejemplos:

Trminos definidos en el texto

Trmino definido:

Elementos variables
Nombres de libros

Un cliente RDP es un componente de Windows


que permite una conexin entre un servidor de
Windows y el equipo del usuario.
Elemento variable:
Utilice la configuracin de la pgina Users >
User Roles > Seleccionar rol > Terminal
Services para crear una sesin de emulacin
del terminal.
Nombre de libro:

Consulte el documento IVE Supported


Platforms.

Documentacin
Notas de versin
Las notas de versin vienen incluidas con el software del producto y estn
disponibles en Internet.
En las Notas de versin, puede encontrar la ltima informacin disponible sobre
caractersticas, cambios, problemas conocidos y resolucin de problemas. Si
existiera alguna diferencia entre la informacin de las Notas de versin y la que se
halla en el conjunto de documentacin, siga las recomendaciones de esta ltima.

Acceso web
Para ver la documentacin en Internet, dirjase al sitio:
http://www.juniper.net/techpubs/

Contactar al servicio de soporte tcnico


Para acceder al servicio de soporte tcnico, comunquese con Juniper Networks
escribiendo a support@juniper.net o llamando al 1-888-314-JTAC (en los Estados
Unidos) o al 408-745-9500 (fuera de Estados Unidos).

Documentacin

xxvii

Gua de administracin de Secure Access de Juniper Networks

xxviii

Contactar al servicio de soporte tcnico

Parte 1

Gua de inicio
El IVE es un dispositivo de red blindado que proporciona una frrea seguridad al
proporcionar una intermediacin entre el flujo de datos que fluye entre los usuarios
externos y los recursos internos. Esta seccin contiene la siguiente informacin
sobre cmo comenzar a usar y entender el funcionamiento del IVE:

Verificacin inicial y conceptos clave en la pgina 3

Introduccin al IVE en la pgina 25

Gua de administracin de Secure Access de Juniper Networks

Captulo 1

Verificacin inicial y conceptos clave


Este tema describe las tareas que se deben realizar despus de la instalacin y
configuracin inicial del IVE. Esto supone que ya ha seguido la Gua de tareas en la
consola de administracin para actualizar su imagen de software y crear y aplicar
su clave de licencia de Secure Access.

Verificar la accesibilidad del usuario


Puede crear fcilmente una cuenta de usuario en el servidor de autenticacin del
sistema para verificar la accesibilidad de ese usuario a su IVE. Despus de crear la
cuenta a travs de la consola de administracin, inicie una sesin como usuario en
la pgina de inicio de sesin de usuarios de IVE.
Para verificar la accesibilidad de los usuarios:
1. Seleccione Authentication > Auth. Servers desde la consola de
administracin.
2. Seleccione el vnculo System Local.
Aparecer la pgina System Local.
3. Seleccione la ficha Users.
4. Haga clic en New.
Aparecer la pgina New Local User.
5. Escriba testuser1 como nombre de usuario, introduzca una contrasea y luego
haga clic en Save Changes. El IVE crear la cuenta testuser1.
6. En otra ventana del explorador, introduzca la URL del equipo para acceder
a la pgina de inicio de sesin de usuarios. La URL est en el formato:
https://a.b.c.d, donde a.b.c.d es la direccin IP del equipo que introdujo en la
consola serie al configurar en un comienzo el IVE.
7. Cuando aparezca el aviso de seguridad preguntando si desea proceder sin un
certificado firmado, haga clic en Yes. Aparecer la pgina de inicio de sesin
del usuario, lo que indica que se habr conectado correctamente a su
dispositivo IVE. Consulte la Figura 1.

Verificar la accesibilidad del usuario

Gua de administracin de Secure Access de Juniper Networks

Figura 1: Pgina User Sign-in

8. Introduzca el nombre de usuario y la contrasea que cre para la cuenta del


usuario y haga clic en Sign In para acceder a la pgina inicial para usuarios IVE.
Consulte la Figura 2.
Figura 2: Pgina inicial del usuario (predeterminada)

Verificar la accesibilidad del usuario

Captulo 1: Verificacin inicial y conceptos clave

9. Introduzca la URL de un servidor web interno en el cuadro de direcciones


y haga clic en Browse. El IVE abrir la pgina web en la misma ventana del
explorador, por lo que para regresar a la pgina inicial de IVE, deber hacer clic
en el botn central de la barra de herramientas que aparece en la pgina web
de destino. Consulte la Figura 3.
Figura 3: Pgina web interna de ejemplo con la barra de herramientas para examinar
archivos

10. Introduzca la URL de su sitio corporativo externo en la pgina inicial IVE


(consulte la Figura 2), luego haga clic en Browse. El IVE abre la pgina web en
la misma ventana del explorador, por lo tanto, deber utilizar el botn de la
barra de herramientas para regresar a la pgina inicial de IVE.
11. Haga clic en Browsing > Windows Files de la pgina inicial IVE (consulte la
Figura 2) para examinar a travs de los recursos compartidos disponibles para
Windows o en Browsing > UNIX/NFS Files para examinar a travs de los
archivos compartidos disponibles en redes UNIX NFS.
Despus de verificar la accesibilidad de los usuarios, regrese a la consola de
administracin para pasar por una introduccin de conceptos clave, como se
describe en Crear un supuesto de prueba para aprender los conceptos y prcticas
recomendadas con IVE en la pgina 6.

Verificar la accesibilidad del usuario

Gua de administracin de Secure Access de Juniper Networks

Crear un supuesto de prueba para aprender los conceptos y prcticas


recomendadas con IVE
El IVE es un sistema flexible de administracin de accesos que facilita la
personalizacin de los accesos remotos de un usuario mediante el uso de roles,
directivas de recursos, servidores de autenticacin, territorios de autenticacin y
directivas de inicio de sesin. Para que pueda comenzar a trabajar rpidamente con
estas entidades, el IVE se suministra de fbrica con ajustes predeterminados para
cada una de ellas. Esta seccin describe estos valores predeterminados del sistema
y muestra cmo crear cada entidad de administracin de accesos mediante las
siguientes tareas:

Definir un rol de usuario en la pgina 7

Definicin de un perfil de recurso en la pgina 9

Definicin de un servidor de autenticacin en la pgina 11

Definicin de un territorio de autenticacin en la pgina 15

Definir una directiva de inicio de sesin en la pgina 18

Utilizacin del supuesto de prueba en la pgina 21

NOTA: El IVE reconoce dos tipos de usuarios:

Administradores: Un administrador es una persona que puede ver y modificar


los ajustes de configuracin del IVE. Crear la primera cuenta de administrador
a travs de la consola serie.

Usuarios: Un usuario es una persona que utiliza el IVE para acceder a los
recursos corporativos de acuerdo con la configuracin definida por un
administrador. Ya cre la primera cuenta de usuario (testuser1) en Verificar
la accesibilidad del usuario en la pgina 3.

El siguiente supuesto de prueba se centra en utilizar los elementos de administracin


de accesos del IVE para configurar los parmetros de acceso de un usuario.
Para obtener informacin sobre los ajustes predeterminados del sistema para
administradores, consulte Configurar ajustes predeterminados para
administradores en la pgina 23.

Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE

Captulo 1: Verificacin inicial y conceptos clave

Definir un rol de usuario


El IVE se suministra preconfigurado con un rol de usuario llamado Users. Este rol
predefinido habilita las caractersticas de acceso a web y archivos, permitiendo
a cualquier usuario asignado al rol Users acceder a Internet, a servidores web
corporativos y a cualquier servidor de archivos Windows o UNIX NFS disponible.
Puede ver este rol en la pgina User Roles.
NOTA: Despus de habilitar una caracterstica de acceso para un rol, configure las
opciones correspondientes apropiadas que estn accesibles desde la ficha de
configuracin de caractersticas de acceso.

Para definir un rol de usuario:


1. Seleccione Users > User Roles desde la consola de administracin. Aparecer
la pgina Roles.
2. Haga clic en New Role. Aparecer la pgina New Roles. Consulte la Figura 4.
3. Introduzca Test Role en el cuadro Name y luego haga clic en Save Changes.
Espere a que IVE muestre la pgina Test Role con la Ficha general y el enlace de
Informacin general seleccionados. Consulte la Figura 8.
4. Seleccione la casilla de verificacin Web debajo de Access features y luego haga
clic en Save Changes.
5. Seleccione Web > Options.
6. Seleccione la casilla de verificacin User can type URLs in the IVE browser
bar y luego haga clic en Save Changes.
Una vez completados estos pasos, habr definido un rol de usuario. Cuando cree
perfiles de recursos, podr aplicarlos a este rol. Tambin podr asignar usuarios a
este rol mediante reglas de asignacin definidas para un territorio de autenticacin.
NOTA: Para crear rpidamente un rol de usuario que habilite el acceso a la web
y a examinar archivos, duplique el rol Users y habilite las caractersticas de acceso
adicionales que desee.

Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE

Gua de administracin de Secure Access de Juniper Networks

Figura 4: Pgina New Role

Figura 5: Pgina Test Role

Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE

Captulo 1: Verificacin inicial y conceptos clave

Definicin de un perfil de recurso


Un perfil de recurso es un conjunto de opciones de configuracin que contiene todas
las directivas de recursos, asignaciones de roles y los marcadores de usuario final
requeridos para proporcionar el acceso a un recurso individual.
Dentro de un perfil de recurso, una directiva de recurso especifica los recursos a los
que se aplican las directivas (tales como URLs, servidores y archivos) y si IVE
permite el acceso a un recurso o ejecuta una accin. Tenga en cuenta que el IVE
est preconfigurado con dos tipos de directivas de recursos:

Web Access: La directiva de recursos predefinida Web Access permite a todos


los usuarios acceder a Internet y a todos los servidores web corporativos a
travs del IVE. De forma predeterminada, esta directiva de recursos es aplicable
al rol Users.

Windows Access: La directiva de recursos predefinida Windows Access permite


a todos los usuarios asignados al rol Users acceder a todos los servidores
corporativos de archivos Windows. De forma predeterminada, esta directiva
de recursos es aplicable al rol Users.

NOTA: Si le preocupa que los usuarios tengan acceso a todos sus contenidos web y

de archivos, elimine las directivas predeterminadas de acceso a web y a archivos,


Web Access y Windows Access.
Para definir un perfil de recursos:
1. Seleccione Users > Resource Profiles > Web desde la consola de
administracin. Aparecer la pgina Web Applications Resource Profile.
2. Haga clic en New Profile. Aparecer la pgina Web Applications Resource
Profile. Consulte la Figura 6.

Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE

Gua de administracin de Secure Access de Juniper Networks

Figura 6: Pgina New Web Application Resource Profile

3. Complete la siguiente informacin:


a.

Mantenga la opcin predeterminada (Custom) en el cuadro Type.

b.

Escriba Test Web Access en el cuadro Name.

c.

Escriba http://www.google.com en la casilla Base URL.

d. Debajo de Autopolicy: Web Access Control seleccione la casilla de


verificacin situada junto a la directiva predeterminada creada por IVE
(http://www.google.com:80/*) y luego la opcin Delete.

10

e.

Escriba http://www.google.com en el cuadro Resource, seleccione Deny


desde la lista Action y haga clic en Add.

f.

Haga clic en Save and Continue. Aparecer la pgina Test Web Access.

Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE

Captulo 1: Verificacin inicial y conceptos clave

4. Haga clic en la ficha Roles.


a.

Seleccione Test Role en el cuadro Available Roles y haga clic en Add para
moverlo al cuadro Selected Roles.

b.

Haga clic en Save Changes.

El IVE agrega Test Web Access a la pgina Web Application Resource Policies y
automticamente crea un marcador correspondiente que vincula a google.com.
Una vez completados estos pasos, habr configurado un perfil de recursos Web
Access. Aunque el IVE se suministra con una directiva de recursos que habilita el
acceso a todos los recursos web, se prohbe a los usuarios asignados a Test Role
acceder a http://www.google.com. Se les niega el acceso debido a que la
autodirectiva que cre durante la configuracin tiene preferencia sobre la directiva
de acceso web predeterminada suministrada por IVE.

Definicin de un servidor de autenticacin


Un servidor de autenticacin es una base de datos que almacena las credenciales de
los usuarios (nombre y contrasea) y, normalmente, informacin sobre el grupo
y atributos. Cuando un usuario se conecta al IVE, debe especificar un territorio de
autenticacin que est asociado a un servidor de autenticacin. El IVE reenva las
credenciales del usuario a este servidor de autenticacin para verificar su identidad.
El IVE admite los servidores de autenticacin ms comunes, incluyendo dominios
de Windows NT, Active Directory, RADIUS, LDAP, NIS, RSA ACE/Server y Netegrity
SiteMinder, permitiendo crear una o ms bases de datos locales de usuarios que son
autenticados por el IVE. El IVE viene preconfigurado con un servidor de
autenticacin local para usuarios llamado System Local. Este servidor de
autenticacin local predefinido es una base de datos del IVE que permite crear
rpidamente cuentas del usuario para su autenticacin. Esta funcionalidad
proporciona la flexibilidad necesaria para realizar pruebas y para permitir el acceso
a terceros, eliminando la necesidad de crear cuentas de usuario en un servidor de
autenticacin externo.
Puede ver el servidor de autenticacin local predeterminado en la pgina
Authentication Servers.
NOTA: El IVE tambin es compatible con servidores de autorizaciones. Un servidor
de autorizaciones (o servidor de directorios) es una base de datos que almacena
informacin sobre los atributos de los usuarios y grupos. Puede configurar un
territorio de autenticacin de modo que utilice un servidor de directorios con el fin
de consultar atributos del usuario o informacin del grupo, que se utilizarn en las
reglas y directivas de recursos durante la asignacin de roles.

Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE

11

Gua de administracin de Secure Access de Juniper Networks

Para definir un servidor de autenticacin:


1. Seleccione Authentication > Auth. Servers desde la consola de
administracin. Aparecer la pgina Authentication Servers.
2. Seleccione Local Authentication desde la lista New y haga clic en New Server.
Aparecer la pgina New Local Authentication. Consulte la Figura 7.
Figura 7: Pgina New Local Authentication

3. Introduzca Test Server en el cuadro Name y luego haga clic en Save Changes.
Espere a que el IVE notifique que los cambios se han guardado, despus de lo
cual aparecern fichas de configuracin adicionales.
4. Haga clic en la ficha Users y luego en New. Aparecer la pgina New Local User.
Consulte la Figura 8.

12

Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE

Captulo 1: Verificacin inicial y conceptos clave

Figura 8: Pgina New Local User

5. Introduzca testuser2 en el cuadro Username, introduzca una contrasea y haga


clic en Save Changes para crear la cuenta de usuario en el servidor de
autenticacin Test Server. Consulte la Figura 9.

Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE

13

Gua de administracin de Secure Access de Juniper Networks

Figura 9: Pgina Test Server

Una vez completados estos pasos, habr creado un servidor de autenticacin que
contendr una cuenta de usuario. Este usuario podr conectarse a un territorio de
autenticacin que utilice el servidor de autenticacin Test Server.
NOTA: La consola de administracin proporciona estadsticas del ltimo acceso
para cada cuenta de usuario en las respectivas pginas de servidores de
autenticacin en la ficha Users, bajo un conjunto de columnas con el ttulo Last
Sign-in Statistic. Los informes de estadsticas incluyen la fecha y hora del ltimo
inicio de sesin exitoso de cada usuario, la direccin IP del usuario y el tipo y
versin del agente o explorador.

14

Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE

Captulo 1: Verificacin inicial y conceptos clave

Definicin de un territorio de autenticacin


Un territorio de autenticacin es una agrupacin de recursos de autenticacin,
que incluye:

Un servidor de autenticacin, que verifica la identidad del usuario. El IVE


reenva las credenciales enviadas desde la pgina de inicio de sesin a un
servidor de autenticacin.

Una directiva de autenticacin, que especifica qu requisitos de seguridad


del territorio debern cumplirse para que el IVE enve las credenciales a un
servidor de autenticacin para su verificacin.

Un servidor de directorios, que es un servidor LDAP que proporciona


informacin de atributos de usuario y de grupo al IVE para su uso en las reglas
de asignacin de roles y directivas de recursos (opcional).

Las reglas de asignacin de roles son condiciones que debe cumplir un usuario
para que el IVE le asigne uno o ms roles. Estas condiciones se basan en la
informacin devuelta por el servidor de directorios del territorio, el nombre
de usuario de la persona o los atributos del certificado.

El IVE se suministra preconfigurado con un territorio de usuario llamado Users.


Este territorio predefinido utiliza el servidor de autenticacin System Local, una
directiva de autenticacin que requiere una longitud de contrasea mnima de
cuatro caracteres, no utiliza servidor de directorios y contiene una regla de
asignacin de roles que asigna un rol Users a todos los usuarios que inicien sesin
en el territorio Users. La cuenta testuser1 que se cre en Verificar la accesibilidad
del usuario en la pgina 3 forma parte del territorio Users debido a que se cre en
el servidor de autenticacin System Local. La cuenta testuser2 creada
enDefinicin de un servidor de autenticacin en la pgina 11 no forma parte del
territorio Users, porque se cre en el nuevo servidor de autenticacin Test Server,
que ese territorio no utiliza.
Puede ver el territorio de autenticacin de usuarios predeterminado en la pgina Users
Authentication Realms.
Para definir un territorio de autenticacin:
1. Seleccione Users > User Realms desde la consola de administracin.
Aparecer la pgina User Authentication Realms.
2. Haga clic en New. Aparecer la pgina New Authentication Realms. Consulte la
Figura 10.

Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE

15

Gua de administracin de Secure Access de Juniper Networks

Figura 10: Pgina New Authentication Realm

3. Introduzca Test Realm en la casilla Name.


4. Seleccione Test Server desde la lista de Authentication.
5. Haga clic en Save Changes. Espere a que el IVE le notifique que los cambios
han sido guardados y a que aparezcan las fichas de configuracin del territorio.
6. Haga clic en la ficha Role Mapping si no est seleccionada y luego en New
Rule. Aparecer la pgina Role Mapping Rule. Consulte la Figura 11.

16

Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE

Captulo 1: Verificacin inicial y conceptos clave

Figura 11: Pgina Role Mapping Rule

7. Introduzca testuser2 en el cuadro de texto.


8. En la seccin ...then assign these roles, seleccione Test Role desde la lista
Available Roles y haga clic en Add para moverlo al cuadro Selected Roles.
9. Haga clic en Save Changes.
Una vez completados estos pasos, habr terminado de crear un territorio de
autenticacin. Este territorio utiliza Test Server para autenticar usuarios y una regla
de asignacin de roles que asigna testuser2 a la funcin Test Role. Dado que la
directiva de recursos Test Web Access es aplicable a Test Role, ningn usuario
asignado a este rol puede acceder a http://www.google.com.

Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE

17

Gua de administracin de Secure Access de Juniper Networks

Definir una directiva de inicio de sesin


Una directiva de inicio de sesin es una regla del sistema que especifica:

La URL en la que un usuario puede iniciar una sesin en el IVE

Una pgina de inicio de sesin para mostrar al usuario

Si el usuario debe o no escribir o seleccionar un territorio de autenticacin


al que el IVE enva credenciales

Los territorios de autenticacin a los que la directiva es aplicable

Todos los dispositivos IVE Secure Access y Secure Access FIPS vienen
preconfigurados con una directiva de inicio de sesin aplicable a los usuarios: */.
Esta directiva predeterminada de inicio de sesin de usuarios (*/) especifica
que cuando un usuario introduce la URL del IVE, el IVE muestra la pgina
predeterminada de inicio de sesin y exige al usuario seleccionar un territorio
de autenticacin (si existe ms de uno). La directiva */ de inicio de sesin est
configurada para ser aplicable al territorio de autenticacin Users, por lo que esta
directiva de inicio de sesin no es aplicable al territorio de autenticacin creado en
Definicin de un territorio de autenticacin en la pgina 15.
Puede ver la directiva predeterminada de inicio de sesin en la pgina Signing In.
Si su IVE dispone de una licencia de actualizacin Secure Meeting Upgrade, la
directiva de inicio de sesin */meeting tambin aparece en esta pgina. Esta
directiva permite personalizar la pgina de inicio de sesin para reuniones seguras.

18

Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE

Captulo 1: Verificacin inicial y conceptos clave

Para definir una directiva de inicio de sesin:


1.

Seleccione Authentication > Signing in > Sign-in Policies desde la consola de


administracin. Aparecer la pgina Signing In.

2. Haga clic en */ bajo User URLs. Aparecer la pgina */. Consulte la Figura 12.
Figura 12: La pgina */

3. Introduzca test a continuacin de */ en la casilla Sign-in URL.


4. Bajo el territorio de autenticacin, seleccione la opcin User picks from a list
of authentication realms, luego seleccione Test Realm desde la lista Available
Realms y haga clic en Add para moverlo a la casilla Selected Realm. (Repita este
proceso para el rol Users si an no se encuentra en el cuadro Selected Realms).
5. Haga clic en Save Changes.
Una vez completados estos pasos, habr terminado de modificar la directiva
predeterminada de inicio de sesin de usuarios.

Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE

19

Gua de administracin de Secure Access de Juniper Networks

Opcional:
1. Seleccione Authentication > Signing In > Sign In Pages y haga clic en
New Page.
2. Introduzca Test Sign-in Page en el campo Name, escriba #FF0000 (rojo) en el
cuadro Background color y a continuacin haga clic en Save Changes.
3. Seleccione Authentication > Signing In > Signing In Policies y haga clic en
New URL. Aparecer la pgina New Sign-in Policy.
4. Escriba */test/ en el cuadro Sign-in URL, seleccione Default Sign-in Page desde
la lista y haga clic en Sign-in Page.
5. Seleccione Authentication > Signing In > Sign In Policies y haga clic*/test/
bajo User URLs. Aparecer la pgina */test/. Consulte la Figura 13.
Figura 13: La pgina */test/

6. Seleccione Test Sign-in Page desde la lista Sign-in page y haga clic en
Save Changes.
Despus de completar estos pasos opcionales, habr terminado de definir una
nueva pgina de inicio de sesin asociada a la directiva de inicio de sesin */test/.

20

Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE

Captulo 1: Verificacin inicial y conceptos clave

Utilizacin del supuesto de prueba


El supuesto de prueba le permite realizar las siguientes tareas:

Acceder a la consola web del usuario utilizando la directiva predeterminada


modificada de inicio de sesin.

Iniciar una sesin como el usuario creado en Test Server para asignarlo al
territorio Test Realm.

Comprobar sus posibilidades de navegacin web, que dependen de una


configuracin correcta de Test Role y Test Web Access.

Para utilizar el supuesto de prueba:


1. En un explorador web, introduzca la URL del equipo seguida de /test para
acceder a la pgina de inicio de sesin del usuario. La URL est en el formato:
https://a.b.c.d/test, donde a.b.c.d es la direccin IP del equipo que ha
introducido en la consola serie durante la configuracin inicial.
2. Cuando aparezca el aviso de seguridad preguntando si proceder sin un
certificado firmado, haga clic en Yes. Si aparece la pgina de inicio de sesin
del usuario, significa que se habr conectado correctamente a su dispositivo
IVE. Consulte la Figura 14.
Figura 14: Pgina User Sign-in

NOTA: Si realiz los pasos de configuracin opcionales en Definir una directiva de

inicio de sesin en la pgina 18, el color del encabezado ser rojo.

Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE

21

Gua de administracin de Secure Access de Juniper Networks

3. Introduzca el nombre de usuario y la contrasea que cre para la cuenta del


usuario en Test Server, escriba Test Realm en la casilla Realm y a continuacin
haga clic en Sign In para acceder a la pgina inicial de IVE para usuarios.
Consulte la Figura 15.
El IVE reenviar las credenciales a Test Realm, configurado para utilizar Test
Server. Tras la verificacin correcta por parte de este servidor de autenticacin,
el dispositivo IVE procesa la regla de asignacin de roles definida para Test
Realm, que asigna testuser2 a la funcin Test Role. Test Role habilitar la
navegacin web para los usuarios.
Figura 15: Pgina inicial del usuario

4. En la casilla Address del explorador, introduzca la URL de su pgina web


corporativa y haga clic en Browse. El IVE abrir la pgina web en la misma
ventana del explorador, por lo que para regresar a la pgina inicial del IVE,
deber hacer clic en el icono central de la barra de herramientas de navegacin
que aparece en la pgina web de destino.
5. En la pgina inicial del IVE, escriba www.google.com y haga clic en Browse.
El IVE mostrar un mensaje de error, porque la directiva de recursos Test Web
Access deniega el acceso a este sitio a todos los usuarios asignados a Test Role.
Consulte la Figura 16.
Figura 16: Ejemplo de un mensaje de error de recurso denegado

22

Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE

Captulo 1: Verificacin inicial y conceptos clave

6. Regrese a la pgina inicial del IVE, haga clic en Sign Out y luego regrese a la
pgina de inicio de sesin del usuario.
7. Introduzca las credenciales para testuser1, especifique el territorio Users y haga
clic en Sign In.
8. En la pgina inicial del IVE, escriba www.google.com y haga clic en Browse.
El IVE abrir la pgina web en la misma ventana del explorador.
El supuesto de prueba demuestra los mecanismos bsicos de administracin de
accesos del IVE. Puede crear reglas de asignacin de roles y directivas de recursos
muy sofisticadas para controlar el acceso de los usuarios en funcin de factores
tales como una directiva de autenticacin de un territorio, la pertenencia de un
usuario a un grupo y otras variables. Para obtener ms informacin sobre la
administracin de accesos del IVE, recomendamos que se tome unos minutos
para leer la ayuda en lnea y familiarizarse con su contenido.
NOTA:

Cuando configure el IVE para su empresa, le recomendamos que configure los


accesos de usuarios en el orden presentado en esta seccin.

Para obtener informacin detallada acerca de la configuracin, consulte las


instrucciones en otras secciones de esta gua.

Antes de poner el IVE a disposicin de sitios externos, recomendamos que


importe un certificado de firma digital de una autoridad de certificacin
fiable (CA).

Configurar ajustes predeterminados para administradores


Igual que para los usuarios, el IVE proporciona ajustes predeterminados que
permiten configurar rpidamente cuentas de administradores. Esta lista resume
los ajustes predeterminados del sistema para los administradores:

Roles de administrador: Existen dos tipos de roles de administrador


integrados.

.Administrators: Este rol integrado permite a los administradores


administrar todos los aspectos del IVE. El usuario administrador que cre
a travs de la consola serie est asignado a este rol.

.Read-Only Administrators: Este rol integrado permite a usuarios


asignados al rol ver (pero no configurar) todos los ajustes del IVE. Si desea
restringir los accesos de los administradores, deber asignarles este rol.

Administrators local authentication server: El servidor de autenticacin local


Administrators es una base de datos de IVE en la que se almacenan cuentas de
administradores. La primera cuenta de administrador en este servidor se crea
a travs de la consola serie. (El IVE agrega a este servidor todas las cuentas de
administrador creadas a travs de la consola serie.) No puede eliminar este
servidor local.
Configurar ajustes predeterminados para administradores

23

Gua de administracin de Secure Access de Juniper Networks

24

Admin Users authentication realm: El territorio de autenticacin Admin Users


utiliza el servidor de autenticacin local predeterminado Administrators, una
directiva de autenticacin que requiere una longitud mnima de contrasea de
cuatro caracteres, ningn servidor de directorios y una regla de asignacin de
roles que asigna a todos los usuarios que inicien una sesin en el territorio
Admin Users al rol Administrators. La cuenta de administrador que cre a travs
de la consola serie es parte del territorio Admin Users.

*/admin sign-in policy: La directiva predeterminada de inicio de sesin


(*/admin) especifica que cuando un usuario introduce la URL al IVE seguida
de /admin, el IVE muestra la pgina predeterminada de inicio de sesin para
administradores. Esta directiva tambin requiere que el administrador
seleccione un territorio de autenticacin (si existe ms de uno). La directiva
de inicio de sesin */admin est configurada para ser aplicable al territorio de
autenticacin Admin Users, por lo que esta directiva de inicio de sesin es
aplicable a la cuenta de administrador creada a travs de la consola serie.

Configurar ajustes predeterminados para administradores

Captulo 2

Introduccin al IVE
La plataforma Juniper Networks Instant Virtual Extranet (IVE) funciona como
hardware y software subyacente para los dispositivos VPN SSL de Juniper Networks.
Estos productos permiten dar a los empleados, socios y clientes acceso seguro
y controlado a sus datos y aplicaciones corporativas tales como servidores de
archivos, servidores web, clientes de mensajera y correo electrnico nativos,
servidores hospedados y otros desde fuera de su red fiable usando solamente
un navegador web.
Este tema contiene la siguiente informacin sobre el IVE:

Qu es el IVE? en la pgina 25

Qu puedo hacer con el IVE? en la pgina 27

Cmo comienzo a configurar el IVE? en la pgina 34

Uso de Network and Security Manager con el IVE en la pgina 35

Qu es el IVE?
El IVE es un sistema operativo para redes blindado que funciona como plataforma
para todos los productos Secure Access de Juniper Networks. Estos dispositivos
proporcionan una gama de caractersticas de escalabilidad de categora mundial,
alta disponibilidad y seguridad que brindan un acceso remoto seguro a recursos
de red.
El IVE proporciona una frrea seguridad al proporcionar una intermediacin entre
su empresa y los usuarios externos que tienen acceso a los recursos internos de
ella. El acceso a los recursos autorizados se autentica mediante una sesin de
extranet hospedada por el dispositivo. Durante la intermediacin, el IVE recibe
solicitudes seguras de usuarios externos autenticados que luego reenva a los
recursos internos en representacin de stos. Al proporcionar de esta manera
intermediacin del contenido, el IVE elimina la necesidad de implantar kits de
herramientas de extranet en una DMZ tradicional o proporcionar acceso remoto
de VPN a los empleados.

Qu es el IVE?

25

Gua de administracin de Secure Access de Juniper Networks

La pgina principal del IVE es muy fcil de utilizar: para acceder, slo es necesario
que los empleados, socios y clientes usen un navegador web que admita SSL y
tengan conexin a Internet. Est pgina proporciona la ventana desde la cual se
puede navegar por la web o explorar servidores de archivos de forma segura, usar
aplicaciones empresariales habilitadas con HTML, iniciar el proxy de aplicaciones
de cliente/servidor, comenzar una sesin en Windows, Citrix, o terminal
Telnet/SSH, tener acceso a servidores de correo electrnico corporativos, iniciar un
tnel seguro de capa 3 o programar o asistir a una reunin segura en lnea. Consulte
la Figura 17.

NOTA: Estas capacidades dependen del producto Secure Access de


Juniper Networks y de las opciones de actualizacin que haya comprado.
Figura 17: El IVE funcionando en una LAN

Se puede configurar un dispositivo Secure Access de Juniper Networks de la


siguiente manera:

26

Qu es el IVE?

Proporcionar acceso seguro a una variedad de recursos. El IVE proporciona


intermediacin del acceso a muchos tipos de aplicaciones y recursos, tales
como aplicaciones empresariales basadas en web, aplicaciones Java, recursos
compartidos, hosts terminales y otras aplicaciones cliente/servidor como
Microsoft Outlook, Lotus Notes, Citrix ICA Client y pcAnywhere. Adems,
los administradores pueden proporcionar un mtodo de acceso que permite
conectividad completa de capa 3, con el mismo nivel de acceso que una
LAN corporativa.

Ajustar los detalles del acceso de usuarios al dispositivo, los tipos de recursos
o los recursos particulares segn factores como la pertenencia a un grupo,
la direccin IP de origen, los atributos del certificado y el estado de seguridad
del punto final. Por ejemplo, se puede usar autenticacin de factor dual y
certificados digitales del lado cliente para autenticar a los usuarios en el IVE
y usar la pertenencia a un grupo LDAP para autorizar el acceso a aplicaciones
particulares.

Captulo 2: Introduccin al IVE

Evaluar el estado de seguridad de los equipos de los usuarios verificando la


presencia de herramientas de defensa en el punto final tales como un software
antivirus actualizado, cortafuegos y parches de seguridad. Se le puede conceder
acceso o no a los usuarios al dispositivo, los tipos de recursos o los recursos
particulares de acuerdo con el estado de seguridad del equipo.

El IVE funciona como una puerta de enlace segura en la capa de aplicacin que
proporciona intermediacin de todas las solicitudes entre la Internet pblica y los
recursos corporativos internos. Todas las solicitudes que introducen al IVE ya
vienen encriptadas desde el explorador del usuario final mediante SSL/HTTPS de
128 bits o 168 bits. Las solicitudes que no estn encriptadas se descartan. Debido a
que el IVE proporciona una frrea capa de seguridad entre la Internet pblica y los
recursos internos, los administradores no necesitan administrar constantemente las
directivas de seguridad y las vulnerabilidades de seguridad de los parches para la
amplia variedad de aplicaciones y servidores web que se implantan en la DMZ de
cara al pblico.

Qu puedo hacer con el IVE?


El IVE ofrece un amplia variedad de caractersticas que se pueden usar para
proporcionar seguridad a los recursos de su empresa y mantener su entorno con
facilidad. Los siguientes temas responden a preguntas que podra tener respecto de
las cualidades de seguridad y administracin del IVE:

Puedo usar el IVE para proporcionar seguridad en el trfico de todas las


aplicaciones, servidores y pginas web de mi empresa? en la pgina 28

Puedo usar mis servidores actuales para autenticar a los usuarios del IVE?
en la pgina 29

Puedo ajustar con mayor precisin el acceso al IVE y a los recursos para los
que proporciona intermediacin? en la pgina 30

Puedo crear una integracin sin fisuras entre el IVE y los recursos para los
que proporciona intermediacin? en la pgina 31

Puedo usar el IVE para proporcionar proteccin contra equipos infectados y


otras amenazas a la seguridad? en la pgina 31

Puedo garantizar la redundancia en el entorno de mi IVE? en la pgina 32

Puedo hacer que la interfaz del IVE coincida con la apariencia y aspecto de
mi empresa? en la pgina 32

Puedo habilitar usuarios de equipos y dispositivos diversos para que usen el


IVE? en la pgina 33

Puedo proporcionar acceso seguro a los usuarios internacionales? en la


pgina 33

Qu puedo hacer con el IVE?

27

Gua de administracin de Secure Access de Juniper Networks

Puedo usar el IVE para proporcionar seguridad en el trfico de todas las aplicaciones,
servidores y pginas web de mi empresa?
El IVE le permite brindar un acceso seguro a una amplia variedad de aplicaciones,
servidores y otros recursos por medio de sus mecanismos de acceso remoto.
Cuando haya escogido los recursos que desea usar, podr escoger el mecanismo
de acceso correspondiente.
Por ejemplo, si desea proporcionar acceso seguro a Microsoft Outlook, puede usar
Secure Application Manager (SAM). Secure Application Manager proporciona
intermediacin del trfico hacia aplicaciones cliente/servidor como Microsoft
Outlook, Lotus Notes y Citrix. Asimismo, si lo que desea es proporcionar acceso
seguro a la Intranet de su empresa, puede usar la caracterstica de reescritura web.
Esta caracterstica usa el motor de intermediacin de contenido del IVE para
proporcionar intermediacin del trfico hacia las aplicaciones basadas en web
y las pginas web.
El IVE comprende mecanismos de acceso remoto que proporcionan intermediacin
de los siguientes tipos de trfico:

28

Qu puedo hacer con el IVE?

Trfico basado en web, incluidas las pginas web y las aplicaciones basadas
en web: Use la caracterstica de reescritura web para proporcionar
intermediacin de este tipo de contenido. La caracterstica de reescritura web
incluye plantillas que le permiten configurar el acceso a aplicaciones como
Citrix, OWA, Lotus iNotes y Sharepoint fcilmente. Adems, puede usar la
opcin de configuracin personalizada de la escritura web para proporcionar
intermediacin en el trfico de una amplia variedad de aplicaciones web y
pginas web adicionales, entre ellas, las aplicaciones web hechas a medida.

Applets de Java, incluidas las aplicaciones web que las utilizan: Use la
caracterstica de applets de Java hospedados para proporcionar intermediacin
de este tipo de contenido. La caracterstica permite albergar applets de Java y
las pginas HTML a las que hacen referencia directamente en el IVE en lugar de
mantener un servidor Java independiente.

Trfico de archivos, incluidos servidores de archivos y directorios: Use la


caracterstica de reescritura de archivos para proporcionar intermediacin y
webificar los recursos compartidos de manera dinmica. La caracterstica de
reescritura le permite ofrecer trfico seguro hacia una variedad de servidores,
directorios y recursos compartidos basados en Windows y Unix.

Aplicaciones cliente/servidor: Use la caracterstica Secure Application


Manager (SAM) para proporcionar intermediacin de este tipo de contenido.
Esta caracterstica est disponible en versin Windows (WSAM) y en versin
Java (JSAM). Las caractersticas WSAM y JSAM incluyen plantillas que le
permiten configurar el acceso a aplicaciones como Lotus Notes, Microsoft
Outlook, exploracin de archivos NetBIOS y Citrix. Adems, se pueden usar las
opciones de configuracin personalizada de WSAM y JSAM para proporcionar
intermediacin del trfico de una variedad de aplicaciones cliente/servidor
adicionales y redes de destino.

Captulo 2: Introduccin al IVE

Sesiones de emulacin de terminales Telnet y SSH: Use la caracterstica


Telnet/SSH para proporcionar intermediacin de este tipo de contenido. Esta
caracterstica le permite configurar con facilidad el acceso a una variedad de
dispositivos en red que utilizan sesiones de terminal, entre otros, servidores
UNIX, dispositivos de red y otras aplicaciones antiguas.

Sesiones de emulacin de terminales de Windows Terminal Server y


servidores Citrix: Use la caracterstica Terminal Services para proporcionar
intermediacin de este tipo de contenido. Esta caracterstica le permite
configurar con facilidad el acceso a servidores Windows Terminal, Citrix
MetaFrame y Citrix Presentation (antes conocidos como Nfuse). Tambin se
puede usar esta caracterstica para ofreces los clientes de servicios de
terminales directamente desde el IVE, lo que elimina la necesidad de usar otro
servidor web para albergarlos.

Clientes de correo electrnico basados en los protocolos IMAP4, POP3 y


SMTP: Use la caracterstica de cliente de correo electrnico para proporcionar
intermediacin de este tipo de contenido. Esta caracterstica le permite
configurar con facilidad el acceso a cualquier servidor de correo corporativo
basado en los protocolos IMAP4, POP3, y SMTP, tales como Microsoft Exchange
Server y Lotus Notes Mail.

Todo el trfico de red: Use la caracterstica Network Connect para crear un


tnel seguro de capa 3 sobre la conexin SSL, lo que permite tener acceso a
cualquier tipo de aplicacin disponible en la red corporativa. Esta caracterstica
le permite conectar con facilidad a usuarios remotos a su red al encapsular el
trfico de red en el puerto 443, lo que les concede acceso completo a todos los
recursos de red sin tener que configurar el acceso para servidores, aplicaciones
y recursos particulares.

Para obtener ms informacin sobre cmo ofrecer seguridad de trfico mediante


los mecanismos de acceso remoto del IVE, consulte Acceso remoto en la
pgina 343.

Puedo usar mis servidores actuales para autenticar a los usuarios del IVE?
Se puede configurar fcilmente el IVE para que use los servidores actuales de su
empresa para autenticar a los usuarios finales. Los usuarios no tienen que aprender
un nuevo nombre de usuario ni contrasea para tener acceso al IVE. El IVE admite
la integracin con LDAP, RADIUS, NIS, Windows NT Domain, Active Directory,
eTrust SiteMinder, SAML y RSA ACE/Server.
Si prefiere no usar uno de estos servidores estndar, puede almacenar los nombres
de usuario y credenciales directamente en el IVE y usarlo directamente como
servidor de autenticacin. Adems, puede optar por autenticar a los usuarios de
acuerdo con atributos contenidos en declaraciones de autenticacin generadas por
autoridades SAML o certificados del lado cliente. Si prefiere no exigir a sus usuarios
que inicien sesin en el IVE, puede usar el servidor de autenticacin annima del
IVE, que permite tener acceso a este sin proporcionar un nombre de usuario ni
contrasea.
Para obtener ms informacin sobre proteccin del acceso al IVE mediante
servidores de autenticacin, consulte Servidores de autenticacin y de directorios
en la pgina 111.

Qu puedo hacer con el IVE?

29

Gua de administracin de Secure Access de Juniper Networks

Puedo ajustar con mayor precisin el acceso al IVE y a los recursos para los que
proporciona intermediacin?
Adems de usar servidores de autenticacin para controlar el acceso al IVE,
se puede controlar el acceso a este y a los recursos para los que proporciona
intermediacin mediante una variedad de verificaciones adicionales del lado
cliente. El IVE le permite crear un mtodo de capas mltiples para protegerlo
y proteger tambin los recursos:
1. En primer lugar, se pueden llevar a cabo verificaciones de preautenticacin
que controlan el acceso de los usuarios a la pgina de inicio de sesin del IVE.
Por ejemplo, se podra configurar el IVE para que compruebe si el equipo del
usuario est ejecutando una versin en particular de Norton Antivirus. Si no la
est ejecutando, se puede determinar que el equipo de ese usuario no es seguro
y se puede inhabilitar el acceso a la pgina de inicio de sesin del IVE mientras
el usuario no actualice el software antivirus del equipo.
2. Cuando un usuario haya tenido acceso satisfactorio a la pgina de inicio de
sesin del IVE, se puede llevar a cabo una verificacin de nivel de territorio para
determinar si el usuario puede tener acceso a la pgina de inicio para usuarios
finales del IVE. La verificacin de nivel de territorio ms comn es la que lleva a
cabo un servidor de autenticacin. (El servidor determina si el usuario introdujo
un nombre de usuario y contrasea vlidos.) No obstante, se pueden llevar a
cabo otros tipos de verificaciones de nivel de territorio, tales como verificar que
la direccin IP del usuario est dentro de su red o que est usando el tipo de
explorador web que usted especifique.
Si el usuario supera las verificaciones de nivel de territorio especificadas, puede
tener acceso a la pgina de inicio para usuarios finales del IVE. De lo contrario,
el IVE no permitir al usuario iniciar la sesin o mostrar una versin
simplificada de la pgina de inicio que usted cre. Por lo general, la versin
simplificada contiene muchas menos funcionalidades que las que estn
disponibles para los usuarios estndar, debido a la falta de cumplimiento de
todos los criterios de autenticacin. El IVE proporciona definiciones de directiva
extremadamente flexibles, lo que le permite alterar de forma dinmica el
acceso a los recursos de los usuarios finales de acuerdo con las directivas de
seguridad de la empresa.
3. Una vez que el IVE asigna satisfactoriamente al usuario a un territorio, el
dispositivo lo asigna a un rol de acuerdo con los criterios de seleccin que se
definan. Los roles especifican los mecanismos de acceso que tiene un grupo de
usuarios. Tambin controla las opciones de sesin y de la interfaz de usuario
para el grupo de usuarios. Se puede usar una amplia variedad de criterios para
asignar usuarios a los roles. Por ejemplo, se pueden asignar usuarios a distintos
roles de acuerdo con las verificaciones de seguridad de punto final o con base
en atributos obtenidos de un certificado de servidor LDAP o del lado cliente.
4. En la mayora de los casos, las asignaciones de rol de un usuario controlan los
recursos particulares a los que puede tener acceso. Por ejemplo, se podra
configurar acceso a la pgina de Intranet de su empresa mediante un perfil de
recursos web y luego especificar que todos los miembros del rol Empleado
tengan acceso a ese recurso.

30

Qu puedo hacer con el IVE?

Captulo 2: Introduccin al IVE

No obstante, se puede optar por ajustar con mayor precisin el acceso a


determinados recursos individuales. Por ejemplo, se puede permitir a los
miembros del rol Empleado tener acceso a la Intranet de su empresa (como se
mencion antes), pero aadir una regla detallada de directiva de recursos que
exija a los usuarios cumplir determinados criterios adicionales para tener
acceso al recurso. Por ejemplo, se puede exigir a los usuarios ser miembros del
rol Empleado e iniciar sesin en el IVE durante la jornada laboral para tener
acceso a la Intranet de la empresa.
Para obtener ms informacin sobre ajustar con mayor precisin el acceso al IVE
y a los recursos a los que proporciona intermediacin, consulte Marco de
administracin de acceso en la pgina 49.

Puedo crear una integracin sin fisuras entre el IVE y los recursos para los que
proporciona intermediacin?
En una configuracin tpica del IVE, se pueden agregar marcadores directamente a
la pgina de inicio para usuarios finales del IVE. Estos marcadores son vnculos a los
recursos para los que el IVE proporciona intermediacin. Al agregar estos
marcadores, los usuarios podrn iniciar sesin en un solo lugar (el IVE) y encontrar
una sola lista con todos los recursos disponibles.
Con esta configuracin tpica, se puede racionalizar la integracin entre el IVE y los
recursos para los que proporciona intermediacin mediante la habilitacin del
inicio de sesin nico (SSO). El SSO es un proceso que permite que los usuarios
preautenticados en el IVE tengan acceso a otras aplicaciones o recursos que estn
protegidos con otro sistema de administracin del acceso sin tener que volver a
introducir sus credenciales. Durante la configuracin del IVE, se puede habilitar el
SSO indicando las credenciales de usuario que desea que traspase el IVE a los
recursos para los que proporciona intermediacin. Consulte Inicio de sesin nico
en la pgina 223.
Si prefiere no centralizar los recursos de usuario en la pgina de inicio para usuarios
finales del IVE, puede crear vnculos a los recursos para los que el IVE proporciona
intermediacin desde otra pgina web. Por ejemplo, se pueden configurar
marcadores en el IVE y despus agregar vnculos en la Intranet de su empresa que
apunten hacia ellos. Los usuarios pueden entonces iniciar sesin en la Intranet de la
empresa y hacer clic en los vnculos que all encuentren para tener acceso a los
recursos para los que el IVE proporciona intermediacin, sin tener que entrar a la
pgina de inicio de ste. Al igual que con los marcadores estndar del IVE, se puede
habilitar el SSO para estos vnculos externos.

Puedo usar el IVE para proporcionar proteccin contra equipos infectados y otras
amenazas a la seguridad?
El IVE le permite proporcionar proteccin contra virus, ataques y otras amenazas
a la seguridad mediante la caracterstica Host Checker. Host Checker lleva a cabo
verificaciones de seguridad en los clientes que se conectan al IVE. Por ejemplo, se
puede usar la caracterstica Host Checker para verificar que los sistemas del usuario
final contengan software antivirus actualizado, firewalls, parches urgentes de
software y otras aplicaciones que protegen los equipos de los usuarios. Se puede
permitir o negar a los usuarios tener acceso a las pginas de inicio de sesin del
IVE, territorios, roles y recursos segn los resultados que devuelva Host Checker.
Tambin se pueden mostrar instrucciones de correccin a los usuarios para que
puedan adecuar sus equipos.
Qu puedo hacer con el IVE?

31

Gua de administracin de Secure Access de Juniper Networks

Tambin se puede usar la caracterstica Host Checker para crear un espacio de


trabajo protegido en clientes que funcionan con Windows 2000 o Windows XP. A
travs de Host Checker, se puede habilitar la caracterstica Secure Virtual Workspace
(SVW) para crear un espacio de trabajo protegido en el escritorio del cliente, lo que
garantiza que cualquier usuario final que inicie sesin en su Intranet lleve a cabo su
trabajo dentro de un entorno totalmente protegido. La caracterstica Secure Virtual
Workspace encripta la informacin que escriben las aplicaciones en el disco o
registro y luego destruye cualquier dato propio o relacionado con el IVE cuando
termina la sesin.
Tambin se puede proporcionar seguridad a la red ante un intruso hostil al integrar
su IVE con un sensor IDP de Juniper Networks que detecta y previene intrusiones.
Se pueden usar los dispositivos IDP para detectar y bloquear la mayora de los
gusanos de la red que aprovechan vulnerabilidades del software; los troyanos que
no se basan en archivos; los efectos del spyware, adware y registradores de
pulsaciones de teclas; muchos tipos de malware; y ataques de da cero, mediante el
uso de deteccin de anomalas.
Para obtener ms informacin sobre Host Checker y otros mecanismos de defensa
de punto final del IVE, consulte Defensa en el punto final en la pgina 255. Para
obtener ms informacin sobre la integracin del IVE con el sensor IDP, consulte
Interoperabilidad de IVE e IDP en la pgina 975.

Puedo garantizar la redundancia en el entorno de mi IVE?


Se puede garantizar la redundancia en el entorno del IVE utilizando su caracterstica
de clsteres. Con esta caracterstica se pueden implantar dos o ms dispositivos en
un clster, lo que asegura que no habr tiempo de inactividad ante la eventualidad
de una falla. Tambin garantiza que haya una homologacin completa que
sincronice la configuracin del usuario, la configuracin del sistema y los datos de
sesin del usuario.
Estos dispositivos admiten configuraciones activo/pasivo o activo/activo en una LAN
o WAN. En modo activo/pasivo, uno de los IVE atiende activamente las solicitudes
de usuarios mientras que el otro funciona pasivamente en segundo plano para
sincronizar los datos de estado. Si el IVE que est activo queda fuera de lnea, el IVE
inactivo comienza automticamente a atender las solicitudes de usuarios. En modo
activo/activo, todos los equipos del clster manejan activamente las solicitudes de
usuarios que se envan por medio de un equilibrador de carga externo o un DNS de
ronda recproca. El equilibrador de carga alberga la VIP del clster y enruta las
solicitudes de usuarios a un IVE definido en su grupo de clsteres basndose en la
IP de origen. Si un IVE queda fuera de lnea, el equilibrador de carga ajusta la carga
entre los IVE que se mantienen activos.

Puedo hacer que la interfaz del IVE coincida con la apariencia y aspecto de mi
empresa?
El IVE permite personalizar una variedad de elementos en la interfaz de usuario
final. Con las caractersticas de personalizacin, se puede actualizar la apariencia
y aspecto de la consola de usuario final del IVE para que se parezca a una de las
pginas web estndar de su empresa o a sus aplicaciones.

32

Qu puedo hacer con el IVE?

Captulo 2: Introduccin al IVE

Por ejemplo, se pueden personalizar fcilmente los encabezados, colores de fondo


y logotipos que muestra el IVE en su pgina de inicio de sesin y en la consola de
usuario final para que coincida con el estilo de su empresa. Tambin se puede
personalizar fcilmente el orden en que el IVE muestra los marcadores y el sistema
de ayuda que muestra a los usuarios.
Si prefiere no mostrar la pgina de inicio del IVE para usuarios finales a los usuarios
(ya sea en la forma estndar o personalizada), se puede redireccionarlos a una
pgina distinta (como la Intranet de su empresa) la primera vez que inicien sesin
en la consola del IVE. Si escoge esta opcin, puede agregar vnculos a los
marcadores del IVE en la pgina nueva, como se explica en Puedo crear una
integracin sin fisuras entre el IVE y los recursos para los que proporciona
intermediacin? en la pgina 31.
Si desea seguir personalizando la pgina de inicio de sesin del IVE, puede usar la
caracterstica de pginas de inicio de sesin personalizadas del IVE. A diferencia de
las opciones de personalizacin estndar que se pueden configurar mediante la
consola de administracin del IVE, la caracterstica de pginas de inicio de sesin
personalizada no limita la cantidad de personalizaciones que puede hacer a las
pginas. Con esta caracterstica, se puede usar un editor HTML para desarrollar una
pgina de inicio de sesin que coincida exactamente con sus especificaciones.
Para obtener ms informacin sobre personalizacin de la apariencia y aspecto del
IVE, consulte UI personalizables para el administrador y el usuario final en la
pgina 995.

Puedo habilitar usuarios de equipos y dispositivos diversos para que usen el IVE?
Adems de permitir a los usuarios acceder al IVE desde estaciones de trabajo y
equipos pblicos estndar que ejecuten sistemas operativos Windows, Macintosh y
Linux, el IVE permite a los usuarios finales tener acceso a l desde PDA, dispositivos
de mano y telfonos inteligentes conectados, como i-mode y Pocket PC. Cuando un
usuario se conecta desde un PDA o un dispositivo porttil, el IVE determina cules
de sus pginas y qu funcionalidad mostrar segn los ajustes que haya configurado.
Para obtener ms informacin sobre especificacin de las pginas que muestra el
IVE a dispositivos distintos, consulte el documento sobre plataformas admitidas por
el IVE que est disponible en la pgina IVE OS Software del sitio Juniper Networks
Customer Support Center.
Para obtener ms informacin sobre los sistemas operativos, PDA y dispositivos de
mano especficos que admite el IVE, consulte Dispositivos de mano y PDA en la
pgina 1031.

Puedo proporcionar acceso seguro a los usuarios internacionales?


El IVE admite los idiomas ingls de (EEUU), francs, alemn, espaol, chino
simplificado, chino tradicional, japons y coreano. Cuando los usuarios inician
sesin en el IVE, ste detecta automticamente el idioma que corresponde de
acuerdo con los ajustes del explorador web del usuario. Tambin puede usar las
opciones de localizacin y pginas de inicio de sesin personalizadas para
especificar manualmente el idioma que desea mostrar a sus usuarios finales.
Para obtener ms informacin sobre localizacin, consulte Compatibilidad con
varios idiomas en la pgina 1027.
Qu puedo hacer con el IVE?

33

Gua de administracin de Secure Access de Juniper Networks

Cmo comienzo a configurar el IVE?


Para habilitar usuarios para que comiencen a usar el dispositivo Secure Access, debe
empezar por lo siguiente:
1. Enchufe el dispositivo, conctelo a la red y configure los ajustes iniciales del
sistema y de la red. Este sencillo y rpido paso se detalla en la Secure Access
Quick Start Guide.
2. Cuando conecte el IVE a su red, deber fijar la fecha y hora del sistema,
actualizarlo para tener el ltimo paquete de servicio e instalar sus licencias
de producto. Cuando inicie sesin por primera vez en la consola de
administracin, el IVE muestra un manual de tareas de configuracin inicial
que le indica los pasos a seguir en el proceso.
3. Tras la instalacin de las licencias de producto, se necesita configurar el marco
de gestin de acceso para permitir a los usuarios autenticarse y tener acceso a
los recursos. Los pasos de configuracin son:
a.

Definir un servidor de autenticacin que verifique los nombres y


contraseas de los usuarios.

b.

Crear roles que permitan tener acceso a mecanismos, opciones de sesin


y opciones de interfaz de usuario para los grupos.

c.

Crear un territorio de autenticacin de usuarios que especifique las


condiciones que deben cumplir para iniciar sesin en el IVE.

d. Definir una directiva de inicio de sesin que especifique la URL a la que


deben tener acceso los usuarios para iniciar sesin en el IVE y la pgina
que vern al iniciar la sesin.
e.

Crear perfiles de recursos que controlen el acceso a stos, especificar los


roles que pueden tener acceso a ellos e incluir marcadores que vinculen
los recursos.

El IVE incluye un manual de tareas en la consola de administracin que seala


los pasos a seguir en el proceso. Para tener acceso al manual de tareas, haga
clic en el vnculo Guidance ubicado en la esquina superior derecha de la
consola de administracin. Luego, bajo Recommended Task Guides, seleccione
Base Configuration. Tambin puede usar el tutorial que se incluye en este
manual. Para obtener ms informacin, consulte Verificacin inicial y
conceptos clave en la pgina 3.
Cuando haya completado los pasos bsicos descritos, su dispositivo Secure Access
estar listo para usarse. Puede comenzar a usarlo como est o puede configurar
caractersticas avanzadas tales como la defensa de punto final y los clsteres.

34

Cmo comienzo a configurar el IVE?

Captulo 2: Introduccin al IVE

Uso de Network and Security Manager con el IVE


Network and Security Manager (NSM) es la herramienta de Juniper Networks para
administrar redes y permite ejercer administracin distribuida de los dispositivos
de red. Se puede usar la aplicacin NSM para centralizar la supervisin de estado,
los registros y comunicaciones y para administrar las configuraciones del IVE.
Con el NSM se pueden administrar la mayora de los parmetros que se pueden
configurar a travs de la consola de administracin del IVE. Las pantallas de
configuracin que muestra el NSM son parecidas a la interfaz nativa del IVE.
El NSM incorpora un marco amplio de administracin de las configuraciones que
permite la coadministracin con otros mtodos. Se puede importar y exportar XML
mediante la interfaz de la consola de administracin del IVE o se puede ejercer la
administracin desde la consola de administracin del IVE.

La manera en que se comunican el IVE y el NSM


El IVE y la aplicacin del NSM se comunican mediante la interfaz de administracin
de dispositivos (DMI). La DMI es una coleccin de protocolos controlados por
esquemas, que se ejecutan sobre un transporte comn (TCP). La DMI est
diseada para funcionar con plataformas de Juniper Networks para hacer
que la administracin de dispositivos sea uniforme en todos los territorios de
administracin. Los protocolos DMI admitidos son NetConf (para administracin
de inventario, configuracin basada en XML, configuracin basada en texto,
supervisin de alarmas y comandos especficos de dispositivos), syslog
estructurado y flujo de amenazas para creacin de perfiles de red. La DMI admite
sistemas de administracin de red de terceros que incorporen el estndar DMI.
Sin embargo, se admite slo un agente basado en DMI por dispositivo.
La configuracin del IVE se representa como un rbol jerrquico de elementos de
configuracin. Esta estructura est expresada en XML, que puede manipularse con
NetConf. NetConf es un protocolo de administracin de red que usa XML. La DMI
usa las capacidades genricas de administracin de configuraciones de NetConf y
las aplica para permitir que se configure el dispositivo de manera remota.
Para permitir que el NSM administre el IVE mediante el protocolo DMI, el NSM debe
importar los archivos de esquema y metadatos desde el Juniper Update Repository,
un recurso de acceso pblico que se actualiza con cada versin del dispositivo.
El Juniper Update Repository brinda acceso a los archivos XSD y XML definidos
para cada dispositivo, modelo y versin del software.
Antes de intentar proporcionar comunicaciones con el NSM, debe completar la
configuracin inicial del IVE. La configuracin inicial incluye los ajustes de interfaz
de red, los ajustes de DNS, las licencias y la administracin de contraseas.
Si tiene varios IVE que se configurarn en un entorno de clsteres, debe en primer
lugar configurar el clster en la interfaz de usuario de administracin del IVE y
luego agregar los nodos al objeto de clster del NSM. El NSM no puede detectar
automticamente la pertenencia a un clster.

Uso de Network and Security Manager con el IVE

35

Gua de administracin de Secure Access de Juniper Networks

Una vez terminada la configuracin de red inicial, se puede configurar el IVE para
proporcionar comunicaciones con el NSM de acuerdo con la informacin de red
correspondiente. Una vez configurado para comunicarse con el NSM, el IVE
establece contacto con el NSM e inicia una sesin de DMI por medio del
establecimiento de una conexin inicial TCP.
Todas las comunicaciones entre el IVE y el NSM suceden sobre SSH a fin de
garantizar la integridad de los datos.
Una vez que el IVE establece contacto inicial con el NSM y se establece una sesin
TCP, la interaccin entre ambos est controlada por el NSM, que enva comandos
para obtener los detalles sobre el hardware, software y licencias del IVE. El NSM se
conecta al Juniper Update Repository para descargar el esquema de configuracin
que corresponde al IVE.
Cuando el IVE y el NSM estn comunicndose, el primero proporciona informacin
de syslog y de sucesos al segundo.
Una vez que se conecte el NSM con el IVE, podr hacer cualquier cambio de
configuracin directamente en el IVE, pasando por alto el NSM. Actualmente no hay
una caracterstica de reimportacin automtica en el NSM. Si se hacen cambios
directamente en el IVE, se deben comunicar manualmente al NSM.
Al hacer cambios a la configuracin del IVE mediante el NSM, se deben traspasar
los cambios al dispositivo llevando a cabo la operacin Update Device.
Cuando se hace doble clic en el cono del dispositivo IVE en Device Manager y se
selecciona la ficha Config, aparece el rbol de configuraciones en el rea principal
de la pantalla con la misma orientacin con que aparecen los elementos en la
interfaz del IVE.

Servicios y opciones de configuracin disponibles


Los siguientes servicios y opciones del IVE estn disponibles en el NSM:

36

Servicio de administracin de inventario: El servicio de administracin de


inventario permite administrar los detalles de software, hardware y licencias
del IVE. No se pueden agregar o eliminar licencias, ni cambiar la versin del
software.

Servicio de supervisin de estado: El servicio de supervisin de estado


permite obtener el estado del IVE, incluido su nombre, dominio, versin del
sistema operativo, estado de sincronizacin, detalles de conexin y alarmas
actuales.

Servicio de registro: El servicio de registro permite obtener los registros del IVE
en el orden en que fueron generados. El registro de detalles de configuracin
que estn fijados en el IVE se aplicarn al NSM.

Servicio de administracin de configuraciones basada en XML: El servicio de


administracin de configuraciones permite al NSM administrar la configuracin
del IVE. Consulte Importacin y exportacin de archivos de configuracin
XML en la pgina 791.

Uso de Network and Security Manager con el IVE

Captulo 2: Introduccin al IVE

Los siguientes elementos de la configuracin del dispositivo no se admiten:

Modificar la informacin de licencia, (aunque pueden verse las licencias)

Creacin de clsteres, unin de nodos a clsteres o habilitar o inhabilitar nodos


de clsteres

Empaquetar archivos de registro o depurar archivos para anlisis remoto

Agregar certificados de dispositivos

Resumen de tareas: Configuracin de las comunicaciones DMI para el NSM


Para configurar el IVE para que se comunique con el NSM, se deben coordinar
acciones entre los administradores del IVE y del NSM. Los administradores del IVE
y del NSM deben compartir elementos como la direccin IP, contrasea, clave
HMAC (contrasea para usar una sola vez) e identificacin del dispositivo.
Para conectar el IVE con el NSM debe hacer lo siguiente:

Instalar y configurar el IVE.

Agregar el IVE como dispositivo en el NSM.

Configurar y activar el agente DMI en el IVE.

Confirmar la conectividad e importar la configuracin del IVE al NSM.

Configurar el IVE para la conexin inicial DMI


Para permitir que el IVE y el NSM establezcan la configuracin inicial, se debe
agregar un usuario administrativo de NSM a la configuracin del IVE. Esta seccin
resume el procedimiento para agregar un administrador de NSM y configurar el
agente DMI para permitir las comunicaciones entre el IVE y el NSM. La
configuracin completa del IVE para la autenticacin de usuarios est fuera del
mbito de esta seccin.
Para iniciar una sesin DMI para las comunicaciones entre el IVE y el NSM:
1. Asegrese de que la informacin bsica sobre la conexin est configurada en
el IVE (direccin de red, DNS, contrasea).
2. Asegrese de que las licencias correspondientes estn instaladas en el IVE.

Uso de Network and Security Manager con el IVE

37

Gua de administracin de Secure Access de Juniper Networks

3. En el Device Manager de la interfaz de usuario del NSM, haga clic en el icono


Add y seleccione Device para abrir el asistente Add Device e introducir la
informacin correspondiente para agregar un IVE al NSM. Consulte
Juniper Networks NetScreen Security Manager Administrators Guide.
NOTA: Se debe introducir un nombre de usuario y contrasea de administrador de

NSM nicos en la interfaz del NSM. El nombre de usuario se usar en el IVE como
nombre de usuario de la cuenta de administrador que se usar para administrar el
IVE. El NSM debe tener un inicio de sesin nico con la cuenta para evitar que se
interrumpan las comunicaciones con el IVE. El NSM genera automticamente una
identificacin nica que se usa para la clave HMAC.
4. En la consola de administracin del IVE, seleccione Authentication > Auth.
servers e introduzca el nombre de usuario y la contrasea del administrador
de NSM con las credenciales que introdujo en el NSM en el servidor de
autenticacin correspondiente. Use el nombre de usuario y la contrasea del
NSM que introdujo en la interfaz de usuario del NSM. Consulte Servidores de
autenticacin y de directorios en la pgina 111.
NOTA: Slo pueden usarse servidores de autenticacin basados en contraseas.
No se admite la autenticacin con una contrasea que se pueda utilizar solamente
una vez.

5. En la interfaz del NSM, seleccione el men Domain y elija el dominio al que se


agregar el IVE.
6. En el Device Manager, haga clic en el icono Add y seleccione Device para abrir
el asistente Add Device e introducir la informacin correspondiente para
agregar un IVE al NSM. Consulte Juniper Networks NetScreen Security Manager
Administrators Guide.
NOTA:

En un entorno de clsteres, cada nodo del clster debe tener su propio y nico
agente DMI y su propia identificacin de dispositivo y clave HMAC, ya que
cada nodo del clster mantiene su propia conexin persistente de DMI con
la aplicacin administrativa.

Se aplica el algoritmo hash a la clave HMAC y a la identificacin de dispositivo


para identificar los dispositivos en la aplicacin. Juniper recomienda que use
una contrasea robusta para el valor de la clave HMAC a fin de garantizar que
nadie la adivine.

7. Cuando se haya agregado el IVE al NSM, seleccione System > Configuration >
DMI Agent en la consola de administracin del IVE y llene los campos NSM
Primary Server IP address or hostname (direccin IP o nombre de host del
servidor NSM principal), Primary Port (puerto principal), Backup Server
(servidor de respaldo) y Backup Port (puerto de respaldo, si corresponde),
Device ID (identificacin de dispositivo) y HMAC Key (clave HMAC).
8. Seleccione el territorio de administracin que configur para el agente DMI.

38

Uso de Network and Security Manager con el IVE

Captulo 2: Introduccin al IVE

9. Seleccione la opcin Enabled.


El IVE inicia una conexin TCP con el NSM. Una vez que el IVE est identificado en
el NSM mediante la clave HMAC y el hash de identificacin del dispositivo, tanto el
IVE como el NSM negocian un tnel SSH y el NSM solicita autenticacin al IVE
mediante nombre de usuario y contrasea.
Si necesita desconectar el dispositivo del NSM, se puede inhabilitar el agente de
DMI del dispositivo o se puede eliminar ste de la interfaz del NSM. Cuando se
reestablece la conexin DMI posteriormente, el NSM recuperar automticamente
los cambios de configuracin y los registros acumulados en ese lapso.

Agregar clsteres del IVE


Para agregar un clster del IVE al NSM, primero agregue el clster y despus
cada uno de los miembros. Agregar un miembro es similar a agregar un IVE
independiente. Es necesario tener un objeto de clster, con todos sus miembros
definidos en el NSM, para que ste pueda tener acceso al clster.

Administracin de grandes archivos de datos binarios


Los grandes archivos de datos binarios que son parte de la configuracin de los
dispositivos Secure Access se manejan de manera distinta que el resto de la
configuracin en el NSM. El tamao de estos archivos binarios podra hacer que las
configuraciones fueran tan grandes que se sobrecargaran los recursos del servidor
NSM. Por consiguiente, slo los grandes archivos binarios que se especifique se
importarn al NSM y se configurarn como objetos compartidos, lo que evita que se
dupliquen al aplicarse a varios dispositivos.
Con el NSM, los grandes archivos de datos binarios no son importados con el resto
de la configuracin durante una operacin normal de importacin de dispositivos.
En lugar de ello, el archivo se representa en el rbol de configuracin del dispositivo
mediante una ruta interna que contiene un hash MD5 y la designacin de la
longitud del archivo. Si necesita manejar un archivo as en el NSM, crguelo de
forma independiente y configrelo como un objeto compartido. Para incluir el
archivo como parte del objeto del dispositivo en el NSM, se debe establecer un
vnculo entre el nodo en el rbol de configuracin del dispositivo y el objeto
compartido de datos binarios. Cuando se establece el vnculo, el hash MD5 y la
longitud se reemplazan por un puntero hacia el objeto compartido.
Despus de establecer el vnculo, una directiva de Update Device lleva todos los
archivos de datos binarios que han sido vinculados hacia el dispositivo junto con
el resto de la configuracin. No se llevan datos binarios para los nodos que siguen
conteniendo hash MD5 y designadores de longitud.
Si no necesita manejar un gran archivo de datos binarios desde el NSM, no necesita
incluirlo en la configuracin de objetos del dispositivo. Por ejemplo, suponga que
tiene un applet de Java que reside en un dispositivo Secure Access y que ni tiene
intencin de actualizarlo. En este caso, no es necesario crear el objeto compartido
ni cargar el archivo. Los objetos de dispositivo en el NSM contendrn solo la ruta
interna con el hash MD5 para estos puntos finales. Cualquier operacin de
configuracin delta entre el NSM y el dispositivo indicar configuraciones idnticas
porque el hash MD5 en el NSM coincidir con el archivo en el dispositivo. Por el
mismo motivo, una directiva Update Device no tendr efecto sobre el dispositivo.

Uso de Network and Security Manager con el IVE

39

Gua de administracin de Secure Access de Juniper Networks

Las siguientes secciones proporcionan instrucciones detalladas sobre


administracin de grandes archivos de datos binarios en el NSM y proporcionan
instrucciones especficas para cargar cada archivo y vincularlo al objeto de
configuracin del dispositivo.

Carga y vinculacin de grandes archivos de datos binarios en la pgina 40

Importacin de pginas de inicio de sesin personalizadas en la pgina 41

Importacin de ajustes Liveupdate del antivirus en la pgina 42

Importacin de paquetes de complemento de evaluacin de seguridad de


punto final (ESAP) en la pgina 43

Vinculacin a un objeto compartido de directiva de Host Checker de terceros


en la pgina 45

Vinculacin a un objeto compartido de una imagen de papel tapiz de Secure


Virtual Workspace en la pgina 45

Importacin de applets de Java hospedadas en la pgina 46

Importacin de un archivo .cab personalizado del cliente de Citrix en la


pgina 47

Carga y vinculacin de grandes archivos de datos binarios


Este tema describe todo el procedimiento para descargar un gran archivo de datos
binarios y vincularlo al rbol de configuracin del dispositivo Secure Access.
Las secciones subsiguientes proporcionan detalles sobre cada archivo.
Para cargar y vincular un gran archivo de datos binarios, haga lo siguiente:
1. En el Device Manager, haga clic en el icono del dispositivo y seleccione Import
Device de la lista para importar la configuracin del dispositivo Secure Access.
Cuando termine la importacin, la configuracin del objeto del dispositivo
tendr rutas internas MD5 para cada gran archivo binario de datos.
2. Cargue cada archivo que necesite en la estacin de trabajo cliente del NSM.
Necesitar obtener algunos archivos del dispositivo Secure Access. Otros, como
los archivos de configuracin ESAP, deben descargarse desde el sitio original.
Use la interfaz web del dispositivo para cargar los archivos binarios desde el
dispositivo Secure Access.
3. Para crear un objeto compartido en el NSM Object Manager para el archivo
binario:

40

a.

En el panel Configure del rbol de navegacin del NSM, seleccione Object


Manager > Binary data y haga clic en el icono Add.

b.

En el cuadro de dilogo Binary Data, introduzca un nombre para el objeto,


seleccione un color para el icono del objeto, agregue un comentario si lo
desea y seleccione el archivo que carg en el paso 2. Haga clic en OK.

Uso de Network and Security Manager con el IVE

Captulo 2: Introduccin al IVE

4. Vincule el objeto compartido al nodo correspondiente en el rbol de


configuracin del dispositivo:
a.

En el Device Manager, haga doble clic en el dispositivo Secure Access para


abrir el editor de dispositivos y seleccione la ficha Configuration.

b.

Navegue hasta el nodo en la configuracin donde desea cargar el archivo


binario.
Por ejemplo, para cargar un paquete ESAP, ample Authentication
y seleccione Endpoint Security. En la ficha Host Checker, seleccione
Endpoint Security Assessment Plug-Ins y haga clic en el icono Add.

c.

Seleccione el objeto compartido.


Para seguir con el ejemplo de ESAP, en el cuadro de dilogo New Endpoint
Security Assessment Plug-Ins, introduzca un nmero de versin, seleccione
un objeto compartido de datos binarios de la lista Path to Package. Esto
incluye todos los objetos compartidos de datos binarios. Haga clic en OK.
Si el objeto que busca no est en la lista, puede agregarlo a la lista de datos
binarios compartidos haciendo clic en el icono Add. Aparece el cuadro de
dilogo Binary Data como en el paso 3.

d. Haga clic en OK para guardar los vnculos configurados.

Importacin de pginas de inicio de sesin personalizadas


La caracterstica de pginas de inicio de sesin personalizadas es una caracterstica
con licencia que le permite usar sus propias pginas de acceso en lugar de tener
que modificar la pgina de inicio de sesin que viene con el dispositivo Secure
Access.
Para crear un vnculo desde un rbol de configuracin Secure Access a un objeto
compartido que contiene una pgina de inicio de sesin personalizada, haga lo
siguiente:
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Ample Authentication.
3. Ample Signing-In.
4. Ample Sign-in Pages.
5. Seleccione Users/Administrator Sign-in Pages y haga clic en el icono Add en el
panel derecho.
6. Introduzca un nombre para la pgina de acceso.
7. Seleccione Custom Sign-in Pages.

Uso de Network and Security Manager con el IVE

41

Gua de administracin de Secure Access de Juniper Networks

8. Seleccione un objeto compartido de datos binarios de la lista Custom Pages


Zip File.
9. Haga clic en OK una vez para guardar el vnculo y otra vez para guardar la
configuracin.
Para crear un vnculo desde un rbol de configuracin Secure Access a un objeto
compartido que contiene una pgina de inicio de sesin personalizada para
reuniones, haga lo siguiente:
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Ample Authentication.
3. Ample Signing-In.
4. Ample Sign-in Pages.
5. Seleccione Meeting Sign-in Pages y haga clic en el icono Add en el panel
derecho.
6. Introduzca un nombre para la pgina de reuniones.
7. Seleccione Custom Sign-in Page.
8. Seleccione un objeto compartido de datos binarios de la lista Blob.
9. Haga clic en OK una vez para guardar el vnculo y otra vez para guardar la
configuracin.

Importacin de ajustes Liveupdate del antivirus


Recupere el ltimo archivo liveupdate del antivirus desde el sitio web de descargas
de Juniper.
En concreto, puede encontrar este archivo en
https://download.juniper.net/software/av/uac/epupdate_hist.xml.

Recupere el ltimo archivo parche desde el sitio web de descargas de Juniper en


https://download.juniper.net/software/hc/patchdata/patchupdate.dat.

Para crear un vnculo desde un rbol de configuracin del dispositivo Secure Access
a un objeto compartido que contiene un archivo liveupdate del antivirus (AV), haga
lo siguiente:
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Ample Authentication.
3. Seleccione Endpoint Security.
4. En la ficha Host Checker, seleccione Live Update Settings.
42

Uso de Network and Security Manager con el IVE

Captulo 2: Introduccin al IVE

5. Seleccione un objeto compartido de datos binarios de la lista Manually import


virus signature.
6. Haga clic en OK para guardar la configuracin.
Para crear un vnculo desde un rbol de configuracin Secure Access a un objeto
compartido que contiene un parche del AV, haga lo siguiente:
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Ample Authentication.
3. Seleccione Endpoint Security.
4. En la ficha Host Checker, seleccione Live Update Settings.
5. Seleccione un objeto compartido de datos binarios de la lista Manually import
patch management data.
6. Haga clic en OK para guardar la configuracin.

Importacin de paquetes de complemento de evaluacin de seguridad de


punto final (ESAP)
El complemento de evaluacin de seguridad de punto final (ESAP) del dispositivo
Secure Access comprueba que las aplicaciones de terceros o puntos finales cumplan
con las reglas predefinidas en la directiva de Host Checker.
Para cargar el ESAP desde el Juniper Networks Customer Support Center a su
equipo cliente de NSM, haga lo siguiente:
1. Abra la siguiente pgina:
https://www.juniper.net/customers/csc/software/ive/

2. Para tener acceso al Customer Support Center, introduzca un nombre de


usuario y contrasea de una cuenta de soporte tcnico de Juniper Networks.
3. Haga clic en el vnculo ESAP.
4. Haga clic en el vnculo ESAP Download Page.
5. Busque la versin de ESAP que necesita.
6. Cargue el archivo zip con el complemento a su equipo.
Para crear un vnculo desde un rbol de configuracin Secure Access a un objeto
compartido que contiene un paquete ESAP, haga lo siguiente:
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Ample Authentication.
3. Seleccione Endpoint Security.
Uso de Network and Security Manager con el IVE

43

Gua de administracin de Secure Access de Juniper Networks

4. En la ficha Host Checker, seleccione Endpoint Security Assessment Plug-Ins


y haga clic en el icono Add.
5. En el cuadro de dilogo New Endpoint Security Assessment Plug-Ins, introduzca
el nmero de versin del ESAP.
6. Seleccione un objeto compartido binario de la lista Path to Package.
7. Haga clic en OK una vez para guardar el vnculo y otra vez para guardar la
configuracin.
Carga de una directiva Host Checker de terceros
Para que el dispositivo reconozca un archivo de definicin de paquetes, debe hacer
lo siguiente:
1. Poner un nombre al archivo de definicin de paquetes MANIFEST.HCIF e
incluirlo en una carpeta llamada META-INF.
2. Crear un paquete de directivas Host Checker creando un archivo zip. El archivo
debe contener la carpeta META-INF que contiene el archivo MANIFEST.HCIF junto
con la DLL de interfaz y cualquier archivo de inicializacin. Por ejemplo,
un paquete de directivas Host Checker podra contener lo siguiente:
META-INF/MANIFEST.HCIF
hcif-myPestPatrol.dll
hcif-myPestPatrol.ini

3. Cargue el paquete (o paquetes) Host Checker al objeto compartido de NSM. Se


pueden cargar varios paquetes de directivas a los objetos compartidos de NSM,
cada uno de los cuales contiene un archivo MANIFEST.HCIF distinto.
NOTA: Despus de cargar un paquete de directivas Host Checker al objeto
compartido NSM, no se puede modificar el contenido del paquete. En su lugar,
debe modificar el paquete en su sistema local y cargar la versin modificada
al NSM.

4. Implemente la directiva en los niveles de territorio, rol o directiva de recursos


usando las opciones. Consulte el Secure Access Administration Guide o el
Unified Access Control Administration Guide para obtener informacin sobre
cmo configurar las restricciones de Host Checker.
Si desea verificar que el paquete est instalado y ejecutndose en el equipo
del cliente (en lugar de si una directiva especfica del paquete se cumple o no),
se puede usar el nombre que especific al cargar el paquete de directivas
(por ejemplo, miPestPatrol). Para hacer cumplir una directiva especfica del
paquete use la sintaxis nombrepaquete.nombredirectiva. Por ejemplo, para
hacer cumplir la directiva FileCheck del paquete miPestPatrol, use
miPestPatrol.FileCheck.

44

Uso de Network and Security Manager con el IVE

Captulo 2: Introduccin al IVE

Vinculacin a un objeto compartido de directiva de Host Checker


de terceros
Para crear un vnculo desde un rbol de configuracin del dispositivo Secure Access
a un objeto compartido que contiene una directiva Host Checker de terceros, haga
lo siguiente:
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Ample Authentication.
3. Seleccione Endpoint Security.
4. En la ficha Host Checker, seleccione la ficha Settings y haga clic en el icono Add
en el cuadro Policies.
5. En la lista Policy type, seleccione 3rd Party Policy.
6. Ponga un nombre a la directiva.
7. Seleccione un objeto compartido de datos binarios de la lista Package.
8. Haga clic en OK para guardar la configuracin.

Vinculacin a un objeto compartido de una imagen de papel tapiz de


Secure Virtual Workspace
Para crear un vnculo desde un rbol de configuracin del dispositivo Secure Access
a un objeto compartido que contiene una imagen de papel tapiz de Secure Virtual
Workspace, haga lo siguiente:
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Ample Authentication.
3. Seleccione Endpoint Security.
4. En la ficha Host Checker, seleccione la ficha Settings y haga clic en el icono Add
en el cuadro Policies.
5. En la lista Policy type, seleccione Secure Virtual Workspace Policy.
6. Seleccione la ficha Options.
7. Seleccione un objeto compartido de datos binarios de la lista Desktop
wallpaper image.
8. Haga clic en OK para guardar la configuracin.

Uso de Network and Security Manager con el IVE

45

Gua de administracin de Secure Access de Juniper Networks

Importacin de applets de Java hospedadas


Se pueden almacenar applets de Java como objetos compartidos en el NSM sin
tener que usar un servidor web independiente para albergarlos. As se pueden
usar para proporcionar intermediacin del trfico de varios tipos de aplicaciones
mediante el dispositivo Secure Access. Por ejemplo, se pueden cargar los applets
3270 o 5250 o el applet Java de Citrix a los objetos compartidos de NSM. Estos
applets permiten que los usuarios establezcan sesiones en los servidores de
codificacin de IBM, AS/400s y Citrix MetaFrame mediante emuladores de
terminal. Para habilitar el cliente ICA de Citrix en Java mediante una sesin del IVE,
se deben cargar varios archivos .jar y .cab de Citrix o configurar un perfil de
recursos de Citrix Terminal Services para albergar los applets de Java.
Se pueden cargar archivos individuales .jar y .cab o archivos de almacenamiento
.zip, .cab, o .tar a los objetos compartidos de NSM. Los archivos de almacenamiento
pueden contener applets de Java y los archivos a los que hacen referencia los
applets. En el archivo .zip, .cab, o .tar, el applet de Java debe residir en el
primer nivel.
Para garantizar la compatibilidad con mquinas virtuales de Java (JVM) en Sun y
Microsoft, se deben cargar tanto archivos .jar como .cab. La JVM de Sun usa los
archivos .jar y la JVM de Microsoft usa los archivos .cab.
NOTA: Cuando se cargan applets de Java al NSM, este pide que se lea el acuerdo
legal antes de terminar de instalarlos. Lea atentamente el acuerdo, pues le obliga a
asumir toda la responsabilidad por la legalidad, operacin y compatibilidad de los
applets de Java que est cargando.

La carga de applets de Java requiere applets de ActiveX o Java firmados a fin de


que se habiliten dentro el explorador para descargar, instalar e iniciar las
aplicaciones cliente.
Para crear un vnculo desde un rbol de configuracin del dispositivo Secure Access
a un objeto compartido que contiene un applet de Java, haga lo siguiente:
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Ample Users.
3. Ample Resource Profiles.
4. Seleccione Hosted Java Applets y haga clic en el icono Add en el panel
derecho.
5. Ponga un nombre al applet y al archivo.
6. Seleccione un objeto compartido de datos binarios de la lista Applet file to be
uploaded.
7. Haga clic en OK una vez para guardar el vnculo y otra vez para guardar la
configuracin.

46

Uso de Network and Security Manager con el IVE

Captulo 2: Introduccin al IVE

Importacin de un archivo .cab personalizado del cliente de Citrix


El archivo personalizado del cliente de Citrix le permite proporcionar ste desde el
dispositivo Secure Access en lugar de pedirle que est preinstalado en los equipos
del usuario final o que se descargue de algn otro servidor web.
Para crear un vnculo desde un rbol de configuracin del dispositivo Secure Access
a un objeto compartido que contiene un archivo .cab personalizado del cliente de
Citrix, haga lo siguiente:
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Ample Users.
3. Seleccione User Roles.
4. Seleccione la ficha Global Role Options.
5. En la ficha Global Terminal Services Role Options, seleccione un objeto
compartido de datos binarios de la lista Citrix Client CAB File.
6. Haga clic en OK para guardar la configuracin.

Uso de Network and Security Manager con el IVE

47

Gua de administracin de Secure Access de Juniper Networks

48

Uso de Network and Security Manager con el IVE

Parte 2

Marco de administracin de acceso


El IVE protege los recursos usando los siguientes mecanismos de administracin
de accesos:

Territorio de autenticacin: La accesibilidad a los recursos comienza con


el territorio de autenticacin. Un territorio de autenticacin especifica las
condiciones que los usuarios deben cumplir para iniciar sesin en el IVE.
Una especificacin de territorio de autenticacin incluye varios componentes,
como un servidor de autenticacin que verifica que el usuario es quien dice ser.
El usuario debe cumplir con los requisitos de seguridad definidos para la
directiva de autenticacin del territorio. De lo contrario, el IVE no reenviar
las credenciales del usuario al servidor de autenticacin.

Roles de usuario: La configuracin de roles sirve como el segundo nivel de


control de acceso a los recursos. Un rol es una entidad definida que especifica
las propiedades de la sesin del IVE para los usuarios asignados a ese rol. Un rol
no es la nica forma de especificar los mecanismos de acceso disponibles para
un usuario; usted tambin puede especificar las restricciones que deben
cumplir los usuarios antes de asignarlos a un rol.

Directiva de recursos: Una directiva de recursos sirve como el tercer nivel


de control de acceso a los recursos. Una directiva de recursos es un conjunto
de nombres de recursos (tales como direcciones URL, nombres de hosts,
y combinaciones de la direccin IP y la mscara de red) a los que usted
concede o deniega el acceso u otras acciones especficas para los recursos,
como rescribir y almacenar la cach. Aunque es el rol el que puede conceder
acceso a determinados tipos de caractersticas de acceso y recursos (como
marcadores y aplicaciones), son las directivas de recursos las que controlan si
un usuario puede o no tener acceso a un recurso especfico. Tenga en cuenta
que puede crear directivas de recursos separadas o puede crear directivas de
recursos automticas (llamadas directivas automticas) durante la
configuracin del perfil de recursos (recomendado).

Esta seccin contiene la siguiente informacin acerca del marco de administracin


de acceso del IVE:

Administracin de acceso general en la pgina 51

Roles de usuario en la pgina 69

Perfiles de recursos en la pgina 91

Directivas de recursos en la pgina 101

49

Gua de administracin de Secure Access de Juniper Networks

50

Servidores de autenticacin y de directorios en la pgina 111

Territorios de autenticacin en la pgina 195

Directivas de inicio de sesin en la pgina 211

Inicio de sesin nico en la pgina 223

Captulo 3

Administracin de acceso general


El IVE le permite asegurar los recursos de su empresa usando territorios de
autenticacin, roles de usuario y directivas de recursos. Estos tres niveles de
accesibilidad le permiten controlar el acceso desde un nivel muy amplio (controlar
quin puede iniciar sesin en el IVE) hasta un nivel muy particular (controlar qu
usuarios autenticados pueden tener acceso a una direccin URL o a un archivo
en especial). Puede especificar los requisitos de seguridad que los usuarios deben
cumplir para iniciar sesin en el IVE, para obtener acceso a las caractersticas del
IVE e incluso para tener acceso a direcciones URL, archivos y otros recursos del
servidor especficos. El IVE aplica las directivas, reglas, restricciones y condiciones
que usted configure para evitar que los usuarios se conecten o descarguen recursos
y contenidos no autorizados.
Este tema contiene la siguiente informacin acerca del marco de administracin
de acceso:

Licencia: Disponibilidad de la administracin de acceso en la pgina 52

Vista general de las directivas, reglas, restricciones y condiciones en la


pgina 52

Evaluacin de las directivas, reglas, restricciones y condiciones en la


pgina 54

Evaluacin dinmica de directivas en la pgina 57

Configuracin de los requisitos de seguridad en la pgina 60

51

Gua de administracin de Secure Access de Juniper Networks

Licencia: Disponibilidad de la administracin de acceso


El marco de administracin de acceso del IVE est disponible en todos los
productos Secure Access. Las componentes de la administracin de acceso, como
los territorios, roles, directivas de recursos y servidores, son la base de la plataforma
del IVE sobre la que se construyen todos los productos Secure Access.

Vista general de las directivas, reglas, restricciones y condiciones


El IVE le permite asegurar los recursos de su empresa usando territorios de
autenticacin, roles de usuario y directivas de recursos. Estos tres niveles de
accesibilidad le permiten controlar el acceso desde un nivel muy amplio (controlar
quin puede iniciar sesin en el IVE) hasta un nivel muy particular (controlar qu
usuarios autenticados pueden tener acceso a una direccin URL o a un archivo
en especial).
Esta seccin contiene la siguiente informacin acerca de las directivas, reglas,
restricciones y condiciones de la administracin de acceso:

Acceso a territorios de autenticacin en la pgina 52

Acceso a los roles de usuario en la pgina 53

Acceso a directivas de recursos en la pgina 54

Acceso a territorios de autenticacin


La accesibilidad a los recursos comienza con el territorio de autenticacin.
Un territorio de autenticacin es una agrupacin de recursos de autenticacin,
que incluye:

52

Un servidor de autenticacin, que verifica que el usuario es quien dice ser.


El IVE reenva las credenciales que enva el usuario a travs de la pgina de
inicio de sesin a un servidor de autenticacin. Para obtener ms informacin,
consulte Servidores de autenticacin y de directorios en la pgina 111.

Una directiva de autenticacin, que especifica los requisitos de seguridad del


territorio que debern cumplirse para que el IVE enve las credenciales del
usuario a un servidor de autenticacin para verificarlas. Para obtener ms
informacin, consulte Definicin de directivas de autenticacin en la
pgina 198.

Un servidor de directorio, que corresponde a un servidor LDAP que le


proporciona al IVE informacin del usuario y del grupo que ste utiliza para
asignar usuarios a uno o ms roles. Para obtener ms informacin, consulte
Servidores de autenticacin y de directorios en la pgina 111.

Licencia: Disponibilidad de la administracin de acceso

Captulo 3: Administracin de acceso general

Reglas de la asignacin de roles, que son las condiciones que un usuario


debe cumplir para que el IVE lo asigne a uno o ms roles de usuario. Estas
condiciones se basan en la informacin del usuario devuelta por el servidor
de directorio del territorio o en el nombre de usuario. Para obtener ms
informacin, consulte Creacin de reglas de asignacin de roles en la
pgina 199.

Puede asociar uno o ms territorios de autenticacin con una pgina de inicio de


sesin del IVE. Cuando exista ms de un territorio para una pgina de inicio de
sesin, el usuario debe especificar un territorio antes de enviar sus credenciales.
Cuando el usuario enva sus credenciales, el IVE comprueba la directiva de
autenticacin definida para el territorio escogido. El usuario debe cumplir con los
requisitos de seguridad definidos para la directiva de autenticacin del territorio.
De lo contrario, el IVE no reenviar las credenciales del usuario al servidor de
autenticacin.
A nivel de territorio, puede especificar los requisitos de seguridad basados en
distintos elementos, como la direccin IP de origen del usuario o la posesin de un
certificado del lado cliente. Si el usuario cumple con los requisitos que especifica la
directiva de autenticacin del territorio, el IVE reenviar las credenciales del usuario
al servidor de autenticacin correspondiente. Si el servidor autentica correctamente
al usuario, entonces el IVE evala las reglas de la asignacin de roles definidas para
el territorio para determinar qu roles se deben asignar al usuario. Consulte
Territorios de autenticacin en la pgina 195.

Acceso a los roles de usuario


Un rol es una entidad definida que especifica las propiedades de la sesin del
IVE para los usuarios asignados a ese rol. Entre estas propiedades de sesin se
encuentran los tiempos de espera y los componentes de acceso habilitados para la
sesin. La configuracin de un rol sirve como el segundo nivel de control de acceso
a los recursos. Un rol no es la nica forma de especificar los mecanismos de acceso
disponibles para un usuario; usted tambin puede especificar las restricciones que
deben cumplir los usuarios antes de asignarlos a un rol. El usuario debe cumplir
estos requisitos de seguridad para que el IVE le asigne un rol.
A nivel de rol, puede especificar los requisitos de seguridad basndose en
elementos como la direccin IP de origen del usuario y la posesin de un certificado
del lado cliente. Si el usuario cumple los requisitos especificados, ya sea por una
regla de asignacin de roles o por las restricciones para un rol, entonces el IVE
asigna al usuario a un rol. Cuando un usuario realiza una solicitud a los recursos
backend disponibles para el rol, el IVE evala las directivas de recursos de los
componentes de acceso correspondientes.
Tenga en cuenta que puede especificar los requisitos de seguridad para un rol en
dos lugares: en las reglas de la asignacin de roles de un territorio de autenticacin
(usando expresiones personalizadas) o al sealar las restricciones en la definicin
del rol. El IVE evala los requisitos especificados en ambas reas para asegurarse de
que el usuario los cumple antes de asignarlo a un rol. Consulte Roles de usuario
en la pgina 69.

Vista general de las directivas, reglas, restricciones y condiciones

53

Gua de administracin de Secure Access de Juniper Networks

Acceso a directivas de recursos


Una directiva de recursos es un conjunto de nombres de recursos (tales como
direcciones URL, nombres de hosts, y combinaciones de direccin IP y mscara de
red) a los que se concede o deniega el acceso u otras acciones especficas para los
recursos, como rescribir y almacenar la cach. Una directiva de recursos sirve como
el tercer nivel de control de acceso a los recursos. Aunque es el rol el que puede
conceder acceso a determinados tipos de caractersticas de acceso y recursos
(como marcadores y aplicaciones), son las directivas de recursos las que controlan
si un usuario puede o no tener acceso a un recurso especfico. Estas directivas
pueden incluso especificar las condiciones que, de cumplirse, concedern acceso al
usuario a los recursos compartidos o a los archivos del servidor. Estas condiciones
pueden basarse en requisitos de seguridad especificados por usted. El usuario debe
cumplir estos requisitos de seguridad para que el IVE procese su solicitud.
A nivel de recursos, puede especificar los requisitos de seguridad basndose en
elementos como la direccin IP de origen del usuario o la posesin de un
certificado del lado cliente. Si el usuario cumple con los requisitos especificados por
las condiciones de la directiva de recursos, entonces el IVE conceder acceso al
recurso solicitado. Por ejemplo, puede habilitar acceso a travs de la Web en un
nivel de roles y el usuario asignado a ese rol podr realizar solicitudes a travs de la
Web. Tambin puede configurar una directiva de recursos en Web para denegar
solicitudes a una direccin URL o ruta especfica cuando el Host Checker encuentra
un archivo inaceptable en el equipo del usuario. En este caso, el IVE comprueba si
el Host Checker se est ejecutando e indica que el equipo del usuario cumple con
la directiva requerida del Host Checker. Si el equipo del usuario cumple con la
directiva, lo que significa que no hay un archivo inaceptable, entonces el IVE le
concede acceso al usuario para el recurso Web solicitado.
Tenga en cuenta que puede crear directivas de recursos separadas o puede crear
directivas de recursos automticas (llamadas directivas automticas) durante la
configuracin del perfil de recursos (recomendado). Para obtener ms informacin,
consulte:

Componentes de los perfiles de recursos en la pgina 92

Directivas de recursos en la pgina 101

Evaluacin de las directivas, reglas, restricciones y condiciones


El siguiente diagrama ilustra las comprobaciones de la seguridad de la
administracin de acceso que realiza el IVE cuando un usuario intenta obtener
acceso a los recursos a travs del IVE. Despus del diagrama encontrar una
descripcin detallada de cada paso.

54

Evaluacin de las directivas, reglas, restricciones y condiciones

Captulo 3: Administracin de acceso general

Figura 18: Comprobaciones de seguridad realizada por el IVE durante una sesin
de usuario

1. El usuario escribe la direccin URL de la consola del usuario final del IVE
(como http://empleados.suempresa.com/marketing) en un navegador Web.
2. El IVE evala sus directivas de inicio de sesin (comenzando con las
direcciones URL del administrador y siguiendo con las URL del usuario) hasta
que encuentra una coincidencia con el nombre del host que el usuario
introdujo.
3. El IVE evala las restricciones de la autenticacin previa y determina si el
sistema del usuario aprueba las comprobaciones del host y otros requisitos.
Si la comprobacin de autenticacin previa no se aprueba, el IVE denegar el
acceso al usuario. Si se aprueba la comprobacin, el IVE le solicitar al usuario
que escriba el nombre de usuario y la contrasea para los territorios en los que
tuvo xito la comprobacin de autenticacin previa. (Si el territorio lo requiere,
el IVE le indica al usuario que escriba dos grupos de credenciales). Si existe ms
de un territorio, el usuario deber introducir un territorio o escoger uno de
la lista.

Evaluacin de las directivas, reglas, restricciones y condiciones

55

Gua de administracin de Secure Access de Juniper Networks

4. El IVE evala las restricciones de autenticacin posterior y determina si la


contrasea del usuario satisface los lmites y requisitos especficos. Si la
comprobacin de autenticacin posterior no se aprueba, el IVE denegar
el acceso al usuario. Si se aprueba la comprobacin, el IVE enviar las
credenciales del usuario al servidor de autenticacin del territorio.
5. El IVE reenva el nombre de usuario y la contrasea del usuario al servidor de
autenticacin, que devuelve un resultado correcto o errneo. (Un servidor de
autenticacin RADIUS o SiteMinder tambin devuelve atributos para que los
use el IVE para asignacin de roles.) Si el servidor de autenticacin devuelve un
error, el IVE denegar el acceso al usuario. Si el servidor devuelve un resultado
correcto, el IVE almacenar las credenciales del usuario. Si el territorio tiene un
servidor de autorizacin LDAP separado, el IVE tambin consulta al servidor
LDAP los atributos y la informacin del grupo y guarda la informacin que
devuelve el LDAP. Si el territorio cuenta con un servidor de autenticacin
secundario, el IVE repite el proceso con ese servidor.
6. El IVE evala las reglas de la asignacin de roles del territorio y determina los
roles a los que puede optar el usuario. El IVE determina la aptitud del usuario
usando la informacin de los servidores LDAP o RADIUS o el nombre de
usuario del usuario.
7. El IVE evala las restricciones de los roles disponibles, habilitando al usuario
a tener acceso a los roles que tienen restricciones que cumple el equipo del
usuario. Las restricciones pueden incluir la direccin IP de origen, el tipo de
navegador, el certificado del lado cliente, Host Checker y Cache Cleaner.
8. El IVE crea un rol de sesin y determina los permisos para la sesin del
usuario. Si habilita la combinacin de permisos, el IVE determina los permisos
para la sesin combinando todos los roles vlidos y permitiendo el acceso a los
recursos de cada rol vlido. Si no habilita la combinacin de permisos, el IVE da
al usuario el primer rol al que l est asignado. Para obtener ms informacin,
consulte Evaluacin de rol de usuario en la pgina 70.
9. Cuando el usuario solicita un recurso, el IVE comprueba si la caracterstica
de acceso correspondiente est habilitada para el rol del usuario de la sesin.
En caso contrario, el IVE deniega el acceso del usuario. Si la caracterstica de
acceso est habilitada, el IVE evala las directivas de recursos.
10. El IVE evala los perfiles y las directivas de recursos relacionadas con la
solicitud del usuario, procesando cada una de forma secuencial hasta que
encuentra el perfil o la directiva que tiene la lista de recursos y los roles
designados que coinciden con la solicitud del usuario. El IVE deniega el acceso
al usuario al recurso si la directiva o el perfil lo especifican as. Por otra parte,
si la directiva o el perfil habilitan el acceso, el IVE intermedia la solicitud del
usuario. Para obtener ms informacin, consulte Evaluacin de las directivas
de recursos en la pgina 106.
11. El IVE intermedia la solicitud del usuario reenviando su solicitud y sus
credenciales (si es necesario) al servidor adecuado. Luego, el IVE reenva la
respuesta de servidor al usuario.

56

Evaluacin de las directivas, reglas, restricciones y condiciones

Captulo 3: Administracin de acceso general

12. El usuario obtiene acceso al recurso o al servidor solicitado. La sesin del


usuario finaliza cuando el usuario se desconecta o cuando termina el tiempo
de espera de la sesin debido a los lmites de tiempo o de inactividad. El IVE
tambin puede forzar la salida del usuario de la sesin si habilita la evaluacin
dinmica de directivas y el usuario no cumple con una directiva. Para obtener
ms informacin, consulte Comprensin de la evaluacin dinmica de
directivas en la pgina 57.
NOTA: Si habilita la evaluacin dinmica de directivas, el IVE realiza
comprobaciones adicionales ms all de las mencionadas aqu. Para obtener ms
informacin, consulte Comprensin de la evaluacin dinmica de directivas en
la pgina 57.

Evaluacin dinmica de directivas


La evaluacin dinmica de directivas le permite actualizar automtica o
manualmente los roles asignados de los usuarios al evaluar la directiva de
autenticacin del territorio, las asignaciones de roles, las restricciones de los
roles y las directivas de recursos. Cuando el IVE realiza una evaluacin dinmica,
comprueba si el estado del cliente ha cambiado. (Por ejemplo, es posible que el
estado del Host Checker del cliente haya cambiado. O bien, si el usuario es mvil,
es posible que la direccin IP del equipo haya cambiado). Si el estado cambia, el
IVE habilita o deniega el acceso al usuario a los territorios, roles o directivas de
recursos que dependen de ese estado.
NOTA: El IVE no comprueba cambios en los atributos del usuario desde un
servidor RADIUS, LDAP o SiteMinder cuando realiza la evaluacin dinmica de
directivas. En cambio, el IVE reevala las reglas y directivas basndose en los
atributos originales del usuario que obtuvo cuando el usuario inici sesin en
el IVE.

Esta seccin contiene la siguiente informacin acerca de la evaluacin dinmica


de directivas:

Comprensin de la evaluacin dinmica de directivas en la pgina 57

Comprensin de la evaluacin de directivas estndar en la pgina 58

Habilitacin de la evaluacin dinmica de directivas en la pgina 59

Comprensin de la evaluacin dinmica de directivas


Durante la evaluacin dinmica de directivas, el IVE evala los siguientes tipos de
directivas de recursos:

Windows Secure Application Manager

Java Secure Application Manager

Network Connect

Evaluacin dinmica de directivas

57

Gua de administracin de Secure Access de Juniper Networks

Telnet/SSH

Terminal Services (Windows y Citrix)

Java Access

Firma de cdigo (para applets java)

NOTA: Debido a que el IVE evala las directivas de recursos de la Web y los
archivos cada vez que el usuario realiza una solicitud para un recurso, la
evaluacin dinmica de directivas no es necesaria para estos elementos. El IVE no
usa la evaluacin dinmica de directivas para directivas de recursos de reuniones
o de clientes de correo electrnico.

Si despus de una evaluacin dinmica de directivas el IVE determina que un


usuario ya no cumple con los requisitos de seguridad de una directiva o rol, el IVE
finaliza la conexin con el usuario inmediatamente. El usuario podra experimentar
el cierre de una conexin de TCP o de una aplicacin, o el trmino de una sesin de
usuario para Network Connect, Secure Application Manager, Terminal o Telnet/SSH.
El usuario debe tomar las medidas necesarias para cumplir los requisitos de
seguridad de la directiva o el rol y luego iniciar sesin nuevamente en el IVE.
El IVE registra la informacin acerca de la evaluacin de las directivas y los cambios
en los roles o en el acceso en el Registro de Eventos.

Comprensin de la evaluacin de directivas estndar


Si no usa la evaluacin dinmica de directivas, el IVE evala las directivas y los roles
slo cuando ocurren los siguientes eventos:

Cuando el usuario intenta entrar a la pgina de inicio del IVE por primera vez,
el IVE evala las directivas del Host Checker y de Cache Cleaner (si las hubiera)
para un territorio.

Inmediatamente despus de la autenticacin inicial del usuario, el IVE evala


las restricciones del territorio del usuario en la directiva de autenticacin, las
reglas de la asignacin de roles y las restricciones de roles.

Cada vez que el usuario realiza una solicitud por un recurso, el IVE evala las
directivas de recursos.

Cada vez que cambia el estado del Host Checker y Cache Cleaner en el equipo
del cliente, el IVE evala las directivas del Host Checker y de Cache Cleaner
(si las hubiera) para un rol.

Si no usa la evaluacin dinmica de directivas y realiza cambios en una directiva de


autenticacin, en las reglas de la asignacin de roles, en las restricciones de roles o
en las directivas de recursos, el IVE aplica esos cambios slo cuando ocurren dichos
eventos. (Para obtener ms informacin, consulte Vista general de las directivas,
reglas, restricciones y condiciones en la pgina 52.)

58

Evaluacin dinmica de directivas

Captulo 3: Administracin de acceso general

Si usa la evaluacin de directivas dinmica, el IVE aplica los cambios cuando


ocurren los eventos descritos anteriormente y tambin aplica los cambios en
los momentos que usted especifique. Para obtener ms informacin, consulte
Habilitacin de la evaluacin dinmica de directivas en la pgina 59.

Habilitacin de la evaluacin dinmica de directivas


Puede usar la evaluacin dinmica de directivas de las siguientes formas:

Evaluar a todos los usuarios que inician sesin en un territorio: Puede


actualizar automtica o manualmente los roles de todos los usuarios que
actualmente han iniciado sesin en un territorio, a travs de la ficha General de
las pginas Administrators > Admin Realms > Seleccionar territorio o Users >
User Realms > Seleccionar territorio. Puede activar el IVE para realizar una
evaluacin dinmica de directivas a nivel del territorio, basndose en:

Un temporizador automtico: Puede especificar un intervalo de


actualizacin que determine la frecuencia (por ejemplo, cada 30 minutos)
con la que el IVE realiza la evaluacin automtica de directivas de todos los
usuarios del territorio actualmente conectados. Al usar el intervalo de
actualizacin, tambin puede ajustar el rendimiento del IVE al especificar
si desea o no actualizar los roles y las directivas de recursos, adems de la
directiva de autenticacin, las reglas de la asignacin de roles y las
restricciones de roles.

A peticin: En cualquier momento puede evaluar de forma manual la


directiva de autenticacin, las reglas de la asignacin de roles, las
restricciones de roles y las directivas de recursos de todos los usuarios
del territorio actualmente conectados. Esta tcnica es especialmente til
si realiza cambios en una directiva de autenticacin, en las reglas de la
asignacin de roles, en las restricciones de roles y desea actualizar de
forma inmediata los roles de los usuarios de un territorio.

Evaluar a todos los usuarios conectados en todos los territorios: En cualquier


momento puede actualizar de forma manual los roles de todos los usuarios
conectados a todos los territorios mediante las configuraciones de la pgina
System > Status >Active Users. Para obtener ms informacin, consulte
Supervisin de usuarios activos en la pgina 848.

Evaluar usuarios individuales: Puede actualizar de forma automtica los roles


de los usuarios individuales habilitando la evaluacin dinmica de directivas
para Host Checker en la pgina Authentication > Endpoint Security > Host
Checker. Host Checker puede activar el IVE para que evale las directivas de
recursos cada vez que el estado de Host Checker de un usuario cambia. (Si no
habilita la evaluacin dinmica de directivas para Host Checker, el IVE no
evaluar las directivas de recursos pero s evaluar la directiva de autenticacin,
las reglas de la asignacin de roles y las restricciones de roles cada vez que el
estado del Host Checker del usuario cambie). Para obtener ms informacin,
consulte Especificacin de las opciones generales de Host Checker en la
pgina 314.

Evaluacin dinmica de directivas

59

Gua de administracin de Secure Access de Juniper Networks

Configuracin de los requisitos de seguridad


Puede especificar requisitos de seguridad adicionales en el IVE a travs de las
opciones y caractersticas que se describen en las siguientes secciones:

Especificacin de las restricciones de acceso de la direccin IP de origen


en la pgina 60

Especificacin de las restricciones de acceso para exploradores en la


pgina 62

Especificacin de las restricciones de acceso para certificados en la pgina 65

Especificacin de las restricciones de acceso para contraseas en la


pgina 66

Especificacin de las restricciones de acceso para Host Checker en la


pgina 67

Especificacin de las restricciones de acceso para Cache Cleaner en la


pgina 67

Especificacin de las restricciones de acceso de la direccin IP de origen


Use una restriccin para la direccin IP de origen en el nivel de rol o territorio para
controlar las direcciones IP desde las que los usuarios pueden tener acceso a un
recurso, a una pgina de inicio de sesin de IVE, o desde las cuales se les pueden
asignar roles.
Use una restriccin para la direccin IP de origen para controlar las direcciones IP
desde las que los usuarios pueden tener acceso a un recurso, a una pgina de inicio
de sesin de IVE o desde la cual se les pueda asignar a un rol.
Puede restringir el acceso a los recursos por la direccin de IP de origen:

60

Cuando los administradores o los usuarios intenten iniciar sesin en el IVE:


El usuario debe iniciar sesin desde un equipo que tenga una combinacin de
direccin IP y mscara de red que cumpla con los requisitos especificados para
la direccin IP de origen para el territorio de autenticacin seleccionado. Si el
equipo del usuario no tiene la combinacin de direccin IP y mscara de red
requerida por el territorio, el IVE no reenviar las credenciales del usuario al
servidor de autenticacin y el usuario no tendr acceso al IVE. Puede permitir
o denegar el acceso a cualquier combinacin de direccin IP y mscara de red.
Por ejemplo, puede negar el acceso a todos los usuarios de una red inalmbrica
(10.64.4.100) y permitir el acceso a los usuarios de todas las otras redes
(0.0.0.0).

Cuando se les asigna un rol a los administradores o a los usuarios: El usuario


autenticado debe iniciar sesin desde un equipo que tenga una combinacin de
direccin IP y mscara de red que cumpla con los requisitos especificados para
la direccin IP de origen para cada rol al que el IVE pueda asignar al usuario. Si
el equipo del usuario no tiene la combinacin de direccin IP y mscara de red
que requiere el rol, entonces el IVE no asigna al usuario a ese rol.

Configuracin de los requisitos de seguridad

Captulo 3: Administracin de acceso general

Cuando los usuarios solicitan un recurso: El usuario autenticado y autorizado


debe realizar una solicitud desde un equipo que tenga una combinacin de
direccin IP y mscara de red que cumpla los requisitos para la direccin IP de
origen especificados para la directiva de recursos correspondiente a la solicitud
del usuario. Si el equipo del usuario no tiene la combinacin de direccin IP y
mscara de red que requiere el recurso, entonces el IVE no le concede acceso al
usuario a ese recurso.

Para especificar las restricciones de la direccin IP de origen:


1. Seleccione el nivel donde quiere implementar las restricciones de direccin IP:

Nivel de territorio: dirjase a:

Administrators > Admin Realms > Seleccionar territorio >


Authentication Policy > Source IP

Users > User Realms > Seleccionar territorio > Authentication


Policy > Source IP

Nivel de rol: dirjase a:

Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Source IP

Users > User Roles > Seleccionar rol > General > Restrictions >
Source IP

Nivel de directiva de recursos: dirjase a: Users > Resource Policies >


Seleccionar recurso > Seleccionar directiva > Detailed Rules >
Seleccionar|Crear regla > Campo de condicin

2. Escoja una de las siguientes opciones:

Allow users to sign in from any IP address: Habilita a los usuarios para
que inicien sesin en el IVE desde cualquier direccin IP para satisfacer el
requisito de administracin de acceso.

Allow or deny users from the following IP addresses: Especifica si se


permite o se restringe el acceso de los usuarios al IVE desde todas las
direcciones IP que aparecen en la lista, en funcin de sus configuraciones.
Para especificar el acceso desde una direccin IP:
i.

Escriba la direccin IP y la mscara de red.

ii.

Seleccione una de estas opciones:

Allow para permitir que los usuarios inicien sesin desde las
direcciones IP especificadas.

Configuracin de los requisitos de seguridad 61

Gua de administracin de Secure Access de Juniper Networks

Deny para impedir que los usuarios inicien sesin desde las
direcciones IP especificadas.

iii. Haga clic en Add.


iv. Si agrega mltiples direcciones IP, mueva las restricciones de ms alta
prioridad al principio de la lista seleccionando la casilla de verificacin
junto a la direccin IP y luego haga clic en el botn de la flecha hacia
arriba. Por ejemplo, para denegar el acceso a todos los usuarios de una
red inalmbrica (10.64.4.100) y permitir el acceso a los usuarios de
todas las otras redes (0.0.0.0), mueva la direccin de la red inalmbrica
(10.64.4.100) hacia el principio de la lista y mueva la red (0.0.0.0)
debajo de la red inalmbrica.

Enable administrators to sign in on the external port: Habilita a los


administradores para que inicien sesin en el IVE desde la interfaz externa.
Debe habilitar el puerto externo antes de configurar esta opcin.

3. Haga clic en Save Changes para guardar sus ajustes.

Especificacin de las restricciones de acceso para exploradores


Use una restriccin de navegadores para controlar los navegadores de web desde
los que los usuarios pueden tener acceso a un recurso, a una pgina de inicio de
sesin de IVE o desde la cual se les puede asignar un rol. Si un usuario intenta
iniciar sesin en el IVE usando un navegador que no es compatible, el intento de
iniciar sesin fallar y aparecer un mensaje indicando que se est utilizando un
navegador que no es compatible. Esta caracterstica tambin le permite asegurarse
de que los usuarios inician sesin en el IVE desde navegadores que son compatibles
con las aplicaciones corporativas o estn aprobados por las directivas de seguridad
corporativas.
Puede restringir el acceso al IVE y a los recursos por tipo de navegador:

62

Cuando los administradores o los usuarios intentan iniciar sesin en el IVE:


El usuario debe iniciar sesin desde un navegador que tenga una cadena de
agente de usuario que cumpla los requisitos especificados para el patrn de la
cadena de agente de usuario para el territorio de autenticacin seleccionado. Si
el territorio permite la cadena de agente de usuario del navegador, entonces
el IVE enva las credenciales del usuario al servidor de autenticacin. Si el
territorio restringe la cadena de agente de usuario del navegador, entonces el
IVE no enva las credenciales del usuario al servidor de autenticacin.

Cuando se les asigna un rol a los administradores o a los usuarios: El usuario


autenticado debe iniciar sesin desde un navegador que tenga una cadena de
agente de usuario que cumpla con los requisitos especificados para la cadena
de agente de usuario para cada rol al que el IVE pueda asignar al usuario.
Si la cadena de agente de usuario no cumple los requisitos permitido o
restringido para un rol, entonces el IVE no asigna al usuario a ese rol.

Configuracin de los requisitos de seguridad

Captulo 3: Administracin de acceso general

Cuando los usuarios solicitan un recurso: El usuario autenticado y autorizado


debe realizar una solicitud desde un navegador que tenga una cadena de
agente de usuario que cumpla los requisitos permitido o restringido para
la cadena de agente de usuario especificados para la directiva de recursos
correspondiente a la solicitud del usuario. Si la cadena de agente de usuario no
cumple los requisitos permitido o restringido para un recurso, entonces el
IVE no le concede al usuario acceso a ese recurso.

NOTA: La caracterstica de restricciones del navegador no fue ideada como un


control de acceso estricto, ya que la cadena de agente de usuario del navegador
la puede cambiar un usuario avanzado. Sirve como un control de acceso de
advertencia para escenarios de uso normales.

Especificacin de las restricciones para exploradores


Para especificar las restricciones para el navegador:
1. Seleccione el nivel donde quiere implementar las restricciones para
el navegador:

Nivel de territorio: dirjase a:

Administrators > Admin Realms > Seleccionar territorio >


Authentication Policy > Browser

Users > User Realms > Seleccionar territorio > Authentication


Policy > Browser

Nivel de rol: dirjase a:

Administrators > Admin Realms > Seleccionar territorio > Role


Mapping > Selecccionar|Crear regla > Expresiones personalizadas

Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Browser

Users > User Realms > Seleccionar territorio > Role Mapping >
Selecccionar|Crear regla > Expresin personalizada

Users > User Roles > Seleccionar rol > General > Restrictions >
Browser

Nivel de directiva de recursos: dirjase a: Users > Resource Policies >


Seleccionar recurso > Seleccionar directiva > Detailed Rules >
Selecccionar|Crear regla > Campo de condicin

2. Escoja una de las siguientes opciones:

Allow all users matching any user-agent string sent by the browser:
Permite a los usuarios tener acceso al IVE o a los recursos utilizando
cualquier navegador Web compatible.

Configuracin de los requisitos de seguridad 63

Gua de administracin de Secure Access de Juniper Networks

Only allow users matching the following User-agent policy: Permite


definir las reglas de control de acceso para navegadores. Para crear
una regla:
i.

Para el User-agent string pattern, escriba una cadena en el formato


*<browser_string>*

donde el asterisco (*) es un carcter opcional que se usa para coincidir


con cualquier carcter y <browser_string> es un patrn que distingue
maysculas y minsculas que debe coincidir con una subcadena en el
encabezado de agente de usuario que enva el navegador. Tenga en
cuenta que no puede incluir caracteres de escape (\) en las
restricciones para el navegador.
ii.

Seleccione una de estas opciones:

Allow para permitir que los usuarios utilicen un navegador que tenga
un encabezado de agente de usuario que contenga la subcadena
<browser_string>.

Deny para impedir que los usuarios utilicen un navegador que tenga
un encabezado de agente de usuario que contenga la subcadena
<browser_string>.

iii. Haga clic en Add.


3. Haga clic en Save Changes para guardar sus ajustes.
NOTA:

Las reglas se aplican en orden, por lo que se aplicar la primera regla que
coincida.

Los caracteres literales en las reglas distinguen maysculas y minsculas y se


permiten espacios como caracteres literales.

Por ejemplo, la cadena *Netscape* coincide con cualquier cadena de agente de


usuario que contenga la subcadena Netscape.
El siguiente conjunto de reglas concede acceso a los recursos slo cuando los
usuarios inician sesin utilizando Internet Explorer 5.5x o Internet Explorer 6.x.
Este ejemplo considera algunos de los principales navegadores distintos a IE que
envan la subcadena 'MSIE' en sus encabezados de agente de usuario:
*Opera*Deny
*AOL*Deny
*MSIE 5.5*Allow
*MSIE 6.*Allow
* Deny

64

Configuracin de los requisitos de seguridad

Captulo 3: Administracin de acceso general

Especificacin de las restricciones de acceso para certificados


Cuando instala un certificado del lado cliente en el IVE a travs de la pgina
System > Configuration > Certificates > Trusted Client CAs de la consola de
administracin, puede restringir el acceso al IVE y a los recursos al requerir
certificados del lado cliente:

Cuando los administradores o los usuarios intenten iniciar sesin en el IVE:


El usuario debe iniciar sesin desde un equipo que posea el certificado del lado
cliente especificado (desde una autoridad de certificacin (CA) y que tenga,
de forma opcional, cualquier requisito del par campo/valor especificado). Si el
equipo del usuario no posee la informacin del certificado requerida por el
territorio, el usuario puede tener acceso a la pgina de inicio de sesin, pero
cuando el IVE determina que el navegador del usuario no posee el certificado,
el IVE no enva las credenciales del usuario al servidor de autenticacin y el
usuario no puede obtener acceso a las caractersticas del IVE.
Para implementar las restricciones para certificado en el nivel de territorio,
dirjase a:

Administrators > Admin Realms > Seleccionar territorio >


Authentication Policy > Certificate

Users > User Realms > Seleccionar territorio > Authentication Policy >
Certificate

Cuando se les asigne un rol a los administradores o los usuarios: El usuario


autenticado debe iniciar sesin desde un equipo que cumpla con los requisitos
requeridos para certificado del cliente (otorgado por una autoridad de
certificacin (CA) adecuada y, de forma opcional, que cumpla con los requisitos
del par campo/valor especificados) para cada rol al que el IVE pueda asignar
al usuario. Si el equipo del usuario no posee la informacin de certificado que
requiere el rol, entonces el IVE no asigna al usuario a ese rol.
Para implementar las restricciones para certificado en el nivel de rol, dirjase a:

Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Certificate

Users > User Realms > Seleccionar territorio > Role Mapping >
Seleccionar|Crear regla > Expresin personalizada

Users > User Roles > Seleccionar rol > General > Restrictions >
Certificate

Configuracin de los requisitos de seguridad 65

Gua de administracin de Secure Access de Juniper Networks

Cuando los usuarios solicitan un recurso: El usuario autorizado y autenticado


debe hacer una solicitud por un recurso desde un equipo que cumpla los
requisitos especificados para el certificado del lado cliente (otorgado por una
autoridad de certificacin (CA) adecuada y, de forma opcional, que cumpla
con los requisitos especificados para el par campo/valor) para la directiva de
recursos correspondiente a la solicitud del usuario. Si el equipo del usuario no
posee la informacin de certificado que requiere un recurso, entonces el IVE no
permite que el usuario tenga acceso a ese recurso.
Para implementar las restricciones para certificado en el nivel directiva de
recursos, dirjase a: Users > Resource Policies > Seleccionar recurso >
Seleccionar directiva > Detailed Rules > Seleccionar|Crear regla > Campo de
condicin

Especificacin de las restricciones de acceso para contraseas


Puede restringir el acceso al IVE y a los recursos dependiendo de la longitud de la
contrasea cuando los administradores o usuarios intenten iniciar sesin en un IVE.
El usuario debe escribir una contrasea que tenga una longitud que cumpla con
los requisitos especificados para el territorio. Tenga en cuenta que los registros
del usuario y administrador locales se almacenan en el servidor de autenticacin
del IVE. Este servidor requiere que la contrasea tenga una longitud mnima de
6 caracteres, independiente del valor que usted especifique para la directiva de
autenticacin del territorio.
Para especificar las restricciones para la contrasea:
1. Seleccione un territorio de administrador o usuario para el que desea
implementar las restricciones para contrasea.
Desplcese hasta:

Administrators > Admin Realms > Seleccionar territorio >


Authentication Policy > Password

Users > User Realms > Seleccionar territorio > Authentication Policy >
Password

2. Elija una de las siguientes opciones:

Allow all users (passwords of any length): No aplica restricciones de


longitud de la contrasea a los usuarios que inicien sesin en el IVE.

Only allow users that have passwords of a minimum length: Requiere


que el usuario escriba una contrasea que tenga una longitud mnima
segn el nmero especificado.

3. Seleccione Enable Password Management si desea habilitar la administracin


de contraseas. Tambin debe configurar la administracin de contraseas en
la pgina de configuracin del servidor de autenticacin del IVE (servidor de
autenticacin local) o a travs de un servidor LDAP. Para obtener ms
informacin acerca de la administracin de contraseas, consulte Habilitacin
de la administracin de contraseas de LDAP en la pgina 133.

66

Configuracin de los requisitos de seguridad

Captulo 3: Administracin de acceso general

4. Si habilita un servidor de autenticacin secundario, especifique las restricciones


para la longitud de la contrasea usando las restricciones mencionadas
anteriormente como gua.
5. Haga clic en Save Changes para guardar sus ajustes.
NOTA: De forma predeterminada, el IVE solicita que las contraseas de usuario
introducidas en la pgina de inicio de sesin tengan cuatro caracteres como
mnimo. Es posible que el servidor de autenticacin usado para validar las
credenciales de un usuario requiera una longitud mnima distinta. Por ejemplo,
la base de datos de autenticacin local del IVE requiere contraseas de usuario
de seis caracteres como mnimo.

Especificacin de las restricciones de acceso para Host Checker


Para obtener ms informacin acerca de la restriccin de acceso a un usuario
al IVE, a un rol o a un recurso basado en el estado del Host Checker, consulte
Implementacin de las directivas del Host Checker en la pgina 298.

Especificacin de las restricciones de acceso para Cache Cleaner


Para obtener ms informacin acerca de la restriccin de acceso a un usuario
al IVE, a un rol o a un recurso basado en el estado de Cache Cleaner, consulte
Implementacin de las opciones de Cache Cleaner en la pgina 335.

Especificacin de las restricciones de lmite


Adems de las opciones de administracin de acceso que puede especificar para
una directiva de autenticacin, tambin puede especificar un lmite para usuarios
simultneos. Un usuario que escriba una direccin URL para una de las pginas de
inicio de sesin del territorio debe cumplir todos los requisitos especificados para la
administracin de acceso y el lmite de usuarios simultneos antes de que el IVE
presente la pgina de inicio de sesin al usuario.
Use las restricciones de lmite para establecer usuarios mnimos y mximos
simultneos en el territorio.
Para especificar las restricciones de lmites:
1. Seleccione un territorio de administrador o usuario para el que desea
implementar restricciones de lmite.
Desplcese hasta:

Administrators > Admin Realms > Seleccionar territorio >


Authentication Policy > Limits

Users > User Realms > Seleccionar territorio > Authentication Policy >
Limits

Configuracin de los requisitos de seguridad 67

Gua de administracin de Secure Access de Juniper Networks

2. Para poner un lmite al nmero de usuarios simultneos en el territorio,


seleccione Limit the number of concurrent users y luego especifique los
valores lmites para estas opciones:
a.

Guaranteed minimum: Puede especificar cualquier nmero de usuarios


entre cero (0) y el nmero mximo de usuarios simultneos definido para
el territorio, o puede establecer el nmero hasta el mximo permitido por
su licencia si no existe un mximo para el territorio.

b.

Maximum (opcional): Puede especificar cualquier nmero de usuarios


simultneos desde el nmero mnimo que especifique hasta el nmero
mximo de usuarios con licencia. Si introduce un cero (0) en el campo
Maximum no se permitir que ningn usuario inicie sesin en el territorio.

3. Haga clic en Save Changes.

68

Configuracin de los requisitos de seguridad

Captulo 4

Roles de usuario
Un rol de usuario es una entidad que define parmetros de sesin de usuario
(ajustes y opciones de sesin), ajustes de personalizacin (personalizacin y
marcadores de interfaz de usuarios) y roles de acceso habilitados (Web, archivo,
aplicacin, Telnet/SSH, Terminal Services, red, reunin y acceso a correo
electrnico). Un rol de usuario no especifica control de acceso a recursos ni otras
opciones basadas en recursos para una solicitud individual. Por ejemplo, un rol de
usuario puede determinar si un usuario puede realizar una exploracin Web o no.
No obstante, los recursos Web individuales a los que un usuario puede acceder se
definen segn las directivas de recursos Web que debe configurar por separado.
El IVE reconoce dos tipos de roles de usuario:

Administradores: Un rol de administrador especifica los roles de


administracin y las propiedades de sesin del IVE para los administradores
que se asignan al rol. Se puede personalizar un rol de administrador
seleccionando los conjuntos de caractersticas y roles de usuario del IVE que
pueden ver y administrar quienes comparten el rol de administracin. Pueda
crear y configurar roles de administrador en la pgina Delegated Admin Roles.
Haga clic en Administrators > Admin Roles de la consola de administracin.

Usuarios: Un rol de usuario es una entidad que define parmetros de sesin


de usuario, ajustes de personalizacin y roles de acceso habilitados. Se puede
personalizar un rol de usuario mediante la habilitacin de caractersticas
especficas de acceso del IVE, definicin Web, aplicacin y marcadores de
sesin, y la configuracin de los ajustes de sesin para las caractersticas de
acceso habilitadas. Puede crear y configurar roles de usuario en la pgina Roles.
Haga clic en Users > User Roles de la consola de administracin.

Este tema incluye la siguiente informacin sobre roles:

Licencia: Disponibilidad de roles de usuario en la pgina 70

Evaluacin de rol de usuario en la pgina 70

Configuracin de los roles de usuario en la pgina 72

Personalizacin de las vistas de UI para roles de usuario en la pgina 86

69

Gua de administracin de Secure Access de Juniper Networks

Licencia: Disponibilidad de roles de usuario


Los roles de usuario conforman un componente integral del marco de
administracin de acceso del IVE y, por lo tanto, est disponibles en todos los
productos Secure Access. Sin embargo, slo podr acceder a estas caractersticas
a travs del rol de usuario previa obtencin de la licencia. Por ejemplo, si est
utilizando un dispositivo SA-700 y no ha adquirido una licencia de actualizacin
Core Clientless Access, no podr habilitar la reescritura Web para un rol de usuario.

Evaluacin de rol de usuario


El motor de asignacin de roles del IVE determina un rol de sesin del usuario o
permisos combinados vlidos para una sesin de usuario, segn se ilustra en la
siguiente figura. A continuacin del diagrama se muestra una descripcin detallada
de los pasos a seguir.
Figura 19: Comprobaciones de seguridad realizadas por el IVE para crear un rol de sesin

70

Licencia: Disponibilidad de roles de usuario

Captulo 4: Roles de usuario

El IVE realiza las siguientes comprobaciones de seguridad para crear un rol


de sesin:
1. El IVE inicia una evaluacin de reglas con la primera regla de la ficha Role
Mapping del territorio de autenticacin en que el usuario ha iniciado sesin
correctamente. Durante la evaluacin, el IVE determina si el usuario cumple
las condiciones de la regla. De ser as:
a.

El IVE agrega los roles correspondientes a una lista de roles vlidos


disponibles para el usuario.

b.

El IVE determina si la caracterstica para detenerse en coincidencias se


encuentra configurada. De ser as, el motor contina en el paso 5.

2. El IVE evala la siguiente regla en la ficha Role Mapping del territorio de


autenticacin segn el proceso establecido en el paso 1 y repite este proceso
con cada una de las reglas siguientes. Cuando el IVE evala todas las reglas de
asignacin de roles, genera una lista completa de roles vlidos.
3. El IVE evala la definicin de cada uno de los roles presentes en la lista de
elementos vlidos para determinar si el usuario cumple alguna restriccin de
rol. El IVE utiliza esta informacin para crear una lista de roles vlidos, cuyos
requisitos tambin cumple el usuario.
Si la lista de roles vlidos contiene slo un rol, el IVE asigna esa rol al usuario.
De lo contrario, el IVE contina con el proceso de evaluacin.
4. El IVE evala el ajuste especificado en la ficha Role Mapping para los usuarios
a quienes se les asigna ms de un rol:

Merge settings for all assigned roles: Si elige esta opcin, el IVE realiza
una combinacin permisiva de todos los roles de usuario vlidas a fin de
determinar el rol de sesin general (red) para la sesin de un usuario.

User must select from among assigned roles: Si elige esta opcin, el IVE
presenta una lista de roles vlidos para un usuario autenticado. El usuario
debe seleccionar un rol de la lista y el IVE asigna al usuario dicho rol
durante la sesin del usuario.

User must select the sets of merged roles assigned by each rule: Si elige
esta opcin, el IVE presenta una lista de reglas vlidas para un usuario
autenticado (es decir, reglas cuyas condiciones debe cumplir el usuario).
El usuario debe seleccionar una regla de la lista y el IVE realiza una
combinacin permisiva de todos los roles asignados a dicha regla.

NOTA: Si utiliza una evaluacin dinmica de directivas (por tiempo) automtica o


realiza una evaluacin de directiva manual, el IVE repite el proceso de evaluacin
de rol descrito en esta seccin. Consulte Evaluacin dinmica de directivas en la
pgina 57.

Evaluacin de rol de usuario

71

Gua de administracin de Secure Access de Juniper Networks

Pautas de combinacin permisiva


Una combinacin permisiva es una combinacin de dos o ms roles que mezcla
caractersticas y ajustes habilitados siguiendo las siguientes pautas:

Cualquier caracterstica de acceso habilitada en un rol tiene prioridad sobre el


mismo conjunto de caractersticas inhabilitado en otro rol. Por ejemplo, si un
usuario asigna dos roles, uno de los cuales inhabilita Secure Meeting y el otro la
habilita, el IVE permite que el usuario use Secure Meeting durante esa sesin.

En el caso de Secure Application Manager, el IVE habilita la versin


correspondiente al primer rol que habilita esta caracterstica. Adems,
el IVE combina los ajustes de todos los roles que corresponden con la
versin seleccionada.

En el caso de las opciones de interfaz de usuario, el IVE aplica los ajustes que
corresponden con el primer rol de usuario.

En el caso de los tiempos de espera de sesin, el IVE aplica el valor ms alto de


todos los roles a la sesin del usuario.

Si ms de un rol habilita la caracterstica de sesin itinerante, el IVE combina


las mscaras de red para formular una mscara de red mayor para la sesin.

Al combinar dos roles asignados a un usuario (uno que abre los marcadores en
una ventana aparte y otro que los abre en la misma ventana), el rol combinado
abre los marcadores en la misma ventana.

Al combinar dos roles en que el primero inhabilita la barra de herramientas de


exploracin y el segundo rol habilita la barra de herramientas estndar o
enmarcada, el rol de usuario usa los ajustes del segundo rol y muestra la barra
de herramientas de exploracin especificada.

El rol combinado usa el valor ms alto que aparece para el tiempo de espera de
conexin HTTP. Haga clic en Users > User Roles > Seleccionar rol > Web >
Options y despus en View advanced options.

Configuracin de los roles de usuario


Para crear un rol de usuario:
1. En la consola de administracin, seleccione Users > User Roles.
2. Haga clic en New Role e introduzca un nombre y opcionalmente una
descripcin. Este nombre aparece en la lista de Roles de la pgina Roles.
Una vez que haya creado un rol, puede hacer clic en el nombre del rol para
comenzar a configurarlo usando las instrucciones de las siguientes secciones:

72

Configuracin de las opciones generales del rol en la pgina 73

Configuracin de restricciones de rol en la pgina 74

Especificacin de alias de IP de origen basados en roles en la pgina 75

Configuracin de los roles de usuario

Captulo 4: Roles de usuario

Especificacin de las opciones de sesin en la pgina 76

Especificacin de las opciones de UI en la pgina 79

Definicin de opciones predeterminadas para roles de usuario en la


pgina 84

NOTA:

Cuando elimina un rol, es posible que los marcadores personales, ajustes de


SAM y otros ajustes no se eliminen. Por lo tanto, si agrega un nuevo rol con el
mismo nombre, cualquier usuario agregado a ese nuevo rol puede adquirir los
marcadores y ajustes antiguos. En general, el IVE aplica reglas de integridad
referencial y no permite que elimine ningn objeto si se hace referencia a
ellos en otro lugar. Por ejemplo, si se usa un rol en alguna de las reglas de
asignacin de roles del territorio, el IVE rechaza la eliminacin del rol a menos
que modifique o elimine las reglas de asignacin.

Para crear cuentas de usuario individuales, debe agregar a los usuarios


mediante el servidor de autenticacin correspondiente (no el rol). Consulte
Creacin de cuentas de usuario en un servidor local de autenticacin en la
pgina 140. Si desea instrucciones para crear usuarios en los servidores de
terceros, consulte la documentacin del producto correspondiente.

Configuracin de las opciones generales del rol


Haga clic en Overview en la parte superior de la ficha General para editar el nombre
y la descripcin de un rol, alternar las opciones de sesin e interfaz de usuario y
habilitar las caractersticas de acceso. Cuando habilite una caracterstica de acceso,
asegrese de crear las directivas de recursos correspondientes.
Para administrar los ajustes y opciones generales de los roles:
1. En la consola de administracin, seleccione Users > User Roles > Nombre
de rol > General > Overview.
2. Modifique el nombre y la descripcin y haga clic en Save Changes (opcional).
3. En Options, marque las opciones especficas que desea habilitar para ese rol.
Si no selecciona las opciones especficas del rol, el IVE usa los ajustes
predeterminados, como se describe en Definicin de opciones
predeterminadas para roles de usuario en la pgina 84. Las opciones
especficas del rol incluyen:

VLAN/Source IP: Seleccione esta opcin para aplicar los ajustes de


rol configurados en la pgina General > VLAN/Source IP. Consulte
Especificacin de alias de IP de origen basados en roles en la pgina 75.

Session Options: Seleccione esta opcin para aplicar los ajustes al rol de
la pgina General > Session Options. Consulte Especificacin de las
opciones de sesin en la pgina 76.

UI Options: Seleccione esta opcin para aplicar los ajustes al rol de la


pgina General > UI Options. Consulte Especificacin de las opciones
de UI en la pgina 79.
Configuracin de los roles de usuario

73

Gua de administracin de Secure Access de Juniper Networks

4. En Access features, marque las caractersticas que desea habilitar paral rol.
Las opciones son:

Web: Consulte Reescritura web en la pgina 383

Files (versin Windows o UNIX/NFS): Consulte Reescritura de archivos


en la pgina 465

Secure Application Manager (versin Windows o Java): Consulte Secure


Application Manager en la pgina 491

Telnet/SSH: Consulte Telnet/SSH en la pgina 551

Terminal Services: Consulte Terminal Services en la pgina 563

Meetings: Consulte Secure Meeting en la pgina 619

Email Client: Consulte Email Client en la pgina 647

Network Connect: Consulte Network Connect en la pgina 655

5. Haga clic en Save Changes para aplicar los ajustes al rol.

Configuracin de restricciones de rol


Haga clic en Restrictions en la parte superior de la ficha General para especificar
las opciones de administracin de acceso para el rol. El IVE considerar estas
opciones en el momento de determinar si asigna un usuario al rol. El IVE no asigna
usuarios a este rol a menos que cumplan las restricciones especificadas. Consulte
Administracin de acceso general en la pgina 51.
Puede configurar la cantidad que desee de opciones de administracin de acceso
para el rol. Si un usuario no cumple todas las restricciones, el IVE no asigna el
usuario a ese rol.
Para especificar opciones de administracin de acceso para el rol:
1. En la consola de administracin, seleccione Users > User Roles > Nombre
de rol > General > Restrictions.
2. Haga clic en la ficha que corresponde a la opcin que desea configurar para el
rol y configrela segn las instrucciones de las siguientes secciones:

74

Especificacin de las restricciones de acceso de la direccin IP de origen


en la pgina 60

Especificacin de las restricciones de acceso para exploradores en la


pgina 62

Especificacin de las restricciones de acceso para certificados en la


pgina 65

Configuracin de los roles de usuario

Captulo 4: Roles de usuario

Especificacin de las restricciones de acceso para contraseas en la


pgina 66

Especificacin de las restricciones de acceso para Cache Cleaner en la


pgina 67

Especificacin de las restricciones de acceso para Cache Cleaner en la


pgina 67

Especificacin de alias de IP de origen basados en roles


Haga clic en VLAN/Source IP en la parte superior de la ficha General para definir
los alias de IP de origen basados en roles. Si desea dirigir el trfico hacia sitios
especficos basados en roles, puede definir un alias de IP para cada rol. Puede
utilizar estos alias para configurar puertos virtuales que podr definir para la
direccin IP de origen de la interfaz interna. Un dispositivo back-end puede dirigir
el trfico del usuario final segn estos alias, siempre y cuando configure el
dispositivo, como un cortafuegos, para recibir a los alias de la direccin IP de origen
de la interfaz interna. Esta capacidad le permite dirigir varios usuarios finales a
sitios definidos segn sus roles, aunque la totalidad del trfico de usuarios posee la
misma direccin IP de origen de la interfaz interna.
NOTA: Debe definir puertos virtuales para aprovechar los alias de IP de origen
basados en roles. Para obtener ms informacin sobre puertos virtuales, consulte
Configuracin de los puertos internos y externos en la pgina 706 y
Configuracin de puertos virtuales en la pgina 711.

Para especificar un alias de IP de origen para el rol:


1. En la consola de administracin, seleccione Users > User Roles > Nombre
de rol > General > VLAN/Source IP.
2. Seleccione la VLAN que desea utilizar de la lista VLAN, si es que ha definido los
puertos de este componente en su sistema.
Si no ha definido los puertos VLAN, la opcin se predetermina en la direccin
IP del puerto interno. Si ha dispuesto sistemas IVS, definido puertos VLAN y
desea que algunos de estos puertos VLAN aparezcan en la lista VLAN, deber
incluir los puertos en el cuadro de texto Selected VLANs en la pgina de
configuracin Root IVS.
3. Seleccione una direccin IP de origen de la lista.
4. Haga clic en Save Changes para aplicar los ajustes al rol.
NOTA:

Si se asigna un usuario final a varios roles y el IVE los combina, el IVE asocia
la direccin IP de origen configurada para el primer rol en la lista con el rol
combinado.

Se puede establecer la misma direccin IP de origen para varios roles.


No se pueden establecer varias direcciones IP de origen para un solo rol.
Configuracin de los roles de usuario

75

Gua de administracin de Secure Access de Juniper Networks

Especificacin de las opciones de sesin


Haga clic en Session Options en la parte superior de la ficha General para
especificar lmites de tiempo de sesin, capacidades itinerantes, persistencia
de sesin y contrasea, opciones de continuacin de solicitud y actividad de la
aplicacin de tiempo de espera por inactividad. Seleccione la casilla de verificacin
Session Options en la ficha Overview para habilitar estos ajustes para el rol.
Para especificar opciones generales de sesin:
1. En la consola de administracin, haga clic en Users > User Roles > Nombre
de rol > General > Session Options.
2. En Session lifetime, especifique:

Idle Timeout: Especifique los minutos que una sesin activa no


administrativa puede permanecer abierta antes de que se termine.
El mnimo son cinco minutos. El lmite predeterminado de la sesin
inactiva son diez minutos, lo que significa que si la sesin de un usuario
pasa diez minutos inactiva, el IVE termina la sesin y registra el evento
en el registro del sistema (a menos que haya habilitado las advertencias
de tiempo de espera de sesin descritas ms adelante).

Max. Session Length: Especifique los minutos que una sesin activa
no administrativa puede permanecer abierta antes de que se termine.
El mnimo son seis minutos. El lmite de tiempo predeterminado para una
sesin de usuario son sesenta minutos, tras lo cual el IVE termina la sesin
y registra el evento en el registro del sistema. Durante una sesin de
usuario final, antes de alcanzar el lmite mximo de la sesin, el IVE solicita
al usuario que vuelva a introducir las credenciales de autenticacin, lo que
evita que la sesin termine sin advertencia.

Reminder Time: Especifique el momento en que el IVE debe preguntar a


los usuarios no administrativos, advertirles de una sesin inminente o del
tiempo de espera por inactividad. Especifique los minutos antes de
alcanzar el tiempo de espera.

NOTA: Se recomienda que la diferencia entre Idle Timeout y Reminder Time sea
superior a dos minutos. Esto garantiza que aparecer la ventana emergente de
recordatorio en el momento correcto.

NOTA: Si est utilizando Secure Meeting, puede configurar los lmites de sesin de
reunin haciendo clic en Users > Resource Policies > Meetings de la consola de
administracin. Consulte Configuracin de los ajustes de reunin a nivel de
sistema en la pgina 640.

76

Configuracin de los roles de usuario

Captulo 4: Roles de usuario

3. En Enable session timeout warning:


a.

Enabled: Seleccione para notificar a los usuarios no administrativos cuando


estn por llegar al lmite de tiempo de espera por inactividad o de sesin.
Estas advertencias solicitan al usuario que tome las acciones necesarias
cuando se aproxima el trmino de su sesin o tiempo de espera de
inactividad, lo que les permite guardar cualquier dato del formulario en
que se encuentren trabajando que, de lo contrario, se perdera. Cuando
un usuario se acerque al lmite de tiempo de espera por inactividad, se le
solicitar que reactive su sesin. Cuando un usuario se acerque al lmite de
tiempo de sesin, se le solicitar que guarde los datos.
Por ejemplo, un usuario del IVE puede alcanzar, sin saberlo, el tiempo de
espera por inactividad configurado para su rol mientras usa un cliente de
correo electrnico configurado para que funcione con el IVE, porque el IVE
no recibe datos mientras el usuario redacta el correo. Sin embargo, si se
habilita la advertencia de tiempo de espera de sesin, el IVE le solicita al
usuario que reactive su sesin en el IVE antes de que termine y cierra la
sesin en el IVE del usuario. Esta advertencia da al usuario la oportunidad
de guardar los correos electrnicos que no haya terminado de redactar.

b.

Display sign-in page on max session time out: Seleccione esta opcin si
desea mostrar una nueva pgina de inicio de sesin del explorador para el
usuario final cuando termine su sesin. Esta opcin slo aparece cuando
elige habilitar la advertencia de tiempo de espera de sesin.

NOTA:

Si no selecciona la opcin Enable session timeout warning, el IVE slo


muestra los mensajes de vencimiento a los usuarios; no les da la posibilidad
de extender sus sesiones, sino que los usuarios deben acceder a la pgina de
inicio de sesin del IVE y autenticarse en una nueva sesin.

La opcin Enable session timeout warning slo se aplica a los mensajes de


vencimiento que muestre el explorador del usuario final, pero no otros
clientes como WSAM o Network Connect.

4. En Roaming session, especifique:

Enabled: Seleccione esta opcin para habilitar sesiones de usuario


itinerante para los usuarios asignados a este rol. Una sesin de usuario
itinerante funciona a travs de las direcciones IP de origen, lo que permite
a los usuarios mviles (usuarios de equipos porttiles) que tienen
direcciones IP dinmicas iniciar sesin en el IVE desde una ubicacin y
seguir trabajando desde otra. Inhabilite esta caracterstica para evitar que
los usuarios tengan acceso a una sesin establecida anteriormente desde
una nueva direccin IP de origen. As ayuda a la proteccin contra un
ataque que simule la sesin del usuario, siempre que el hacker haya podido
obtener una cookie vlida de sesin del usuario.

Configuracin de los roles de usuario

77

Gua de administracin de Secure Access de Juniper Networks

Limit to subnet: Seleccione esta opcin para limitar la sesin itinerante


a la subred local especificada en el cuadro Netmask. Los usuarios pueden
iniciar sesin desde una direccin IP y seguir usando sus sesiones desde
otra direccin IP siempre y cuando la nueva direccin IP se encuentre
dentro de la misma subred.

Disabled: Seleccione esta opcin para inhabilitar sesiones de usuario


itinerante para los usuarios asignados a este rol. Los usuarios que inicien
sesin desde una direccin IP no pueden continuar una sesin activa del
IVE desde otra direccin IP; las sesiones de usuario estn vinculadas a la
direccin IP de origen del comienzo.

5. En Persistent session, seleccione Enabled para escribir la cookie de sesin del


IVE en el disco duro del cliente de modo que las credenciales del IVE del
usuario se guarden durante la sesin del IVE.
De forma predeterminada, la cookie de sesin del IVE se borra de la memoria
del explorador cuando ste se cierra. La duracin de la sesin del IVE se
determina por los valores del tiempo de espera por inactividad y la duracin
mxima de la sesin que se especific para el rol. La sesin del IVE no concluye
cuando el usuario cierra el explorador; la sesin del IVE slo concluye cuando el
usuario cierra la sesin del IVE.
NOTA: Si habilita la opcin Persistent session y un usuario cierra la ventana del
explorador sin cerrar la sesin, cualquier usuario puede abrir otra instancia del
mismo explorador para acceder al IVE sin enviar credenciales vlidas, lo que
representa un posible riesgo de seguridad. Se recomienda habilitar esta
caracterstica slo para los roles cuyos miembros necesiten acceder a las
aplicaciones que requieren las credenciales del IVE y asegurarse de que estos
usuarios comprenden la importancia de cerrar la sesin en el IVE cuando
terminan.

6. En Persistent password caching, seleccione Enabled para permitir que las


contraseas en memoria cach continen en las sesiones para un rol.
El IVE admite el protocolo de autenticacin NT LAN Manager (NTLM) y la
autenticacin bsica HTTP y admite los servidores que estn configurados para
aceptar los inicios de sesin NTLM y annimos. El IVE almacena en la memoria
cach las contraseas de NTLM y la autenticacin bsica HTTP que
proporcionan los usuarios para que no se les solicite repetidamente que
introduzcan las mismas credenciales usadas para iniciar sesin en el servidor
del IVE u otro recurso en el dominio NT. De forma predeterminada, el servidor
del IVE borra las contraseas de la memoria cach cuando un usuario cierra la
sesin. El usuario puede eliminar las contraseas en memoria cach en la
pgina Advanced Preferences. Despus de que el usuario final inicia sesin
en el IVE, haga clic en Preferences y luego en la ficha Advanced.
7. En Browser request follow-through, seleccione Enabled para permitir que el
IVE complete la solicitud de un usuario hecha despus de que la sesin termin
tras la reautenticacin del usuario.

78

Configuracin de los roles de usuario

Captulo 4: Roles de usuario

8. En Idle timeout application activity, seleccione Enabled para omitir las


actividades iniciadas por las aplicaciones Web (como sondeos de correos
electrnicos) determinando si una sesin est activa. Si inhabilita esta opcin,
la ejecucin peridica del comando ping o de otra actividad de aplicacin
puede evitar que se produzca un tiempo de espera por inactividad.
9. En Upload Logs, seleccione la opcin Enable Upload Logs para permitir que el
usuario transmita (cargue) los registros de cliente en el IVE.
NOTA: Haga clic en la pgina System > Log/Monitoring > Client Logs >
Settings para habilitar completamente los registros del lado cliente para el
usuario. Consulte Habilitacin de registros del lado cliente en la pgina 841.

10. Haga clic en Save Changes para aplicar los ajustes al rol.

Especificacin de las opciones de UI


Haga clic en UI Options en la parte superior de la ficha General para especificar
los ajustes personalizados de la pgina de bienvenida del IVE y la barra de
herramientas de exploracin de usuarios asignados a este rol. La pgina de
bienvenida del IVE (o pgina principal) es la interfaz Web que se presenta a los
usuarios autenticados del IVE. Haga clic en Overview en la parte superior de la
ficha General y seleccione la casilla de verificacin UI Options para habilitar los
ajustes personalizados para el rol; en caso contrario, el IVE usa los ajustes
predeterminados.
Los ajustes de personalizacin incluyen la pgina de inicio de sesin, el encabezado
de la pgina, el pie de pgina y si se muestra o no la barra de herramientas de
exploracin. Si se asigna al usuario a ms de un rol, el IVE muestra la interfaz del
usuario correspondiente al primer rol que se le asign.
Para personalizar la pgina de bienvenida del IVE para los usuarios de roles:
1. Haga clic en Users > User Roles > Nombre de rol > General > UI Options.
2. En Header, especifique un logotipo personalizado y cambie el color de fondo
del rea del encabezado en la pgina de bienvenida del IVE (opcional):

Haga clic en el botn Browse y ubique el archivo de imagen personalizado.


El logotipo nuevo aparece en el cuadro Current appearance slo despus de
guardar los cambios.

NOTA: Slo puede especificar un archivo JPEG o GIF para la imagen del logotipo
personalizado. No se pueden mostrar apropiadamente otros formatos grficos en
la ventana de estado JSAM de algunas plataformas de sistemas operativos.

Escriba el nmero hexadecimal para el color de fondo o haga clic en el


icono Color Palette y elija el color deseado. El cuadro Current appearance
se actualiza de inmediato.

Configuracin de los roles de usuario

79

Gua de administracin de Secure Access de Juniper Networks

3. En Sub-headers, seleccione el color de fondo y del texto (opcional):

Escriba el nmero hexadecimal para el color de fondo o haga clic en el


icono Color Palette y elija el color deseado. El cuadro Current appearance
se actualiza de inmediato.

Escriba el nmero hexadecimal para el color del texto o haga clic en el


icono Color Palette y elija el color deseado. El cuadro Current appearance
se actualiza de inmediato.

4. En la pgina Start, especifique la pgina de inicio que desea que vean los
usuarios despus de iniciar sesin y cuando hagan clic en el icono Home de la
barra de herramientas:

Bookmarks page: Seleccione esta opcin para mostrar la pgina


Bookmarks estndar del IVE.

Meetings page: Seleccione esta opcin para mostrar la pgina de reuniones


estndar del IVE.

Custom page: Seleccione esta opcin para mostrar una pgina de inicio
personalizada y especifique la URL en la pgina. El IVE vuelve a escribir la
URL y crea una regla de control de acceso para que los usuarios accedan a
la URL. (Tenga en cuanta que los usuarios tambin pueden introducir la
URL personalizada en el campo Browse del IVE en la barra de
herramientas.) El IVE evala la regla de control de acceso despus de
evaluar todas las otras directivas, lo que significa que otra directiva puede
denegar el acceso a la URL.

Also allow access to directories below this url: Seleccione esta opcin
para permitir que los usuarios obtengan acceso a los subdirectorios de la
URL de la pgina-personalizada. Por ejemplo, si especifica
http://www.domain.com/, los usuarios tambin pueden acceder a
http://www.domain.com/dept/.

5. En Bookmarks Panel Arrangement, ordene los paneles de la forma en que


desea que se muestren en la pgina de marcadores del usuario:
a.

Para seleccionar el nombre de un panel, haga clic en la lista Left Column


o Right Column.

b.

Para colocar un panel por encima o por debajo de otros paneles, haga clic
en Move Up o Move Down.

c.

Para mover un panel al otro lado de la pgina de marcadores del usuario,


haga clic en Move > o < Move.

NOTA: El IVE muestra todos los paneles en Bookmarks Panel Arrangement para
todas las caractersticas con licencia sin importar si habilit la caracterstica
correspondiente para el rol.

80

Configuracin de los roles de usuario

Captulo 4: Roles de usuario

6. En la pgina Help, seleccione las opciones para controlar la pgina Help que
aparece cuando el usuario hace clic en el botn Help de la barra de
herramientas:

Disable help link: Seleccione esta opcin para evitar que los usuarios
muestren la ayuda, retirando el botn Help de la barra de herramientas.

Standard help page: Seleccione esta opcin para mostrar la pgina Help
estndar del IVE para el usuario final.

Custom help page: Seleccione esta opcin para mostrar una pgina Help
personalizada. Especifique la URL para la pgina de ayuda personalizada
y luego establezca un ancho y altura opcionales para la ventana de la
pgina de ayuda. El IVE vuelve a escribir la URL y crea una regla de control
de acceso para que los usuarios accedan a la URL. (Tenga en cuanta que
los usuarios tambin pueden introducir la URL personalizada en el campo
Browse del IVE en la barra de herramientas.) El IVE evala la regla de
control de acceso luego de todas las otras directivas, lo que significa
que otra directiva puede denegar el acceso a la URL. (Tenga en cuenta
que cuando elige esta opcin, el IVE inhabilita el vnculo Tips junto al
campo Browse.)

Also allow access to directories below this url: Seleccione esta opcin
para permitir que los usuarios obtengan acceso a los subdirectorios de la
URL de la pgina de ayuda personalizada. Por ejemplo, si especifica
http://www.domain.com/help, los usuarios tambin pueden acceder a
http://www.domain.com/help/pdf/.

7. En User Toolbar, seleccione las opciones de la barra de herramientas en la


pgina Bookmarks del IVE y en otras pginas de puerta de enlace segura
del IVE:

Home: Seleccione esta opcin para mostrar el icono Home en la pgina


Bookmarks del IVE y en otras pginas de puerta de enlace segura del IVE.

Preferences: Seleccione esta opcin para mostrar el botn Preferences.

Session Counter: Seleccione esta opcin para mostrar un valor de tiempo


en la barra de herramientas del usuario que indique el tiempo restante
mximo permitido en la sesin actual del usuario. Tenga en cuenta que un
perodo de inactividad del usuario tambin podra terminar la sesin actual
antes de que transcurra este tiempo mximo.

Client Application Sessions: Seleccione esta opcin para mostrar el botn


Client Apps en la barra de herramientas del usuario. Los usuarios pueden
hacer clic en este botn para mostrar la pgina Client Application Sessions
donde pueden iniciar aplicaciones cliente como Network Connect o Secure
Application Manager. Si no selecciona esta opcin, el IVE muestra el panel
Client Application Sessions en la pgina Bookmarks del IVE.

Configuracin de los roles de usuario

81

Gua de administracin de Secure Access de Juniper Networks

8. En la barra de herramientas Browsing, seleccione las opciones de la barra


de herramientas que los usuarios vern cuando exploren pginas que no se
encuentran en el IVE, como sitios Web externos:

Show the browsing toolbar: Seleccione esta opcin para mostrar la barra
de herramientas de exploracin.

Toolbar type: Seleccione el tipo de barra de herramientas de exploracin


que desea mostrar:

Standard: Esta barra de herramientas se puede mover al costado


superior izquierdo o derecho de la ventana del explorador. Los usuarios
tambin pueden contraer o ampliar la barra de herramientas.
Al contraerla, la barra de herramientas muestra slo el logotipo
personalizado. El estado predeterminado de la barra de herramientas
es el ampliado y se encuentra en el costado superior derecho de la
ventana del explorador.

Framed: Esta barra de herramientas permanece fija en la seccin de


encabezado enmarcado en la parte superior de la pgina.

NOTA: Se recomienda no usar la variable superior cuando se trabaja con un


conjunto de marcos despus de que el IVE intermedia la pgina, pues podra
hacer referencia a un marco distinto del esperado. Este cambio puede provocar
que la barra de herramientas enmarcada desaparezca o que la aplicacin
intermediada funcione de manera errtica o incorrecta. Consulte la gua Content
Intermediation Engine Best Practices del sitio Web de Juniper Networks.

82

Toolbar logo y Toolbar logo (mobile): Especifique un logotipo


personalizado (como el logotipo de la empresa) que desea mostrar en las
barras de herramientas estndar y enmarcada; para ello busque el archivo
de imagen (opcional). Cuando el usuario hace clic en el logotipo, aparece la
pgina especificada para la opcin Logo links to. Entonces aparece el
logotipo actual para la barra de herramientas de exploracin a un costado
de estas opciones.

Logo links to: Seleccione una opcin para vincular el logotipo de la barra
de herramientas de exploracin con una pgina que aparezca cuando el
usuario hace clic en el logotipo:

Configuracin de los roles de usuario

Bookmarks page: Vincula el logotipo con la pgina Bookmarks del IVE.

Start Page settings: Vincula el logotipo con la pgina de inicio


personalizada que especific en la seccin Start Page.

Custom URL: Vincula el logotipo con la URL que introdujo en el cuadro


de texto asociado (opcional). Se debe poder acceder a este recurso en
el IVE. El IVE vuelve a escribir la URL y crea una regla de control de
acceso para que los usuarios accedan a la URL. (Tenga en cuenta que
los usuarios tambin pueden introducir la URL personalizada en el
campo Browse del IVE en la barra de herramientas.) El IVE evala la
regla de control de acceso despus de evaluar todas las otras directivas,
lo que significa que otra directiva puede denegar el acceso a la URL.

Captulo 4: Roles de usuario

Also allow access to directories below this url: Seleccione esta


opcin para permitir que los usuarios obtengan acceso a los
subdirectorios de la URL personalizada.

Especifique los elementos que desea mostrar en la barra de herramientas


de exploracin:

Enable "Home" link: Seleccione esta opcin para mostrar el botn


Home Page, que est vinculado con la pgina Bookmarks del IVE.

Enable "Add Bookmark" link: Seleccione esta opcin para mostrar el


botn Bookmark this Page.

Enable "Bookmark Favorites" link: Seleccione esta opcin para


mostrar el botn Bookmark Favorites. Cuando el usuario hace clic en
este botn, el IVE muestra una lista de los marcadores que el usuario
especific como favoritos en la pgina Add Web Bookmark de la puerta
de enlace segura.

Display Session Counter: Seleccione esta opcin para mostrar un valor


de tiempo en la barra de herramientas de exploracin que indique
el tiempo restante mximo permitido en la sesin actual del usuario.
Tenga en cuenta que un perodo de inactividad del usuario tambin
podra terminar la sesin actual antes de que transcurra este tiempo
mximo.

Enable "Help" link: Seleccione esta opcin para mostrar el botn


Help, que se encuentra vinculado a la pgina Help que especific en
la pgina Help.

NOTA: Si hace clic en Users > User Roles > Nombre de rol > Web > Options y
desmarca la casilla User can add bookmarks; el IVE no mostrar los botones
Bookmark this Page ni Bookmark Favorites en la barra de herramientas de
navegacin aunque seleccione las opciones Enable "Add Bookmark" link y
Enable "Bookmark Favorites" link.

9. En Personalized greeting, especifique un mensaje de saludo y de notificacin


en la pgina Bookmarks del IVE (opcional):

Enabled: Seleccione esta opcin para mostrar el saludo personalizado.


El IVE muestra el nombre de usuario si el nombre completo no est
configurado.

Configuracin de los roles de usuario

83

Gua de administracin de Secure Access de Juniper Networks

Show notification message: Seleccione esta opcin e introduzca un


mensaje en el cuadro de texto asociado (opcional). El mensaje aparece en
la parte superior de la pgina Bookmarks del IVE despus de guardar los
cambios y que el usuario actualiza esa pgina. Puede dar formato al texto
y agregar vnculos usando las siguientes etiquetas HTML: <i>, <b>, <br>,
<font> y <a href>. Sin embargo, el IVE no vuelve a escribir vnculos en la
pgina de inicio de sesin (puesto que el usuario an no se ha autenticado),
de tal forma que slo debe dirigirse a sitios externos. Los vnculos a los
sitios situados detrs de un cortafuegos fallarn. Tambin puede usar las
variables y atributos de sistema del IVE en este campo, como se explica en
Uso de variables del sistema en territorios, roles y directivas de recursos
en la pgina 1054.

NOTA:

La extensin del mensaje personalizado no puede exceder los 12K o 12288


caracteres.

Si utiliza etiquetas HTML no admitidas en su mensaje personalizado, el IVE


puede mostrar la pgina principal del IVE del usuario final de forma
incorrecta.

10. En Other, especifique si desea mostrar el aviso y la etiqueta de copyright


en el pie de pgina (opcional). Este ajuste se aplica slo a aquellos usuarios
cuya licencia les permite inhabilitar la notificacin de copyright. Para obtener
ms informacin acerca de esta caracterstica, llame a soporte tcnico de
Juniper Networks.
11. Haga clic en Save Changes. Los cambios surten efecto de inmediato, pero
puede ser necesario actualizar las sesiones de explorador del usuario actual
para verlos.
12. Haga clic en Restore Factory Defaults para restablecer todas las opciones de
interfaz de usuario en las opciones predeterminadas de fbrica (opcional).

Definicin de opciones predeterminadas para roles de usuario


Puede definir opciones predeterminadas para todos los roles de usuario,
de la misma forma que los roles de administrador delegados. Las opciones
predeterminadas son, entre otras:

84

Opciones de sesin

Session lifetime: Definir en minutos el tiempo de espera por inactividad,


la duracin mxima de la sesin y el tiempo de recordatorio.

Enable session timeout warning: Determinar si se mostrar la pgina de


advertencia e inicio de sesin.

Roaming Session: Definir el nivel de acceso mvil.

Persistent Session: Definir el estado en instancias del explorador.

Configuracin de los roles de usuario

Captulo 4: Roles de usuario

Persistent password caching: Definir el estado de la contrasea en


las sesiones.

Browser request follow-through: Definir la respuesta para el trmino de la


sesin del explorador.

Idle timeout application activity: Definir la respuesta del IVE para la


actividad de sesin de la aplicacin.

Opciones de UI

Header: Definir el logotipo y el color de fondo.

Sub-headers: Definir el color de fondo y del texto.

Start page: Definir qu pgina aparece despus de que el usuario


inicia sesin.

Bookmarks Panel Arrangement: Definir los paneles que aparecen en la


pgina de marcadores del usuario.

Help Page: Mostrar la ayuda estndar o personalizada.

User Toolbar: Definir los vnculos que aparecen en la pgina principal


del usuario.

Browsing toolbar: Definir los vnculos que aparecen cuando el usuario


explora un sitio Web externo.

Personalized Greeting: Mostrar el nombre del usuario y el mensaje de


notificacin en la pgina de bienvenida del usuario.

Other: Mostrar el aviso de copyright.

Definicin de opciones predeterminadas para roles de usuario


Para definir las opciones predeterminadas de todos los roles de usuario:
1. Seleccione Users > User Roles.
2. Haga clic en Default Options.
3. Modifique los ajustes de las fichas Session Options, UI Options y Custom
Messages usando las instrucciones de Configuracin de las opciones generales
del rol en la pgina 73 y Personalizacin de mensajes en la pgina 86.
4. Haga clic en Save Changes. Estas se convierten en las opciones
predeterminadas de los nuevos roles de usuario.

NOTA: Si no desea que los roles de usuario vean el aviso de copyright, tambin
puede desmarcar la casilla de verificacin Show copyright notice and Secured
by Juniper Networks label in footers para los roles de usuario, en general.
De esa manera, todos los roles posteriores que cree no permitirn que el aviso
aparezca en la UI del usuario final.
Configuracin de los roles de usuario

85

Gua de administracin de Secure Access de Juniper Networks

Personalizacin de mensajes
Puede personalizar tres mensajes bsicos que se mostrarn a los usuarios finales
cuando inicien sesin en el IVE. Puede cambiar el texto del mensaje y agregar
versiones internacionales de los mensajes en chino (simplificado), chino
(tradicional), francs, alemn, japons, coreano y espaol, adems de ingls.
Para personalizar mensajes:
1. Seleccione Users > User Roles. Aparecer la pgina Roles.
2. Haga clic en Default Options.
3. Seleccione la ficha Custom Messages.
4. Seleccione el idioma que desea utilizar en el men.
5. Introduzca el texto en el cuadro Custom Message, debajo del mensaje
predeterminado que desea anular.
6. Haga clic en Save Changes.
7. Repita el proceso para crear mensajes en los idiomas adicionales.

Personalizacin de las vistas de UI para roles de usuario


Puede usar las opciones de personalizacin de la pgina Roles para ver
rpidamente los ajustes que se asocian con un rol especfico o un conjunto de roles.
Por ejemplo, puede ver todos los roles de usuario y marcadores Web que haya
asociado. Adems, puede utilizar estas vistas personalizadas para establecer
fcilmente vnculos a los marcadores y otros ajustes de configuracin que haya
asociado a un rol.
Para ver un subconjunto de datos en la pgina Roles:
1. Haga clic en Users > User Roles.
2. Seleccione una opcin de la lista View en la parte superior de la pgina.
La Tabla 3 describe estas opciones.
3. Seleccione una de las siguientes opciones de la lista For:

All roles: Muestra los marcadores seleccionados para todos los roles
de usuario.

Selected roles: Muestra los marcadores seleccionados para los roles de


usuario que eligi. Si selecciona esta opcin, marque una o ms de las
casillas de verificacin de la lista Role.

4. Haga clic en Update.

86

Personalizacin de las vistas de UI para roles de usuario

Captulo 4: Roles de usuario

Tabla 3: Ver las opciones del men


Opcin

Descripcin

Enabled Settings

Despliega un grfico que detalla los mecanismos de acceso remoto


y las opciones generales que han sido habilitadas para los roles
especificados. Tambin muestra los vnculos (las marcas de
verificacin) que puede utilizar para obtener el acceso remoto
correspondiente y a las pginas generales de configuracin
de opciones.

Restrictions

Muestra las restricciones de Host Checker y Cache Cleaner que


debe habilitar para los roles especificados. Tambin muestra
los vnculos que puede utilizar para acceder a las pginas
correspondientes de configuracin de Host Checker y Cache
Cleaner.

Meetings

Muestra los ajustes de Secure Meeting que configur para los roles
especificados. Tambin muestra los vnculos que puede utilizar
para acceder a las pginas correspondientes de configuracin de
Secure Meeting.

Network Connect

Muestra los ajustes de Secure Meeting que configur para los roles
especificados. Tambin muestra los vnculos que puede utilizar
para acceder a las pginas de configuracin correspondientes de
Network Connect.

Role Mapping Rule &


Realms

Muestra los territorios de autenticacin asignados, las condiciones


de reglas de asignacin de roles y los ajustes de combinacin
permisiva para los roles especificados. Tambin muestra los
vnculos que puede usar para acceder a las pginas de
configuracin de asignacin de roles y territorios correspondientes.

Bookmarks: All

Muestra los nombres y tipos de todos los marcadores que ha


habilitado para los roles especificados. Tambin muestra los
vnculos que puede utilizar para acceder a las correspondientes
pginas de configuracin de marcadores. (Tenga en cuenta que si
crea un marcador mediante un perfil de recursos, el vnculo
aparece en la columna Resource. De lo contrario, el vnculo
aparece en la columna Bookmark.)

Bookmarks: Web

Muestra los marcadores Web que habilit para los roles


especificados. Tambin muestra los vnculos que puede utilizar
para acceder a las correspondientes pginas de configuracin de
marcadores. (Tenga en cuenta que si crea un marcador mediante
un perfil de recursos, el vnculo aparece en la columna Resource.
De lo contrario, el vnculo aparecer en la columna de
marcadores Web.)

Bookmarks: Files
(Windows)

Muestra los marcadores de archivos de Windows que habilit para


los roles especificados. Tambin muestra los vnculos que puede
utilizar para acceder a las correspondientes pginas de
configuracin de marcadores. (Tenga en cuenta que si crea un
marcador mediante un perfil de recursos, el vnculo aparece en
la columna Resource. De lo contrario, el vnculo aparece en la
columna Windows File Bookmark.)

Bookmarks: Files (UNIX)

Muestra los marcadores de archivos de UNIX/NFS que habilit para


los roles especificados. Tambin muestra los vnculos que puede
utilizar para acceder a las correspondientes pginas de
configuracin de marcadores. (Tenga en cuenta que si crea un
marcador mediante un perfil de recursos, el vnculo aparece en
la columna Resource. De lo contrario, el vnculo aparecer en la
columna UNIX File Bookmark.)

Personalizacin de las vistas de UI para roles de usuario

87

Gua de administracin de Secure Access de Juniper Networks

Tabla 3: Ver las opciones del men (continuacin)

88

Opcin

Descripcin

Bookmarks: Telnet

Muestra los marcadores de Telnet/SSH que habilit para los roles


especificados. Tambin muestra los vnculos que puede utilizar
para acceder a las correspondientes pginas de configuracin de
marcadores. (Tenga en cuenta que si crea un marcador mediante
un perfil de recursos, el vnculo aparece en la columna Resource.
De lo contrario, el vnculo aparecer en la columna Telnet/SSH
Session.)

Bookmarks: Terminal
Services

Muestra los marcadores de Terminal Services que habilit para


los roles especificados. Tambin muestra los vnculos que puede
utilizar para acceder a las correspondientes pginas de
configuracin de marcadores. (Tenga en cuenta que si crea un
marcador mediante un perfil de recursos, el vnculo aparece en
la columna Resource. De lo contrario, el vnculo aparecer en la
columna Terminal Services Session.)

ACL Resource Policies: All

Muestra las directivas de recursos asociadas a los roles


especificados. Incluye el tipo, nombre, descripcin, accin y
recursos de cada directiva. Tambin muestra los vnculos que
puede utilizar para acceder a las correspondientes pginas de
configuracin de directivas.

ACL Resource Policies:


Web

Muestra las directivas de recursos Web asociadas a los roles


especificados. Incluye el tipo, nombre, descripcin, accin y
recursos de cada directiva. Tambin muestra los vnculos que
puede utilizar para acceder a las correspondientes pginas de
configuracin de directivas.

ACL Resource Policies:


Files (Windows)

Muestra las directivas de recursos de archivos de Windows


asociadas a los roles especificados. Incluye el tipo, nombre,
descripcin, accin y recursos de cada directiva. Tambin muestra
los vnculos que puede utilizar para acceder a las correspondientes
pginas de configuracin de directivas.

ACL Resource Policies:


Files (UNIX)

Muestra las directivas de recursos de archivos de UNIX asociadas a


los roles especificados. Incluye el tipo, nombre, descripcin, accin
y recursos de cada directiva. Tambin muestra los vnculos que
puede utilizar para acceder a las correspondientes pginas de
configuracin de directivas.

ACL Resource Policies:


SAM

Muestra las directivas de recursos de JSAM y WSAM asociadas a los


roles especificados. Incluye el tipo, nombre, descripcin, accin y
recursos de cada directiva. Tambin muestra los vnculos que
puede utilizar para acceder a las correspondientes pginas de
configuracin de directivas.

ACL Resource Policies:


Telnet

Muestra las directivas de recursos de Telnet/SSH asociadas a los


roles especificados. Incluye el tipo, nombre, descripcin, accin
y recursos de cada directiva. Tambin muestra los vnculos que
puede utilizar para acceder a las correspondientes pginas de
configuracin de directivas.

ACL Resource Policies:


Terminal Services

Muestra las directivas de recursos de Terminal Services asociadas a


los roles especificados. Incluye el tipo, nombre, descripcin, accin
y recursos de cada directiva. Tambin muestra los vnculos que
puede utilizar para acceder a las correspondientes pginas de
configuracin de directivas.

ACL Resource Policies:


Network Connect

Muestra las directivas de recursos de Network Connect asociadas a


los roles especificados. Incluye el tipo, nombre, descripcin, accin
y recursos de cada directiva. Tambin muestra los vnculos que
puede utilizar para acceder a las correspondientes pginas de
configuracin de directivas.

Personalizacin de las vistas de UI para roles de usuario

Captulo 4: Roles de usuario

Tabla 3: Ver las opciones del men (continuacin)


Opcin

Descripcin

Resource Profiles: All

Muestra los perfiles de recursos asociados a los roles especificados.


Incluye el tipo, nombre, marcadores y directivas de soporte para
cada perfil. Tambin muestra los vnculos que puede utilizar para
acceder a las correspondientes pginas de configuracin de perfiles
de recursos.

Resource Profiles: Web


Applications

Muestra los perfiles de recursos de la aplicacin Web asociados a


los roles especificados. Incluye el nombre, marcadores y directivas
de soporte para cada perfil. Tambin muestra los vnculos que
puede utilizar para acceder a las correspondientes pginas de
configuracin de perfiles de recursos.

Resource Profiles: Web


Hosted Java Applets

Muestra los perfiles de recursos de applets de Java hospedados


asociados a los roles especificados. Incluye el nombre, marcadores
y directivas de soporte para cada perfil. Tambin muestra los
vnculos que puede utilizar para acceder a las correspondientes
pginas de configuracin de perfiles de recursos.

Resource Profiles: Files


(Windows)

Muestra los perfiles de recursos de archivos de Windows asociados


a los roles especificados. Incluye el nombre, marcadores y
directivas de soporte para cada perfil. Tambin muestra los
vnculos que puede utilizar para acceder a las correspondientes
pginas de configuracin de perfiles de recursos.

Resource Profiles: Files


(UNIX)

Muestra los perfiles de recursos de archivos de UNIX asociados a


los roles especificados. Incluye el nombre, marcadores y directivas
de soporte para cada perfil. Tambin muestra los vnculos que
puede utilizar para acceder a las correspondientes pginas de
configuracin de perfiles de recursos.

Resource Profiles: SAM


Client Applications

Muestra los perfiles de recursos de la aplicacin de JSAM y WSAM


asociados a los roles especificados. Incluye el nombre, marcadores
y directivas de soporte para cada perfil. Tambin muestra los
vnculos que puede utilizar para acceder a las correspondientes
pginas de configuracin de perfiles de recursos.

Resource Profiles: SAM


WSAM destinations

Muestra los perfiles de recursos de destino de WSAM asociados a


los roles especificados. Incluye el nombre, marcadores y directivas
de soporte para cada perfil. Tambin muestra los vnculos que
puede utilizar para acceder a las correspondientes pginas de
configuracin de perfiles de recursos.

Resource Profiles:
Telnet/SSH

Muestra los perfiles de recursos de Telnet/SSH asociados a los


roles especificados. Incluye el nombre, marcadores y directivas de
soporte para cada perfil. Tambin muestra los vnculos que puede
utilizar para acceder a las correspondientes pginas de
configuracin de perfiles de recursos.

Resource Profiles:
Terminal Services

Muestra los perfiles de recursos de Terminal Services asociados a


los roles especificados. Incluye el nombre, marcadores y directivas
de soporte para cada perfil. Tambin muestra los vnculos que
puede utilizar para acceder a las correspondientes pginas de
configuracin de perfiles de recursos.

Personalizacin de las vistas de UI para roles de usuario

89

Gua de administracin de Secure Access de Juniper Networks

90

Personalizacin de las vistas de UI para roles de usuario

Captulo 5

Perfiles de recursos
Un perfil de recursos contiene todas las directivas de recursos, asignaciones de roles
y los marcadores de usuario final requeridos para proporcionar el acceso a un
recurso individual. Los perfiles de recursos simplifican la configuracin de recursos
mediante la consolidacin de los ajustes correspondientes de un recurso individual
en una sola pgina en la consola de administracin.
El IVE cuenta con dos tipos de perfiles de recursos:

Los perfiles de recursos estndar permiten configurar ajustes para una


multiplicidad de tipos de recursos, como sitios web, aplicaciones
cliente/servidor, servidores de directorios y servidores de terminal. Cuando se
usa este mtodo, se escoge un tipo de perfil que corresponda con el recurso en
particular y se proporcionan los detalles del recurso.

Las plantillas de perfiles de recursos le permiten configurar ajustes para


aplicaciones especficas. Cuando se usa este mtodo, se escoge una aplicacin
especfica (como Citrix NFuse versin 4.0). Luego, el IVE rellena varios valores
en funcin de la aplicacin escogida y le pide que configure ajustes adicionales
segn necesite.

NOTA: Para los administradores que estn acostumbrados a usar una versin del
IVE previa a la 5.3, tenga en cuenta que puede seguir usando el rol IVE y el marco
de directivas de recursos para crear marcadores y directivas asociadas.
Recomendamos de todas maneras que use los perfiles de recursos, ya que estos
proporcionan una estructura de configuracin ms simple y unificada.

Esta seccin contiene la siguiente informacin sobre perfiles de recursos:

Licencia: Disponibilidad de perfiles de recursos en la pgina 92

Resumen de tareas: Configuracin de perfiles de recursos en la pgina 92

Componentes de los perfiles de recursos en la pgina 92

Plantillas de los perfiles de recursos en la pgina 99

91

Gua de administracin de Secure Access de Juniper Networks

Licencia: Disponibilidad de perfiles de recursos


Los perfiles de recursos forman parte integral del marco de administracin de
acceso del IVE y por ello estn disponibles en todos los productos Secure Access.
Sin embargo, solo puede tener acceso a los tipos de perfiles que corresponden a las
caractersticas para las que tiene licencia. Por ejemplo, si usa un dispositivo SA-700
y no ha comprado una licencia de actualizacin Core Clientless Access, no podr
crear un perfil de recursos web.

Resumen de tareas: Configuracin de perfiles de recursos


Para crear perfiles de recursos, debe hacer lo siguiente:
1. Crear roles de usuario mediante la pgina Users > User Roles de la consola de
administracin. Para obtener instrucciones, consulte Configuracin de los
roles de usuario en la pgina 72.
2. Crear perfiles de usuario mediante la pgina Users > Resource Profiles de la
consola de administracin. Al crear el perfil de recursos, especifique el recurso,
cree directivas automticas, asocie el perfil con roles de usuario y cree
marcadores segn lo necesite. Para obtener ms informacin, consulte
Componentes de los perfiles de recursos en la pgina 92.

Componentes de los perfiles de recursos


Los perfiles de recursos contienen los siguientes componentes:

92

Recursos: Cuando se define un perfil de recursos, se debe especificar el recurso


en particular que se desea configurar (como el sitio de Intranet de su empresa
o una aplicacin Lotus Notes). Todos los dems ajustes principales del perfil se
desprenden de este recurso. Se puede configurar una multiplicidad de tipos de
recursos, como sitios web, aplicaciones cliente/servidor, servidores de
directorios y servidores de terminal. Para obtener ms informacin, consulte
Definicin de recursos en la pgina 95.

Directivas automticas: Cuando se define un perfil de recursos, generalmente


se crean directivas automticas que establecen los requisitos de acceso y otros
ajustes para el recurso especificado. El tipo ms comn de directiva automtica
habilita el acceso al recurso principal que se define en el perfil. Otros tipos de
directiva (como las de compresin y almacenamiento en cach) ajustan con
mayor precisin el modo en que el IVE maneja los datos que pasa desde y
hacia el recurso especificado. Para obtener ms informacin, consulte
Definicin de directivas automticas en la pgina 96.

Roles: Cuando se define un perfil de recursos, se asocia generalmente a roles


de usuario. Los roles especificados heredan las directivas automticas y
(de manera opcional) los marcadores definidos en el perfil de recursos. Para
obtener ms informacin, consulte Definicin de roles en la pgina 98.

Licencia: Disponibilidad de perfiles de recursos

Captulo 5: Perfiles de recursos

Marcadores: Cuando se define un perfil de recursos, se puede crear de manera


opcional un marcador que apunta al recurso principal del perfil (como la pgina
principal de la Intranet de su empresa). Tambin se pueden crear marcadores
adicionales que apuntan a diversos sitios en el dominio del recurso (como las
pginas de ventas y marketing en la Intranet). El IVE muestra estos marcadores
a los usuarios que tienen asignado los roles de usuario especificados.
Para obtener ms informacin, consulte Definicin de marcadores en la
pgina 98.

Los diagramas siguientes ilustran la manera en que los perfiles de recursos


simplifican la configuracin de cada recurso.
El primer diagrama muestra la forma de configurar recursos usando roles y
directivas de recursos. Tenga en cuenta que para habilitar un marcador para varios
roles de usuario, debe volver a crear el marcador de manera manual y habilitar
el mecanismo de acceso correspondiente a cada rol. Tambin debe usar varias
pginas de la consola de administracin para crear directivas de recursos asociadas
que habiliten el acceso al recurso y a otras opciones de configuracin.
El segundo diagrama muestra la forma de configurar recursos usando perfiles de
recursos. Tenga en cuenta que puede crear un marcador, asociarlo con varios roles
de usuario y crear las directivas automticas asociadas que habiliten el acceso
al recurso y a otras opciones de configuracin mediante una sola seccin de
la consola de administracin. Tambin tenga en cuenta que el IVE habilita
automticamente el mecanismo de acceso correspondiente a los roles a los que
asign el marcador.

Componentes de los perfiles de recursos

93

Gua de administracin de Secure Access de Juniper Networks

Figura 20: Uso de roles y directivas de recursos para configurar recursos

94

Componentes de los perfiles de recursos

Captulo 5: Perfiles de recursos

Figura 21: Uso de perfiles de recursos para configurar recursos

Definicin de recursos
Cuando se define un perfil de recursos, se debe especificar el recurso en particular
que desea configurar. El tipo de perfil que escoja depende del tipo de recurso que
desea configurar, tal como se describe en la tabla siguiente:
Tabla 4: Tipos de perfil de recursos e informacin de configuracin
Use este tipo de perfil
de recursos:

Para configurar este tipo


de recursos:

Para obtener instrucciones acerca


de la configuracin, consulte:

Aplicacin/pginas web

URL a aplicaciones web,


servidores web y pginas
web; applets de Java que se
almacenan en servidores
de terceros

Definicin de perfiles de recursos:


Aplicaciones web personalizadas en
la pgina 392

Applet de Java hospedado Los applets de Java que se


cargaron directamente en
el IVE

Plantillas de applets de Java


hospedados en la pgina 345

Exploracin de archivos

Servidores, recursos
compartidos y rutas de
archivo de Windows y
UNIX/NFS

Definicin de perfiles de recursos:


Reescritura de archivo en la
pgina 465

Aplicacin cliente SAM

Aplicaciones
cliente/servidor

Definicin de perfiles de recursos:


WSAM en la pgina 498 y
Definicin de perfiles de recursos:
JSAM en la pgina 535

Destino WSAM

Redes o servidores de
destino

Definicin de perfiles de recursos:


WSAM en la pgina 498

Componentes de los perfiles de recursos

95

Gua de administracin de Secure Access de Juniper Networks

Tabla 4: Tipos de perfil de recursos e informacin de configuracin


Use este tipo de perfil
de recursos:

Para configurar este tipo


de recursos:

Para obtener instrucciones acerca


de la configuracin, consulte:

Telnet/SSH

Servidores Telnet o SSH

Definicin de perfiles de recursos:


Telnet/SSH en la pgina 553

Terminal Services

Servidores de terminales de Definicin de perfiles de recursos:


Windows y Citrix
Vista general de Terminal Services
en la pgina 570

NOTA: No se puede configurar aplicaciones mediante Network Connect usando los perfiles
de recursos, sino que debe usar roles y directivas de recursos. Para obtener ms informacin,
consulte Network Connect en la pgina 655.

Al definir recursos, se pueden usar las variables del IVE, como <user> para
relacionar dinmicamente los usuarios con los recursos correctos. Por ejemplo,
se puede especificar el siguiente recurso Web a fin de dirigir a los usuarios hacia
sus propias pginas de la Intranet:
http://yourcompany.intranet/<user>

Si el campo Resource de dos perfiles de recursos distintos es idntico y ambos


perfiles de recursos coinciden con el mismo rol, un usuario podra ver una directiva
de recursos de cada perfil. Por ejemplo, considere lo siguiente:
Perfil de recursos nmero uno:
Nombre del perfil de recursos: Intranet
Recurso del perfil de recursos: http://intranet.ejemplo.com
ACL web del perfil de recursos: http://intranet.ejemplo.com/ventas/*
Asignado al rol: Ventas
Perfil de recursos nmero dos:
Nombre del perfil de recursos: Intranet de ventas
Recurso del perfil de recursos: http://intranet.ejemplo.com
ACL web del perfil de recursos: http://intranet.ejemplo.com/ventas/docs/*

El usuario final que coincida con el rol Ventas debera ver un nombre de marcador
Intranet for Sales, pero la aplicacin de la ACL web ser
http://intranet.ejemplo.com/ventas/*.
No se admite este tipo de configuracin.

Definicin de directivas automticas


Cuando se define un perfil de recursos, generalmente se crean directivas
automticas que establecen los requisitos de acceso y otros ajustes para el recurso
especificado. El tipo ms comn de directiva automtica habilita el acceso al
recurso principal que se define en el perfil. Otros tipos de directiva (como las de
compresin y almacenamiento en cach) ajustan con mayor precisin el modo en
que el IVE maneja los datos que pasa desde y hacia el recurso especificado.

96

Componentes de los perfiles de recursos

Captulo 5: Perfiles de recursos

Cuando se crean perfiles de recursos, el IVE muestra solamente las directivas


automticas que corresponden al tipo de perfil de recursos. Por ejemplo, puede
escoger habilitar el acceso a una aplicacin cliente/servidor mediante un perfil de
recursos WSAM. Al hacerlo, el IVE muestra las directivas automticas que puede
usar para habilitar el acceso al servidor de la aplicacin especificada. Por otro lado,
el IVE no muestra las directivas automticas de control de acceso Java, ya que los
ajustes de Java no se aplican al WSAM.

NOTA: Al definir directivas de acceso, debe indicar explcitamente cada direccin


de nombre de host. El sistema que verifica las directivas no adjunta o usa el
dominio predeterminado ni busca los demonios en los ajustes de red del IVE.

Adems, el IVE consolida todas las opciones pertinentes de directivas automticas


en una sola pgina de la interfaz de usuario, lo que le permite comprender cules
son las posibilidades de configuracin y los requisitos de un tipo de recursos.
NOTA:

Las directivas automticas de control de acceso se basan generalmente en


el recurso principal que se defini en el perfil de recursos. Sin embargo, si se
cambia el recurso principal del perfil, el IVE no actualiza necesariamente las
directivas automticas correspondientes. Se deben volver a evaluar las
directivas automticas despus de cambiar el recurso principal de un perfil.

Para los administradores que estn acostumbrados a usar una versin del IVE,
tenga en cuenta que las directivas automticas son directivas de recursos.
El IVE le permite clasificar y ordenar las directivas automticas junto con las
directivas de recursos estndar en las pginas Users > Resource Policies de
la consola de administracin. Sin embargo, el IVE no le permite tener acceso
a opciones de configuracin ms detalladas para las directivas automticas en
esta seccin de la consola de administracin. En su lugar, si desea cambiar la
configuracin de una directiva automtica, debe tener acceso a ella a travs
del perfil de recursos correspondiente.

Para los administradores que estn acostumbrados a usar una versin del
IVE previa a la 5.3, tenga en cuenta que tambin puede crear directivas de
recursos automticamente si habilita la opcin Auto-allow a nivel de roles.
Sin embargo, tenga en cuenta que nuestra recomendacin es que use las
directivas automticas, ya que se corresponden directamente con el recurso
que se est configurando en lugar de todos los recursos de un tipo en
particular. (Tambin puede preferir habilitar la opcin Auto-allow para una
caracterstica de nivel de rol y crear directivas automticas para los recursos
del mismo tipo. Al hacerlo, el IVE crear directivas para ambos y las muestra
en la pgina de directivas de recursos correspondiente de la consola de
administracin.)

Componentes de los perfiles de recursos

97

Gua de administracin de Secure Access de Juniper Networks

Definicin de roles
En un perfil de recursos, se puede asignar roles de usuario al perfil. Por ejemplo,
se puede crear un perfil de recursos que especifique que los miembros del rol
Clientes tengan acceso al Centro de Asistencia Tcnica de su empresa y que los
miembros del rol Evaluadores no lo tengan. Al asignar roles de usuario a un perfil
de recursos, los roles heredan todas las directivas automticas y marcadores
definidos en el perfil de recursos.
Ya que el marco de perfiles de recursos no incluye opciones para crear roles,
debe crear los roles de usuario antes de asignarlos a los perfiles de recursos.
Sin embargo, el marco de perfiles de recursos incluye algunas de las opciones
de configuracin de roles de usuario. Por ejemplo, si asigna un rol de usuario a un
perfil de recursos web, pero no ha habilitado la reescritura web para el rol, el IVE
la habilita automticamente.
NOTA: Tenga en cuenta que puede asignar roles a un perfil de recursos mediante el

marco de roles y el marco de perfiles de recursos del IVE.

Definicin de marcadores
Cuando se crea un perfil de recursos, el IVE crea generalmente un marcador que
apunta al recurso principal del perfil1 (como la pgina principal de la Intranet de su
empresa). Otra opcin es crear marcadores adicionales que apuntan a diversos
sitios en el dominio del recurso principal (como las pginas de ventas y marketing
en la Intranet). Al crear los marcadores, puede asignarlos a roles de usuario para as
controlar los marcadores que ven los usuarios al iniciar sesin en la consola de
usuario final del IVE.
Por ejemplo, puede crear un perfil de recursos que controla el acceso a la intranet
de la empresa. En el perfil, puede especificar:

Resource profile name: la Intranet

Primary resource: http://intranet.com

Web access control autopolicy: Permitir acceso a http://intranet.com:80/*

Roles: Sales, Engineering

Cuando crea esta directiva, el IVE crea automticamente un marcador llamado


Your Intranet que permite el acceso a http://intranet.com y muestra el marcador
a los miembros de los roles de Sales y Engineering.
Luego, puede optar por crear los siguientes marcadores adicionales para asociar
con el perfil de recursos:

Marcador Sales Intranet: Crea un vnculo a la pgina


http://intranet.com/sales y muestra el vnculo a los miembros del rol Sales.

1. Los perfiles de recursos WSAM y JSAM no incluyen marcadores, ya que el IVE no puede iniciar las aplicaciones
especificadas en los perfiles de recursos.

98

Componentes de los perfiles de recursos

Captulo 5: Perfiles de recursos

Marcador Engineering Intranet: Crea un vnculo a la pgina


http://intranet.com/engineering y muestra el vnculo a los miembros del
rol Engineering.

NOTA: Al configurar marcadores, tenga en cuenta que:

Slo puede asignar marcadores a roles que ya haya asociado con el perfil de
recursos, no todos los roles definidos en el IVE. Para cambiar la lista de roles
asociados al perfil de recurso, utilice los parmetros de la ficha Roles.

Los marcadores simplemente controlan los vnculos que muestra el IVE a los
usuarios, no los recursos a los que los usuarios pueden obtener acceso. En el
ejemplo utilizado anteriormente, un miembro del rol de Sales podra no ver
un vnculo a la pgina de Intranet Engineering, pero puede acceder a ella
escribiendo http://intranet.com/engineering en la barra de direcciones del
explorador web. Asimismo, si elimina un marcador, los usuarios seguirn
teniendo acceso al recurso definido en el perfil.

El IVE le permite crear mltiples marcadores que apuntan al mismo recurso.


Sin embargo, si asigna marcadores duplicados al mismo rol de usuario, el IVE
mostrar a los usuarios uno de ellos.

Los marcadores apuntan al recurso principal que defini en el perfil de


recursos (o a un subdirectorio del recurso principal). Si se cambia el recurso
principal del perfil, el IVE actualiza los marcadores correspondientes.

Plantillas de los perfiles de recursos


Las plantillas de perfiles de recursos le permiten configurar ajustes para
aplicaciones especficas. Cuando se usa este mtodo, se escoge una aplicacin
especfica (como Citrix NFuse versin 4.0). Luego, el IVE rellena varios valores
en funcin de la aplicacin escogida y le pide que configure ajustes adicionales
segn necesite.
Actualmente, el IVE incluye plantillas para las siguientes aplicaciones de terceros:

Citrix. Para obtener ms informacin, consulte:

Plantillas de Citrix en la pgina 361

Definicin de perfiles de recursos: WSAM en la pgina 498

Definicin de perfiles de recursos: JSAM en la pgina 535

Lotus Notes. Para obtener ms informacin, consulte:

Plantillas de Lotus iNotes en la pgina 371

Definicin de perfiles de recursos: WSAM en la pgina 498

Definicin de perfiles de recursos: JSAM en la pgina 535

Plantillas de los perfiles de recursos

99

Gua de administracin de Secure Access de Juniper Networks

100

Microsoft Outlook. Para obtener ms informacin, consulte:

Plantillas de Microsoft OWA en la pgina 375

Definicin de perfiles de recursos: WSAM en la pgina 498

Definicin de perfiles de recursos: JSAM en la pgina 535

Microsoft Sharepoint. Para obtener ms informacin, consulte Plantillas de


Microsoft Sharepoint en la pgina 379.

Exploracin de archivos NetBIOS. Para obtener ms informacin, consulte:

Definicin de perfiles de recursos: WSAM en la pgina 498

Definicin de perfiles de recursos: JSAM en la pgina 535

Plantillas de los perfiles de recursos

Captulo 6

Directivas de recursos
Una directiva de recursos es una regla del sistema que especifica los recursos y las
acciones de una caracterstica de acceso en particular. Un recurso puede ser un
servidor o un archivo al que se puede tener acceso mediante un dispositivo IVE
y una accin es permitir o negar al recurso que lleve a cabo una funcin. Cada
caracterstica de acceso tiene uno o dos tipos de directiva, que determinan la
respuesta del IVE a una solicitud de usuario o la manera en que se habilita una
caracterstica de acceso (en el caso del Email Client). Tambin se pueden definir
reglas detalladas para una directiva de recursos, lo que le permite evaluar requisitos
adicionales para solicitudes especficas de los usuarios.
Se pueden crear los siguientes tipos de directivas de recursos con las pginas
Resource Policies del IVE:

Directivas de recursos Web: Las directivas de recursos Web especifican los


recursos de la web que los usuarios pueden explorar o no. Tambin contienen
especificaciones adicionales tales como los requisitos de almacenamiento en
cach del encabezado, los servidores a los que se pueden conectar los applets
de Java, los certificados de firma de cdigos que debe usar el IVE para firmar
los applets de Java, los recursos que debe reescribir o no, las aplicaciones para
las que el IVE proporciona el mnimo de intermediacin y opciones
individuales de inicio de sesin.

Directivas de recursos de archivos: Las directivas de recursos de archivos


especifican los recursos de archivos Windows, UNIX y NFS que los usuarios
pueden explorar o no. Tambin contienen especificaciones adicionales como
los recursos de archivos para los que los usuarios deben proporcionar
credenciales adicionales.

Directivas de recursos de Secure Application Manager: Las directivas de


recursos de Secure Application Manager permitan o niegan el acceso a
aplicaciones configuradas para usar JSAM o WSAM para hacer conexiones
socket.

Directivas de recursos de Telnet/SSH: Las directivas de recursos de Telnet/SSH


permiten o niegan el acceso a servidores especificados.

101

Gua de administracin de Secure Access de Juniper Networks

Directivas de Terminal Services: Las directivas de recursos de Terminal


Services permiten o niegan el acceso a los servidores Windows o Citrix
Metaframe especificados.

Directivas de recursos de Network Connect: Las directivas de recursos de


Network Connect permiten o niegan el acceso a servidores especificados y
a conjuntos de direcciones IP especificadas.

Directivas de recursos de Secure Email Client: La directiva de recursos


de acceso a Secure Email Client le permiten habilitar o inhabilitar la
compatibilidad con clientes de correo electrnico. Para permitir a los usuarios
finales abrir y guardar archivos adjuntos de correo electrnico de distinto tipo
en OWA e iNotes, seleccione el tipo OWA o iNotes cuando defina un perfil de
recursos de aplicacin web.

NOTA: Tambin se pueden crear directivas de recursos durante el proceso de


configuracin de perfiles de recursos. En ese caso, las directivas de recursos de
denominan directivas avanzadas. Para obtener ms informacin, consulte
Perfiles de recursos en la pgina 91.

Esta seccin proporciona la siguiente informacin:

Licencia: Disponibilidad de directivas de recursos en la pgina 102

Componentes de las directivas de recursos en la pgina 103

Evaluacin de las directivas de recursos en la pgina 106

Creacin de reglas detalladas para las directivas de recursos en la pgina 108

Personalizacin de las vistas de la interfaz de usuario de directivas


de recursos en la pgina 110

Licencia: Disponibilidad de directivas de recursos


Las directivas de recursos forman parte integral del marco de administracin de
acceso del IVE y por ello estn disponibles en todos los productos Secure Access.
Sin embargo, solo puede tener acceso a los tipos de directivas que corresponden
a las caractersticas para las que tiene licencia. Por ejemplo, si usa un dispositivo
SA-700 y no ha comprado una licencia de actualizacin Core Clientless Access,
no podr crear una directiva de recursos Web.

102

Licencia: Disponibilidad de directivas de recursos

Captulo 6: Directivas de recursos

Componentes de las directivas de recursos


Una directiva de recursos contiene la siguiente informacin:

Recursos: Coleccin de nombres de recursos (URL, nombres de host o


combinaciones de direcciones IP/mscaras de red) que especifican a qu
recursos de aplica la directiva. Se puede especificar un recurso mediante
un prefijo comodn que coincida con los nombres de host. El recurso
predeterminado de una directiva es el asterisco (*), lo que significa que
la directiva se aplica a todos los recursos relacionados. Para obtener ms
informacin, consulte Especificacin de los recursos para una directiva de
recursos en la pgina 103.

Roles: Lista opcional de roles de usuario a los que se aplica esta directiva.
La configuracin predeterminada es aplicar la directiva a todos los roles.

Accin: La accin que debe efectuar el IVE cuando un usuario solicita el recurso
correspondiente de la lista Resource. Una accin puede especificar permitir o
negar un recurso o ejecutar una accin o no, como reescribir contenido web o
permitir conexiones socket de Java.

Reglas detalladas: Lista opcional de elementos que especifica los detalles del
recurso (como la URL especfica, ruta en el directorio, archivo o tipo de archivo)
a los que desea aplicar una accin distinta o para las que desea evaluar las
condiciones antes de aplicar la accin. Puede definir ms de una regla y
especificar el orden en que el IVE las evala. Para obtener ms informacin,
consulte Creacin de reglas detalladas para las directivas de recursos en la
pgina 108.

Especificacin de los recursos para una directiva de recursos


El motor del IVE que evala las directivas de recursos requiere que los recursos que
aparecen en la lista Resources de una directiva tengan un formato cannico. Esta
seccin describe los formatos cannicos disponibles para especificar los recursos
Web, de archivos y de servidores. Cuando un usuario trata de tener acceso a un
recurso especfico, un dispositivo IVE compara el recurso solicitado con los que
estn especificados en las directivas correspondientes, comenzando por la primera
directiva de la lista. Cuando el motor encuentra una coincidencia de un recurso
solicitado con uno especificado en la lista Resources de una directiva, evala otras
restricciones de la directiva y devuelve la accin correspondiente al dispositivo (no
se evalan otras directivas). Si no se aplica directiva alguna, el dispositivo evala los
marcadores de permiso automtico (si estn definidos); de lo contrario la respuesta
es la medida predeterminada para la directiva.
NOTA: Es posible que no vea la opcin de permiso automtico si est usando una
instalacin nueva, si usa perfiles de recursos en lugar de directivas de recursos o si
un administrador ocult la opcin. Para obtener ms informacin sobre esta
opcin, consulte Ajuste de las opciones del sistema en la pgina 722.

Componentes de las directivas de recursos

103

Gua de administracin de Secure Access de Juniper Networks

Notas generales sobre los formatos cannicos

Si la ruta de un componente termina con una barra inclinada y un asterisco


(/*), coincide entonces con el nodo hoja y todos los niveles inferiores. Si la ruta
de un componente termina con una barra inclinada y un signo de porcentaje
(/%), coincide entonces con el nodo hoja y lo que est en el nivel
inmediatamente inferior solamente. Por ejemplo:

/intranet/* coincide con:

/intranet
/intranet/home.html
/intranet/elee/public/index.html

/intranet/% coincide con:

/intranet
/intranet/home.html
but NOT /intranet/elee/public/index.html

El nombre de host de un recurso y su direccin IP pasan al motor de directivas


al mismo tiempo. Si un servidor en la lista Resources de una directiva aparece
especificado como una direccin IP, la evaluacin se realiza con base en la
direccin IP. De lo contrario, el motor intenta hacer coincidir los dos nombres
de host. No lleva a cabo una consulta inversa de DNS para determinar la IP.

Si un nombre de host no est calificado del todo en el archivo de hosts, como


juniper en vez de intranet.juniper.net, y se tiene acceso al nombre de host
usando el nombre corto, el motor compara los recursos usando el nombre
corto. Sin embargo, si el nombre corto no est en el archivo de hosts y se
intenta resolver el nombre de hosts mediante DNS (agregando los dominios
que aparecen en la pgina Networks configuration), se usar el nombre de
dominio competo (FQDN) para encontrar la coincidencia entre los recursos.
Es decir, para las directivas de recursos Web se lleva a cabo una consulta de
DNS del nombre corto. El resultado de la consulta DNS es un FQDN; el motor
busca la coincidencia del FQDN con los nombres introducidos en la interfaz
de usuario.

Especificacin de recursos de servidor


Al especificar recursos de servidor para directivas de recursos Telnet/SSH, Terminal
Services, o Network Connect, tenga en cuenta las siguientes pautas.
Formato cannico: [protocol://] host [:ports]
Los componentes son:

104

Protocol (optional): Posibles valores que no distinguen maysculas de


minsculas:

tcp

udp

icmp

Componentes de las directivas de recursos

Captulo 6: Directivas de recursos

Si falta el protocolo, se asumen todos los protocolos. Si se especifica un


protocolo, se requiere el delimitador ://. No se permiten caracteres
especiales.
NOTA: Directivas disponibles slo para Network Connect. Para otras directivas

de recursos con caractersticas de acceso, como Secure Application Manager


y Telnet/SSH, no es vlido especificar este componente.

Host (obligatorio). Valores posibles:

Direccin IP /Mscara de red: La direccin IP debe tener el siguiente


formato: a.b.c.d
La mscara de red puede estar en uno de estos dos formatos:

Prefijo: bits de ordenacin alta

IP: a.b.c.d

Por ejemplo: 10.11.149.2/24 o bien 10.11.149.2/255.255.255.0


No se permiten caracteres especiales.

DNS Hostname: por ejemplo: www.juniper.com


Los caracteres especiales permitidos son:

Tabla 5: Caracteres especiales de nombre de host DNS


*

Coincidencias con TODOS los caracteres

Coincidencias con cualquier carcter a excepcin del punto (.)

Coincide exactamente con un solo carcter

NOTA: No puede especificar un nombre de host para una directiva de recursos


de Network Connect. Solamente se puede especificar una direccin IP.

Puertos (opcional): valores posibles:

Tabla 6: Valores posibles de puerto


*

Coincidencias con TODOS los puertos; no se permiten otros


caracteres especiales

puerto[,puerto]*

Una lista de puertos delimitada por comas. Los nmeros de


puertos vlidos son [1-65535]. No ponga un espacio entre los
nmeros de puerto. Puede especificar hasta 15 puertos.

[puerto1]-[puerto2] Un rango de puertos, desde el puerto1 al puerto2.

Componentes de las directivas de recursos

105

Gua de administracin de Secure Access de Juniper Networks

NOTA: Se pueden combinar listas de puertos e intervalos de puertos, de esta


manera: 80,443,8080-8090.

Si falta el puerto, el puerto 80 predeterminado se asigna para http y el 443 para


https. Si se especifica un puerto, se requiere el delimitador :. Por ejemplo:
<username>.danastreet.net:5901-5910
tcp://10.10.149.149:22,23
tcp://10.11.0.10:80
udp://10.11.0.10:*

EAP-TTLS consiste en dos etapas. En la primera, el solicitante usa un certificado


digital X.509 emitido por el servidor de autenticacin para verificar su identidad
y para validar la autenticidad de la red.

Evaluacin de las directivas de recursos


Cuando un dispositivo IVE recibe una solicitud de un usuario, evala las directivas
de recursos correspondientes al tipo de solicitud. Cuando procesa la directiva que
corresponde al recurso solicitado, aplica la accin especificada a la solicitud. Esta
accin se define en la ficha General de la directiva o en la ficha Detailed Rules.
Por ejemplo, si un usuario solicita una pgina web, el IVE sabe que tiene que usar
las directivas de recursos Web. En el caso de las solicitudes web, el IVE siempre
comienza con las directivas de reescritura web (reescritura selectiva y proxy pass
through) para determinar si manejar o no la solicitud. Si no se aplica alguna de las
directivas (o no se ha definido ninguna), el IVE evala las directivas Web Access
hasta encontrar la que sea pertinente al recurso solicitado.
Un dispositivo IVE evala un conjunto de directivas de recursos para una
caracterstica de acceso de arriba a abajo, lo que significa que comienza con la
directiva que est en el primer lugar y sigue con el resto hasta encontrar una que
coincida. Si se definieron reglas detalladas para la directiva que coincide, el IVE
evala las reglas de arriba a abajo, comenzando con la regla que est en el primer
lugar y terminando al encontrar el recurso que coincide de la lista Resource.
El siguiente diagrama ilustra los pasos generales de la evaluacin de directivas:

106

Evaluacin de las directivas de recursos

Captulo 6: Directivas de recursos

Figura 22: Pasos de la evaluacin de las directivas de recursos

Detalles relacionados con cada paso de la evaluacin:


1. El IVE recibe una solicitud de usuario y evala el rol de la sesin del usuario
para determinar si est habilitada la caracterstica de acceso correspondiente.
El rol de sesin de un usuario depende del rol o roles que se le asignan al
usuario durante el proceso de autenticacin. Las caractersticas de acceso
habilitadas para un usuario se determinan mediante la configuracin de la
asignacin de roles de un territorio de autenticacin. (Para obtener ms
informacin, consulte Evaluacin de rol de usuario en la pgina 70.)
2. El IVE determina las directivas que coinciden con la solicitud. El dispositivo
evala las directivas de recursos relacionadas con la solicitud del usuario y
procesa secuencialmente cada directiva hasta encontrar aquella cuya lista
de recursos y roles asignados coincida con la solicitud. (Si configura el IVE con
perfiles de recursos, se evalan las directivas avanzadas que configur como
parte del perfil de recursos.)
Las caractersticas de acceso web y a archivos tienen ms de un tipo de
directiva, de modo que el IVE determina en primer lugar el tipo de solicitud
(si se trata de una pgina web, applet de Java o archivo UNIX) y luego las
directivas relacionadas con la solicitud. En el caso de la caracterstica Web
Access, las directivas de reescritura son las que se evalan en primer lugar
para cada solicitud web. Las cinco caractersticas de acceso restantes (Secure
Application Manager, Secure Terminal Access, y Secure Email Client) tienen slo
una directiva de recursos.
3. El IVE evala y ejecuta las reglas especificadas en las directivas que coinciden.
Se pueden configurar reglas de las directivas para hacer dos cosas:

Especificar los recursos a los que se aplica una accin a un nivel ms


granular. Por ejemplo, si especifica un servidor web en los ajustes de la
directiva principal para una directiva de recursos de Web Access, se puede
definir una regla detallada que especifique una ruta en particular en el
servidor y luego cambiar la accin para esta ruta.

Evaluacin de las directivas de recursos

107

Gua de administracin de Secure Access de Juniper Networks

Exigir que el usuario cumpla condiciones especficas descritas como


expresiones booleanas o personalizadas a fin de que se aplique la accin.
Para obtener ms informacin, consulte Creacin de reglas detalladas
para las directivas de recursos en la pgina 108).

4. El IVE detiene el procesamiento de directivas de recursos en cuanto encuentra


el recurso solicitado en una lista Resource o regla detallada.
NOTA: Si usa evaluacin dinmica de directivas (basada en tiempo) o si ejecuta
una evaluacin manual de directivas, el IVE repite el proceso de evaluacin de
recursos descrito en esta seccin. Para obtener ms informacin, consulte
Evaluacin dinmica de directivas en la pgina 57.

Creacin de reglas detalladas para las directivas de recursos


Las caractersticas de acceso web, de acceso a archivos, de acceso de Secure
Application Manager, Telnet/SSH y Network Connect le permiten especificar
directivas de recursos especficas para cada servidor web, servidor de archivos o
aplicaciones y servidor telnet. Las caractersticas de acceso de Email Client tienen
una directiva que se aplica en general. Para estas directivas, se especifican ajustes
de servidor que se usan para cada rol y que habilitan estas caractersticas de
acceso. Para todas las dems caractersticas de acceso, se especifica cualquier
cantidad de directivas de recursos y para cada una se puede definir ms de una
regla detallada.
Una regla detallada es una extensin de una directiva de recursos que puede
especificar lo siguiente:

Informacin1 adicional (como la ruta especfica o el directorio, archivo o tipo de


archivo especfico) de los recursos que aparecen en la ficha General.

Una accin distinta de la especificada en la ficha General (aunque las opciones


son las mismas).

Condiciones que deben cumplirse para que se aplique la regla detallada.

En muchos casos, la directiva de recursos base (es decir, la informacin


especificada en la ficha General de una directiva de recursos) proporciona un
control de acceso suficiente para un recurso:
Si un usuario que pertenece a (roles_definidos) intenta tener acceso
a (recursos_definidos), ejecute la (accin_de_recurso) especificada.
Es posible que desee definir una o ms reglas detalladas para una directiva cuando
desea que se ejecute una accin basada en una combinacin de informacin
distinta, como por ejemplo:

Las propiedades de un recurso, como su encabezado, tipo de contenido o tipo


de archivo

1. Tenga en cuenta que tambin puede especificar la misma lista de recursos (como la de la ficha General) para una
regla detallada si el nico objetivo de la regla es aplicar condiciones a una solicitud de usuario.

108

Creacin de reglas detalladas para las directivas de recursos

Captulo 6: Directivas de recursos

Las propiedades de un usuario, como su nombre de usuario y los roles que


tiene asignados

Las propiedades de una sesin, como la IP de origen de un usuario o su tipo


de explorador, si est ejecutando Host Checker o Cache Cleaner, la hora y los
atributos del certificado

Las reglas detalladas aaden flexibilidad para controlar el acceso a los recursos, ya
que le permiten aprovechar la informacin de recursos y permisos existente para
especificar requisitos distintos para usuarios distintos a los que se aplica la directiva
de recursos base.

Escritura de una regla detallada


Las reglas detalladas aaden flexibilidad para controlar el acceso a los recursos ya
que le permiten aprovechar la informacin de recursos y permisos existente para
especificar requisitos distintos para usuarios distintos a los que se aplica la directiva
de recursos base.
Para escribir una regla detallada para una directiva de recursos:
1. En la pgina New Policy de una directiva de recursos, introduzca la informacin
de recursos y roles necesaria.
2. En la seccin Action, seleccione Use Detailed Rules y haga clic en
Save Changes.
3. En la ficha Detailed Rules, haga clic en New Rule.
4. En la pgina Detailed Rule:
a.

En la seccin Action, configure la accin que desea llevar a cabo si la


solicitud del usuario coincide con un recurso de la lista Resource
(opcional). Tenga en cuenta que la accin especificada en la ficha General
se ejecuta de manera predeterminada.

b.

En la seccin Resources, especifique cualquiera da las siguientes


alternativas (obligatorio):

La misma lista de recursos especificada en la ficha General o parte de


la lista.

La ruta especfica o archivo especfico en el servidor o servidores que


aparecen en la ficha General, usando comodines segn corresponda.
Para obtener informacin sobre la manera de usar comodines en una
lista Resources, consulte la documentacin de la directiva de recursos
correspondiente.

Un tipo de archivo, precedido por una ruta si corresponde o slo


*/*.file_extension para indicar los archivos de la extensin especificada
en cualquier ruta del servidor o servidores que aparecen en la
ficha General.

Creacin de reglas detalladas para las directivas de recursos

109

Gua de administracin de Secure Access de Juniper Networks

c.

En la seccin Conditions, especifique una o ms expresiones que se


evaluarn para ejecutar la accin (opcional):

Expresiones booleanas: Mediante variables de sistema, escriba una


o ms expresiones booleanas con los operadores NOT, OR, o AND.
Consulte Variables del sistema y ejemplos en la pgina 1046 para
ver una lista de variables disponibles en las directivas de recursos.

Expresiones personalizadas: Usando la sintaxis de expresiones


personalizadas, escriba una o ms expresiones. Consulte Expresiones
personalizadas en la pgina 1041 para obtener informacin sobre la
sintaxis y las variables.

NOTA: Puede usar la variable de sustitucin <USER> en las listas de control de


acceso de pginas web, telnet, archivos y SAM. No puede usar la variable en ACL
de Network Connect.

d. Haga clic en Save Changes.


5. En la ficha Detailed Rules, disponga las reglas en el orden en que desea que las
evale el IVE. Tenga presente que una vez que el IVE encuentra la coincidencia
entre el recurso solicitado por el usuario y un recurso en la lista Resource de
una regla, realiza la accin especificada y deja de procesar reglas (y otras
directivas de recursos).

Personalizacin de las vistas de la interfaz de usuario de directivas


de recursos
Se puede restringir las directivas de recursos que muestra el IVE en cualquier
pgina de directivas de recursos segn los roles de usuario. Por ejemplo, puede
configurar la pgina Users > Resource Policies > Web de la consola de
administracin para mostrar slo aquellas directivas de recursos que estn
asignadas al rol de usuario Ventas.
Para controlar las directivas de recursos que muestra el IVE:
1. Navegue hasta Users > Resource Policies > Tipo de directiva.
2. En la lista Show all policies that apply to, seleccione All Roles o un rol
particular.
3. Haga clic en Update. El IVE muestra las directivas de recursos que estn
asignadas a los roles seleccionados.

110

Personalizacin de las vistas de la interfaz de usuario de directivas de recursos

Captulo 7

Servidores de autenticacin y
de directorios
Un servidor de autenticacin es una base de datos que almacena las credenciales
del usuario (nombre y contrasea) y, normalmente, informacin sobre el grupo.
Cuando un usuario inicia sesin en el IVE, debe especificar un territorio de
autenticacin que est asociado a un servidor de autenticacin. Si el usuario
cumple la directiva de autenticacin del territorio, el IVE reenviar las credenciales
del usuario al servidor de autenticacin asociado. El trabajo del servidor de
autenticacin es verificar que el usuario existe y comprobar que es quien dice ser.
Despus de verificar al usuario, el servidor de autenticacin enva la aprobacin al
IVE y, si el territorio tambin usa el servidor como servidor de directorios/atributos,
la informacin del grupo del usuario u otra informacin de atributos del usuario.
El IVE evala las reglas de asignacin de roles del territorio para determinar a
qu roles de usuario se puede asignar al usuario.
La plataforma Juniper Networks Instant Virtual Extranet admite los servidores
de autenticacin ms comunes, incluyendo dominios de Windows NT, Active
Directory, RADIUS, LDAP, NIS, RSA ACE/Server y eTrust SiteMinder, permitiendo
crear una o ms bases de datos locales de usuarios autenticados por el IVE. Para
obtener informacin general del servidor y de configuracin, consulte Servidores
de autenticacin y de directorios en la pgina 111.
Un servidor de directorios es una base de datos que almacena informacin del
usuario y, normalmente, del grupo. Puede configurar un territorio de autenticacin
de modo que utilice un servidor de directorios con el fin de recuperar informacin
del usuario o del grupo, que se utilizarn en las reglas de asignacin de roles y
directivas de recursos. Actualmente, el IVE admite servidores LDAP para este fin,
lo que quiere decir que puede usar un servidor LDAP para la autenticacin y la
autorizacin. Simplemente necesita definir una instancia de servidor y luego
aparecer el nombre de la instancia del servidor LDAP en las listas desplegables
Authentication y Directory/Attribute de la ficha General del territorio. Puede usar
el mismo servidor para cualquier nmero de territorios.

111

Gua de administracin de Secure Access de Juniper Networks

Adems de LDAP, puede usar un servidor RADIUS o SiteMinder para recuperar


atributos de usuario que se pueden usar en las reglas de asignacin de roles.
Sin embargo, a diferencia de la instancia del servidor LDAP, el nombre de una
instancia de servidor RADIUS o SiteMinder no aparece en la lista desplegable
Directory/Attribute del territorio. Para usar un servidor RADIUS o SiteMinder para
recuperar informacin del usuario, simplemente elija su nombre de instancia
en la lista Authentication y elija Same as Above en la lista Directory/Attribute.
A continuacin, configure las reglas de asignacin de roles para usar los atributos
del servidor RADIUS o SiteMinder; lo que proporciona el IVE es una lista de
atributos en la pgina Role Mapping Rule despus de seleccionar Rule based
on User attribute.
Esta seccin contiene la siguiente informacin acerca de los servidores de
autenticacin y de directorios:

Licencia: Disponibilidad de servidores de autenticacin en la pgina 112

Resumen de tareas: configuracin de servidores de autenticacin en la


pgina 113

Definicin de una instancia de servidor de autenticacin en la pgina 114

Configuracin de una instancia de servidor annimo en la pgina 115

Configuracin de una instancia de ACE/Server en la pgina 117

Configuracin de una instancia de Active Directory o dominio NT en la


pgina 120

Configuracin de una instancia de servidor de certificados en la pgina 126

Configuracin de una instancia de servidor LDAP en la pgina 128

Configuracin de una instancia de servidor de autenticacin local en la


pgina 138

Configuracin de una instancia de servidor NIS en la pgina 144

Configuracin de una instancia de servidor de RADIUS en la pgina 145

Configuracin de una instancia de servidor eTrust SiteMinder en la


pgina 160

Configuracin de una instancia de servidor de SAML en la pgina 187

Licencia: Disponibilidad de servidores de autenticacin


Los servidores de autenticacin forman parte integral de la estructura de
administracin de acceso del IVE, por lo que estn disponibles en todos los
productos Secure Access. Sin embargo, debe tener en cuenta que el servidor
eTrust Siteminder no est disponible en el dispositivo SA 700.

112

Licencia: Disponibilidad de servidores de autenticacin

Captulo 7: Servidores de autenticacin y de directorios

Resumen de tareas: configuracin de servidores de autenticacin


Para especificar un servidor de autenticacin que pueda usar un territorio, primero
debe configurar una instancia de servidor en la pgina Authentication > Auth.
Servers. Cuando guarde los ajustes del servidor, el nombre del servidor (nombre
asignado a la instancia) aparece en la ficha General del territorio en la lista
desplegable Authentication. Si el servidor es:

Servidor LDAP o Active Directory: El nombre de instancia tambin aparece


en la lista desplegable Directory/Attribute de la ficha General del territorio.
Puede usar el mismo servidor LDAP o Active Directory para la autenticacin
y autorizacin de un territorio, as como para la autorizacin de cualquier
nmero de territorios que usen servidores de autenticacin diferentes.

Servidor RADIUS: El nombre de la instancia tambin aparece en la lista


desplegable Accounting de la ficha General del territorio. Puede usar el mismo
servidor RADIUS para la autenticacin y contabilidad de un territorio, as como
el uso de estos servidores para la contabilidad de cualquier nmero de
territorios que usen servidores de autenticacin diferentes.

Para configurar los servidores de autenticacin:


1. Configure el servidor de autenticacin/autorizacin con las instrucciones del
proveedor.
2. Cree una instancia del servidor, comenzando en la pgina Authentication >
Authentication > Auth. Servers de la consola de administracin.
3. Cree un territorio de autenticacin usando los ajustes de la pgina Users >
User Realms o Administrators > Admin Realms de la consola de
administracin. Para obtener instrucciones, consulte Creacin de un territorio
de autenticacin en la pgina 196.
4. Slo servidores de autenticacin local: agregue usuarios al servidor usando los
ajustes de la pgina Authentication > Auth. Servers > Seleccionar servidor
local > Users de la consola de administracin. Para obtener instrucciones,
consulte Creacin de cuentas de usuario en un servidor local de autenticacin
en la pgina 140.
5. Slo administracin de contraseas: configure las opciones de administracin
de contraseas en Habilitacin de la administracin de contraseas de LDAP
en la pgina 133.

NOTA: Un servidor de autenticacin debe poder comunicarse con el IVE. Si un


servidor de autenticacin como RSA ACE/Server no usa las direcciones IP de los
host de agente, debe poder resolver el nombre de host del IVE a travs de una
entrada DNS o una entrada en el archivo host del servidor de autenticacin.

Resumen de tareas: configuracin de servidores de autenticacin

113

Gua de administracin de Secure Access de Juniper Networks

NOTA: Al determinar el tipo de servidor que se debe seleccionar:

Slo puede crear una instancia de servidor eTrust Siteminder por IVE.

Si autentica el servidor Active Directory con:

Protocolo NTLM: Elija Active Directory/Windows NT Domain. Para


obtener ms informacin, consulte Configuracin de una instancia de
ACE/Server en la pgina 117.

Protocolo LDAP: Elija LDAP Server. Para obtener ms informacin,


consulte Configuracin de una instancia de servidor LDAP en la
pgina 128.

Si crea una instancia de servidor de autenticacin local para autenticar


administradores de usuarios, debe seleccionar Local Authentication.
Para obtener ms informacin, consulte Configuracin de una instancia
de servidor de autenticacin local en la pgina 138.

Definicin de una instancia de servidor de autenticacin


Use la pgina Auth. Servers para definir las instancias de servidor de autenticacin.
Los servidores de autenticacin autentican credenciales de usuario y los servidores
de autorizacin proporcionan informacin del usuario que el IVE usa para
determinar los privilegios del usuario dentro del sistema. Por ejemplo, puede
especificar una instancia de servidor de certificados para autenticar usuarios
basndose en sus atributos del certificado del lado cliente y crear entonces una
instancia de servidor LDAP para autorizar a los usuarios basndose en los valores
que se incluyen dentro de una CRL (lista de revocacin de certificados). Para
obtener ms informacin sobre servidores de autenticacin, consulte Servidores
de autenticacin y de directorios en la pgina 111.
Esta seccin contiene la siguiente informacin acerca de los servidores de
autenticacin:

114

Definicin de una instancia de servidor de autenticacin en la pgina 115

Modificacin de una instancia de servidor de autenticacin existente en la


pgina 115

Definicin de una instancia de servidor de autenticacin

Captulo 7: Servidores de autenticacin y de directorios

Definicin de una instancia de servidor de autenticacin


Para definir una instancia de servidor de autenticacin:
1. En la consola de administracin, elija Authentication > Auth. Servers.
2. Elija un tipo de servidor en el men desplegable New.
3. Haga clic en New Server.
4. Dependiendo del servidor que seleccione, especifique los ajustes para la
instancia de servidor individual.
5. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener ms informacin, consulte
Definicin de directivas de autenticacin en la pgina 198.
6. Si se trata de configurar el servidor de autenticacin local, defina las cuentas de
usuario locales. Para obtener instrucciones, consulte Configuracin de una
instancia de servidor de autenticacin local en la pgina 138.

Modificacin de una instancia de servidor de autenticacin existente


Para modificar una instancia de servidor de autenticacin:
1. En la consola de administracin, elija Authentication > Auth. Servers.
2. Haga clic en el vnculo del servidor que desea modificar.
3. Realice las modificaciones en la pgina del servidor correspondiente.
4. Haga clic en Save Changes.

Configuracin de una instancia de servidor annimo


La caracterstica de servidor annimo permite que los usuarios accedan al IVE sin
proporcionar un nombre de usuario o contrasea. En cambio, cuando un usuario
introduce la URL de la pgina de inicio de sesin que se configur para autenticarse
en un servidor annimo, el IVE pasa por alto la pgina de inicio de sesin estndar
del IVE y muestra de inmediato la pgina de bienvenida del IVE al usuario.
Puede optar por usar la autenticacin annima si piensa que los recursos del
IVE no requieren de seguridad extrema o que las otras medidas de seguridad
proporcionadas mediante el IVE son suficientes. Por ejemplo, puede crear un rol de
usuario con acceso limitado a los recursos internos y autenticarlo con una directiva
que slo requiera que los usuarios inicien sesin desde una direccin IP que reside
dentro de la red interna. En este mtodo se presupone que si un usuario puede
acceder a su red interna, estar autorizado a ver los recursos limitados
proporcionados a travs del rol de usuario.
Esta seccin contiene la siguiente informacin acerca de los servidores annimos:

Restricciones de servidores annimos en la pgina 116

Definicin de una instancia de servidor annimo en la pgina 116


Configuracin de una instancia de servidor annimo

115

Gua de administracin de Secure Access de Juniper Networks

Restricciones de servidores annimos


Al definir y supervisar una instancia de servidor annima, tenga en cuenta que:

Slo puede agregar una configuracin de servidor annimo.

No puede autenticar administradores con un servidor annimo.

Durante la configuracin, debe elegir el servidor annimo para el servidor de


autenticacin y el servidor de directorios/atributos en la ficha Users > User
Realms > General. Para obtener ms informacin, consulte Creacin de un
territorio de autenticacin en la pgina 196.

Al crear reglas de asignacin de roles mediante la ficha Users > User


Realms > Role Mapping (como se explica en Creacin de reglas de
asignacin de roles en la pgina 199), el IVE no permite la creacin de reglas
de asignacin que se apliquen a usuarios especficos (como Joe), dado que el
servidor annimo no recopila informacin de nombres de usuario. Slo puede
crear reglas de asignacin de roles basadas en un nombre de usuario
predeterminado (*), atributos de certificado o expresiones personalizadas.

Por motivos de seguridad, es posible que desee limitar el nmero de usuarios


que inician sesin a travs de un servidor annimo en un momento
determinado. Para ello, use la opcin de la ficha Users > User Realms >
[Territorio] > Authentication Policy > Limits (donde [Territorio] es el
territorio que se configur para usar el servidor annimo con el fin de
autenticar usuarios). Para obtener ms informacin, consulte Especificacin
de las restricciones de lmite en la pgina 67.

No puede ver ni eliminar las sesiones de usuarios annimos mediante la


ficha Users (del mismo modo que puede hacerlo con otros servidores de
autenticacin), porque el IVE no puede mostrar datos de sesiones individuales
sin recopilar nombres de usuario.

Definicin de una instancia de servidor annimo


Para definir un servidor annimo:
1. En la consola de administracin, elija Authentication > Auth. Servers.
2. Siga uno de estos pasos:

Para crear una nueva instancia de servidor en el IVE, seleccione


Anonymous Server en la lista New y haga clic en New Server.

Para actualizar una instancia de servidor existente, haga clic en el vnculo


correspondiente de la lista Authentication/Authorization Servers.

3. Especifique un nombre para identificar la instancia de servidor.


4. Haga clic en Save Changes.
5. Especifique los territorios que debe usar el servidor para autorizar usuarios.
Para obtener ms informacin, consulte Definicin de directivas de
autenticacin en la pgina 198.

116

Configuracin de una instancia de servidor annimo

Captulo 7: Servidores de autenticacin y de directorios

Configuracin de una instancia de ACE/Server


Al autenticar usuarios con un RSA ACE/Server, los usuarios pueden iniciar sesin
mediante dos mtodos:

Con un token de hardware y la pgina de inicio de sesin estndar del IVE:


El usuario busca la pgina de inicio de sesin estndar del IVE, introduce su
nombre de usarlo y contrasea, que consta de la concatenacin del PIN y el
valor actual del token de hardware de RSA SecurID. El IVE reenva las
credenciales del usuario a ACE/Server.

Con un token de software y la pgina de inicio de sesin personalizada del


IVE de SoftID: El usuario busca la pgina de inicio de sesin personalizada de
SoftID. Luego, usando el complemento SoftID, introduce su nombre de usuario
y PIN. El complemento SoftID genera una frase de seguridad concatenando el
PIN y token del usuario y la pasa al IVE. Para obtener ms informacin sobre la
habilitacin de las pginas de inicio personalizadas de SoftID, consulte el
manual Custom Sign-In Pages Solution Guide.

Si ACE/Server autentica de manera positiva al usuario, obtiene acceso al IVE. De lo


contrario, ACE/Server:

Deniega el acceso al sistema al usuario si las credenciales no se reconocen.

Le solicita al usuario que genere un nuevo PIN (modo Nuevo PIN) si inicia
sesin en el IVE por primera vez. (El usuario ve mensajes diferentes
dependiendo del mtodo que utilice para iniciar sesin. Si lo hace usando el
complemento SoftID, ve el mensaje de RSA para crear un nuevo PIN; de lo
contrario, ve el mensaje del IVE.)

Le solicita al usuario que introduzca el siguiente token (modo Siguiente token) si


el token introducido por el usuario no est sincronizado con el token que espera
ACE/Server. (El modo Siguiente token es transparente para los usuarios que
inician sesin usando un token de SoftID. El software de RSA SecurID pasa el
token a travs del IVE hacia ACE/Server sin interaccin del usuario.)

Redirige al usuario a la pgina de inicio de sesin estndar del IVE (slo SoftID)
si el usuario intenta iniciar sesin en la pgina RSA SecurID Authentication en
un equipo que no tiene instalado el software SecurID.

Cuando un usuario pasa al modo Nuevo PIN o Siguiente token, tiene tres minutos
para introducir la informacin necesaria antes de que el IVE cancele la transaccin
y le notifique que debe volver a introducir las credenciales.
El IVE puede manejar un mximo de 200 transacciones de ACE/Server en cualquier
momento. Una transaccin slo dura el tiempo necesario para autenticarse en
ACE/Server. Por ejemplo, cuando un usuario inicia sesin en el IVE, la transaccin
ACE/Server se inicia cuando el usuario enva su solicitud de autenticacin y termina
una vez que ACE/Server ha finalizado el procesamiento de la solicitud. El usuario
puede mantener abierta la sesin del IVE, aunque se haya cerrado la transaccin
de ACE/Server.

Configuracin de una instancia de ACE/Server

117

Gua de administracin de Secure Access de Juniper Networks

El IVE admite las siguientes caractersticas de ACE/Server: Modo Nuevo PIN, modo
Siguiente token, encriptacin DES/SDI, encriptacin AES, compatibilidad con
ACE/Server esclavo, bloqueo de nombre y clsteres. El IVE tambin admite los
modos Nuevo PIN y Siguiente token de RSA SecurID a travs del protocolo RADIUS.
NOTA: Debido a las limitaciones de la biblioteca de ACE/Server de UNIX, puede
definir slo una configuracin de ACE/Server. Para obtener informacin sobre
cmo generar un archivo de configuracin de ACE/Agent para el IVE en el servidor
ACE, consulte Generacin de un archivo de configuracin de ACE/Agent en la
pgina 119.

El IVE no admite el equilibrio de carga entre varios servidores ACE.


Esta seccin contiene la siguiente informacin acerca de ACE/Servers:

Definicin de una instancia de ACE/Server en la pgina 118

Generacin de un archivo de configuracin de ACE/Agent en la pgina 119

Definicin de una instancia de ACE/Server


NOTA: Slo puede agregar una instancia de ACE/Server.

Para definir un ACE/Server:


1. Genere un archivo de configuracin de ACE/Agent (sdconf.rec) para el IVE en
el servidor ACE. Para obtener ms informacin, consulte Generacin de un
archivo de configuracin de ACE/Agent en la pgina 119.
2. En la consola de administracin, elija Authentication > Auth. Servers.
3. Siga uno de estos pasos:

Para crear una nueva instancia de servidor en el IVE, seleccione ACE Server
en la lista New y haga clic en New Server.

Para actualizar una instancia de servidor existente, haga clic en el vnculo


correspondiente de la lista Authentication/Authorization Servers.

4. Especifique un nombre para identificar la instancia de servidor.


5. Especifique un puerto predeterminado en el campo ACE Port. Tenga en cuenta
que el IVE slo usa estos ajustes si no se especifica un puerto en el archivo
sdconf.rec.
6. Importe el archivo de configuracin de RSA ACE/Agent. Asegrese de actualizar
este archivo en el IVE en cada vez que introduzca cambios en el archivo de
origen. Asimismo, si elimina el archivo de la instancia del IVE, vaya a la
aplicacin ACE Server Configuration Management, como se describe en
Generacin de un archivo de configuracin de ACE/Agent en la pgina 119
y desmarque la casilla de verificacin Sent Node Secret.

118

Configuracin de una instancia de ACE/Server

Captulo 7: Servidores de autenticacin y de directorios

7. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
8. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener ms informacin, consulte
Definicin de directivas de autenticacin en la pgina 198.
NOTA: Para obtener ms informacin sobre la supervisin y eliminacin de
sesiones de usuario que iniciaron sesin actualmente a travs del servidor,
consulte Supervisin de usuarios activos en la pgina 848.

Generacin de un archivo de configuracin de ACE/Agent


Si utiliza ACE/Server para la autenticacin, debe generar un archivo de
configuracin de ACE/Agent (sdconf.rec) para el IVE en el servidor ACE.
Para generar un archivo de configuracin de ACE/Agent:
1. Inicie la aplicacin ACE/Server Configuration Management y haga clic en
Agent Host.
2. Haga clic en Add Agent Host.
3. En Name, introduzca un nombre para el agente del IVE.
4. En Network Address, introduzca la direccin IP del IVE.
5. Introduzca un Site configurado en el servidor ACE.
6. En Agent Type, seleccione Communication Server.
7. En Encryption Type, seleccione DES.
8. Verifique que Sent Node Secret no est seleccionado (al crear un
agente nuevo).
La primera vez que el servidor ACE autentica correctamente una solicitud
enviada por el IVE, el servidor ACE selecciona Sent Node Secret. Si
posteriormente desea que el servidor ACE enve un nuevo nodo secreto al
IVE en la siguiente solicitud de autenticacin, haga lo siguiente:
a.

Haga clic en la casilla de verificacin Sent Node Secret para desmarcarla.

b.

Inicie sesin en la consola de administracin y elija Authentication >


Auth. Servers.

c.

Haga clic en el nombre del servidor ACE en la lista


Authentication/Authorization Servers.

Configuracin de una instancia de ACE/Server

119

Gua de administracin de Secure Access de Juniper Networks

d. En Node Verification File, seleccione la casilla de verificacin


correspondiente y haga clic en Delete. Estos pasos garantizan que el IVE y
el servidor ACE estarn sincronizados. Asimismo, si elimina el archivo de
verificacin del IVE, debe desmarcar la casilla de verificacin Sent Node
Secret en el servidor ACE.
Si usa la autenticacin de RSA ACE/Server y cambia la direccin IP del IVE,
debe eliminar el archivo de verificacin del nodo en el IVE para que
funcione la autenticacin de ACE/Sever. Anule tambin la seleccin de los
ajustes de Sent Node Verification en ACE/Server para el IVE.
9. Haga clic en Assign Acting Servers y seleccione el servidor ACE.
10. Haga clic en Generate Config File. Al agregar el servidor ACE al IVE,
se importar este archivo de configuracin.

Configuracin de una instancia de Active Directory o dominio NT


Al autenticar usuarios con un controlador de dominio principal (PDC) de NT o
Active Directory, los usuarios inician sesin en el IVE usando el mismo nombre de
usuario y contrasea que usan para acceder a sus escritorios de Windows. El IVE
admite la autenticacin de Windows NT y Active Directory usando la autenticacin
NTLM o Kerberos.
Si configura un servidor Active Directory nativo, puede recuperar informacin del
grupo del servidor para usarla en las reglas de asignacin de roles del territorio.
En este caso, se especifica el servidor Active Directory como el servidor de
autenticacin del territorio y se crea una regla de asignacin de roles basada en la
asociacin del grupo. El IVE muestra todos los grupos del controlador de dominio
configurado y sus dominios de confianza.
El IVE proporciona casillas de verificacin separadas para cada uno de los
protocolos de autenticacin principal: Kerberos, NTLMv2 y NTLMv1, le permiten
seleccionar o pasar por alto cada uno de estos protocolos, independiente uno de
otro. Este control ms granular del proceso de autenticacin evita un aumento
innecesario de la directiva de recuento de inicios de sesin fallidos en Active
Directory y permite ajustar con mayor precisin los protocolos, basndose en los
requisitos del sistema.
Para obtener ms informacin, consulte Creacin de reglas de asignacin de roles
en la pgina 199.

120

Configuracin de una instancia de Active Directory o dominio NT

Captulo 7: Servidores de autenticacin y de directorios

NOTA:

El IVE reconoce las relaciones de confianza en entornos Active Directory


y Windows NT.

Al enviar credenciales de usuario a un servidor de autenticacin de Active


Directory, el IVE usa cualquiera de los protocolos de autenticacin
especificados en la pgina New Active Directory/Windows NT. El IVE ordena
de forma predeterminada los protocolos de autenticacin. En otras palabras,
si seleccion las casillas de verificacin Kerberos y NTLMv2, el IVE enva las
credenciales a Kerberos. Si Kerberos tiene xito, el IVE no enva las
credenciales a NTLMv2. Si Kerberos no es compatible o falla, el IVE usa
NTLMv2 como siguiente protocolo. La configuracin establece un efecto
de cascada si selecciona varias casillas de verificacin. Para obtener ms
informacin, consulte Definicin de directivas de recursos: Recursos de
archivos para UNIX/NFS en la pgina 485.

El IVE admite grupos locales de dominio, grupos globales de dominio y grupos


universales definidos en el bosque de Active Directory. Tambin admite los
grupos locales de dominio y grupos globales de dominio en servidores NT4.

El IVE slo permite grupos de seguridad de Active Directory, no grupos de


distribucin. Los grupos de seguridad le permiten usar un tipo de grupo no
slo para asignar derechos y permisos, sino tambin como una lista de
distribucin para correo electrnico.

Si se configuran varios servidores Active Directory en un IVE, se debe asociar


cada uno de ellos con un nombre de cuenta de equipo nico y diferente. No
debe usarse el mismo nombre de cuenta de equipo en todos los servidores.

Esta seccin contiene la siguiente informacin acerca de los servidores Active


Directory y dominio NT:

Definicin de una instancia de servidor Active Directory o dominio de


Windows NT en la pgina 121

Autenticacin de usuarios de varios dominios en la pgina 124

Compatibilidad con consulta de grupos de Active Directory y NT en la


pgina 125

Definicin de una instancia de servidor Active Directory o dominio de Windows NT


Para definir un servidor Active Directory o dominio de Windows NT:
1. En la consola de administracin, elija Authentication > Auth. Servers.
2. Siga uno de estos pasos:

Para crear una nueva instancia de servidor en el IVE, seleccione Active


Directory/Windows NT en la lista New y haga clic en New Server.

Para actualizar una instancia de servidor existente, haga clic en el vnculo


correspondiente de la lista Authentication/Authorization Servers.
Configuracin de una instancia de Active Directory o dominio NT 121

Gua de administracin de Secure Access de Juniper Networks

3. Especifique un nombre para identificar la instancia de servidor.


4. Especifique el nombre o direccin IP del controlador de dominio principal
o servidor Active Directory.
5. Especifique la direccin IP del controlador de dominio de respaldo o servidor
Active Directory. (opcional)
6. Introduzca el nombre de dominio de Active Directory o Windows NT. Por
ejemplo, si el nombre de dominio de Active Directory es us.amr.asgqa.net y
desea autenticar usuarios que pertenecen al dominio US, introduzca US en el
campo de dominio.
7. Si desea especificar un nombre de equipo, introdzcalo en el campo Computer
Name. El campo de nombre del equipo es donde especifica el nombre que el
IVE usa para unir el dominio de Active Directory especificado como un equipo.
De lo contrario, deje el identificador predeterminado que identifica de forma
inequvoca el sistema.

NOTA: Puede que advierta que el nombre del equipo se llen previamente con una
entrada en formato vcNNNNHHHHHHHH, donde, en un sistema IVS, NNNN es IVS ID
(suponiendo que tiene una licencia IVS) y HHHHHHHH es la representacin
hexadecimal de la direccin IP del IVE. Un nombre exclusivo, ya sea el
proporcionado de forma predeterminada o uno de su eleccin, puede identificar
ms fcilmente sus sistemas en Active Directory. En un sistema que no es IVS, los
primeros seis caracteres del nombre sern vc0000 porque no hay un IVS ID que
mostrar. Por ejemplo, el nombre podra ser vc0000a1018dF2 para un sistema
que no es IVS.

En un entorno de clsteres con el mismo servidor de autenticacin AD, este


nombre tambin es nico entre todos los nodos de clster y el IVE muestra todos
los identificadores para todos los nodos de clster conectados.

8. Seleccione la casilla de verificacin Allow domain to be specified as part of


username para permitir que los usuarios inicien sesin introduciendo un
nombre de dominio en el campo Username con el formato:
dominio\nombredeusuario.
9. Seleccione la casilla de verificacin Allow trusted domains para obtener la
informacin de grupo de todos los dominios de confianza dentro de un bosque.

122

Configuracin de una instancia de Active Directory o dominio NT

Captulo 7: Servidores de autenticacin y de directorios

10. En Admin Username y Admin Password, introduzca un nombre de usuario y


una contrasea de administrador para el servidor AD o NT.

NOTA:

Asegrese de que el administrador especifique si es un administrador de


dominio en el mismo dominio que el servidor AD o NT.

No incluya un nombre de dominio con el nombre de usuario de administrador


de servidor en el campo Admin Username.

Despus de guardar los cambios, el IVE enmascara la contrasea del


administrador usando cinco caracteres de asterisco, independientemente de
la longitud de la contrasea.

11. En Authentication Protocol, especifique qu protocolo debe usar el IVE


durante la autenticacin.
12. En Kerberos Realm Name:

Seleccione Use LDAP to get Kerberos realm name si desea que el IVE
recupere el nombre del territorio de Kerberos desde el servidor Active
Directory usando las credenciales de administrador especificadas.

Introduzca el nombre del territorio de Kerberos en el campo Specify


Kerberos realm name si lo conoce.

13. Haga clic en Test Configuration para verificar los ajustes de configuracin del
servidor Active Directory, como que exista el dominio especificado, que los
controladores especificados sean controladores de dominio de Active Directory,
que funcione el protocolo de autenticacin seleccionado, etc. (opcional)
14. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
15. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener ms informacin, consulte
Creacin de un territorio de autenticacin en la pgina 196.
NOTA:

Para obtener ms informacin sobre la supervisin y eliminacin de sesiones


de usuario que iniciaron sesin actualmente a travs del servidor, consulte
Supervisin de usuarios activos en la pgina 848.

La consola de administracin proporciona las ltimas estadsticas de acceso


para cada cuenta de usuario en varias fichas Users de toda la consola,
en un conjunto de columnas llamadas Last Sign-in Statistic. Los informes
de estadsticas incluyen la fecha y hora del ltimo inicio de sesin exitoso
de cada usuario, la direccin IP del usuario y el tipo y versin del agente
o explorador.

Configuracin de una instancia de Active Directory o dominio NT 123

Gua de administracin de Secure Access de Juniper Networks

Autenticacin de usuarios de varios dominios


El IVE permite la autenticacin de varios dominios de Active Directory y Windows
NT. El IVE autentica usuarios en el dominio que configure en la pgina
Authentication > Auth. Servers > New Active Directory/Windows NT, usuarios
en dominios secundarios y usuarios en todos los dominios de confianza del
dominio configurado.
Despus de especificar la direccin de un controlador de dominio y un dominio
predeterminado en la configuracin de servidor de Active Directory del IVE, los
usuarios del dominio predeterminado se autentican en el IVE slo con su nombre
de usuario o con el dominio predeterminado y el nombre de usuario en formato
defaultdomain\username.
Cuando habilita la autenticacin de un dominio de confianza, los usuarios de
dominios de confianza o secundarios se autentican en el IVE usando el nombre
de un dominio de confianza o secundario ms el nombre de usuario en formato
trusteddomain\username. Tenga en cuenta que la autenticacin del dominio de
confianza aumenta el tiempo de respuesta del servidor.

Autenticacin de varios dominios de Windows 2000 y Windows 2003


El IVE admite la autenticacin de Active Directory basado en Kerberos con los
controladores de dominio de Windows 2000 y Windows 2003. Cuando un usuario
inicia sesin en el IVE, el IVE lleva a cabo la autenticacin de Kerberos e intenta
buscar el nombre de territorio de Kerberos para el controlador de dominio,
as como tambin todos los territorios de confianza y secundarios, mediante
llamadas LDAP.
Como alternativa, puede especificar el nombre del territorio de Kerberos al
configurar un servidor de autenticacin de Active Directory, pero no se recomienda
este mtodo por dos motivos:

No se puede especificar ms de un nombre de territorio. El IVE no puede


autenticar en un territorio secundario o de confianza del territorio que especific.

Si escribi de forma incorrecta el nombre del territorio, el IVE no puede


autenticar usuarios en el territorio adecuado.

Autenticacin de varios dominios de Windows NT4


El IVE no es compatible con la autenticacin basada en Kerberos en los
controladores de dominio de Windows NT4. En lugar de la autenticacin Kerberos,
el IVE usa la autenticacin NTLM.
NOTA:

124

Para la autenticacin de usuario, el IVE conecta el servidor del controlador


de dominio predeterminado usando el nombre del equipo en formato
<IVE-IPaddress>.

Si la configuracin DNS en el controlador de dominio de Windows NT4


cambia, asegrese de que el IVE todava pueda resolver nombres (dominios
secundarios y de confianza) usando WINS, DNS o el archivo de Hosts,
que pudieron resolver los nombres antes del cambio de configuracin.

Configuracin de una instancia de Active Directory o dominio NT

Captulo 7: Servidores de autenticacin y de directorios

Normalizacin de usuario de NT
Con el fin de admitir la autenticacin de varios dominios, el IVE usa las credenciales
de NT normalizadas al comunicarse con un controlador de dominio de Active
Directory o NT4 para la autenticacin. Las credenciales de NT normalizadas
incluyen el nombre del dominio y del usuario: domain\username.
Independientemente de la forma en que el usuario inicia sesin en el IVE, ya sea
slo con un nombre de usuario o con el formato domain\username, el IVE siempre
trata el nombre de usuario en formato domain\username.
Cuando un usuario intenta autenticarse usando slo su nombre de usuario,
el IVE siempre normaliza sus credenciales de NT como defaultdomain\username.
La autenticacin es correcta slo si es usuario es miembro del dominio
predeterminado.
Para un usuario que inicia sesin en el IVE usando el formato domain\username,
el IVE siempre intenta autenticar al usuario como miembro del dominio que ste
especifica. La autenticacin es correcta slo si el dominio especificado por el
usuario es un dominio de confianza o secundario del dominio predeterminado.
Si el usuario especifica un dominio que no es de confianza o no es vlido,
la autenticacin falla.
Dos variables, <NTUser> y <NTDomain>, permiten que se refiera de forma individual
a los valores de dominio y nombre de usuario de NT. El IVE llena estas dos variables
con la informacin de dominio y nombre de usuario de NT.
NOTA: Al usar reglas de asignacin de roles preexistentes o al escribir una nueva
para la autenticacin de Active Directory donde USER = someusername, el IVE
trata esta regla semnticamente como NTUser = someusername AND NTDomain =
defaultdomain. Esto permite que el IVE funcione a la perfeccin con las reglas de

asignacin de roles preexistentes.

Compatibilidad con consulta de grupos de Active Directory y NT


El IVE admite la consulta de grupos de usuarios en los grupos locales de dominio,
globales de dominio y universales en el bosque de Active Directory, y en los grupos
locales de dominio y globales de dominio para servidores NT4.
NOTA: Para que la consulta de grupos de NT/AD funcione, el IVE primero intenta
conectarse al dominio usando el nombre de equipo predeterminado. Para que esta
operacin sea correcta, debe especificar credenciales de administrador de
dominio vlidas en la configuracin del servidor Active Directory en el IVE.

Requisitos de consultas de Active Directory


El IVE admite la consulta de grupos de usuarios en los grupos locales de dominio,
globales de dominio y universales en el dominio predeterminado, dominios
secundarios y todos los dominios de confianza. El IVE obtiene la asociacin del
grupo mediante uno de los tres mtodos que tienen capacidades diferentes:

Informacin del grupo en el contexto de seguridad del usuario: Devuelve


informacin sobre los grupos globales de dominio del usuario.

Configuracin de una instancia de Active Directory o dominio NT 125

Gua de administracin de Secure Access de Juniper Networks

Informacin del grupo obtenida mediante las llamadas de bsqueda LDAP:


Devuelve informacin sobre los grupos globales de dominio del usuario e
informacin sobre los grupos universales del usuario si el IVE consulta al
servidor de catlogos global.

Informacin del grupo usando las llamadas de RCP nativas: Devuelve


informacin sobre el grupo local de dominio del usuario.

Con respecto a las reglas de asignacin de roles, el IVE intenta la consulta de grupos
en el siguiente orden:

El IVE comprueba los grupos globales de dominio usando el contexto de


seguridad del usuario.

Si el IVE no encuentra que el usuario sea un miembro de alguno de los grupos a


los que se hace referencia en las reglas de asignacin de roles, el IVE realiza una
consulta de LDAP para determinar la asociacin del grupo del usuario.

Si el IVE no encuentra que el usuario sea un miembro de alguno de los grupos a


los que se hace referencia en las reglas de asignacin de roles, el IVE realiza una
consulta de RPC para determinar la asociacin del grupo del dominio local.

Requisitos de consulta de grupos de NT4


El IVE admite la consulta de grupos en los grupos locales de dominio y globales
de dominio creados en el dominio predeterminado, as como los dominios
secundarios y otros de confianza. El IVE obtiene la informacin del grupo global
de dominio a partir del contexto de seguridad del usuario y la informacin local de
dominio usando las llamadas RCP. El IVE usa llamadas de bsqueda que no estn
basadas en LDAP en el entorno NT4.

Configuracin de una instancia de servidor de certificados


La caracterstica de servidor de certificados permite que los usuarios se autentiquen
basndose en los atributos incluidos en los certificados del lado cliente. Puede usar
el servidor de certificados por s solo o en conjunto con otro servidor para
autenticar usuarios y asignarlos a roles.
Por ejemplo, puede optar por autenticar usuarios basndose exclusivamente en sus
atributos de certificados. Si el IVE determina que el certificado del usuario es vlido,
inicia la sesin de usuario basado en los atributos del certificado que especifique y
no le solicita al usuario que introduzca un nombre de usuario o contrasea.
Puede optar por autenticar a los usuarios pasando los atributos del certificado del
lado cliente a un segundo servidor de autenticacin (como LDAP). En este caso,
el servidor de certificados primero determina si el certificado del usuario es vlido.
Luego, el IVE puede usar las reglas de asignacin de roles en el nivel del territorio
para comparar los atributos del certificado con los atributos de LDAP del usuario.
Si no encuentra la coincidencia correspondiente, el IVE puede denegar o limitar el
acceso del usuario segn sus especificaciones.

126

Configuracin de una instancia de servidor de certificados

Captulo 7: Servidores de autenticacin y de directorios

NOTA: Al usar certificados del lado cliente, se recomienda encarecidamente


instruir a los usuarios finales para que cierren sus exploradores de Web despus
de cerrar la sesin en el IVE. De lo contrario, otros usuarios pueden usar las
sesiones abiertas en el explorador para obtener acceso a recursos protegidos por
el certificado en el IVE sin volver a autenticarse. (Despus de cargar un certificado
del lado cliente, tanto Internet Explorer como Netscape colocan las credenciales
y claves privadas del certificado en la memoria cach. El explorador guarda esta
informacin en memoria cach hasta que el usuario cierra el explorador (o en
algunos casos, hasta que se reinicia la estacin de trabajo). Para obtener ms
detalles, consulte: http://support.microsoft.com/?kbid=290345.) Para recordarles a
los usuarios que cierren sus exploradores, puede modificar el mensaje de cierre de
sesin en la ficha Authentication > Authentication > Signing In Pages.

Al definir un servidor de certificados en el IVE, debe realizar los siguientes pasos:


1. Use los ajustes de la ficha System > Configuration > Certificates > CA
Certificates para importar el certificado de CA utilizado para firmar los
certificados del lado cliente.
2. Cree una instancia de servidor de certificados:
a.

Dirjase a Authentication > Auth. Servers.

b.

Seleccione Certificate Server en la lista New y haga clic en New Server.

c.

Especifique un nombre para identificar la instancia de servidor.

d. En el campo User Name Template, especifique cmo debe construir el


nombre de usuario el IVE. Puede usar una combinacin de variables de
certificados dentro de corchetes angulares y texto plano. Para obtener una
lista de las variables de certificados, consulte Variables del sistema y
ejemplos en la pgina 1046.

NOTA: Si elige un atributo de certificado con ms de un valor, el IVE usa el primer


valor coincidente. Por ejemplo, si introduce <certDN.OU> y el usuario tiene dos
valores para el atributo (ou=management, ou=sales), el IVE usa el valor
management. Para usar todos los valores, agregue el atributo SEP a la variable.
Por ejemplo, si introduce <certDN.OU SEP=:> el IVE usa management:sales.

e.

Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.

NOTA: Para obtener ms informacin sobre la supervisin y eliminacin de


sesiones de usuario que iniciaron sesin actualmente a travs del servidor,
consulte Supervisin de usuarios activos en la pgina 848.

Configuracin de una instancia de servidor de certificados

127

Gua de administracin de Secure Access de Juniper Networks

3. Si desea verificar los atributos del certificado en un servidor LDAP, use los
ajustes de la pgina Authentication > Auth. Servers para crear una instancia
de servidor LDAP. Tenga en cuenta que debe usar la seccin Finding user
entries en la pgina de configuracin de LDAP para recuperar los atributos
especficos del usuario que desea verificar mediante el certificado.
4. Use los ajustes de las fichas Users > User Realms > Nombre de territorio >
General o Administrators > Admin Realms > Nombre de territorio > General
para especificar los territorios que debe usar el servidor de certificados para
autenticar a los usuarios. (Tambin puede usar los ajustes de estas fichas para
especificar los territorios que debe usar un servidor LDAP para verificar los
atributos del certificado.)
5. Use los ajustes de la pgina Authentication > Authentication > Signing In
Policies para asociar los territorios configurados en el paso anterior con las URL
de inicio de sesin.
6. Si desea restringir el acceso de los usuarios a los territorios, roles o directivas de
recursos basndose en los atributos del certificado individual, use los ajustes
descritos en Especificacin de las restricciones de acceso para certificados en
la pgina 65.

Configuracin de una instancia de servidor LDAP


El IVE admite dos opciones de autenticacin especficas de LDAP:

Unencrypted, en que el IVE enva el nombre de usuario y la contrasea a LDAP


Directory Service en texto simple y no encriptado.

LDAPS, en que el IVE encripta los datos en la sesin de autenticacin de LDAP


usando el protocolo de nivel de socket seguro (SSL) antes de enviarlos a LDAP
Directory Service.

El IVE realiza la validacin de entrada sustancial para los siguientes elementos:

128

Servidor LDAP: El IVE muestra una advertencia si el servidor no est


disponible.

Puerto LDAP: El IVE muestra una advertencia si el servidor LDAP no est


disponible.

Credenciales de administrador: El IVE genera un error si falla la verificacin


de credenciales del administrador.

DN base para usuario: El IVE genera un error si falla la bsqueda de nivel base
en el valor DN base.

DN base para grupos: El IVE genera un error si falla la bsqueda de nivel base
en el valor DN base.

Configuracin de una instancia de servidor LDAP

Captulo 7: Servidores de autenticacin y de directorios

Esta seccin contiene la siguiente informacin acerca de los servidores LDAP:

Definicin de una instancia de servidor LDAP en la pgina 129

Configuracin de los atributos de bsqueda de LDAP para creadores de


reuniones en la pgina 132

Supervisin y eliminacin de sesiones de usuario activas en la pgina 132

Habilitacin de la administracin de contraseas de LDAP en la pgina 133

Definicin de una instancia de servidor LDAP


Para definir una instancia de servidor LDAP:
1. En la consola de administracin, elija Authentication > Auth. Servers.
2. Siga uno de estos pasos:

Para crear una nueva instancia de servidor en el IVE, seleccione LDAP


Server en la lista New y haga clic en New Server.

Para actualizar una instancia de servidor existente, haga clic en el vnculo


correspondiente de la lista Authentication/Authorization Servers.

3. Especifique un nombre para identificar la instancia de servidor.


4. Especifique el nombre o la direccin IP del servidor LDAP que el IVE usa para
validar a los usuarios.
5. Especifique el puerto en que escucha el servidor LDAP. Por lo general, es el
puerto 389 cuando usa una conexin sin encriptar y el puerto 636 cuando
usa SSL.
6. Especifique los parmetros de los servidores LDAP de respaldo (opcional).
El IVE usa los servidores especificados para el procesamiento de conmutacin
por error; cada solicitud de autenticacin se enruta primero al servidor LDAP
principal y luego a los servidores de respaldo especificados, si el servidor
principal no est disponible.
NOTA: Los servidores LDAP de respaldo deben tener la misma versin que el
servidor LDAP principal. Tambin se recomienda que especifique la direccin IP
de un servidor LDAP de respaldo en lugar de su nombre de host, lo que puede
acelerar el procesamiento de la conmutacin por error, ya que se elimina la
necesidad de resolver el nombre de host en una direccin IP.

7. Especifique el tipo de servidor LDAP en que desea autenticar los usuarios.


8. Especifique si la conexin entre el IVE y LDAP Directory Service debe estar
desencriptada, usar SSL (LDAP) o usar TLS.
9. Especifique la cantidad de tiempo que desea que el IVE espere una conexin
con el servidor LDAP principal y luego con cada servidor LDAP de respaldo.

Configuracin de una instancia de servidor LDAP 129

Gua de administracin de Secure Access de Juniper Networks

10. Especifique la cantidad de tiempo que desea que el IVE espere los resultados de
la bsqueda de un servidor LDAP conectado.
11. Haga clic en Test Connection para verificar la conexin entre el dispositivo IVE
y los servidores LDAP especificados. (opcional)
12. Seleccione la casilla de verificacin Authentication required? si el IVE debe
autenticarse en el directorio LDAP para realizar una bsqueda o para cambiar
las contraseas usando la caracterstica de administracin de contraseas.
Luego, introduzca un DN y contrasea de administrador. Para obtener ms
informacin acerca de la administracin de contraseas, consulte Habilitacin
de la administracin de contraseas de LDAP en la pgina 133. Por ejemplo:
CN=Administrator,CN=Users,DC=eng,DC=Juniper,DC=com

13. En Finding user entries, especifique:

Base DN en el que desea comenzar a buscar entradas de usuario.


Por ejemplo:
DC=eng,DC=Juniper,DC=com

Filter si desea ajustar con mayor precisin la bsqueda. Por ejemplo:


samAccountname=<username> o cn=<username>

Incluya <username> en el filtro para usar el nombre de usuario


introducido en la pgina de inicio de sesin de la bsqueda.
Especifique un filtro que devuelva 0 1 DN de usuario por usuario; el
IVE usa el primer DN devuelto si se obtiene ms de 1 DN de resultado.

14. El IVE admite los grupos dinmicos y estticos. (Tenga en cuenta que el IVE
slo admite grupos dinmicos con servidores LDAP). Para habilitar la consulta
de grupos, debe especificar cmo el IVE realiza consultas de grupos en el
servidor LDAP. En Determining group membership, especifique:

Base DN en el que desea comenzar a buscar grupos de usuarios.

Filter si desea ajustar con mayor precisin la consulta de grupos


de usuarios.

Member Attribute para identificar a todos los miembros de un grupo


esttico. Por ejemplo:
member
uniquemember (especfico de iPlanet)

Reverse group search para comenzar la bsqueda del miembro en lugar


del grupo. Esta opcin est disponible slo para tipos de servidor de Active
Directory.

Query Attribute para especificar una consulta LDAP que devuelve los
miembros de un grupo dinmico. Por ejemplo:
memberURL

130

Configuracin de una instancia de servidor LDAP

Captulo 7: Servidores de autenticacin y de directorios

Nested Group Level para especificar la cantidad de niveles dentro de un


grupo para buscar el usuario. Tenga en cuenta que mientras mayor sea el
nmero, mayor ser el tiempo de la consulta; por lo tanto, se recomienda
que especifique una bsqueda de no ms de 2 niveles de profundidad.

Nested Group Search para buscar por:

Nested groups in the LDAP Server Catalog. Esta opcin es ms


rpida, ya que permite buscar dentro de los lmites implcitos del
grupo anidado.

Search all nested groups. Con esta opcin, IVE busca primero en el
catlogo de servidores. Si el IVE no encuentra una coincidencia en el
catlogo, consulta LDAP para determinar si un miembro del grupo es
un subgrupo.

NOTA: Dado que el IVE busca en el servidor de catlogos para determinar si un

miembro o un grupo principal es un objeto de usuario o un objeto de grupo, debe


agregar al catlogo de servidores tanto los grupos principales como todos los
secundarios (anidados).
15. En Bind Options, seleccione:

Simple bind para enviar las credenciales del usuario en modo transparente
(sin encriptado) a LDAP Directory Service.

StartTLS bind para encriptar las credenciales de un usuario usando el


protocolo de Seguridad de la capa de transporte (TLS) antes de que el IVE
enve los datos a LDAP Directory Service.

16. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
17. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener ms informacin, consulte
Definicin de directivas de autenticacin en la pgina 198.
Si desea crear un marcador de archivo de Windows que se asigne al directorio
principal LDAP de un usuario, consulte Creacin de marcadores de Windows que
se asignan a servidores LDAP en la pgina 475.

NOTA: El IVE admite la bsqueda de referencias si est habilitado en el servidor


LDAP.

Configuracin de una instancia de servidor LDAP 131

Gua de administracin de Secure Access de Juniper Networks

Configuracin de los atributos de bsqueda de LDAP para creadores de reuniones


Use las opciones de la ficha Meetings para especificar atributos LDAP individuales
que puede usar el creador de una reunin para buscar usuarios del IVE al programar
una reunin.
Para configurar los atributos de bsqueda de Secure Meeting:
1. En la consola de administracin, elija Authentication > Auth. Servers.
2. Haga clic en una instancia de servidor LDAP.
3. Haga clic en la ficha Meetings.
4. En el campo User Name, introduzca el atributo de nombre de usuario para este
servidor. Por ejemplo, introduzca SamAccountName para un servidor Active
Directory o uid para un servidor iPlanet.
5. En el campo Email Address, introduzca el atributo de correo electrnico para
este servidor.
6. En el campo Display Name, Attributes, introduzca cualquier atributo LDAP
adicional cuyo contenido desee que los creadores de reuniones puedan ver
(opcional). (Por ejemplo, para ayudar al creador de la reunin a distinguir
fcilmente entre varios invitados con el mismo nombre, es posible que
desee exponer un atributo que identifique los departamentos de usuarios
individuales). Introduzca los atributos adicionales, uno por lnea usando el
formato: DisplayName,AttributeName. Puede introducir hasta 10 atributos.
7. Haga clic en Save Changes.

Supervisin y eliminacin de sesiones de usuario activas


Para obtener ms informacin sobre la supervisin y eliminacin de sesiones
de usuario que iniciaron sesin actualmente a travs del servidor, consulte
Supervisin de usuarios activos en la pgina 848.
NOTA: La consola de administracin proporciona las ltimas estadsticas de acceso

para cada cuenta de usuario en varias fichas Users de toda la consola, en un


conjunto de columnas llamadas Last Sign-in Statistic. Los informes de
estadsticas incluyen la fecha y hora del ltimo inicio de sesin exitoso de cada
usuario, la direccin IP del usuario y el tipo y versin del agente o explorador.

132

Configuracin de una instancia de servidor LDAP

Captulo 7: Servidores de autenticacin y de directorios

Habilitacin de la administracin de contraseas de LDAP


La caracterstica de administracin de contraseas del IVE permite que los usuarios
que se autentican mediante un servidor LDAP administren sus contraseas
mediante el IVE usando las directivas definidas en el servidor LDAP. Por ejemplo, si
un usuario intenta iniciar sesin en el IVE con una contrasea LDAP que vencer, el
IVE captura la notificacin de contrasea vencida, la presenta al usuario mediante
la interfaz del IVE y devuelve la respuesta del usuario al servidor LDAP sin solicitar
que el usuario inicie sesin en el servidor LDAP por separado.
Los usuarios, administradores y administradores de ayuda tcnica que trabajan en
entornos con contraseas que vencen, pueden considerar que la caracterstica de
administracin de contraseas es muy til. Cuando no se informa correctamente
a los usuarios de que sus contraseas vencern, pueden cambiarlas ellos mismos
mediante el IVE en lugar de llamar a Ayuda tcnica.
La caracterstica de administracin de contraseas permite que los usuarios
cambien sus contraseas cuando se les solicite o cuando lo deseen. Por ejemplo,
durante el proceso de inicio de sesin, el IVE puede informar al usuario que su
contrasea est vencida o por vencer. Si est vencida, el IVE le solicita al usuario
que cambie su contrasea. Si la contrasea no ha vencido, el IVE puede permitir
que el usuario inicie sesin en el IVE usando la contrasea existente. Despus de
haber iniciado sesin, puede cambiar su contrasea desde la pgina Preferences.
Una vez habilitada, el IVE realiza una serie de consultas para determinar la
informacin de cuentas de usuario, como cundo se configur por ltima vez la
contrasea, si la cuenta est vencida, etc. El IVE realiza esta accin usando su
cliente interno LDAP o Samba. Muchos servidores, como Microsoft Active Directory
o Sun iPlanet, ofrecen una consola de administracin para configurar las opciones
de cuentas y contraseas.
La administracin de contraseas basada en LDAP funciona slo con tres tipos de
servidores LDAP:

Microsoft Active Directory

Sun Microsystems i-Planet

Novell e-Directory

La administracin de contraseas basada en LDAP no funciona en servidores LDAP


como OpenLDAP.
El IVE aplica las directivas de contrasea leyendo sus atributos en el servidor LDAP.
Por lo tanto, para que la administracin de contraseas funcione de forma
adecuada, se deben configurar correctamente los atributos de la directiva de
contraseas en el servidor backend.

Para Active Directory, los atributos de la directiva de contraseas se pueden


configurar en el nivel de contenedor de entrada de usuario o en el nivel de
cualquier organizacin sobre el contenedor de usuario. Si estos atributos se
configuran en varios niveles, el nivel ms cercano al nodo de usuario tiene
la prioridad.

Configuracin de una instancia de servidor LDAP 133

Gua de administracin de Secure Access de Juniper Networks

El IVE no admite las directivas de contraseas personalizadas.

La caracterstica de administracin de contraseas no es compatible con el


catlogo global de Active Directory porque los atributos de la directiva de
contraseas no estn completamente especificados en este catlogo.

El IVE depende del servidor backend para localizar con exactitud la causa del error
cuando falla una operacin de cambio de contrasea. Sin embargo, aunque los
servidores LDAP pueden informar errores de forma precisa a los operadores
humanos, no siempre lo hacen al comunicarse de forma programtica con sistemas
como el IVE. Por lo tanto, puede que ocasionalmente los errores comunicados sean
genricos o crpticos.
Esta seccin incluye los siguientes temas con informacin sobre la caracterstica de
administracin de contraseas de LDAP:

Resumen de tareas: habilitacin de la administracin de contraseas


de LDAP en la pgina 134

Directorios y servidores LDAP admitidos en la pgina 134

Funciones de administracin de contraseas de LDAP admitidas en la


pgina 136

Resumen de tareas: habilitacin de la administracin de contraseas


de LDAP
Para habilitar la administracin de contraseas mediante el IVE, debe:
1. Crear una instancia del servidor LDAP mediante la pgina Authentication >
Auth. Servers de la consola de administracin.
2. Asociar el servidor LDAP con un territorio mediante la pgina
Administrators/Users > User Realms > [Territorio] > General de la consola
de administracin.
3. Habilitar la administracin de contraseas para el territorio en la pgina
Administrators/Users > User Realms > [Territorio] > Authentication
Policy >Password de la consola de administracin. Tenga en cuenta que
la opcin Enable Password Management slo aparece si el servidor de
autenticacin del territorio es un servidor LDAP o NT/AD.

Directorios y servidores LDAP admitidos


El IVE admite la administracin de contraseas con los siguientes directorios LDAP:

134

Microsoft Active Directory/Windows NT

Sun iPlanet

Novell eDirectory

Directorios LDAP genricos, como IBM Secure Directory y OpenLDAP

Configuracin de una instancia de servidor LDAP

Captulo 7: Servidores de autenticacin y de directorios

Adems, el IVE admite la administracin de contraseas con los siguientes


directorios de Windows:

Microsoft Active Directory

Microsoft Active Directory 2003

Windows NT 4.0

Las siguientes secciones indican problemas especficos relacionados con los tipos
de servidores individuales.
Microsoft Active Directory

Los cambios en la directiva de seguridad del dominio de Active Directory


pueden demorar 5 minutos o ms en propagarse entre los controladores de
dominios de Active Directory. Adems, esta informacin no se propaga al
controlador de dominio en que se configur originalmente para el mismo
perodo de tiempo. Esta es una limitacin de Active Directory.

Al cambiar las contraseas en Active Directory mediante LDAP, el IVE cambia


automticamente a LDAPS, aunque LDAPS no est configurado como mtodo
LDAP. Para admitir LDAPS en el servidor Active Directory, debe instalar un
certificado SSL vlido en el almacn de certificados personal del servidor. Tenga
en cuenta que el certificado debe estar firmado por una CA de confianza y el
CN en el campo Subject del certificado debe contener el nombre de host exacto
del servidor Active Directory, por ejemplo: adsrv1.company.com. Para instalar el
certificado, seleccione la combinacin de certificados en la consola de
administracin de Microsoft (MMC).

La opcin Account Expires de la ficha User Account Properties slo cambia


cuando vence la cuenta, no cuando vence la contrasea. Como se explica en
Funciones de administracin de contraseas de LDAP admitidas en la
pgina 136, Microsoft Active Directory calcula el vencimiento de la contrasea
usando los valores Maximum Password Age y Password Last Set recuperados
de los objetos Directiva de usuarios y LDAP de directiva de seguridad del
dominio.

Sun iPlanet
Al seleccionar la opcin User must change password after reset en el servidor
iPlanet, tambin se debe restablecer la contrasea del usuario antes de que esta
funcin surta efecto. Esta es una limitacin de iPlanet.
General
El IVE slo muestra una advertencia sobre el vencimiento de la contrasea si sta se
programa para vencer en 14 das o menos. El IVE muestra el mensaje durante cada
intento de inicio de sesin en el IVE. El mensaje de advertencia contiene el nmero
de das, horas y minutos restantes que el usuario tiene para cambiar su contrasea
antes de que venza en el servidor. El valor predeterminado es 14 das; sin embargo,
puede cambiarlo mediante la pgina de configuracin de Administrators|Users >
Admin Realms|User Realms > Authorization > Password de la consola de
administracin.

Configuracin de una instancia de servidor LDAP 135

Gua de administracin de Secure Access de Juniper Networks

Funciones de administracin de contraseas de LDAP admitidas


La siguiente matriz describe las funciones de administracin de contraseas
que admite Juniper Networks, sus nombres de funcin correspondientes en
los directorios LDAP individuales y cualquier detalle adicional pertinente. Estas
funciones se deben configurar con el servidor LDAP en s antes de que el IVE pueda
pasar los mensajes, funciones y restricciones correspondientes a los usuarios
finales. Al autenticar en un servidor LDAP genrico, como IBM Secure Directory,
el IVE slo admite la autenticacin y permite que los usuarios cambien sus
contraseas.
Tabla 7: Funciones de administracin de contraseas admitidas
Funcin

Active Directory

iPlanet

Novell eDirectory

Genrico

Autenticar usuario

unicodePwd

userPassword

userPassword

userPassword

Permitir que el
usuario cambie la
contrasea si est
habilitado

El servidor nos informa


de la respuesta de enlace
(usa ntSecurityDescriptor)

Si passwordChange ==
ON

Si passwordAllowChange
== TRUE

Cerrar sesin despus S


de cambiar la
contrasea

136

Forzar el cambio de
contrasea en el
siguiente inicio de
sesin

Si pwdLastSet == 0

Si passwordMustChange
== ON

Si pwdMustChange ==
TRUE

Notificacin de
contrasea vencida

userAccountControl==
0x80000

Si la respuesta de enlace
incluye OID

Compruebe el valor de
fecha/hora en

2.16.840.1.113730.3.4.4
== 0

passwordExpirationTime

Notificacin de
vencimiento de
contrasea (en X
das/horas)

si pwdLastSet - now() <


maxPwdAge - 14 das

Si la respuesta de enlace
incluye control OID

Si now() passwordExpirationTime<
14 das
2.16.840.1.113730.3.4.5
(maxPwdAge se lee desde
(El IVE muestra una
(contiene fecha/hora)
los atributos del dominio)
advertencia si es menos de
(El
IVE
muestra
una
(El IVE muestra una
advertencia si es menos de advertencia si es menos de 14 das)
14 das)
14 das)

Impedir la
autenticacin si la
"cuenta est
inhabilitada o
bloqueada"

userAccountControl==
0x2 (Inhabilitada)
accountExpires
userAccountControl ==
0x10 (Bloqueada)
lockoutTime

Cdigo de error de enlace:


53 "Cuenta desactivada"
Cdigo de error de enlace:
19 "Excede el lmite de
recuperacin de
contrasea"

Cdigo de error de enlace:


53 "Cuenta vencida"
Cdigo de error de enlace:
53 "Bloqueo de inicio de
sesin"

Reconocer "historial
de contraseas"

El servidor lo indica en la
respuesta de enlace

El servidor lo indica en la
respuesta de enlace

El servidor lo indica en la
respuesta de enlace

Aplicar longitud de
contrasea mnima

Si se configura, el IVE
muestra un mensaje que
informa al usuario
minPwdLength

Si se configura, el IVE
muestra un mensaje que
informa al usuario
passwordMinLength

Si se configura, el IVE
muestra un mensaje que
informa al usuario
passwordMinimumLength

Configuracin de una instancia de servidor LDAP

Captulo 7: Servidores de autenticacin y de directorios

Tabla 7: Funciones de administracin de contraseas admitidas (continuacin)


Funcin

Active Directory

iPlanet

Impedir que el
usuario cambie las
contraseas
demasiado rpido

Si pwdLastSet - now() <


minPwdAge, entonces se
inhabilita

El servidor lo indica en la
Si passwordMinAge > 0,
respuesta de enlace
entonces si now() es
anterior que
passwordAllowChangeTime,
entonces se inhabilita

Novell eDirectory

Reconocer
"complejidad de
contraseas"

Si pwdProperties == 0x1, El servidor lo indica en la


respuesta de enlace
entonces se habilita.
Complejidad se refiere a
que la nueva contrasea no
contenga el nombre de
usuario, el nombre o
apellido y que contenga
caracteres de 3 de las 4
siguientes categoras:
maysculas del alfabeto
ingls, minsculas del
alfabeto ingls, dgitos y
caracteres no alfabticos
(por ejemplo, !, $, %)

Genrico

El servidor lo indica en la
respuesta de enlace

Matriz de almacenamiento de contraseas de AD/NT


La siguiente matriz describe las funciones de administracin de contraseas
admitidas por Juniper Networks.
Tabla 8: Matriz de almacenamiento de contraseas de AD/NT
Funcin

Active Directory Active Directory 2003 Windows NT

Autenticar usuario

Permitir que el usuario cambie la contrasea si est habilitado


y con licencia

Cerrar sesin despus de cambiar la contrasea

Forzar el cambio de contrasea en el siguiente inicio de sesin S

Notificacin de contrasea vencida

Cuenta inhabilitada

Cuenta vencida

Solucin de problemas de administracin de contraseas de LDAP en el IVE


Al solucionar problemas, proporcione cualquier registro pertinente del IVE, registros
de servidor, informacin de configuracin y el seguimiento de TCP del IVE. Si usa
LDAPS, cambie a la opcin de LDAP Unencrypted en la configuracin del servidor
LDAP del IVE mientras realiza seguimiento del TCP de LDAP.

Configuracin de una instancia de servidor LDAP 137

Gua de administracin de Secure Access de Juniper Networks

Configuracin de una instancia de servidor de autenticacin local


El IVE permite crear una o ms bases de datos de usuarios locales que se
autenticaron usando el IVE. Es posible que desee crear registros de usuarios locales
para usuarios que normalmente se verifican en un servidor de autenticacin
externo que planea inhabilitar o si desea crear un grupo de usuarios temporales.
Tenga en cuenta que todas las cuentas de administrador se almacenan como
registros locales, pero puede optar por autenticar administradores mediante un
servidor externo usando las instrucciones de Definicin de directivas de
autenticacin en la pgina 198.
Esta seccin contiene la siguiente informacin acerca de los servidores de
autenticacin local:

Definicin de una instancia de servidor de autenticacin local en la


pgina 138

Creacin de cuentas de usuario en un servidor local de autenticacin en la


pgina 140

Administracin de cuentas de usuario en la pgina 142

Delegacin de derechos de administracin de usuarios a usuarios finales en


la pgina 142

Definicin de una instancia de servidor de autenticacin local


Al definir una nueva instancia de servidor de autenticacin local, debe dar
un nombre nico al servidor y configurar las opciones de contrasea y su
administracin. Estas opciones de contrasea permiten controlar su longitud,
composicin de caracteres y exclusividad. Si lo desea, puede permitir que los
usuarios cambien sus contraseas y obligarlos a cambiarlas despus de un nmero
especificado de das. Tambin puede solicitar que el usuario cambie la contrasea
dentro de determinado nmero de das de su fecha de vencimiento.
Para definir una instancia de servidor de autenticacin local:
1. En la consola de administracin, elija Authentication > Auth. Servers.
2. Siga uno de estos pasos:

Para crear una nueva instancia de servidor en el IVE, seleccione Local


Authentication en la lista New y haga clic en New Server.

Para actualizar una instancia de servidor existente, haga clic en el vnculo


correspondiente de la lista Authentication/Authorization Servers.

3. Especifique un nombre para identificar la nueva instancia de servidor o para


editar el nombre actual de un servidor existente.

138

Configuracin de una instancia de servidor de autenticacin local

Captulo 7: Servidores de autenticacin y de directorios

4. Especifique las opciones de contrasea:


a.

En Password options, configure la longitud mnima de caracteres para las


contraseas.

b.

Configure la longitud mxima de caracteres para las contraseas


(opcional). La longitud mxima no puede ser inferior a la longitud mnima.
No existe un lmite mximo para la longitud.

NOTA:

Si la longitud mxima configurada en el servidor de autenticacin es menor


que la longitud mxima especificada en el IVE, puede recibir un error si
introduce una contrasea mayor que la especificada en el servidor de
autenticacin. La consola de administracin permite introducir contraseas
de cualquier longitud, pero el mximo del servidor de autenticacin
determina la validez de la longitud de la contrasea.

Si desea que todas las contraseas tengan la misma longitud de caracteres,


configure el mximo y el mnimo en el mismo valor.
c.

Habilite la casilla de verificacin Password must have at least_digits y


especifique el nmero de dgitos de una contrasea (opcional). No exija
ms valores que los del valor de la opcin Maximum length.

d. Habilite la casilla de verificacin Password must have at least_letters


especifique el nmero de letras de una contrasea (opcional). No exija ms
letras que las del valor de la opcin Maximum length. Si habilita la opcin
anterior, el total combinado de dos opciones no puede exceder el valor
especificado en la opcin Maximum length.
e.

Habilite la casilla de verificacin Password must have mix of UPPERCASE


and lowercase letters si desea que todas las contraseas contengan una
mezcla de letras maysculas y minsculas (opcional).

NOTA: Exija que las contraseas tengan al menos dos letras si tambin requieren
una mezcla de maysculas y minsculas.

f.

Habilite la casilla de verificacin Password must be different from


username si la contrasea no puede ser igual que el nombre de
usuario (opcional).

g.

Habilite la casilla de verificacin New passwords must be different from


previous password si la contrasea nueva no puede ser igual que la
contrasea anterior (opcional).

Configuracin de una instancia de servidor de autenticacin local

139

Gua de administracin de Secure Access de Juniper Networks

5. Especifique las opciones de administracin de contraseas:


a.

En Password management, habilite la casilla de verificacin Allow users


to change their passwords si desea que los usuarios puedan cambiar sus
contraseas (opcional).

b.

Habilite la casilla de verificacin Force password change after _ days y


especifique el nmero de das en que vence una contrasea (opcional).

NOTA: El valor predeterminado es 64 das, pero puede configurar este valor en

cualquier nmero que desee.


c.

Habilite la casilla de verificacin Prompt users to change their password _


days before current password expires y proporcione el nmero de das
antes de que el vencimiento de la contrasea le pregunte al usuario
(opcional).

NOTA: El valor predeterminado es 14 das, pero puede configurar el valor en


cualquier nmero hasta el indicado en la opcin anterior.

6. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Users y Admin Users.
NOTA: Despus de configurar las opciones de contrasea y su administracin,
es probable que deba especificar los territorios que debe usan el servidor para
autenticar y autorizar administradores y usuarios. Use la pgina Enable Password
Management option on the Administrators|Users > Admin Realms|User
Realms > Territorio > Authentication Policy > Password para especificar si el
territorio hereda o no los ajustes de administracin de contraseas de la instancia
de servidor de autenticacin local. Para obtener ms informacin sobre la
habilitacin de administracin de contraseas, consulte Especificacin de las
restricciones de acceso para contraseas en la pgina 66.

Creacin de cuentas de usuario en un servidor local de autenticacin


Cuando cree una instancia de servidor de autenticacin local, debe definir los
registros de usuario local para esa base de datos. Un registro de usuario local consta
de un nombre de usuario, el nombre completo del usuario y la contrasea de ste.
Es posible que desee crear registros de usuarios locales para usuarios que
normalmente se verifican en un servidor de autenticacin externo que desea
inhabilitar o si desea crear rpidamente un grupo de usuarios temporales.
Para crear registros de usuarios locales para un servidor de autenticacin local:
1. En la consola de administracin, elija Authentication > Auth. Servers.
2. Haga clic en la base de datos del IVE en la que desee agregar una cuenta
de usuario.
3. Seleccione la ficha Users y haga clic en New.

140

Configuracin de una instancia de servidor de autenticacin local

Captulo 7: Servidores de autenticacin y de directorios

4. Introduzca un nombre de usuario y el nombre completo del usuario Nota:

No incluya ~~ en un nombre de usuario.

Si desea cambiar el nombre de usuario despus de crear la cuenta, deber


crear una cuenta completamente nueva.

5. Introduzca y confirme la contrasea. Asegrese de que la contrasea que


introduzca contiene las opciones de contrasea especificadas para la instancia
de servidor de autenticacin local asociada.
6. Seleccione One-time use (disable account after the next successful sign-in)
si desea limitar al usuario a un solo inicio de sesin. Despus de un inicio de
sesin correcto, el estado del inicio de sesin del usuario se configura en
Disabled y el usuario recibe un mensaje de error cuando intenta iniciar sesin
posteriormente. No obstante, puede restablecer manualmente esta opcin en la
consola de administracin para que permita que el mismo usuario inicie sesin
nuevamente. Si deja esta opcin sin marcar, quiere decir que crear un usuario
permanente.
7. Seleccione Enabled si no la ha seleccionado. Los administradores usan esta
opcin para habilitar o inhabilitar de forma selectiva a cualquier usuario (nico
o permanente). Se selecciona de forma predeterminada. Si la opcin One-time
use est marcada, esta opcin cambia a Disabled despus de que el usuario
inicia sesin correctamente. Si un usuario nico o permanente inicia sesin
y inhabilita esta opcin, se cerrar de inmediato la sesin del usuario en el
sistema y recibir un mensaje de error.
8. Seleccione Require user to change password at next sign in si desea obligar al
usuario a que cambie su contrasea en el siguiente inicio de sesin.

NOTA: Si obliga al usuario a cambiar la contrasea, tambin debe habilitar la


opcin Allow users to change their passwords. Use las opciones de la pgina
Administrators|Users > Admin Realms|User Realms > [Territorio] >
Authentication Policy > Password para especificar los territorios que deben
heredar las capacidades de administracin de contraseas del servidor.

9. Haga clic en Save Changes. El registro del usuario se agrega a la base de datos
del IVE.
NOTA: La consola de administracin proporciona las ltimas estadsticas de acceso

para cada cuenta de usuario en varias fichas Users de toda la consola, en un


conjunto de columnas llamadas Last Sign-in Statistic. Los informes de
estadsticas incluyen la fecha y hora del ltimo inicio de sesin exitoso de cada
usuario, la direccin IP del usuario y el tipo y versin del agente o explorador.

Configuracin de una instancia de servidor de autenticacin local

141

Gua de administracin de Secure Access de Juniper Networks

Administracin de cuentas de usuario


Para administrar una cuenta de usuario local:
1. En la consola de administracin, elija Authentication > Auth. Servers.
2. Haga clic en el vnculo de servidor correspondiente en la lista
Authentication/Authorization Servers.
3. Seleccione la ficha Users.
4. Realice alguna de las siguientes tareas:

Introduzca un nombre de usuario en el campo Show users named y haga


clic en Update para buscar un usuario especfico.
O bien, puede usar un asterisco (*) como comodn, donde * representa
cualquier nmero de cero o ms caracteres. Por ejemplo, si desea buscar
todos los nombres de usuario que contienen las letras jo, escriba *jo* en el
Show users named field. La bsqueda distingue maysculas de
minsculas. Para volver a mostrar la lista completa de cuentas, introduzca
un * o elimine el contenido del campo y haga clic en Update.

Introduzca un nmero en el campo Show N users y haga clic en Update


para controlar el nmero de usuarios que aparece en la pgina.

Haga clic en la casilla de verificacin que se encuentra al lado de los


usuarios individuales y haga clic en Delete para terminar sus sesiones
en el IVE.

Delegacin de derechos de administracin de usuarios a usuarios finales


Es posible crear administradores de usuarios para otorgar algunas capacidades de
administracin individuales en el IVE. Los administradores de usuarios no pueden
administrar asignaciones de territorios ni de roles. Por lo tanto, se recomienda
habilitar la caracterstica Administracin de usuarios slo si las reglas de asignacin
de roles del territorio permiten que usuarios no coincidentes (*) inicien sesin en
el IVE, de modo que el administrador de usuarios pueda agregar correctamente
nuevos usuarios sin la interferencia del administrador. (Cuando las asignaciones de
roles son automticas, el administrador de usuarios no necesita que el
administrador asigne manualmente nuevos usuarios a un rol.)
Un usuario que es administrador de usuarios puede agregar nuevos usuarios,
cambiar contraseas y eliminar usuarios existentes. Puede delegar estas
capacidades en administradores de usuarios por servidor de autenticacin local.
Por ejemplo, puede otorgar al personal administrativo la capacidad de agregar
usuarios invitados para uso temporal o nico.

142

Configuracin de una instancia de servidor de autenticacin local

Captulo 7: Servidores de autenticacin y de directorios

Para delegar los derechos de administracin de usuarios a un usuario final:


1. En la consola de administracin, elija Authentication > Auth. Servers.
2. Seleccione la instancia de servidor de autenticacin local que desea que
administre el administrador de usuarios y haga clic en la ficha Admin Users.
NOTA: Los administradores de usuarios slo pueden administrar servidores de
autenticacin local.

3. Introduzca el Username del usuario que desea que administre las cuentas del
servidor de autenticacin seleccionado. No es necesario agregar a este usuario
como usuario local en el servidor.
NOTA: Tenga cuidado al introducir el nombre de usuario del administrador de
usuarios; debe ser idntico.

4. Seleccione el Authentication Realm que el administrador de usuarios asigna


cuando inicia sesin en el IVE.
5. Haga clic en Add. El IVE agrega al nuevo administrador de usuarios a la lista
User Admins usando el formato: username@servername.
6. Si el administrador de usuarios especificado se asigna a varios territorios, repita
opcionalmente los pasos del 3 al 5 para cada territorio, de modo que el usuario
administrador pueda administrar el servidor independientemente de la cuenta
que use para iniciar sesin en el IVE.
7. Para revocar los derechos de administracin del usuario, seleccione el nombre
de la lista User Admins y haga clic en Remove.

NOTA: Para obtener informacin sobre la administracin de usuarios en la pgina


principal de puerta de enlace segura, consulte el tema Adding and Modifying
Users en la ayuda para el usuario final, que se encuentra disponible al iniciar
sesin en el IVE como usuario final.

Configuracin de una instancia de servidor de autenticacin local

143

Gua de administracin de Secure Access de Juniper Networks

Configuracin de una instancia de servidor NIS


Al autenticar usuarios con un servidor UNIX/NIS, el IVE verifica que el nombre
de usuario y la contrasea introducidos mediante la pgina de inicio de sesin
correspondan con un ID de usuario y contraseas vlidos en el servidor NIS.
Tenga en cuenta que el nombre de usuario enviado al IVE no puede contener
dos smbolos de tilde consecutivos (~~).
NOTA: Slo puede usar la autenticacin NIS con el IVE si sus contraseas se
almacenan en el servidor NIS usando los formatos Crypt o MD5. Tenga asimismo
en cuenta que slo puede agregar una configuracin de servidor NIS al IVE, pero
puede usarla para autenticar cualquier nmero de territorios.

Para definir una instancia de servidor NIS:


1. En la consola de administracin, elija Authentication > Auth. Servers.
2. Siga uno de estos pasos:

Para crear una nueva instancia de servidor en el IVE, seleccione NIS Server
en la lista New y haga clic en New Server.

Para actualizar una instancia de servidor existente, haga clic en el vnculo


correspondiente de la lista Authentication/Authorization Servers.

3. Especifique un nombre para identificar la instancia de servidor.


4. Especifique el nombre o direccin IP del servidor NIS.
5. Especifique el nombre de dominio del servidor NIS.
6. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
7. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener ms informacin, consulte
Definicin de directivas de autenticacin en la pgina 198.
NOTA: Para obtener ms informacin sobre la supervisin y eliminacin de
sesiones de usuario que iniciaron sesin actualmente a travs del servidor,
consulte Supervisin de usuarios activos en la pgina 848.

144

Configuracin de una instancia de servidor NIS

Captulo 7: Servidores de autenticacin y de directorios

Configuracin de una instancia de servidor de RADIUS


Un servidor de servicio de autenticacin remota de usuarios de acceso telefnico
Remote Authentication Dial-In User Service (RADIUS) es un tipo de servidor que
permite centralizar la autenticacin y contabilidad de usuarios remotos. Al usar un
servidor RADIUS para autenticar usuarios del IVE, debe configurarlo para que
reconozca al IVE como un cliente y especificar un secreto compartido que use el
servidor RADIUS para autenticar una solicitud de cliente.
El IVE admite los esquemas de autenticacin RADIUS estndar, incluyendo:

Access-Request

Access-Accept

Access-Reject

Access-Challenge

El IVE Tambin admite RSA ACE/Server usando el protocolo RADIUS y un token de


SecurID (disponible en Security Dynamics). Si usa SecurID para autenticar usuarios,
los usuarios deben proporcionar su ID y una concatenacin de un PIN y el valor
de token.
Al definir un servidor RADIUS, el IVE otorga a los administradores la capacidad
de usar expresiones de desafo en cdigo fuente (predeterminado) que admiten
Defender 4.0 y algunas implementaciones de servidor RADIUS (como Steel-Belted
RADIUS y RSA RADIUS) o para introducir expresiones de desafo personalizadas
que permitan que el IVE funcione con distintas implementaciones RADIUS y nuevas
versiones del servidor RADIUS, como Defender 5.0. El IVE busca la respuesta en el
paquete Access-Challenge del servidor y enva al usuario el correspondiente desafo
Siguiente token, Nuevo PIN o Cdigo genrico.
Este tema contiene la siguiente informacin sobre el servidor RADIUS:

Experiencia de los usuarios de RADIUS en la pgina 146

Configuracin del IVE para trabajar con el servidor backend RADIUS en la


pgina 147

Habilitacin de la contabilidad RADIUS en la pgina 151

Configuracin de una instancia de servidor de RADIUS

145

Gua de administracin de Secure Access de Juniper Networks

Experiencia de los usuarios de RADIUS


La experiencia del usuario vara dependiendo de si usa un servidor RADIUS como
Steel-Belted RADIUS, PassGo Defender RADIUS o la autenticacin CASQUE.

Uso de un servidor PassGo Defender RADIUS


Si usa un servidor PassGo Defender RADIUS, el proceso de inicio de sesin del
usuario es:
1. El usuario inicia sesin en el IVE con un nombre de usuario y una contrasea.
El IVE reenva estas credenciales a Defender.
2. Defender enva una cadena de desafo nica al IVE y el IVE la muestra
al usuario.
3. El usuario introduce la cadena de desafo en un token de Defender y ste
genera una cadena de respuesta.
4. El usuario introduce la cadena de respuesta en el IVE y hace clic en Sign In.

Uso de la autenticacin CASQUE


La autenticacin CASQUE usa un mecanismo de autenticacin de desafo/respuesta
basado en token que emplea un reproductor CASQUE instalado en el sistema
cliente. Una vez configurado con la autenticacin CASQUE, el servidor RADIUS
emite un desafo con una respuesta que coincide con la expresin de desafo
personalizada (:([0-9a-zA-Z/+=]+):). El IVE genera una pgina intermedia que inicia
automticamente el reproductor CASQUE instalado en el sistema del usuario.
NOTA: Si el reproductor CASQUE no se inicia automticamente, haga clic en el
vnculo Launch CASQUE Player.

Los usuarios deben usar sus token de respondedor ptico CASQUE para generar el
cdigo de paso correspondiente, introducirlo en el campo Response y hacer clic en
Sign In.
Figura 23: Pgina CASQUE Authentication Challenge/Response con reproductor
CASQUE

146

Configuracin de una instancia de servidor de RADIUS

Captulo 7: Servidores de autenticacin y de directorios

Configuracin del IVE para trabajar con el servidor backend RADIUS


Esta seccin incluye las siguientes instrucciones para configurar el IVE y el servidor
RADIUS para que funcionen en conjunto:

Definicin de una instancia de servidor RADIUS del IVE en la pgina 147

Configuracin del servidor RADIUS para reconocer el IVE en la pgina 150

Definicin de una instancia de servidor RADIUS del IVE


Para configurar una conexin con el servidor RADIUS en el IVE:
1. En la consola de administracin, elija Authentication > Auth. Servers.
2. Siga uno de estos pasos:

Para crear una nueva instancia de servidor en el IVE, seleccione Radius


Server en la lista Newy haga clic en New Server.

Para actualizar una instancia de servidor existente, haga clic en el vnculo


correspondiente de la lista Authentication/Authorization Servers.

3. En la parte superior de la pgina Radius Server, especifique un nombre para


identificar la instancia de servidor.
4. En el campo NAS-Identifier, introduzca el nombre que identifica al cliente del
servidor de acceso de red (NAS) del IVE que se comunica con el servidor
RADIUS. Si deja este campo vaco, el IVE usa el valor especificado en el campo
Hostname de la pgina System > Network > Overview de la consola de
administracin. Si no se especifica un valor en el campo Hostname, el IVE usa
el valor Juniper IVE.
5. Especifique el nombre o direccin IP en el cuadro de texto del servidor
RADIUS.
6. Introduzca el valor del puerto de autenticacin para el servidor RADIUS. Por lo
general, este puerto es el 1812, pero algunos servidores heredados podran usar
el 1645.
7. Introduzca una cadena para el secreto compartido. Tambin debe introducir
esta cadena al configurar el servidor RADIUS para que reconozca el equipo IVE
como un cliente.
8. Introduzca el valor del puerto de contabilidad para el servidor RADIUS. Por lo
general, este puerto es el 1813, pero algunos servidores heredados podran usar
el 1646.
9. Introduzca la direccin IP de NAS. Esto permite controlar el valor de direccin
IP de NAS aprobado para solicitudes RADIUS. Si deja esta campo vaco, la
direccin IP interna del IVE se aprobar para las solicitudes de RADIUS. Si
configura la direccin IP de NAS, se aprobar el valor, independientemente del
nodo de clster que enva la solicitud.
10. Introduzca el intervalo de tiempo que el IVE espera una respuesta del servidor
RADIUS antes del vencimiento de la conexin.
Configuracin de una instancia de servidor de RADIUS

147

Gua de administracin de Secure Access de Juniper Networks

11. Introduzca el nmero de veces que el IVE intentar establecer una conexin
despus del primer intento fallido.
12. Seleccione la casilla de verificacin Users authenticate using tokens or
one-time passwords si no desea enviar la contrasea introducida por el
usuario a otras aplicaciones habilitadas para SSO. Por lo general, esta opcin se
selecciona si el usuario enva las contraseas de uso nico al IVE. Para obtener
ms informacin, consulte Informacin general de credenciales de inicios de
sesin mltiples en la pgina 226.
13. En la seccin Backup Server, introduzca un servidor RADIUS secundario para
que el IVE lo use si el servidor principal (definido en esta instancia) no se
encuentra disponible. Para el servidor secundario, introduzca el servidor:
a.

Nombre o direccin IP

b.

Puerto de autenticacin

c.

Secreto compartido

d. Puerto de contabilidad
14. Si desea realizar seguimiento de la actividad del usuario del IVE mediante esta
instancia del servidor RADIUS, introduzca la siguiente informacin en la
seccin Radius Accounting:
a.

En el campo User-Name, especifique la informacin del usuario que


el IVE debe enviar al servidor de contabilidad RADIUS. Puede introducir
cualquiera de las variables de sesin aplicables descritas en Variables del
sistema y ejemplos en la pgina 1046. Las variables aplicables incluyen
aquellas se configuran despus de que el usuario inicia sesin y asigna un
rol. Las variables predeterminadas de este campo son:

<username> registra el nombre de usuario del IVE del usuario en el

servidor de contabilidad.

<REALM> registra el territorio del IVE del usuario en el servidor de

contabilidad.

b.

148

<ROLE> registra el rol del IVE del usuario en el servidor de


contabilidad. Si se asigna al usuario a ms de un rol, el IVE usa comas
para separarlos.

Agregue un Interim Update Level (en minutos). El nivel de actualizacin


provisional le permite lograr una facturacin ms precisa para clientes de
sesin en vivo prolongada y en caso de un error en la red. Para obtener
ms informacin, consulte Comprensin de la caracterstica de
actualizacin provisional en la pgina 160.

Configuracin de una instancia de servidor de RADIUS

Captulo 7: Servidores de autenticacin y de directorios

15. Seleccione la casilla de verificacin Use NC assigned IP Address for FRAMEDIP-ADDRESS attribute value in Radius Accounting para usar la direccin IP
devuelta del IVE para el atributo Framed-IP-Address.
Se graban dos direcciones IP: una antes de la autenticacin con el IVE y otra
devuelta por Network Connect despus de la autenticacin. Seleccione esta
opcin para usar la direccin IP de Network Connect para el atributo FramedIP-Address en lugar de la direccin IP autenticada previamente (original).
16. (opcional) Haga clic en New Radius Rule para agregar una regla de desafo
personalizado que determine la accin que se debe tomar para un paquete
entrante.
Cuando un usuario introduce su nombre de usuario y contrasea, la solicitud de
autorizacin inicial se enva al servidor. El servidor puede responder con un
paquete de desafo o de rechazo. En la ventana Add Custom Radius Challenge
Rule, seleccione el tipo de paquete (desafo o rechazo) y especifique la accin
que se debe tomar. Por ejemplo, puede mostrar una pgina de inicio de sesin
con un mensaje de error especfico para el usuario o enviar automticamente
un paquete ACCESS-REQUEST de vuelta al servidor.
Para crear una regla de desafo personalizado:
a.

Seleccione el tipo de paquete entrante:

Access Challenge: enviado por el servidor RADIUS solicitando ms


informacin para permitir el acceso

Access Reject: enviado por el servidor RADIUS que rechaza el acceso

b.

Especifique una expresin para evaluar, segn el atributo de Radius y haga


clic en Add. Si especifica ms de una expresin, las expresiones se unen
con AND en conjunto: Para eliminar una expresin, haga clic en el icono
de eliminacin junto a la expresin.

c.

Elija la accin que debe tomar, seleccionando uno de los siguientes botones
de radio:

show NEW PIN page: El usuario debe introducir un nuevo PIN para
su token

show NEXT TOKEN page: El usuario debe introducir el siguiente


cdigo de token

show GENERIC LOGIN page: Muestra una pgina adicional al


usuario en respuesta a un desafo de acceso enviado por el servidor.
En ocasiones, un servidor RADIUS devuelve un paquete de desafo
y requiere que el usuario introduzca informacin adicional para
continuar el proceso de inicio de sesin. Por ejemplo, un servidor
recibe el nombre de usuario y contrasea iniciales y enva un mensaje
SMS al telfono mvil del usuario con una contrasea nica (OTP).
El usuario introduce la OPT en la pgina de inicio de sesin genrica.

Configuracin de una instancia de servidor de RADIUS

149

Gua de administracin de Secure Access de Juniper Networks

show user login page with error: Muestra la pgina de inicio de sesin
estndar con un mensaje de error incrustado. Esta opcin permite
pasar por alto la cadena de mensaje estndar enviada por el IVE y
muestra un mensaje de error personalizado al usuario. Introduzca el
mensaje personalizado en el cuadro de texto Error Message. No existe
un lmite mximo de caracteres para este mensaje.

send ACCESS REQUEST with additional attributes: Enva una


ACCESS-REQUEST con el par de atributo/valor especificado. Seleccione
un atributo, introduzca su valor y haga clic en Add. Para eliminar un
atributo, haga clic en el icono junto al par de atributo/valor.

d. Haga clic en Save Changes para guardar las modificaciones y luego en


Close para cerrar esta ventana.
Las reglas personalizadas aparecen en la tabla bajo la seccin Custom
Radius Authentication Rule. Para eliminar una regla, seleccione la casilla
de verificacin junto a la regla y haga clic en Delete.
17. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
18. Especifique los territorios que debe usar el servidor para autenticar,
autorizar u otorgar cuentas a los administradores y usuarios. Para obtener
ms informacin, consulte Definicin de directivas de autenticacin en la
pgina 198.
NOTA: Para obtener ms informacin sobre la supervisin y eliminacin de
sesiones de usuario de este servidor que iniciaron sesin actualmente, consulte
Supervisin de usuarios activos en la pgina 848.

Configuracin del servidor RADIUS para reconocer el IVE


Debe configurar el servidor RADIUS para que reconozca el IVE especificando:

150

El nombre de host otorgado al IVE.

La direccin IP de red del IVE.

El tipo de cliente del IVE, si corresponde. Si esta opcin est disponible,


seleccione el servidor de transaccin nico o su equivalente.

El tipo de encriptacin para usar en la autenticacin de la comunicacin con


el cliente. Esta opcin debe corresponder con el tipo de cliente.

El secreto compartido introducido en la consola de administracin para el


servidor RADIUS en la pgina Authentication > Auth. Servers > Radius
Server.

Configuracin de una instancia de servidor de RADIUS

Captulo 7: Servidores de autenticacin y de directorios

Habilitacin de la contabilidad RADIUS


Puede configurar el IVE para enviar mensajes de inicio y detencin de sesin a
un servidor de contabilidad RADIUS. El IVE reconoce dos categoras de sesiones:
sesiones del usuario y subsesiones. Una sesin de usuario puede contener varias
subsesiones. El IVE reconoce los siguientes tipos de subsesiones:

JSAM

WSAM

Network Connect

El IVE enva un mensaje de inicio de sesin cuando el usuario inicia sesin de


forma satisfactoria y el IVE le asigna un rol. El IVE enva un mensaje de inicio de
subsesin cuando sta se activa; por ejemplo, despus de iniciar JSAM. El IVE enva
un mensaje de detencin de subsesin cuando hay una solicitud explcita del
usuario para terminar una subsesin o si el usuario termina la sesin de usuario.
Siempre que una sesin de usuario termina, el IVE enva un mensaje de detencin
de sesin de usuario al servidor de contabilidad. Una sesin de usuario termina
siempre que el usuario:

Cierra sesin manualmente en el IVE

Se acaba el tiempo del IVE debido a inactividad o por exceder la longitud


mxima de sesin

Se deniega el acceso debido a las restricciones a nivel de rol de Host Checker o


Cache Cleaner

Un administrador fuerza el cierre de sesin del IVE o debido a una evaluacin


de directiva dinmica

El IVE tambin enva mensajes de detencin para todas las subsesiones activas. Los
mensajes de detencin para las subsesiones preceden a los mensajes de detencin
para la sesin de usuario.
.
NOTA: Si los usuarios inician sesin en un clster del IVE, los mensajes de
contabilidad de RADIUS pueden mostrar a los usuarios que inician sesin en
un nodo y cierran sesin en otro.

Configuracin de una instancia de servidor de RADIUS

151

Gua de administracin de Secure Access de Juniper Networks

Las siguientes tres tablas describen los atributos que son comunes para los
mensajes de inicio y detencin, atributos que son exclusivos para iniciar mensajes
y atributos que son exclusivos para detenerlos.
Tabla 9: Atributos comunes para mensajes de inicio y detencin
Atributo

Descripcin

User-Name (1)

Cadena que el administrador del IVE especifica durante la


configuracin del servidor RADIUS.

NAS-IP-Address (4)

Direccin IP del IVE.

NAS-Port (5)

El IVE configura este atributo en 0 si el usuario inici sesin usando


un puerto interno o en 1 si fue un puerto externo.

Framed-IP-Address (8)

Direccin IP de origen del usuario.

NAS-Identifier (32)

Nombre configurado para el cliente del IVE bajo la configuracin


del servidor RADIUS.

Acct-Status-Type (40)

El IVE configura este atributo en 1 para un mensaje de inicio o en 2


para un mensaje de detencin en una sesin de usuario o en una
subsesin.

Acct-Session-Id (44)

ID de contabilidad nico que coincide con los mensajes de inicio


y detencin correspondientes a una sesin de usuario o a una
subsesin.

Acct-Multi-Session-Id (50)

ID de contabilidad nico que puede usar para vincular varias


sesiones relacionadas. Cada sesin vinculada debe tener un
Acct-Session-Id nico y el mismo Acct-Multi-Session-Id.

Acct-Link-Count (51)

El recuento de vnculos en una sesin de varios vnculos en el


momento en que el IVE genera el registro de contabilidad.

Tabla 10: Atributos de inicio


Atributo

Descripcin

Acct-Authentic (45)

El IVE configura este atributo en:


RADIUS: si el usuario se autentica en un servidor RADIUS.
Local: si el usuario se autentica en un servidor de autenticacin

local.
Remote: para todo lo dems.

Tabla 11: Atributos de detencin


Atributo

Descripcin

Acct-Session-Time (46)

Duracin de la sesin del usuario o de la subsesin.

Acct-Terminate-Cause (49)

El IVE usa uno de los siguientes valores para especificar el evento


que provoc el trmino de una sesin de usuario o de una
subsesin:
User Request (1): el usuario cierra sesin manualmente.
Idle Timeout (4): tiempo de espera por inactividad del usuario.
Session Timeout (5): tiempo de espera de sesin mximo del

usuario.
Admin Reset (6): se fuerza la salida del usuario de la pgina

Active Users.

152

Configuracin de una instancia de servidor de RADIUS

Captulo 7: Servidores de autenticacin y de directorios

Tabla 11: Atributos de detencin (continuacin)


Atributo

Descripcin

Acct-Input-Octets

Recuento basado en octetos del nivel de sesin de JSAM/WSAM/NC


cuando se termin la sesin y del nivel de sesin del usuario
cuando la sesin termin y lleg la hora de la actualizacin
provisional. Del IVE al cliente.

Acct-Output-Octets

Recuento basado en octetos del nivel de sesin de JSAM/WSAM/NC


cuando se termin la sesin y del nivel de sesin del usuario
cuando la sesin termin y lleg la hora de la actualizacin
provisional. Del cliente al IVE.

Para distinguir entre una sesin de usuario y las subsesiones que contiene, examine
Acct-Session-Id y Acct-Multi-Session-Id. En una sesin de usuario, los dos atributos
son iguales. En una subsesin, Acct-Multi-Session-Id es la misma que la sesin de
usuario principal, y el IVE indica la subsesin usando uno de los siguientes sufijos
en Acct-Session-Id:

JSAM para sesiones JSAM

WSAM para sesiones WSAM

NC para sesiones Network Connect

Atributos de RADIUS admitidos


Los siguientes atributos de RADIUS se admiten en la asignacin de roles de
RADIUS. Para obtener ms informacin, consulte las descripciones completas
(de las que derivaron estas descripciones) en el sitio Web de FreeRADIUS en
http://www.freeradius.org/rfc/attributes.html.
Tabla 12: Atributos de asignacin de roles de RADIUS
Atributo

Descripcin

ARAP-Challenge-Response

Enviado en un paquete Access-Accept con FramedProtocol de ARAP, e incluye la respuesta al desafo de


acceso telefnico del cliente.

ARAP-Features

Enviado en un paquete Access-Accept con FramedProtocol de ARAP. Incluye informacin de la


contrasea que el NAS debe enviar al usuario en un
paquete de marcadores de caractersticas de ARAP.

ARAP-Password

Enviado en un paquete Access-Request que contiene


Framed- Protocol de ARAP. Slo se debe incluir una
User-Password, CHAP-Password o ARAP-Password en
Access-Request, o uno o ms EAP-Messages.

ARAP-Security

Identifica el mdulo de seguridad de ARAP que se


usar en un paquete Access-Challenge.

ARAP-Security-Data

Contiene un desafo o respuesta del mdulo de


seguridad, y se encuentra en los paquetes AccessChallenge y Access-Request.

ARAP-Zone-Access

Indica cmo usar la lista de zonas de ARAP para


el usuario.

Access-Accept

Proporciona informacin de configuracin especfica


necesaria para iniciar la entrega del servicio al usuario.

Configuracin de una instancia de servidor de RADIUS

153

Gua de administracin de Secure Access de Juniper Networks

Tabla 12: Atributos de asignacin de roles de RADIUS (continuacin)

154

Atributo

Descripcin

Access-Challenge

Para enviar al usuario una solicitud que requiera una


respuesta, el servidor RADIUS debe responder a
Access-Request transmitiendo un paquete con el
campo Code configurado en 11 (Access-Challenge).

Access-Reject

Si cualquier valor de los atributos recibidos no es


aceptable, entonces el servidor RADIUS debe
transmitir un paquete con el campo Code configurado
en 3 (Access-Reject).

Access-Request

Destaca informacin que especifica el acceso de


usuario a un NAS especfico y cualquier servicio
solicitado para ese usuario.

Accounting-Request

Destaca informacin usada para proporcionar


contabilidad para un servicio prestado al usuario.

Accounting-Response

Reconoce que Accounting-Request se ha recibido


y grabado correctamente.

Acct-Authentic

Indica cmo se autentic al usuario, ya sea mediante


RADIUS, NAS en s u otro protocolo de autenticacin
remota.

Acct-Delay-Time

Indica la cantidad de segundos que el cliente ha


intentado enviar este registro.

Acct-Input-Gigawords

Indica la cantidad de veces que el contador Acct-InputOctets se ha ajustado a 2^32 durante el transcurso de
la prestacin de este servicio.

Acct-Input-Octets

Indica la cantidad de octetos que se han recibido


desde el puerto durante la sesin actual.

Acct-Input-Packets

Indica la cantidad de paquetes que se han recibido


desde el puerto durante la sesin proporcionada a un
usuario enmarcado.

Acct-Interim-Interval

Indica el nmero de segundos entre cada actualizacin


provisional en segundos para esta sesin especfica.

Acct-Link-Count

El recuento de vnculos conocidos que han estado


en una determinada sesin de varios vnculos en el
momento en que se genera del registro de
contabilidad.

Acct-Multi-Session-Id

ID de contabilidad nico para facilitar la vinculacin


junto con sesiones mltiples relacionadas en un
archivo de registro.

Acct-Output-Gigawords

Indica la cantidad de veces que el contador AcctOutput-Octets se ha ajustado en 2^32 durante la


sesin actual.

Acct-Output-Octets

Indica la cantidad de octetos que se han enviado


al puerto durante esta sesin.

Acct-Output-Packets

Indica la cantidad de paquetes que se han enviado al


puerto durante esta sesin a un usuario enmarcado.

Acct-Session-Id

ID de contabilidad nico para facilitar la coincidencia


de los registros de inicio y detencin en un archivo
de registro.

Acct-Session-Time

Indica la cantidad de segundos que el usuario ha


recibido el servicio.

Configuracin de una instancia de servidor de RADIUS

Captulo 7: Servidores de autenticacin y de directorios

Tabla 12: Atributos de asignacin de roles de RADIUS (continuacin)


Atributo

Descripcin

Acct-Status-Type

Indica si esta Accounting-Request marca el inicio del


servicio del usuario (Inicio) o el trmino (Detencin).

Acct-Terminate-Cause

Indica cmo se termin la sesin.

Acct-Tunnel-Connection

Indica el identificador asignado a la sesin de tnel.

Acct-Tunnel-Packets-Lost

Indica el nmero de paquetes perdidos en un vnculo


determinado.

CHAP-Challenge

Contiene el CHAP Challenge enviado por el NAS al


usuario del protocolo de autenticacin de
establecimiento de conexin por desafo (CHAP) PPP.

CHAP-Password

El valor de respuesta proporcionado por un usuario


del protocolo de autenticacin de establecimiento
de conexin por desafo (CHAP) PPP en respuesta
al desafo.

Callback-Id

El nombre de la ubicacin a la que se llamar, para ser


interpretada por NAS.

Callback-Number

La cadena de marcacin que se usar para


retrollamada.

Called-Station-Id

Permite que el NAS enve el nmero de telfono al que


llam el usuario, usando la identificacin del nmero
marcado (DNIS) o una tecnologa similar.

Calling-Station-Id

Permite que el NAS enve el nmero de telfono del


que provino la llamada, usando la identificacin
automtica del nmero (ANI) o una tecnologa similar.

Class

Enviado por el servidor al cliente en Access-Accept


y luego enviado sin modificaciones por el cliente al
servidor de contabilidad como parte del paquete
Accounting-Request, si se admite la contabilidad.

Configuration-Token

Para uso en grandes redes de autenticacin distribuida


basadas en proxy.

Connect-Info

Enviado desde NAS para indicar la naturaleza de la


conexin del usuario.

EAP-Message

Encapsula los paquetes del protocolo de acceso


extendido [3] para permitir que NAS autentique a los
usuarios de marcado telefnico mediante EAP sin
tener que comprender el protocolo EAP.

Filter-Id

El nombre de la lista del filtro para este usuario.

Framed-AppleTalk-Link

El nmero de red de AppleTalk usado para el vnculo


serie con el usuario, que es otro enrutador AppleTalk.

Framed-AppleTalk-Network

El nmero de red de AppleTalk en que NAS puede


investigar la asignacin a un nodo de AppleTalk para
el usuario.

Framed-AppleTalk-Zone

La zona predeterminada de AppleTalk que se usar


para este usuario.

Framed-Compression

Un protocolo de compresin que se usar para el


vnculo.

Framed-IP-Address

La direccin que se configurar para el usuario.

Framed-IP-Netmask

La submscara IP que se configurar para el usuario


cuando sea un enrutador en una red.

Configuracin de una instancia de servidor de RADIUS

155

Gua de administracin de Secure Access de Juniper Networks

Tabla 12: Atributos de asignacin de roles de RADIUS (continuacin)

156

Atributo

Descripcin

Framed-IPv6-Pool

Contiene el nombre de un grupo asignado utilizado


para asignar un prefijo IPv6 para el usuario.

Framed-IPv6-Route

Informacin de enrutamiento que se configurar para


el usuario en NAS.

Framed-IPX-Network

El nmero de red IPX que se configurar para


el usuario.

Framed-MTU

La unidad de transmisin mxima que se configurar


para el usuario, cuando no la negocia por otros medios
(como PPP).

Framed-Pool

El nombre de un grupo de direccin asignado utilizado


para asignar una direccin para el usuario.

Framed-Protocol

El marco que se usar para el acceso enmarcado.

Framed-Route

Informacin de enrutamiento que se configurar para


el usuario en NAS.

Framed-Routing

El mtodo de enrutamiento para el usuario, cuando


ste es un enrutador en una red.

Idle-Timeout

Configura el nmero mximo de segundos


consecutivos de conexin inactiva permitida para el
usuario antes del trmino de la sesin o mensaje.

Keep-Alives

Use SNMP en lugar de keep-alives.

Login-IP-Host

Indica el sistema al que se conectar el usuario,


cuando se incluye el atributo Login-Service.

Login-LAT-Group

Contiene una cadena que identifica los cdigos


del grupo LAT que este usuario tiene autorizacin
para usar.

Login-LAT-Node

Indica el nodo con que el usuario se conectar


automticamente mediante LAT.

Login-LAT-Port

Indica el puerto con que el usuario se conectar


mediante LAT.

Login-LAT-Service

Indica el sistema con que el usuario se conectar


mediante LAT.

Login-Service

Indica el servicio que se usar para conectar al usuario


al host de inicio de sesin.

Login-TCP-Port

Indica el puerto TCP con que se conectar el usuario,


cuando tambin est presente el atributo LoginService.

MS-ARAP-Challenge

Slo presente en un paquete Access-Request que


contiene un atributo Framed-Protocol con el valor 3
(ARAP).

MS-ARAP-Password-Change-Reason

Indica la razn para el cambio de contrasea iniciada


por el servidor.

MS-Acct-Auth-Type

Representa el mtodo usado para autenticar al usuario


de acceso telefnico.

MS-Acct-EAP-Type

Representa el tipo de protocolo de autenticacin


extensible (EAP) [15] usado para autenticar al usuario
de acceso telefnico.

Configuracin de una instancia de servidor de RADIUS

Captulo 7: Servidores de autenticacin y de directorios

Tabla 12: Atributos de asignacin de roles de RADIUS (continuacin)


Atributo

Descripcin

MS-BAP-Usage

Describe si se permite, inhabilita o requiere el uso


de BAP en llamadas nuevas con varios enlaces.

MS-CHAP-CPW-1

Permite que el usuario cambie la contrasea si


ha vencido.

MS-CHAP-CPW-2

Permite que el usuario cambie la contrasea si


ha vencido.

MS-CHAP-Challenge

Contiene el desafo enviado por NAS al usuario del


protocolo de autenticacin de establecimiento de
conexin por desafo de Microsoft (MS-CHAP).

MS-CHAP-Domain

Indica el dominio de Windows NT en que se autentic


el usuario.

MS-CHAP-Error

Contiene los datos de error relacionados con el


intercambio MS-CHAP anterior.

MS-CHAP-LM-Enc-PW

Contiene la contrasea de Windows NT encriptada


con el hash de contrasea anterior de LAN Manager.

MS-CHAP-MPPE-Keys

Contiene dos claves de sesin para uso con el


protocolo de encriptacin punto a punto de
Microsoft (MPPE).

MS-CHAP-NT-Enc-PW

Contiene la nueva contrasea de Windows NT


encriptada con el hash de contrasea anterior de
Windows NT.

MS-CHAP-Response

Contiene el valor de respuesta proporcionado por


el usuario del protocolo de autenticacin de
establecimiento de conexin por desafo (MS-CHAP)
PPP en respuesta al desafo.

MS-CHAP2-CPW

Permite que el usuario cambie la contrasea si


ha vencido.

MS-CHAP2-Response

Contiene el valor de respuesta proporcionado por un


interlocutor MS- CHAP-V2 en respuesta al desafo.

MS-CHAP2-Success

Contiene una cadena de respuesta del autenticador de


42 octetos.

MS-Filter

Se usa para transmitir filtros de trfico.

MS-Link-Drop-Time-Limit

Indica el tiempo (en segundos) que un vnculo debe


subutilizarse antes de desecharse.

MS-Link-Utilization-Threshold

Representa el porcentaje de utilizacin de banda


ancha disponible en que debe clasificarse el vnculo
antes de que est listo para su trmino.

MS-MPPE-Encryption-Policy

Significa si se permite o requiere el uso de la


encriptacin.

MS-MPPE-Encryption-Types

Significa los tipos de encriptacin disponible para uso


con MPPE.

MS-MPPE-Recv-Key

Contiene una clave de sesin para uso con el protocolo


de encriptacin punto a punto de Microsoft (MPPE).

MS-MPPE-Send-Key

Contiene una clave de sesin para uso con el protocolo


de encriptacin punto a punto de Microsoft (MPPE).

MS-New-ARAP-Password

Transmite la nueva contrasea de ARAP durante una


operacin de cambio de contrasea de ARAP.

Configuracin de una instancia de servidor de RADIUS

157

Gua de administracin de Secure Access de Juniper Networks

Tabla 12: Atributos de asignacin de roles de RADIUS (continuacin)

158

Atributo

Descripcin

MS-Old-ARAP-Password

Transmite la contrasea de ARAP antigua durante una


operacin de cambio de contrasea de ARAP.

MS-Primary-DNS-Server

Indica la direccin del servidor de nombre de dominio


(DNS) principal [16, 17] que usar el interlocutor PPP.

MS-Primary-NBNS-Server

Indica la direccin del servidor de nombre NetBIOS


(NBNS) principal [18] que usar el interlocutor PPP.

MS-RAS-Vendor

Indica el fabricante del equipo cliente RADIUS.

MS-RAS-Version

Indica la versin del software cliente RADIUS.

MS-Secondary-DNS-Server

Indica la direccin del servidor DNS secundario que


usar el interlocutor PPP.

MS-Secondary-NBNS-Server

Indica la direccin del servidor DNS secundario que


usar el interlocutor PPP.

NAS-IP-Address

Indica la direccin IP de identificacin de NAS que


solicita autenticacin del usuario, que debe ser nica
para NAS dentro del alcance del servidor RADIUS.

NAS-Identifier

Contiene una cadena que identifica el NAS que origina


Access-Request.

NAS-Port

Indica el nmero de puerto fsico del NAS que est


autenticando al usuario.

NAS-Port-Id

Contiene una cadena de texto que identifica el puerto


del NAS que est autenticando al usuario.

NAS-Port-Type

Indica el tipo de puerto fsico del NAS que est


autenticando al usuario.

Password-Retry

Indica la cantidad de intentos de autenticacin que


tiene permitido un usuario antes de desconectarse.

Port-Limit

Configura el nmero mximo de puertos que NAS


proporcionar al usuario.

Prompt

Indica a NAS si debe mostrar en pantalla o no la


respuesta del usuario a medida que la introduce.

Proxy-State

Un servidor proxy puede enviar este atributo a otro


servidor al reenviar Access-Request. Este atributo se
debe devolver sin modificar en Access-Accept,
Access-Reject o Access-Challenge.

Reply-Message

El texto que se puede mostrar al usuario.

Service-Type

El tipo de servicio que el usuario ha solicitado o el tipo


de servicio que se le proporciona.

Session-Timeout

Configura el nmero mximo de segundos de servicio


que se proporcionarn al usuario antes del trmino de
la sesin o mensaje.

State

Un paquete debe tener slo cero o un atributo Select.


El uso del atributo State depende de la
implementacin.

Telephone-number

El uso de los atributos de RADIUS Calling-Station-Id


y Called-Station-Id, la autorizacin y los atributos de
tnel posteriores se pueden basar en el nmero de
telfono que origina la llamada o el nmero al que
se llama.

Configuracin de una instancia de servidor de RADIUS

Captulo 7: Servidores de autenticacin y de directorios

Tabla 12: Atributos de asignacin de roles de RADIUS (continuacin)


Atributo

Descripcin

Termination-Action

La accin de NAS debe realizarse cuando se completa


el servicio especificado.

Tunnel-Assignment-ID

Indica al iniciador de tnel el tnel en particular al que


se asignar una sesin.

Tunnel-Client-Auth-ID

Especifica el nombre usado por el iniciador de tnel


durante la fase de autenticacin del establecimiento
del tnel.

Tunnel-Client-Endpoint

Contiene la direccin del trmino del iniciador


del tnel.

Tunnel-Link-Reject

Marca el rechazo del establecimiento de un nuevo


vnculo en un tnel existente.

Tunnel-Link-Start

Marca la creacin de un vnculo de tnel.

Tunnel-Link-Stop

Marca la destruccin de un vnculo de tnel.

Tunnel-Medium-Type

El medio de transporte para usar al crear un tnel para


esos protocolos (como L2TP) que pueden operar en
varios transportes.

Tunnel-Medium-Type

El medio de transporte para usar al crear un tnel para


esos protocolos (como L2TP) que pueden operar en
varios transportes.

Tunnel-Password

Una contrasea que se usar para autenticarse en un


servidor remoto.

Tunnel-Preference

Si el servidor RADIUS devuelve ms de un conjunto de


atributos de encapsulamiento en el iniciador de tnel,
debe incluir este atributo en cada conjunto para
indicar la preferencia relativa asignada a cada tnel.

Tunnel-Private-Group-ID

El ID de grupo para una sesin encapsulada en


particular.

Tunnel-Reject

Marca el rechazo del establecimiento de un tnel con


otro nodo.

Tunnel-Server-Auth-ID

Especifica el nombre usado por el terminador de tnel


durante la fase de autenticacin del establecimiento
del tnel.

Tunnel-Server-Endpoint

La direccin del trmino de servidor del tnel.

Tunnel-Start

Marca el establecimiento de un tnel con otro nodo.

Tunnel-Stop

Marca la destruccin de un tnel hacia o desde otro


nodo.

Tunnel-Type

Los protocolos de encapsulamiento que se usarn


(en caso de un iniciador de tnel) o el protocolo de
encapsulamiento en uso (en caso de un terminador
de tnel).

User-Name

El nombre del usuario que se autenticar.

User-Password

La contrasea del usuario que se autenticar o los


comentarios de ste posteriores a Access-Challenge.

Configuracin de una instancia de servidor de RADIUS

159

Gua de administracin de Secure Access de Juniper Networks

Comprensin de los problemas de los clsteres


Cada nodo de clster sin consolidacin enva mensajes de contabilidad al servidor
RADIUS. La contabilidad de RADIUS en el IVE presupone lo siguiente:

Si el clster es activo/pasivo, todos los usuarios se conectan a un nodo a la vez.

Si el clster es activo/activo y no usa un equilibrador, los usuarios se conectan a


nodos diferentes, pero son estticos.

Si el clster es activo/activo y usa un equilibrador, ste normalmente obliga una


IP de origen persistente. En este caso, los usuarios siempre se conectan al
mismo nodo.

El IVE no admite el equilibrio de la carga para RADIUS.

Comprensin de la caracterstica de actualizacin provisional


Si desea que un servidor reciba mensajes de contabilidad provisionales, puede
configurar de manera esttica un valor provisional en el cliente, en cuyo caso,
el valor configurado localmente sobrescribe cualquier valor que pudiera incluirse
en el mensaje de RADIUS Access-Accept.
El recuento de octetos informado en los mensajes de contabilidad es el total
acumulado desde el inicio de la sesin de usuario.
El recuento de bytes de actualizacin provisional slo se admite basndose en una
sesin de usuario, no en sesiones SAM o NC.
El intervalo de actualizacin provisional mnima es de 15 minutos. Puede que las
estadsticas de datos (bytes de entrada y de salida) para la contabilidad de RADIUS
no se enven a una sesin J-SAM/W-SAM/NC si sta es menor que cinco minutos y
las aplicaciones mantienen las conexiones abiertas en todo momento.

Configuracin de una instancia de servidor eTrust SiteMinder


Al configurar el IVE para autenticar usuarios con un servidor de directivas eTrust
SiteMinder, el IVE pasa las credenciales del usuario a SiteMinder durante la
autenticacin. Una vez que SiteMinder recibe las credenciales, puede usar la
autenticacin estndar de nombre de usuario y contrasea, tokens de ACE SecurID
o certificados del lado cliente para autenticar las credenciales (como se explica en
Autenticacin mediante los diferentes esquemas de autenticacin en la
pgina 163).
El IVE tambin pasa un recurso protegido en SiteMinder durante la autenticacin
para determinar qu territorio de SiteMinder debe usar para autenticar al usuario.
Cuando el IVE pasa el recurso protegido, SiteMinder autoriza la URL del usuario en
el territorio asociado con el recurso y permite que el usuario acceda sin problemas
a cualquier recurso cuyos niveles de proteccin sean iguales o inferiores a los
recursos del IVE que se pasaron (como se explica en Configuracin del IVE para
otorgar a los usuarios diferentes recursos protegidos en la pgina 173). Si el
usuario intenta acceder a un recurso Web con un nivel de proteccin mayor,
SiteMinder o el IVE se encarga de la solicitud (como se explica en Reautenticacin
de usuarios con niveles insuficientes de proteccin en la pgina 164).
160

Configuracin de una instancia de servidor eTrust SiteMinder

Captulo 7: Servidores de autenticacin y de directorios

Este tema incluye la siguiente informacin sobre servidores eTrust SiteMinder:

Informacin general sobre eTrust SiteMinder en la pgina 161

Configuracin de SiteMinder para que funcione con el IVE en la pgina 165

Configuracin del IVE para que funcione con SiteMinder en la pgina 172

Informacin general sobre eTrust SiteMinder


El IVE habilita el inicio de sesin nico (SSO) del IVE en recursos protegidos por
SiteMinder usando las cookies de SMSESSION. Una cookie de SMSESSION es un
token de seguridad que encapsula la informacin de sesin de SiteMinder.
Dependiendo de la configuracin, el agente Web de SiteMinder o el IVE crea una
cookie de SMSESSION y la publica en las siguientes ubicaciones para que el usuario
no tenga que volver a autenticarse si desea acceder a recursos adicionales:

El IVE: Si el usuario intenta acceder a un recurso de SiteMinder desde dentro de


su sesin del IVE (por ejemplo, desde la pgina de exploracin de archivos del
IVE), el IVE pasa la cookie de SMSESSION en memoria cach al agente Web
para su autenticacin.

El explorador de Web del usuario: Si el usuario intenta acceder a un recurso


de SiteMinder desde fuera de su sesin del IVE (por ejemplo, al usar un recurso
protegido en un agente estndar), SiteMinder usa la cookie de SMSESSION en
memoria cach almacenada en el explorador de Web para autenticar/autorizar
al usuario.

Si habilita la opcin Automatic Sign-In (como se explica en Automatic Sign-In en


la pgina 177), el IVE puede usar una cookie de SMSESSION generada por otro
agente para habilitar el inicio de sesin nico de un recurso de SiteMinder en el IVE.
Cuando un usuario accede a la pgina de inicio de sesin del IVE con una cookie de
SMSESSION, el IVE verifica la cookie de SMSESSION. Tras la verificacin correcta,
el IVE establece una sesin del IVE para el usuario. Puede usar los siguientes
mecanismos de autenticacin para habilitar el inicio de sesin automtico
mediante el IVE:

Agente personalizado: El IVE autentica al usuario en el servidor de directivas y


genera una cookie de SMSESSION. Cuando selecciona esta opcin, puede
habilitar SSO en otros agentes SiteMinder que usan el mismo servidor de
directivas. Para habilitar SSO en estos agentes, actualice cada uno de ellos para
aceptar cookies de terceros (como se explica en Authenticate using custom
agent en la pgina 178). Si selecciona esta opcin y el usuario introduce su
sesin del IVE con una cookie de SMSESSION, el IVE intenta iniciar sesin
automticamente cuando el usuario introduce la sesin del IVE.

Publicacin en HTML: El IVE publica credenciales en un agente Web estndar


que haya configurado. El agente Web crea entonces cookies de SMSESSION.
Si selecciona esta opcin, no puede usar los modos Nuevo PIN de SecurID ni
Siguiente token o la autenticacin de certificados del lado cliente (como se
explica en Authenticate using HTML form post en la pgina 179). Si
selecciona esta opcin y el usuario introduce su sesin del IVE con una cookie
de SMSESSION, el IVE intenta iniciar sesin automticamente cuando el
usuario introduce la sesin del IVE.

Configuracin de una instancia de servidor eTrust SiteMinder

161

Gua de administracin de Secure Access de Juniper Networks

Autenticacin delegada: El IVE delega la autenticacin a un agente estndar. Si


esta opcin est habilitada, el IVE intenta determinar la URL de FCC asociada
con el recurso protegido. El IVE redirige al usuario a la URL de FCC con la URL
de inicio de sesin del IVE como TARGET. Despus de una autenticacin
correcta, se redirige al usuario de vuelta al IVE con una cookie de SMSESSION y
el IVE realiza un inicio de sesin automtico para el usuario (como se explica en
Delegate authentication to a standard agent en la pgina 180).

NOTA:

162

En el momento de esta impresin, Juniper Networks admite el servidor eTrust


SiteMinder versin 6.0 y 5.5 con versiones de agente estndar 6 y 5QMR5. Si
ejecuta agentes anteriores a los admitidos, puede experimentar problemas de
validacin de las cookies, incluyendo entradas cruzadas de registro y tiempos
de espera de usuario intermitentes.

Puede elegir la versin de servidor eTrust SiteMinder que desea que sea
compatible cuando cree una instancia de servidor. Puede elegir la versin 5.5,
que admite las versiones 5.5 y 6.0, o puede elegir la versin 6.0, que slo
admite la versin 6.0. No existe diferencia en la funcionalidad de servidor
de autenticacin SiteMinder segn en la versin que seleccione. Esta opcin
controla la versin de Netegrity SDK que se debe usar. Se recomienda que
haga coincidir el modo de compatibilidad con la versin del servidor de
directivas.

Al usar SiteMinder para llevar a cabo la autenticacin, los servidores de


directivas principal y de respaldo deben ejecutar la misma versin de software
del servidor SiteMinder. No se admite una implementacin mixta (en que el
servidor principal ejecute una versin de software de servidor diferente que la
de respaldo).

SiteMinder no almacena la direccin IP en la cookie de SMSESSION y por lo


tanto no puede pasarla al dispositivo IVE.

SiteMinder enva la cookie de SMSESSION al IVE como una cookie persistente.


Para maximizar la seguridad, el IVE restablece la cookie persistente como una
cookie de sesin una vez que se completa la autenticacin.

Al usar SiteMinder para la autenticacin, el IVE descarta cualquier sesin y


tiempo de espera por inactividad del IVE y usa la informacin configurada a
travs del territorio de SiteMinder.

Al usar SiteMinder para la autenticacin, los usuarios deben acceder al IVE


usando un nombre de dominio totalmente clasificado. Ello se debe a que la
cookie de SMSESSION de SiteMinder slo se enva para el dominio en que se
configur. Si los usuarios acceden al IVE usando una direccin IP, pueden
recibir un error de autenticacin y se les solicitar que se autentiquen
nuevamente.

El IVE registra cualquier cdigo de error de SiteMinder en la pgina System >


Log/Monitoring > User Access. Para obtener informacin sobre los cdigos
de error de SiteMinder, consulte la documentacin de SiteMinder.

Configuracin de una instancia de servidor eTrust SiteMinder

Captulo 7: Servidores de autenticacin y de directorios

Autenticacin mediante los diferentes esquemas de autenticacin


Dentro de SiteMinder, un esquema de autenticacin es una forma de recopilar
credenciales de usuario y determinar la identidad de un usuario. Puede crear
distintos esquemas de autenticacin y asociar niveles de proteccin diferentes con
cada uno. Por ejemplo, puede crear dos esquemas: uno que autentica usuarios
basndose exclusivamente en los certificados del lado cliente del usuario y les
proporciona un nivel de proteccin bajo, y otro que usa la autenticacin del token
de ACE SecurID y ofrece a los usuarios un nivel de proteccin superior. El IVE
funciona con los siguientes tipos de esquemas de autenticacin de SiteMinder:

Basic username and password authentication: El nombre y contrasea del


usuario se pasan al servidor de directivas SiteMinder. El servidor de directivas
puede autenticarlos o pasarlos a otro servidor para su autenticacin.

ACE SecurID token authentication: El servidor de directivas SiteMinder


autentica usuarios basndose en un nombre de usuario y contrasea generada
por un token de ACE SecurID.

Client-side certificate authentication: El servidor de directivas SiteMinder


autentica usuarios basndose en sus credenciales de certificado del lado
cliente. Si elige este mtodo de autenticacin, el explorador de Web muestra
una lista de certificados de cliente de los usuarios que puede seleccionar.

NOTA:

Si elige autenticar usuarios con este mtodo, debe importar el certificado


cliente al IVE mediante la ficha System > Certificates > Trusted Client CAs.
Para obtener ms informacin, consulte Uso de CA de cliente de confianza
en la pgina 758.

Si no desea mostrar la pgina de inicio estndar del IVE a los usuarios,


puede cambiarla usando la caracterstica de pginas de inicio personalizables.
Para obtener ms informacin, consulte el manual Custom Sign-In Pages
Solution Guide.

La autenticacin de certificados del lado cliente de SiteMinder se realiza


aparte de la autenticacin de certificados del lado cliente del IVE. Si elige
ambas opciones, el IVE autentica primero usando los parmetros de
configuracin del IVE. Si lo hace de forma correcta, pasa los valores del
certificado a SiteMinder para su autenticacin.

Para obtener ms informacin, consulte:

Creacin de un esquema de autenticacin de SiteMinder para el IVE en la


pgina 167

Configuracin del IVE para que funcione con varios esquemas de


autenticacin en la pgina 172

Configuracin de una instancia de servidor eTrust SiteMinder

163

Gua de administracin de Secure Access de Juniper Networks

Reautenticacin de usuarios con niveles insuficientes de proteccin


Durante la configuracin del IVE, debe especificar un recurso protegido con el fin
de controlar el nivel de proteccin permitido en la sesin de SiteMinder del usuario,
como se explica en Informacin general sobre eTrust SiteMinder en la
pgina 161. No obstante, si el usuario intenta acceder a un recurso Web que
requiere un mayor nivel de proteccin que el autorizado, el IVE tambin puede
manejar la reautenticacin dirigindolo a una pgina intermedia (siempre que se
haya habilitado la opcin Resource for insufficient protection level durante la
configuracin del IVE). Para obtener ms informacin, consulte Resource for
insufficient protection level en la pgina 182.
La pgina intermedia del IVE contiene dos opciones:

Continue: Cuando el usuario selecciona esta opcin, el IVE cierra su sesin


actual, le solicita las credenciales que requiere el recurso de nivel superior
y lo dirige a la pgina que intenta acceder si se autentican sus credenciales.
(Tenga en cuenta que si el usuario est ejecutando Host Checker o Cache
Cleaner y no opta por introducir sus credenciales cuando el IVE le solicita una
nueva autenticacin, la aplicacin Host Checker o Cache Cleaner contina
ejecutndose en el sistema del usuario hasta que caduca su sesin en el IVE.)

Cancel: Cuando el usuario selecciona esta opcin, es redirigido a la pgina


anterior.

De lo contrario, si elige no volver a autenticarse mediante el IVE, el proceso de


reautenticacin depender de si el servidor de directivas devuelve o no una URL
de esquema de autenticacin al usuario. Si el servidor de directivas:

No devuelve una URL de esquema de autenticacin: El IVE devuelve un


mensaje de error de validacin al usuario y realiza la reautenticacin mediante
la pgina de inicio de sesin estndar del IVE. Al usuario se le solicita que
vuelva a iniciar sesin, pero se asigna su nivel de proteccin original y es
posible que an no pueda iniciar sesin en la pgina deseada.

Devuelve una URL de esquema de autenticacin: El IVE redirige al agente


Web que especifique en el IVE para manejar la reautenticacin.

Para obtener ms informacin sobre cmo hacer que el IVE maneje la


reautenticacin, consulte Creacin de un esquema de autenticacin de SiteMinder
para el IVE en la pgina 167.

164

Configuracin de una instancia de servidor eTrust SiteMinder

Captulo 7: Servidores de autenticacin y de directorios

Determinacin del nombre de usuario del usuario


Con la disponibilidad de esquemas de autenticacin y puntos de inicio de sesin
diferentes, el IVE puede obtener un nombre de usuario de varios orgenes, como un
encabezado de servidor de directivas, un atributo de certificado o de la pgina de
inicio de sesin del IVE. A continuacin aparecen varios mtodos que un usuario
puede emplear para acceder al IVE y cmo el IVE determina el nombre de usuario
de cada uno. Cuando un usuario:

Inicia sesin mediante la pgina de inicio de sesin estndar del IVE: El IVE
primero comprueba el nombre de usuario que devuelve el servidor de directivas
en su encabezado de respuesta OnAuthAccept. Si SiteMinder no define un
nombre de usuario, el IVE usa el nombre que el usuario introdujo durante el
inicio de sesin. En caso contrario, si ni SiteMinder ni el usuario proporcionan
un nombre de usuario porque el usuario se autentica usando un certificado
cliente, el IVE usa el valor UserDN configurado por el servidor de directivas.

Inicia sesin automticamente en el IVE usando las credenciales de


SiteMinder: El IVE primero comprueba el nombre de usuario que devuelve
el servidor de directivas en su encabezado de respuesta OnAuthAccept. Si
SiteMinder no define un nombre de usuario, el IVE comprueba la cookie de
SMSESSION. De lo contrario, si SiteMinder no completa el encabezado de
respuesta o cookie de SMSESSION con un nombre de usuario, el IVE
comprueba el valor UserDN en la cookie de SMSESSION.

Una vez que el IVE determina el nombre de usuario que usar, lo guarda en la
memoria cach de su sesin y hace referencia a ste cuando el usuario desea
obtener acceso a recursos adicionales (como se explica en Informacin general
sobre eTrust SiteMinder en la pgina 161).
Para devolver siempre el nombre de usuario correcto al IVE, debe configurar la
respuesta OnAuthAccept en el servidor de directivas SiteMinder, como se explica en
Creacin de un par de regla/respuesta para pasar nombres de usuario al IVE en la
pgina 170.

Configuracin de SiteMinder para que funcione con el IVE


Los siguientes procedimientos describen cmo configurar un servidor de directivas
SiteMinder para que funcione con el IVE. stas no son las instrucciones completas
de SiteMinder, sino que slo pretenden ayudarle a que SiteMinder funcione con el
IVE. Para obtener informacin detallada de la configuracin de SiteMinder, consulte
la documentacin que se proporciona con el servidor de directivas SiteMinder.
NOTA: Las instrucciones que se muestran aqu son para la versin 5.5 del servidor
de directivas SiteMinder. Las instrucciones pueden variar levemente si usa una
versin de producto diferente.

Para configurar SiteMinder para que funcione con el IVE, debe realizar los
siguientes procedimientos:
1. Configuracin del agente de SiteMinder en la pgina 166
2. Creacin de un esquema de autenticacin de SiteMinder para el IVE en la
pgina 167

Configuracin de una instancia de servidor eTrust SiteMinder

165

Gua de administracin de Secure Access de Juniper Networks

3. Creacin de un dominio de SiteMinder para el IVE en la pgina 169


4. Creacin de un territorio de SiteMinder para el IVE en la pgina 169
5. Creacin de un par de regla/respuesta para pasar nombres de usuario al IVE
en la pgina 170
6. Creacin de una directiva de SiteMinder en el dominio en la pgina 172

Configuracin del agente de SiteMinder


Un agente de SiteMinder filtra las solicitudes del usuario para aplicar los controles
de acceso. Por ejemplo, cuando un usuario solicita un recurso protegido, el agente
pide al usuario las credenciales basndose en un esquema de autenticacin y enva
las credenciales al servidor de directivas SiteMinder. Un agente Web es simplemente
un agente que funciona con un servidor Web. Al configurar SiteMinder para que
funcione con el IVE, debe configurar el IVE como un agente Web en la mayora de
los casos.
NOTA: Si selecciona la opcin Delegate authentication to a standard agent, debe
configurar las siguientes opciones en el objeto de configuracin del agente Web
estndar que hospeda la URL de FCC:

EncryptAgentName=no

FCCCompatMode=no

Para configurar el IVE como un agente Web en el servidor de directivas SiteMinder:


1. En la interfaz de administracin de SiteMinder, elija la ficha System.
2. Haga clic con el botn secundario en Agents y elija Create Agent.
3. Introduzca un nombre para el agente Web y (opcionalmente) una descripcin.
Tenga en cuenta que debe introducir este nombre al crear un territorio de
SiteMinder, (como se explica en Creacin de un territorio de SiteMinder para el
IVE en la pgina 169) y al configurar el IVE (como se explica en Agent Name,
Secret en la pgina 175).
4. Debe seleccionar la opcin Support 5.x agents de compatibilidad con el IVE.
5. En Agent Type, seleccione SiteMinder y Web Agent de la lista desplegable.
Debe seleccionar este ajuste de compatibilidad con el IVE.
6. En IP Address or Host Name, introduzca el nombre o la direccin IP del IVE.
7. En el campo Shared Secret, introduzca y confirme un secreto para el agente
Web. Tenga en cuenta que debe introducir este secreto al configurar el IVE
(como se explica en Agent Name, Secret en la pgina 175).
8. Haga clic en OK.

166

Configuracin de una instancia de servidor eTrust SiteMinder

Captulo 7: Servidores de autenticacin y de directorios

Creacin de un esquema de autenticacin de SiteMinder para el IVE


Dentro de SiteMinder, el esquema de autenticacin proporciona una forma de
recopilar credenciales y determinar la identidad de un usuario.
Para configurar el esquema de autenticacin de SiteMinder para el IVE:
1. En la interfaz de administracin de SiteMinder, elija la ficha System.
2. Haga clic con el botn secundario en Authentication Schemes y elija Create
Authentication Scheme.
3. Introduzca un nombre para el esquema y (opcionalmente) una descripcin.
Tenga en cuenta que debe introducir este nombre al configurar el territorio de
SiteMinder (como se explica en Creacin de un territorio de SiteMinder para el
IVE en la pgina 169).
4. En Authentication Scheme Type, seleccione una de las siguientes opciones:

Basic Template

HTML Form Template

SecurID HTML Form Template1

X509 Client Cert Template

X509 Client Cert and Basic Authentication

NOTA:

El IVE slo admite los tipos de esquemas de autenticacin que se


indican aqu.

Debe seleccionar HTML Form Template si desea que el IVE se encargue de


la reautenticacin (como se describe en Reautenticacin de usuarios con
niveles insuficientes de proteccin en la pgina 164).

Si selecciona X509 Client Cert Template o X509 Client Cert and Basic
Authentication, debe importar el certificado al IVE mediante la ficha
System > Certificates > Trusted Client CAs. Para obtener ms informacin,
consulte Uso de CA de cliente de confianza en la pgina 758.

5. Introduzca un nivel de proteccin para el esquema. Tenga en cuenta que este


nivel de proteccin se lleva a cabo en el territorio de SiteMinder que asoci con
este esquema. Para obtener ms informacin, consulte Creacin de un
territorio de SiteMinder para el IVE en la pgina 169.
6. Seleccione Password Policies Enabled for this Authentication Scheme si
desea volver a autenticar a los usuarios que solicitan recursos con un nivel
de proteccin superior al que tienen autorizado el acceso.
1. Si usa la autenticacin de SecurID, debe elegir la plantilla de formulario HTML de SecurID (en lugar de la
plantilla de SecurID). Al elegir esta opcin se habilita el servidor de directivas para que enve cdigos de error
de inicio de sesin de ACE al IVE.
Configuracin de una instancia de servidor eTrust SiteMinder

167

Gua de administracin de Secure Access de Juniper Networks

7. En la ficha Scheme Setup, introduzca las opciones requeridas por el tipo de


esquema de autenticacin.
Si desea que el IVE vuelva a autenticar usuarios que solicitan recursos con un
nivel de proteccin superior al que tienen autorizado el acceso, debe introducir
los siguientes ajustes:

En Server Name, introduzca el nombre de host del IVE (por ejemplo,


ventas.suempresa.net).

Seleccione la casilla de verificacin Use SSL Connection.

En Target, introduzca la URL de inicio de sesin del IVE que se define en


la primera vieta de este paso ms el parmetro ive=1 (por ejemplo,
/highproturl?ive=1). (El IVE debe tener una directiva de inicio de sesin
que use */highproturl como la URL de inicio de sesin y que slo utilice el
territorio de autenticacin de SiteMinder correspondiente.)

NOTA: Al guardar los cambios, ive=1 desaparece del objetivo. Esto es normal.
El servidor de directivas incluye ive=1 en la URL completa del esquema de

autenticacin que enva al IVE, para que pueda verla en el campo Parameter de
la ficha Advanced.

Anule la seleccin de la casilla de verificacin Allow Form Authentication


Scheme to Save Credentials.

Deje Additional Attribute List en blanco.

8. Haga clic en OK.


NOTA:

168

Si cambia el esquema de autenticacin de SiteMinder en el servidor de


directivas, debe borrar la memoria cach usando la opcin Flush Cache de la
ficha Advanced.

Para obtener informacin sobre la configuracin del IVE para manejar varios
esquemas de autenticacin, consulte Configuracin del IVE para que
funcione con varios esquemas de autenticacin en la pgina 172.

Configuracin de una instancia de servidor eTrust SiteMinder

Captulo 7: Servidores de autenticacin y de directorios

Creacin de un dominio de SiteMinder para el IVE


Dentro de SiteMinder, el dominio de directivas es un grupo lgico de recursos
asociados con uno o ms directorios de usuarios. Los dominios de directivas
contienen territorios, respuestas y directivas. Al configurar el IVE para que funcione
con SiteMinder, debe otorgar acceso a los usuarios del IVEa los recursos de
SiteMinder dentro de un territorio y agruparlo en un dominio.
Para configurar un dominio de SiteMinder para el IVE, en la interfaz de
administracin de SiteMinder, elija la ficha System, haga clic con el botn
secundario en Domains y elija Create Domain. O bien, haga clic en Domains y
elija un dominio de SiteMinder existente. Tenga en cuenta que debe agregar un
territorio a este dominio (como se explica en Creacin de un territorio de
SiteMinder para el IVE en la pgina 169).

Creacin de un territorio de SiteMinder para el IVE


Dentro de SiteMinder, un territorio es un clster de recursos dentro de un dominio
de directivas agrupadas de acuerdo con los requisitos de seguridad. Al configurar
SiteMinder para que funcione con el IVE, debe definir los territorios para
determinar a qu recursos pueden acceder los usuarios del IVE.
Para configurar un territorio de SiteMinder para el IVE:
1. En la interfaz de administracin de SiteMinder, elija la ficha Domains.
2. Expanda el dominio que cre para el IVE. Para obtener ms informacin,
consulte Creacin de un dominio de SiteMinder para el IVE en la pgina 169.
3. Haga clic con el botn secundario en Realms y elija Create Realm.
4. Introduzca un nombre y (opcionalmente) una descripcin para el territorio.
5. En el campo Agent, seleccione el agente Web que cre para el IVE. Para
obtener ms informacin, consulte Configuracin del agente de SiteMinder
en la pgina 166.
6. En el campo Resource Filter, introduzca un recurso protegido. Este recurso
hereda el nivel de proteccin especificado en el esquema de autenticacin
correspondiente. Para el nivel de proteccin predeterminado, introduzca
/ive-authentication. Tenga en cuenta que debe introducir este recurso al
configurar el IVE (como se explica en Protected Resource en la pgina 175).
O bien, si usa directivas de inicio de sesin con URL no predeterminadas como
*/nete o */cert, debe tener los filtros de recursos correspondientes en la
configuracin de SiteMinder.
7. En la lista Authentication Schemes, seleccione el esquema que cre para
el IVE (como se explica en Creacin de un esquema de autenticacin de
SiteMinder para el IVE en la pgina 167).
8. Haga clic en OK.

Configuracin de una instancia de servidor eTrust SiteMinder

169

Gua de administracin de Secure Access de Juniper Networks

Creacin de un par de regla/respuesta para pasar nombres de usuario


al IVE
Dentro de SiteMinder, puede usar reglas para activar respuestas cuando ocurren
eventos de autenticacin o autorizacin. Una respuesta pasa los atributos DN, texto
fijo o respuestas activas personalizadas del servidor de directivas SiteMinder a un
agente de SiteMinder. Al configurar SiteMinder para que funcione con el IVE, debe
crear una regla que se active cuando un usuario se autentica de forma correcta.
A continuacin, debe crear una respuesta correspondiente que pase el nombre de
usuario del usuario al agente Web del IVE.
Para crear una regla nueva:
1. En la interfaz de administracin de SiteMinder, elija la ficha Domains.
2. Expanda el dominio que cre para el IVE (como se explica en Creacin de un
dominio de SiteMinder para el IVE en la pgina 169) y expanda Realms.
3. Haga clic con el botn secundario en el territorio que cre para el IVE (como se
explica en Creacin de un territorio de SiteMinder para el IVE en la
pgina 169) y elija Create Rule under Realm.
4. Introduzca un nombre y (opcionalmente) una descripcin para la regla.
5. En Action, elija Authentication Events y OnAuthAccept en la lista desplegable.
6. Seleccione Enabled.
7. Haga clic en OK.
Para crear una respuesta nueva:
1. En la interfaz de administracin de SiteMinder, elija la ficha Domains.
2. Expanda el dominio que cre para el IVE (como se explica en Creacin de un
dominio de SiteMinder para el IVE en la pgina 169).
3. Haga clic con el botn secundario en Responses y seleccione Create Response.
4. Introduzca un nombre y (opcionalmente) una descripcin para la respuesta.
5. Seleccione SiteMinder y el agente Web del IVE (como se explica en
Configuracin del agente de SiteMinder en la pgina 166).
6. Haga clic en Create.
7. En la lista Attribute, elija WebAgent-HTTP-Header-Variable.
8. En Attribute Kind, seleccione Static.
9. En Variable Name, introduzca IVEUSERNAME.
10. En Variable Value, introduzca un nombre de usuario.
11. Haga clic en OK.

170

Configuracin de una instancia de servidor eTrust SiteMinder

Captulo 7: Servidores de autenticacin y de directorios

Creacin de atributos de usuario de SiteMinder para la asignacin de


roles del IVE
Si crea atributos de usuario de SiteMinder en un servidor de directivas SiteMinder,
puede usar esos atributos de usuario en las reglas de asignacin de roles del IVE
para asignar usuarios a las funciones. Por ejemplo, quizs desee asignar un usuario
a varios roles del IVE en funcin del departamento en el que trabaje. Para usar un
atributo de usuario de SiteMinder en una regla de asignacin de roles, debe hacer
referencia al nombre de la cookie que se incluye en la cookie del atributo de usuario
de SiteMinder.
El siguiente procedimiento es necesario slo si desea usar atributos de usuario de
SiteMinder en las reglas de asignacin de roles del IVE.
Para crear atributos de usuario en un servidor SiteMinder:
1. En la interfaz de administracin de SiteMinder, elija la ficha Domains.
2. Expanda el dominio que cre para el IVE (como se explica en Creacin de un
dominio de SiteMinder para el IVE en la pgina 169).
3. Haga clic con el botn derecho del ratn en Responses y seleccione Create
Response.
4. Introduzca un nombre y (opcionalmente) una descripcin para la respuesta.
5. Seleccione SiteMinder y el agente Web del IVE (como se explica en
Configuracin del agente de SiteMinder en la pgina 166).
6. Haga clic en Create.
7. En la lista Attribute, elija WebAgent-HTTP-Cookie-Variable.
8. En Attribute Kind, seleccione User Attribute.
9. Para Cookie Name, introduzca un nombre para la cookie, como department.
Puede hacer referencia al nombre de esta cookie en una regla de asignacin de
roles del IVE.
10. Para Attribute Name, introduzca el nombre del atributo en el directorio de
usuarios de SiteMinder. (ste se refiere al atributo en el servidor LDAP que usa
SiteMinder).
11. Haga clic en OK.
12. Asigne la respuesta de User Attribute a un tipo de regla de OnAuthAccept.
(Consulte Creacin de un par de regla/respuesta para pasar nombres de
usuario al IVE en la pgina 170.)
13. Haga referencia al nombre de la cookie en la regla de asignacin de roles para
un territorio del IVE que usa el servidor de directivas SiteMinder. Para obtener
instrucciones, consulte Uso de atributos de usuario de SiteMinder para la
asignacin de roles del IVE en la pgina 184.

Configuracin de una instancia de servidor eTrust SiteMinder

171

Gua de administracin de Secure Access de Juniper Networks

Creacin de una directiva de SiteMinder en el dominio


Dentro de SiteMinder, una directiva asocia usuarios con reglas. Para configurar una
directiva de SiteMinder en un dominio, en la interfaz de administracin de
SiteMinder, elija la ficha Domains, seleccione el dominio al que desea agregar una
directiva, haga clic con el botn derecho del ratn en Policies y elija Create Policy.

Configuracin del IVE para que funcione con SiteMinder


Esta seccin incluye las siguientes instrucciones para configurar el IVE de modo que
funcione con un servidor de directivas SiteMinder:

Configuracin del IVE para que funcione con varios esquemas de


autenticacin en la pgina 172

Configuracin del IVE para otorgar a los usuarios diferentes recursos


protegidos en la pgina 173

Definicin de una instancia de servidor eTrust SiteMinder en la pgina 174

Definicin de un territorio de SiteMinder para el inicio de sesin automtico


en la pgina 185

Configuracin del IVE para que funcione con varios esquemas de


autenticacin
Para configurar el IVE de modo que funcione con varios esquemas de autenticacin
de SiteMinder, debe:
1. Configurar los esquemas de autenticacin en el servidor de directivas
SiteMinder. Para obtener instrucciones, consulte Creacin de un esquema de
autenticacin de SiteMinder para el IVE en la pgina 167.
2. Crear una instancia del servidor de directivas SiteMinder del IVE para todos los
esquemas de autenticacin que desee usar. Para obtener instrucciones,
consulte Definicin de una instancia de servidor eTrust SiteMinder en la
pgina 174.
3. Especificar los territorios del IVE que debe usar la instancia del servidor de
directivas SiteMinder del IVE para autenticar y autorizar a los administradores
y usuarios. Para obtener instrucciones, consulte Creacin de un territorio de
autenticacin en la pgina 196.
4. Para cada recurso protegido en el servidor de directivas SiteMinder, cree una
directiva de inicio de sesin del IVE. En la pgina Authentication >
Authentication > Signing In Policies > New Sign-In Policy:

172

Especifique una URL de inicio de sesin del IVE que coincida con la URL de
recurso protegido de SiteMinder en el servidor de directivas. Haga coincidir
parte de la ruta de la URL con el filtro de recursos de SiteMinder en la
configuracin del territorio de SiteMinder. Por ejemplo, puede especificar
*/ACE/ como URL de inicio de sesin del IVE para que coincida con una
URL de SiteMinder de XYZ/ACE, donde XYZ es el nombre de un territorio.

Configuracin de una instancia de servidor eTrust SiteMinder

Captulo 7: Servidores de autenticacin y de directorios

Seleccione el territorio del IVE que especific que debe usar el servidor de
directivas SiteMinder.

Para obtener instrucciones, consulte Configuracin de directivas de inicio de


sesin en la pgina 214.
El usuario inicia sesin en el IVE usando una de las URL de inicio de sesin del IVE.
El IVE enva la URL del recurso protegido a SiteMinder, y segn el recurso,
SiteMinder determina qu tipo de esquema usar para autenticar al usuario. El IVE
recopila las credenciales que requiere el esquema de autenticacin y las pasa a
SiteMinder para su autenticacin.

Configuracin del IVE para otorgar a los usuarios diferentes recursos


protegidos
Para configurar el IVE para que otorgue acceso a los usuarios a varios recursos
protegidos por SiteMinder (y por asociacin, diferentes niveles de proteccin),
debe:
1. Defina los recursos que el servidor SiteMinder debe proteger. Cada uno de estos
recursos hereda un nivel de proteccin de un esquema de autenticacin de
SiteMinder correspondiente. Para obtener instrucciones, consulte Creacin de
un territorio de SiteMinder para el IVE en la pgina 169.
2. Cree una instancia del servidor de directivas SiteMinder del IVE para todos los
recursos protegidos y los niveles de proteccin correspondientes que desea
permitir. Para obtener instrucciones, consulte Definicin de una instancia de
servidor eTrust SiteMinder en la pgina 174.
3. Especifique qu territorio del IVE debe usar la instancia del servidor de
directivas SiteMinder del IVE. Para obtener instrucciones, consulte Creacin de
un territorio de autenticacin en la pgina 196.
4. Para cada recurso en el servidor de directivas SiteMinder, cree una directiva de
inicio de sesin del IVE de cada filtro de recursos del nivel de territorio. En la
pgina de configuracin de la directiva de inicio de sesin, especifique:

Una URL de inicio de sesin del IVE que coincida con la URL de recurso
protegido del servidor de directivas. Haga coincidir parte de la ruta de la
URL con el filtro de recursos de SiteMinder. Por ejemplo, puede definir las
siguientes URL:
https://employees.yourcompany.com/sales
https://employees.yourcompany.com/engineering

Cuando los usuarios inician sesin en la primera URL, pueden acceder al


recurso protegido sales, y cuando inician sesin en la segunda URL,
puede acceder al recurso protegido engineering.
Para definir un recurso predeterminado (ive-authentication), introduzca * en
la ruta de la URL.

Configuracin de una instancia de servidor eTrust SiteMinder

173

Gua de administracin de Secure Access de Juniper Networks

Seleccione el territorio del IVE que especific que debe usar el servidor de
directivas SiteMinder.

Para obtener instrucciones, consulte Configuracin de directivas de inicio de


sesin en la pgina 214.
Durante la produccin, el usuario inicia sesin en el IVE usando una de las
siguientes URL. El IVE extrae el recurso protegido de la URL y autentica al usuario
en el territorio adecuado.

Definicin de una instancia de servidor eTrust SiteMinder


Dentro del IVE, una instancia de SiteMinder es un conjunto de ajustes de
configuracin que definen la forma en que el IVE interacta con el servidor de
directivas SiteMinder. Despus de definir la instancia de servidor de SiteMinder,
especifique los territorios del IVE que debe usar la instancia del servidor de
directivas SiteMinder del IVE para autenticar y autorizar a administradores y
usuarios. Para obtener instrucciones, consulte Creacin de un territorio de
autenticacin en la pgina 196.
Definicin de una instancia de servidor eTrust SiteMinder
1. En la consola de administracin, elija Authentication > Auth. Servers.
2. Siga uno de estos pasos:

Para crear una nueva instancia de servidor en el IVE, seleccione SiteMinder


Server en la lista New y haga clic en New Server.

Para actualizar una instancia de servidor existente, haga clic en el vnculo


correspondiente de la lista Authentication/Authorization Servers.

3. Configure el servidor usando los ajustes descritos en la Tabla 13.


4. Para agregar los atributos de usuario de SiteMinder a la instancia de servidor de
SiteMinder:
a.

Haga clic en Server Catalog para que aparezca el catlogo de servidores.

b.

Introduzca el nombre de la cookie del atributo de usuario de SiteMinder en


el campo Attribute del catlogo de servidores y haga clic en Add Attribute.
(Para obtener ms informacin sobre las cookies de atributos de usuario de
SiteMinder, consulte Creacin de atributos de usuario de SiteMinder para
la asignacin de roles del IVE en la pgina 171.)

c.

Al terminar de agregar los nombres de las cookies, haga clic en OK.


El IVE muestra los nombres de las cookies de los atributos de usuario
de SiteMinder en la lista Attribute de la pgina Role Mapping Rule. Para
obtener instrucciones sobre la configuracin, consulte Uso de atributos de
usuario de SiteMinder para la asignacin de roles del IVE en la
pgina 184.

5. Haga clic en Save Changes.

174

Configuracin de una instancia de servidor eTrust SiteMinder

Captulo 7: Servidores de autenticacin y de directorios

6. Configure las opciones de configuracin avanzada de SiteMinder (opcional)


usando los ajustes descritos en la Tabla 14.
NOTA: Para obtener ms informacin sobre la supervisin y eliminacin de
sesiones de usuarios que hayan iniciado sesin a travs del servidor, consulte
Supervisin de usuarios activos en la pgina 848.

Tabla 13: Opciones de configuracin de eTrust SiteMinder


Opcin

Descripcin

Name

Introduzca un nombre para identificar la instancia de servidor.

Policy Server

Introduzca el nombre o la direccin IP del servidor de directivas


SiteMinder que desea usar para autenticar usuarios.

Backup Server(s),
Failover Mode

Introduzca una lista delimitada por comas de los servidores de


directivas de respaldo (opcional). A continuacin, elija un modo de
conmutacin por error:
Seleccione Yes para el que el dispositivo IVE use el servidor de
directivas principal, excepto que falle.
Seleccione No para que el dispositivo IVE distribuya la carga entre
todos los servidores de directivas especificados.

Agent Name,
Secret

Introduzca un secreto compartido y el nombre del agente especificado


en Configuracin del agente de SiteMinder en la pgina 166. Tenga en
cuenta que distinguen maysculas de minsculas.

Compatible with

Elija un una versin de servidor SiteMinder. La versin 5.5 admite las


versiones 5.5 y 6.0. La versin 6.0 admite slo la versin 6.0 de la API
del servidor SiteMinder. El valor predeterminado es servidores de
directivas 5.5.

On logout, redirect to Especifique una URL a la que se redirigir a los usuarios cuando cierren
sesin en el IVE (opcional). Si deja este campo vaco, los usuarios vern
la pgina de inicio predeterminada del IVE.
Nota: El campo On logout, redirect to se incluye en la versin del
producto para compatibilidad con versiones anteriores, pero est
prevista su eliminacin. Si desea redirigir a los usuarios a una pgina
de inicio de sesin diferente cuando cierren sesin, se recomienda
encarecidamente usar la caracterstica de pginas de inicio de sesin
personalizables. Para obtener ms informacin, consulte el manual
Custom Sign-In Pages Solution Guide.
Protected Resource

Especifique el recurso protegido predeterminado que se especific en


Creacin de un territorio de SiteMinder para el IVE en la pgina 169.
Si no crea directivas de inicio de sesin para SiteMinder, el IVE usa esta
URL predeterminada para configurar el nivel de proteccin del usuario
para la sesin. El IVE tambin usa la URL predeterminada si desea
seleccionar la opcin Automatic Sign-In. Si los usuarios inician sesin
en la URL * (pgina de inicio predeterminada del IVE), introduzca
cualquier URL (/IVE-authentication es el valor predeterminado) para
configurar el nivel de proteccin en el valor predeterminado del IVE.
Si crea directivas de inicio de sesin para SiteMinder, el IVE usa estas
directivas de inicio de sesin en lugar de la URL predeterminada.
Nota: Debe introducir una barra diagonal (/) al comienzo del recurso
(por ejemplo, /ive-authentication).

Configuracin de una instancia de servidor eTrust SiteMinder

175

Gua de administracin de Secure Access de Juniper Networks

Tabla 13: Opciones de configuracin de eTrust SiteMinder (continuacin)


Opcin

Descripcin

Resource Action

(Slo lectura) Para nuevas instancias de servidor SiteMinder, el IVE


configura la accin del recurso en GET. Si la instancia de SiteMinder
se actualiza de una instancia 3.x, el IVE usa la accin del recurso
(por ejemplo, GET, POST o PUT) que eligi previamente. Tenga en
cuenta que para cambiar una accin de recurso existente a GET, debe
eliminar la instancia de servidor SiteMinder y crear una nueva instancia
que use GET.

Ajustes de cookies de SMSESSION


Cookie Domain

Introduzca el dominio de cookies del IVE. (Un dominio de cookies es el


dominio en que las cookies del usuario estn activas; el IVE enva las
cookies al explorador del usuario en este dominio).
Nota:
Varios dominios deben usar un punto inicial y estar separados por

coma. Por ejemplo: .ventas.miorg.com, .marketing.miorg.com


Los nombres de dominio distinguen maysculas de minsculas.
No puede usar caracteres comodn.

Por ejemplo, si define .juniper.net, el usuario debe acceder al IVE


como http://ive.juniper.net para asegurarse de que su cookie de
SMSESSION se enve de vuelta al IVE.

176

Protocol

(Slo lectura) Indica que el IVE usa el protocolo HTTPS para enviar
cookies al explorador de Web del usuario.

IVE Cookie Domain

Introduzca los dominios de Internet a los que el IVE enva la cookie de


SMSESSION usando las mismas pautas descritas en el campo Cookie
Domain. (Un dominio de cookies de IVE habilita un inicio de sesin
nico en varios dominios de cookies. Permite que la informacin del
usuario se transfiera cuando se dirjase de un dominio a otro). Si
configur un proveedor de cookies para permitir inicios de sesin
nicos en varios dominios de cookies, introduzca el dominio o el
proveedor de cookies. De lo contrario, introduzca los dominios de
los agentes Web para los que se desean inicios de sesin nicos.
Por ejemplo: .juniper.net

Protocol

Elija HTTPS para enviar las cookies de forma segura si otros agentes
Web se configuran para aceptar cookies seguras o HTTP para enviar las
cookies de una forma no segura.

Configuracin de una instancia de servidor eTrust SiteMinder

Captulo 7: Servidores de autenticacin y de directorios

Tabla 13: Opciones de configuracin de eTrust SiteMinder (continuacin)


Opcin

Descripcin

Ajustes de autenticacin de SiteMinder


Automatic Sign-In

Seleccione la opcin Automatic Sign-In para que los usuarios que


tienen una cookie de SMSESSION vlida inicien sesin
automticamente en el IVE. Luego, seleccione el territorio de
autenticacin al que se asignarn los usuarios. Si selecciona esta opcin,
tenga en cuenta que:
Si el nivel de proteccin asociado con una cookie de SMSESSION del

usuario es diferente del nivel de proteccin del territorio del IVE, el


IVE usa el nivel de proteccin asociado con la cookie.
Para habilitar un inicio de sesin nico de otro agente Web en el IVE,

el IVE debe validar una cookie de SMSESSION existente creada por


un agente Web estndar.
El IVE admite las siguientes limitaciones de territorio y rol con la

caracterstica Automatic Sign-in: Host Checker, Cache Cleaner,


direccin IP, explorador, y comprobaciones de lmite de usuarios
simultneos. Las restricciones de certificado y contrasea no se
admiten puesto que no se pueden aplicar a los usuarios que inician
sesin automticamente.
El IVE no admite la caracterstica Automatic Sign-in para los roles de

administrador. Esta caracterstica slo se encuentra disponible para


los usuarios finales.
Al seleccionar la opcin Automatic Sign-In, tambin debe configurar las
siguientes subopciones:
To assign user roles, use this authentication realm

Seleccione un territorio de autenticacin para los usuarios que inician


sesin automticamente. El IVE asigna al usuario a un rol basndose
en las reglas de asignacin de roles definidas en el territorio
seleccionado.
Nota: Si asigna usuarios a roles basndose en el nombre de usuario,
consulte Determinacin del nombre de usuario del usuario en la
pgina 165 para obtener informacin sobre qu nombre de usuario
usa el IVE.

Configuracin de una instancia de servidor eTrust SiteMinder

177

Gua de administracin de Secure Access de Juniper Networks

Tabla 13: Opciones de configuracin de eTrust SiteMinder (continuacin)


Opcin

Descripcin
If Automatic Sign In fails, redirect to

Introduzca una URL alternativa para los usuarios que inician sesin
en el IVE mediante el mecanismo de inicio de sesin automtico que
se explica en Automatic Sign-In en la pgina 177. El IVE redirige a
los usuarios a la URL especificada si el IVE no realiza la autenticacin
y no se recibe una respuesta de redireccionamiento del servidor de
directivas SiteMinder. Si deja este campo vaco, se solicita a los
usuarios que vuelvan a iniciar sesin en el IVE.
Nota:
Los usuarios que inician sesin a travs de la pgina de inicio de

sesin del IVE siempre son redirigidos a la pgina de inicio de


sesin del IVE si se produce un error en la autenticacin.
Si usa la opcin de UI personalizables (Custom Pages) que se

explica en el manual Custom Sign-In Pages Solution Guide, tenga en


cuenta que el IVE redirige a welcome.cgi en dos casos diferentes.
Debe representar ambos casos especiales en la pgina
personalizada:
Tiempos de espera por sesin y por inactividad:
/dana-na/auth/welcome.cgi?p=timed-out
Error en la validacin de la cookie:
/dana-na/auth/welcome.cgi?p=failed
Si usa una directiva de acceso slo con autorizacin, debe introducir una
URL alternativa en este campo sin importar si selecciona la opcin
Automatic Sign In. Los usuarios son redirigidos a esta URL cuando falla
la validacin de la cookie de SMSESSION o si no existen cookies de
SMSESSION. Para obtener ms informacin sobre las directivas de
acceso slo con autorizacin.
Authenticate using
custom agent

Elija esta opcin si desea llevar a cabo la autenticacin usando el agente


Web personalizado del IVE. Tenga en cuenta que si selecciona esta
opcin, tambin debe:
Actualizar todos los agentes Web estndar en la versin de

mantenimiento trimestral (QMR) del agente de Siteminder para


aceptar las cookies creadas por el IVE. Si ejecuta los agentes Web de
SiteMinder versin 5, use el parche urgente QMR5. El IVE es
compatible con la versin 5.x y posterior de los agentes de
SiteMinder. Las versiones anteriores de los agentes de SiteMinder son
susceptibles a errores en la validacin de la cookie.
Configure el atributo Accept Third Party Cookie (AcceptTPCookie) en

Yes en el archivo de configuracin del agente Web (webagent.conf) o


en 1 en el registro de Windows para el servidor Web IIS. La ubicacin
del atributo depende de la versin de SiteMinder y del servidor Web
que use. Para obtener ms informacin, consulte la documentacin
proporcionada con el servidor SiteMinder.

178

Configuracin de una instancia de servidor eTrust SiteMinder

Captulo 7: Servidores de autenticacin y de directorios

Tabla 13: Opciones de configuracin de eTrust SiteMinder (continuacin)


Opcin

Descripcin

Authenticate using
HTML form post

Elija esta opcin si desea publicar las credenciales de usuario en un


agente Web estndar que haya configurado en lugar de contactarse
directamente con el servidor de directivas SiteMinder. Si selecciona esta
opcin, el agente Web se contacta con el servidor de directivas para
determinar la pgina de inicio de sesin correspondiente para mostrar
al usuario. Para configurar el IVE para que acte como un explorador
que publica las credenciales en el agente Web estndar, debe introducir
la informacin definida a continuacin. La forma ms fcil de buscar
esta informacin es:
1. Abrir un explorador de Web e introducir la URL del agente Web
estndar que desea usar. Por ejemplo, http://webagent.juniper.net
2. Anote la URL de la pgina de inicio de sesin de SiteMinder que
aparece. Por ejemplo:
http://webagent.juniper.net/siteminderagent/forms/login.fcc?TYPE=
33554433&REALMOID=06-2525fa65-5a7f-11d5-9ee00003471b786c&GUID=&SMAUTHREASON=0&TARGET=$SM$http
%3a%2f%2fwebagent%2ejuniper%2enet%2fportal%2findex%2ejsp
3. Extraiga la informacin de la URL para introducirla en los campos que
aparecen a continuacin.
Nota:
No puede usar los modos Nuevos PIN de SecurID y Siguiente token,

la autenticacin de certificados del lado cliente ni las capturas SNMP


con la opcin Authenticate using HTML form post.
La opcin Authorize While Authenticating no se puede aplicar con

la opcin HTML form post.


Puede autenticar usuarios usando esta opcin, pero si desea

autorizarlos, debe seleccionar Authenticate using custom agent.


Al seleccionar la opcin Authenticate using HTML form post, tambin
debe configurar las siguientes subopciones:
Target

URL en el servidor Web externo habilitado por eTrust. En la URL de la


pgina de inicio de sesin del agente Web, el destino aparece despus
de &TARGET=$SM$. Por ejemplo, en la URL que aparece en
Authenticate using HTML form post en la pgina 179, el destino es:
http%3a%2f%2fwebagent%2ejuniper%2enet%2fportal%2findex%2ejsp

Despus de convertir caracteres especiales (%3a=dos puntos,


%2f=barra diagonal, %2e=punto), el objetivo final es:
http://webagent.juniper.net/portal/index.jsp
Protocol

Protocolo para la comunicacin entre IVE y el agente Web


especificado. Use HTTP para la comunicacin no segura o HTTPS
para la comunicacin segura. En la URL de la pgina de inicio de
sesin del agente Web, el protocolo aparece primero. Por ejemplo,
en la URL que aparece en Authenticate using HTML form post en la
pgina 179, el protocolo es HTTP.

Configuracin de una instancia de servidor eTrust SiteMinder

179

Gua de administracin de Secure Access de Juniper Networks

Tabla 13: Opciones de configuracin de eTrust SiteMinder (continuacin)


Opcin

Descripcin
Web Agent

Nombre del agente Web desde el cual el IVE obtendr las cookies de
SMSESSION. No se permite una direccin IP para este campo.
(Especificar la direccin IP como el agente Web evita que algunos
exploradores acepten cookies). En la URL de la pgina de inicio de
sesin del agente Web, ste aparece despus del protocolo. Por
ejemplo, en la URL que aparece en Authenticate using HTML form
post en la pgina 179, el agente Web es: webagent.juniper.net
Port

Puerto 80 para HTTP o puerto 443 para HTTPS.


Path

Ruta de la pgina de inicio de sesin del agente Web. Tenga en cuenta


que la ruta debe comenzar con un carcter de barra diagonal (/). En la
URL de la pgina de inicio de sesin del agente Web, la ruta aparece
despus del agente Web. Por ejemplo, en la URL que aparece en
Authenticate using HTML form post en la pgina 179, la ruta es:
/siteminderagent/forms/login.fcc
Parameters

Parmetros posteriores que se envan cuando un usuario inicia


sesin. Las variables comunes de SiteMinder que puede usar son
_ _USER_ _, _ _PASS_ _ y _ _TARGET_ _. Estas variables se reemplazan
por el nombre de usuario y la contrasea introducidos por el usuario
en la pgina de inicio de sesin del agente Web y por el valor
especificado en el campo Target. Existen parmetros
predeterminados para login.fcc; si ha efectuado personalizaciones,
es posible que deba cambiar estos parmetros.
Delegate
authentication to
a standard agent

Elija esta opcin si desea delegar la autenticacin a un agente estndar.


Cuando el usuario accede a la pgina de inicio de sesin del IVE, el IVE
determina la URL de FCC asociada con el esquema de autenticacin del
recurso protegido. El IVE redirige al usuario a esa URL, ajustando la URL
de inicio de sesin del IVE como destino. Despus de realizar una
autenticacin correcta con el agente estndar, se configura una cookie
de SMSESSION en el explorador del usuario y se redirige de vuelta al
IVE. El IVE inicia la sesin del usuario automticamente y establece una
sesin del IVE. Para obtener informacin sobre la configuracin del
esquema de autenticacin, consulte Creacin de un esquema de
autenticacin de SiteMinder para el IVE en la pgina 167.
NOTA:
Debe habilitar la opcin Automatic Sign-In para usar esta

caracterstica.
Si habilita esta opcin y un usuario ya tiene una cookie de

SMSESSION vlida cuando intenta acceder a un recurso, el IVE


intenta iniciar sesin automticamente usando la cookie de
SMSESSION existente. Si la cookie no es vlida, el IVE borra la cookie
de SMSESSION y las cookies del IVE correspondientes y presenta al
usuario una pgina de tiempo de espera. El IVE delega
correctamente la autenticacin cuando el usuario hace clic en la
opcin volver a iniciar sesin.
Si selecciona esta opcin, el esquema de autenticacin debe tener

una URL de FCC asociada.

180

Configuracin de una instancia de servidor eTrust SiteMinder

Captulo 7: Servidores de autenticacin y de directorios

Tabla 13: Opciones de configuracin de eTrust SiteMinder (continuacin)


Opcin

Descripcin

Authorize requests
against SiteMinder
policy server

Seleccione esta opcin si desea usar las reglas del servidor de directivas
SiteMinder para autorizar las solicitudes del recurso Web del usuario. Si
selecciona esta opcin, asegrese de crear las reglas correspondientes
en SiteMinder que comiencen con el nombre del servidor, seguido de
una barra diagonal, como: "www.yahoo.com/", "www.yahoo.com/*" y
"www.yahoo.com/r/f1". Para obtener ms informacin, consulte la
documentacin proporcionada con el servidor SiteMinder.
Si utiliza una directiva de acceso slo con autorizacin, debe seleccionar
esta opcin e introducir valores para las tres siguientes opciones
(se describen a continuacin) para que funcione correctamente la
caracterstica de proxy inverso. Para obtener ms informacin sobre
las directivas de acceso slo con autorizacin, consulte Definicin de
directivas de acceso slo con autorizacin en la pgina 215.

If authorization fails,
redirect to

Introduzca una URL alternativa a la que se redirigirn los usuarios si el


IVE no autoriza y no se recibe una respuesta de redireccionamiento del
servidor de directivas SiteMinder. Si deja este campo vaco, se solicita a
los usuarios que vuelvan a iniciar sesin en el IVE.
Nota:
Si usa una directiva de acceso slo con autorizacin, debe

introducir una URL alternativa en este campo sin importar si


selecciona la opcin Authorize requests against SiteMinder policy
server. Los usuarios son redirigidos a esta URL cuando se produce
un error de denegacin de acceso. Para obtener ms informacin
sobre las directivas de acceso slo con autorizacin, consulte
Definicin de directivas de acceso slo con autorizacin en la
pgina 215.

Configuracin de una instancia de servidor eTrust SiteMinder

181

Gua de administracin de Secure Access de Juniper Networks

Tabla 13: Opciones de configuracin de eTrust SiteMinder (continuacin)


Opcin

Descripcin

Resource for
insufficient
protection level

Introduzca un recurso en el agente Web al que el IVE redirigir a los


usuarios cuando no tengan los permisos correspondientes.
Cuando un usuario accede a un recurso con un nivel de proteccin
mayor que el de la cookie de SMSESSION, obtiene una pgina de inicio
de sesin seguro. Tras volver a autenticarse, obtiene una cookie de
SMSESSION con un mayor nivel de proteccin y es redirigido a una
pgina Web. El tipo de pgina Web que muestra el IVE depende del
mtodo utilizado para volver a autenticar usuarios*:
Un agente Web estndar con "FCCCompatMode = yes"

Si configura el modo de compatibilidad con el recopilador de


credenciales de formularios (FCC) del agente Web** en Yes, los
usuarios sern redirigidos a la pgina que especifique en el campo
Resource for insufficient protection level.
Nota:
- Debe redirigir a los usuarios a una pgina en el agente Web
estndar. El IVE no puede dirigir al usuario al recurso original que
desea acceder.
- No es necesario que introduzca toda la URL que lleva al recurso (por
ejemplo:
https://ventas.suempresa.com/,DanaInfo=www.stdwebagent.com+inde
x.html): slo debe introducir el recurso (index.html).
Un agente Web estndar con "FCCCompatMode = no"

Si configura el modo de compatibilidad con el recopilador de


credenciales de formularios (FCC) del agente Web** en Yes, los
usuarios sern redirigidos a la pgina que especifique en el campo
Resource for insufficient protection level. O bien, si deja este
campo vaco, el usuario es redirigido al recurso original que desea
acceder.
El IVE

Si vuelve a autenticar usuarios mediante el IVE, los usuarios son


redirigidos a la pgina intermedia del IVE descrita en
Reautenticacin de usuarios con niveles insuficientes de proteccin
en la pgina 164. Tenga en cuenta que si desea que el IVE redirija al
usuario al recurso original que deseaba acceder, debe habilitar la
opcin Browser request follow through en la pgina Users > User
Roles > [Territorio] > General > Session Options de la consola de
administracin. (Si deja este campo vaco, pero no habilita la opcin
Browser request follow through, el IVE redirige al usuario a la pgina
de marcadores estndar del IVE.)
* Para obtener ms informacin sobre cmo especificar un mtodo de
reautenticacin, consulte Creacin de un esquema de autenticacin de
SiteMinder para el IVE en la pgina 167.
** Cuando un usuario realiza una solicitud a un recurso protegido,
SiteMinder lo enruta a un recolector de credenciales de formularios
(FCC) que invoca un formulario Web en el servidor de directivas para
recopilar las credenciales.
Ignore authorization
for files with
extensions

182

Introduzca las extensiones de archivo correspondientes a los tipos que


no requieren autorizacin. Debe introducir las extensiones de cada tipo
de archivo que desea pasar por alto, separndolos con una coma. Por
ejemplo, introduzca .gif, .jpeg, .jpg, .bmp para pasar por alto varios
tipos de imgenes. No puede usar caracteres comodn (como *, *.* o .*)
para pasar por alto un rango de tipos de archivo.

Configuracin de una instancia de servidor eTrust SiteMinder

Captulo 7: Servidores de autenticacin y de directorios

Tabla 14: Opciones de configuracin avanzada de eTrust SiteMinder


Opcin

Descripcin

Poll Interval

Introduzca el intervalo en que el IVE sondea el servidor de directivas


Siteminder para comprobar una clave nueva.

Max. Connections

Controla el nmero mximo de conexiones simultneas que el IVE


puede establecer con el servidor de directivas. El ajuste predeterminado
es 20.

Max. Requests/
Connection

Controla el nmero mximo de solicitudes que la conexin del servidor


de directivas maneja antes de que el IVE finalice la conexin. Si fuese
necesario, realice ajustes para mejorar el funcionamiento. El ajuste
predeterminado es 1000.

Idle Timeout

Controla el nmero mximo de minutos que una conexin con el


servidor de directivas puede permanecer inactiva (la conexin no
maneja solicitudes) antes de que el IVE finalice la conexin. El ajuste
predeterminado none indica que no existe un lmite de tiempo.

Authorize while
Authenticating

Especifica que el IVE debe buscar atributos de usuario en el servidor de


directivas inmediatamente despus de la autenticacin para determinar
si el usuario est realmente autenticado. Por ejemplo, si el servidor
eTrust autentica usuarios basndose en un ajuste del servidor LDAP,
puede seleccionar esta opcin para indicar que el IVE debe autenticar
usuarios mediante el servidor eTrust y autorizarlos mediante el servidor
LDAP antes de otorgarles acceso. Si el usuario no realiza la autenticacin
o autorizacin, ser redirigido a la pgina configurada en el servidor
de directivas.
Nota:
Si no selecciona esta opcin y tiene opciones de autorizacin

configuradas mediante la ficha Policy Users > Exclude de la utilidad


de configuracin del servidor de directivas, un usuario al que haya
denegado el acceso puede autenticarse correctamente en el IVE.
El IVE comprueba sus derechos de autorizacin y deniega el acceso
slo cuando el usuario intenta acceder a un recurso protegido.
El IVE enva el mismo recurso al servidor de directivas para su

autorizacin y autenticacin.
Esta opcin no se admite con la opcin Authenticate using HTML

form post descrita en Authenticate using HTML form post en la


pgina 179 o la opcin Automatic sign-in descrita en Automatic
Sign-In en la pgina 177.
Enable Session Grace
Period,
Validate cookie every
N seconds

Puede eliminar el nivel mximo de verificacin de la cookie de


SMSESSION de un usuario cada vez que ste solicita el mismo recurso

indicando que el IVE debe considerar vlida la cookie por un perodo de


tiempo determinado. Durante dicho perodo, el IVE supone que la
cookie en memoria cach es vlida en lugar de volver a validarla en el
servidor de directivas. Si no selecciona esta opcin, el IVE comprueba la
cookie de SMSESSION del usuario en cada solicitud. Tenga en cuenta
que el valor introducido no afecta a la sesin ni la comprobacin del
tiempo de espera por inactividad.

Configuracin de una instancia de servidor eTrust SiteMinder

183

Gua de administracin de Secure Access de Juniper Networks

Tabla 14: Opciones de configuracin avanzada de eTrust SiteMinder (continuacin)


Opcin

Descripcin

Ignore Query Data

De forma predeterminada, cuando un usuario solicita un recurso, el IVE


enva toda la URL para ese recurso al servidor de directivas (incluido el
parmetro de consulta, si hubiese alguno). Por ejemplo, el IVE puede
enviar la siguiente URL al servidor de directivas:
http://foo/bar?param=value. (Los datos de la consulta aparecen despus
del carcter ? en la URL. Dentro de esta URL, param=value representa el
parmetro de consulta.)
El IVE coloca en memoria cach el resultado de la solicitud de
autorizacin durante 10 minutos, incluyendo el parmetro de consulta.
Si el usuario solicita el mismo recurso que se especific en la URL en
memoria cach, la solicitud arroja un error pues una parte de la consulta
de la URL en memoria cach no coincide con la nueva solicitud. El IVE
deber volver a contactarse con el servidor de directivas para efectuar
una solicitud que incluya el nuevo parmetro de consulta.
Si selecciona la opcin Ignore Query Data, el IVE no coloca en memoria
cach el parmetro de consulta en la URL. Por lo tanto, si un usuario
solicita el mismo recurso como se especific en la URL en memoria
cach, la solicitud no debe arrojar un error. Por ejemplo, si habilita la
opcin Ignore Query Data, las siguientes URL se consideran el mismo
recurso:
http://foo/bar?param=value1
http://foo/bar?param=value2

Habilitar esta opcin puede mejorar el rendimiento.


Accounting Port

El valor introducido en este campo debe coincidir con el valor del puerto
de contabilidad introducido mediante la consola de administracin del
servidor de directivas. De forma predeterminada, este campo coincide
con el ajuste predeterminado 44441 del servidor de directivas.

Authentication Port

El valor introducido en este campo debe coincidir con el valor del puerto
de autenticacin introducido mediante la consola de administracin del
servidor de directivas. De forma predeterminada, este campo coincide
con el ajuste predeterminado 44442 del servidor de directivas.

Authorization Port

El valor introducido en este campo debe coincidir con el valor del puerto
de autorizacin introducido mediante la consola de administracin del
servidor de directivas. De forma predeterminada, este campo coincide
con el ajuste predeterminado 44443 del servidor de directivas.

Flush Cache

Se usa para borrar la memoria cach del recurso del IVE, que guarda
en memoria cach la informacin de autorizacin del recurso durante
10 minutos.

Uso de atributos de usuario de SiteMinder para la asignacin de roles


del IVE
Despus de crear atributos de usuario en un servidor de directivas SiteMinder
(consulte Creacin de atributos de usuario de SiteMinder para la asignacin de
roles del IVE en la pgina 171), puede usarlos en las reglas de asignacin de roles
para un territorio que usa el servidor de directivas de SiteMinder.

184

Configuracin de una instancia de servidor eTrust SiteMinder

Captulo 7: Servidores de autenticacin y de directorios

Para usar los atributos de usuario de SiteMinder para la asignacin de roles del IVE:
1. En la consola de administracin, elija Administrators > Admin Realms o
Users > User Realms.
2. En la ficha General de la pgina Authentication Realms correspondientee al
territorio del IVE que usa el servidor de directivas SiteMinder, elija Same as
Above en la lista Directory/Attribute. (Para obtener instrucciones, consulte
Creacin de un territorio de autenticacin en la pgina 196.)
NOTA: Si elige LDAP en la lista Directory/Attribute en lugar de Same as Above,

puede usar los atributos de SiteMinder y LDAP en las reglas de asignacin de roles.
3. En la ficha Role Mapping del IVE, cree una regla basada en los atributos de
usuario del IVE que hacen referencia a una cookie de atributo de usuario de
SiteMinder.
Por ejemplo, para hacer referencia a una cookie de atributo de usuario de
SiteMinder llamada department, agregue department a la lista de atributos de
usuario del IVE en la ficha Role Mapping del IVE. Luego, especifique un valor
para la cookie de atributo de usuario de SiteMinder, como sales. Para obtener
instrucciones, consulte Creacin de reglas de asignacin de roles en la
pgina 199.
Tambin puede usar la siguiente sintaxis para hacer referencia a una cookie de
atributo de usuario SiteMinder en una expresin personalizada para una regla
de asignacin de roles:
userAttr.<cookie-name>

Por ejemplo:
userAttr.department = ("sales" and "eng")

Definicin de un territorio de SiteMinder para el inicio de sesin


automtico
El inicio de sesin automtico de SiteMinder requiere un territorio cuyo servidor
de autenticacin sea el servidor SiteMinder. Si realiza una actualizacin y ya ha
definido el territorio del inicio de sesin automtico que no especifica el servidor
SiteMinder para autenticacin, y adems ha configurado el servidor SiteMinder:

El territorio no aparece en la lista de territorios de SiteMinder bajo sus ajustes


de autenticacin en la consola de administracin.

El proceso de actualizacin crea un nuevo territorio denominado eTrust-AutoLogin-Realm que se basa en el territorio existente, pero que configura el
servidor SiteMinder como su servidor de autenticacin.

Configuracin de una instancia de servidor eTrust SiteMinder

185

Gua de administracin de Secure Access de Juniper Networks

Para configurar el territorio SiteMinder en una instalacin nueva:


1. Seleccione Authentication > Auth. Servers.
2. Elija SiteMinder en la lista New y haga clic en New Server.
3. Especifique los ajustes que desea, segn se describe en Definicin de una
instancia de servidor eTrust SiteMinder en la pgina 174.
4. Haga clic en Save Changes.
5. Configure el territorio, segn se describe en Creacin de un territorio de
autenticacin en la pgina 196 y seleccione el servidor SiteMinder como
servidor de autenticacin.
6. Seleccione Authentication > Auth. Servers.
7. Elija el servidor SiteMinder que defini anteriormente.
8. En SiteMinder authentication settings, seleccione la casilla de verificacin
Automatic Sign-In.
9. Elija el territorio que acaba de configurar en la lista de territorios de
autenticacin del usuario.
10. Haga clic en Save Changes.

NOTA: La lista de territorios de autenticacin del usuario en la pgina del servidor

SiteMinder slo muestra territorios que estn configurados para SiteMinder. Si no


ha configurado ningn territorio de SiteMinder, el men desplegable estar vaco.

Depuracin de SiteMinder y problemas del IVE


En algn momento, puede encontrar problemas en la configuracin de las
interacciones del servidor eTrust SiteMinder con el IVE. Puede usar un gran nmero
de herramientas de depuracin para identificar y resolver problemas:

186

Revise el archivo de registro del IVE. El IVE realiza un seguimiento de los


errores de validacin de cookies, solicitudes de autorizacin y sustituciones
clave.

Revise los archivos de registro de autenticacin y autorizacin del servidor


de directivas.

Revise el archivo de registro del agente Web estndar si seleccion la opcin


Authentication using HTLM Form POST.

Confirme que el IVE contiene el sufijo adecuado que defini en el campo


Cookie Domain. Si el IVE no est bien direccionado, es posible que el
explorador no dirija a la cookie de SMSESSION correcta al IVE y quizs no
pueda iniciar sesin. Debe introducir el FQDN del IVE en el explorador, no la
direccin IP del IVE, de lo contrario, fallar el inicio de sesin.

Configuracin de una instancia de servidor eTrust SiteMinder

Captulo 7: Servidores de autenticacin y de directorios

Confirme que la hora de sistema del IVE est sincronizada con la hora del
sistema del servidor SiteMinder. Si las dos horas de sistema son muy
divergentes, los ajustes de tiempo de espera pueden funcionar de forma
incorrecta, rechazando sus intentos de iniciar sesin.

En el servidor SiteMinder, confirme que haya definido las opciones Session


Timeout adecuadas max timeout y idle en el dilogo Siteminder Realm.

Si inicia sesin en el IVE y navega a un agente Web protegido por eTrust,


dirjase a la pgina de inicio de sesin de eTrust en lugar de la pgina de inicio
de sesin nico (SSO), compruebe el valor IVE Cookie Domain para confirmar
que el dominio coincide con el dominio del agente Web protegido por eTrust.
Revise los ajustes para la opcin Send Cookie Securely. Si Send Cookie
Securely se configura en yes, SSO funciona slo con sitios https:// seguros.
Si Send Cookie Securely se configura en no, SSO funciona con sitios http://
y https://.

Configuracin de una instancia de servidor de SAML


El IVE acepta las declaraciones de autenticidad generadas por una autoridad de
SAML usando un perfil de artefacto o un perfil POST. Esta caracterstica permite que
un usuario inicie sesin en un sitio de origen o portal sin pasar primero por el IVE,
acceder al IVE con un inicio de sesin nico (SSO) mediante el servidor de
consumidor SAML.
En consecuencia, el usuario que se autentica en cualquier lugar puede acceder a los
recursos ocultos del IVE sin volver a iniciar sesin.

Uso del perfil de artefacto y del perfil POST


Los dos perfiles admitidos proporcionan mtodos diferentes para realizar la misma
tarea. La meta del usuario final es iniciar sesin en todos los recursos deseados de
una sola vez, sin experimentar varias pginas de inicio de sesin para diferentes
recursos o aplicaciones. Aunque el usuario final desea transparencia, usted, el
administrador, desea garantizar la completa seguridad de los recursos del sistema,
sin importar los servidores o sitios representados.
El perfil de artefacto requiere que elabore un mensaje HTTP de respuesta
automatizada a la solicitud que el explorador pueda recuperar basndose en una
solicitud HTTP GET. Para ver los detalles de este mtodo, consulte Uso del
escenario del perfil de artefacto en la pgina 188.
El perfil POST requiere que elabore un formulario HTML que pueda contener la
declaracin SAML y que se pueda enviar mediante una accin del usuario final o
una accin de script, usando el mtodo HTTP POST. Para ver los detalles de este
mtodo, consulte Uso del escenario del perfil POST en la pgina 189.

Configuracin de una instancia de servidor de SAML

187

Gua de administracin de Secure Access de Juniper Networks

Uso del escenario del perfil de artefacto


En general, el servidor SAML admite el siguiente escenario de perfil de artefacto:
1. El usuario accede a un sitio Web mediante un explorador. El sitio de origen
podra ser un portal corporativo que usa un sistema de administracin de
acceso con autenticacin del IVE.
2. El sitio de origen solicita al usuario su nombre de usuario y contrasea.
3. El usuario proporciona esta informacin, con lo cual el sitio de origen se
autentica mediante una llamada a un directorio LDAP u otro servidor de
autenticacin.
4. El usuario hace clic en el vnculo del sitio de origen, que dirige a un recurso en
un servidor que est protegido de forma oculta del IVE.
5. El vnculo redirige al usuario a la URL de servicio de transferencia entre sitios
en el sitio de origen. El sitio de origen extrae un mensaje de declaracin de
autenticacin de su memoria cach y lo adjunta en un mensaje SOAP. El sitio
de origen elabora un artefacto SAML (cadena Base64) que devuelve al
explorador en una URI junto con la direccin de destino y declaracin.
6. El sitio de destino consulta la declaracin autenticada del sitio de origen,
basndose en el artefacto que recibe del sitio de origen.
7. Si el tiempo transcurrido se encuentra dentro del tiempo permitido de
desviacin del reloj, el IVE acepta la declaracin como una autenticacin vlida
y el usuario cumple cualquier otra restriccin de directiva del IVE, el IVE otorga
acceso al usuario al recurso solicitado.
Las tareas principales que debe completar para admitir el IVE como la parte de
confianza con el perfil de artefacto son:

188

Implementar el servicio de declaracin del consumidor, que:

Recibe la URL de redireccionamiento que contiene el artefacto

Genera y enva la solicitud de SAML

Recibe y procesa la respuesta de SAML

Integrar el servicio de declaracin del consumidor con el proceso existente del


IVE, que:

Asigna la declaracin de SAML a un usuario local

Crea una sesin de usuario del IVE

Realiza una autorizacin local

Sirve el recurso o deniega el acceso

Configuracin de una instancia de servidor de SAML

Captulo 7: Servidores de autenticacin y de directorios

Uso del escenario del perfil POST


Por lo general, el servidor SAML admite el escenario del perfil POST, del siguiente
modo:
1. El usuario final accede al sitio Web de origen, de ahora en adelante conocido
como sitio de origen.
2. El sitio de origen verifica si el usuario tiene o no una sesin actual.
3. Si no la tiene, el sitio de origen solicita al usuario que introduzca las
credenciales de usuario.
4. El usuario proporciona las credenciales, por ejemplo, el nombre de usuario y la
contrasea.
5. Si la autenticacin es correcta, el servidor de autenticacin del sitio de origen
crea una sesin para el usuario y muestra la pgina de bienvenida
correspondiente de la aplicacin del portal.
6. El usuario selecciona una opcin del men o un vnculo que dirige a un recurso
o aplicacin en un sitio Web de destino.
7. La aplicacin del portal dirige la solicitud al servicio de transferencia local entre
sitios, que se puede alojar en el sitio de origen. La solicitud contiene la URL del
recurso en el sitio de destino; en otras palabras, la TARGET URL.
8. El servicio de transferencia entre sitios enva el formulario HTML de vuelta al
explorador. HTML FORM contiene una respuesta SAML, dentro de la cual hay
una declaracin de SAML. La respuesta se puede firmar digitalmente. Por lo
general, el HTML FORM contendr una accin de entrada o envo que resultar
en un HTTP POST. ste puede ser un botn Submit en que el usuario puede
hacer clic o un script que inicie de manera programtica HTTP POST.
9. El explorador, debido a una accin del usuario o por una accin de envo
automtico, enva un HTTP POST que contiene la respuesta SAML al servicio
de declaracin del consumidor del sitio Web de destino.
10. El consumidor de la declaracin de la parte que responde (en este caso,
en el sitio Web de destino) valida la firma digital en la respuesta de SAML.
11. Si es vlida, el consumidor de declaracin enva un redireccionamiento al
explorador, lo que hace que ste acceda al recurso TARGET.
12. El IVE, en el sitio de destino, verifica que el usuario est autorizado a acceder al
sitio de destino y al recurso TARGET.
13. Si el usuario tiene autorizacin para acceder al sitio de destino y al recurso
TARGET, el IVE devuelve el recurso TARGET al explorador.

Configuracin de una instancia de servidor de SAML

189

Gua de administracin de Secure Access de Juniper Networks

Las tareas principales que debe completar para admitir el IVE como la parte de
confianza con el perfil POST son:

Implementar el servicio de declaracin de consumidor que recibe y procesa el


formulario POST.

Integrar el servicio de declaracin del consumidor con el proceso existente del


IVE, que:

Asigna la declaracin de SAML a un usuario local

Crea una sesin de usuario del IVE

Realiza una autorizacin local

Sirve el recurso o deniega el acceso

Comprensin de las declaraciones


Cada parte en la comunicacin de la respuesta a la solicitud debe respetar
determinados requisitos que proporcionan una infraestructura predecible para que
las declaraciones y artefactos se puedan procesar de forma correcta.

El artefacto es una cadena codificada por Base64 de 40 bytes. Un artefacto


acta como un token que hace referencia a una declaracin en el sitio de
origen, de modo que el portador del artefacto, el IVE, pueda autenticar a un
usuario que firm en el sitio de origen y que desea acceder al recurso protegido
por el IVE. El sitio de origen enva el artefacto al IVE en un redireccionamiento,
despus de que el usuario intenta acceder a un recurso protegido por el IVE.
El artefacto contiene:

TypeCode: Cdigo hexadecimal de 0x0001 de 2 bytes que identifica el tipo

de artefacto.

SourceID: Cadena encriptada de 20 bytes que determina la identidad


y ubicacin del sitio de origen. El IVE mantiene una tabla de valores de
SourceID y la URL del respondedor SAML correspondiente. El IVE y el sitio
de origen comunican esta informacin en un canal posterior. Al recibir un
artefacto SAML, el IVE determina si SourceID pertenece o no a un sitio de
origen conocido, y, si es as, obtiene la ubicacin del sitio antes de enviar
una solicitud SAML. El sitio de origen genera SourceID realizando los
clculos del hash SHA-1 de la URL propia del sitio de origen.

AssertionHandle: Valor aleatorio de 20 bytes que identifica una declaracin

almacenada o generada por el sitio de origen. Al menos 8 bytes de este


valor deben obtenerse de un RNG o PRNG con seguridad criptogrfica.

El servicio de transferencia entre sitios es la URL del proveedor de identidades


en el sitio de origen (no el IVE). Su especificacin de esta URL en la consola de
administracin habilita el IVE para elaborar una solicitud de autenticacin en el
sitio de origen, que mantiene en memoria cach las credenciales del usuario.
La solicitud es similar al siguiente ejemplo:
GET http://<inter-site transfer host name and path>?TARGET=<Target><HTTPVersion><other HTTP 1.0 or 1.1 components>

190

Configuracin de una instancia de servidor de SAML

Captulo 7: Servidores de autenticacin y de directorios

En el ejemplo anterior, <el nombre de host y la ruta de transferencia entre sitios>


consta de los componentes de nombre de host, nmero de puerto y ruta de la
URL de transferencia entre sitios en el origen y donde Target=<Target>
especifica el recurso de destino objetivo en el sitio de destino (IVE protegido).
Puede que la solicitud tenga la siguiente apariencia:
GET http://10.56.1.123:8002/xferSvc?TARGET=http://www.dest.com/sales.htm

El servicio de transferencia entre sitios redirige el explorador del usuario al


servicio de declaracin del consumidor en el sitio de destino: en este caso,
el IVE. La respuesta HTTP del servicio de transferencia entre sitios del sitio
de origen debe tener el siguiente formato:
<HTTP-Version> 302 <Reason Phrase>
<other headers>
Location: http://<assertion consumer host name and path>?<SAML
searchpart><other HTTP 1.0 or 1.1 components>

En el ejemplo anterior, <el nombre de host y la ruta de la declaracin de


consumidor> proporcionan los componentes de nombre de host, nmero de
puerto y ruta de una URL de declaracin del consumidor en el sitio de destino y
donde <SAML searchpart>= TARGET=<Target> SAMLart=<SAML artifact>
consta de una descripcin objetivo, que debe incluirse en el componente
<SAML searchpart>. Por lo menos debe incluirse un artefacto SAML en el
componente <SAML searchpart> de SAML. La parte de la declaracin puede
incluir varios artefactos SAML.

NOTA:

Puede usar el cdigo de estado 302 para indicar que el recurso solicitado
reside temporalmente en una URL diferente.

Si <SAML searchpart> contiene ms de un artefacto, todos los artefactos


deben compartir el mismo SourceID.

Puede que el redireccionamiento tenga este aspecto:


HTTP/1.1 302 Found
Location:
http://www.ive.com:5802/artifact?TARGET=/www.ive.com/&SAMLart=artifact

El explorador del usuario accede al servicio de declaracin del consumidor, con


un artefacto SAML que representa la informacin de autenticacin del usuario
adjunta a la URL.
La solicitud HTTP debe aparecer del siguiente modo:
GET http://<assertion consumer host name and path>?<SAML searchpart>
<HTTP-Version><other HTTP 1.0 or 1.1 request components>

En el ejemplo anterior, <el nombre de host y la ruta de la declaracin del


consumidor> proporcionan los componentes de nombre de host, nmero de
puerto y ruta de una URL de declaracin de consumidor en el sitio de destino.
Configuracin de una instancia de servidor de SAML

191

Gua de administracin de Secure Access de Juniper Networks

<SAML searchpart>= TARGET=<Target>SAMLart=<SAML artifact>

Es IMPRESCINDIBLE incluir una nica descripcin de objetivo en el


componente <SAML searchpart>. Se DEBE incluir al menos un artefacto SAML
en el componente <SAML searchpart>; PUEDEN incluirse varios artefactos
SAML. Si se transporta ms de un artefacto dentro de <SAML searchpart>, todos
los artefactos DEBEN tener el mismo SourceID.
No debe exponer la URL de declaracin del consumidor, excepto sobre SSL 3.0
o TLS 1.0. De lo contrario, los artefactos transmitidos podran estar disponibles
en texto plano para un atacante.

El issuer value normalmente es la URL del sitio de origen. Puede especificar la


variable <ISSUER> que devolver el valor del emisor de la declaracin.

El user name template es una referencia al elemento identificador del nombre


de SAML, que permite que la parte de la declaracin proporcione un formato
para el nombre de usuario. La especificacin de SAML permite valores en los
siguientes formatos:

Unspecified: Indica que la interpretacin del contenido queda a discrecin


de las implementaciones individuales. En este caso, puede usar la variable
assertionName.

Email Address: Indica que el contenido est en el formato de una direccin


de correo electrnico. En este caso, puede usar la variable assertionName.

X.509 Subject Name: Indica que el contenido est en el formato de un


nombre de sujeto X.509. En este caso, puede usar la variable
assertionNameDN.<RDN>.

Windows Domain Qualified Name: Indica que el contenido es una cadena


en el formato NombreDeDominio\NombreDeUsuario.

Debe definir la plantilla de nombre de usuario para aceptar el tipo de nombre de


usuario que contiene la declaracin de SAML.

Para evitar la intercepcin en el artefacto SAML, los sitios de origen y destino


deben sincronizar sus relojes de la forma ms precisa posible. El IVE
proporciona un atributo Allowed Clock Skew que seala la diferencia horaria
mxima entre el IVE y el sitio de origen. El IVE rechaza cualquier declaracin
cuyo tiempo exceda la desviacin del reloj permitida.

Creacin de una nueva instancia de servidor SAML


Para crear una nueva instancia de servidor SAML y configurar los elementos
comunes:
1. En la consola de administracin, seleccione Authentication > Auth. Servers.
2. Seleccione SAML Server en la lista New y haga clic en New Server.
3. Especifique un nombre para identificar la instancia de servidor.
4. En Settings, especifique la Source Site Inter-Site Transfer Service URL.
192

Configuracin de una instancia de servidor de SAML

Captulo 7: Servidores de autenticacin y de directorios

5. Especifique el issuer value para el sitio de origen. Normalmente, la URI o


nombre de host del emisor de la declaracin.
6. Especifique la user name template, que es una cadena de asignacin de la
declaracin de SAML para un territorio de usuario del IVE. Por ejemplo,
introduzca <assertionNameDN.CN>, que deriva el nombre de usuario del valor
CN en la declaracin. Para obtener ms informacin sobre los valores
permitidos para este objeto, consulte Configuracin de una instancia de
servidor de SAML en la pgina 187.
7. Especifique el valor Allowed Clock Skew, en minutos. Este valor determina la
diferencia mxima permitida en tiempo entre el reloj del IVE y el reloj del sitio
de origen.
8. Proceda a definir la configuracin para el perfil de artefacto, segn se describe
en Configuracin de la instancia de servidor SAML para usar el perfil
de artefacto en la pgina 193 o para el perfil POST como se describe en
Configuracin de la instancia de servidor SAML para usar el perfil POST en la
pgina 194.

Configuracin de la instancia de servidor SAML para usar el perfil


de artefacto
Para configurar el servidor SAML para que use el perfil de artefacto, retome el
siguiente procedimiento desde el paso anterior en Creacin de una nueva
instancia de servidor SAML en la pgina 192.
1. En la pgina New SAML Server, introduzca Source ID. El ID de origen es el
identificador de 20 bytes que el IVE usa para reconocer una declaracin de
un sitio de origen determinado.
2. Introduzca la Source SOAP Responder Service URL. Esta URL debe
especificarse en forma de HTTPS: protocolo.
3. Elija el tipo de SOAP Client Authentication.

Si elige HTTP Basic, debe introducir el nombre y la contrasea, y confirmar


la contrasea.

Si elige SSL Client Certificate, elija un certificado del IVE en el men


desplegable.

4. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
La ficha Settings permite modificar cualquiera de los ajustes relativos a la
instancia de servidor SAML y el perfil de artefacto. La ficha Users indica los
usuarios vlidos del servidor.

Configuracin de una instancia de servidor de SAML

193

Gua de administracin de Secure Access de Juniper Networks

Configuracin de la instancia de servidor SAML para usar el perfil POST


Para configurar el servidor SAML de modo que use el perfil POST, retome el
siguiente procedimiento desde el paso anterior en Creacin de una nueva
instancia de servidor SAML en la pgina 192.
1. En la pgina New SAML Server, seleccione la opcin Post.
2. Introduzca el nombre o ubicacin del certificado de firma de respuesta. Este es
el certificado de firma con formato PEM, que se carga para la verificacin de
firma de la respuesta de SAML.
El certificado que seleccione debe ser el mismo que us para firmar la
respuesta de SAML en el sitio de origen. El sitio de origen puede enviar este
certificado junto con la respuesta de SAML, dependiendo de la configuracin
del sitio de origen. De forma predeterminada, el sistema realiza la verificacin
de firma de la respuesta de SAML, primero en el certificado configurado
localmente. Si un certificado no se configur localmente en el servidor de
autenticacin SAML, el sistema lleva a cabo la verificacin de la firma en el
certificado que se incluye en la respuesta de SAML del sitio de origen.
3. Seleccione la opcin Enable Signing Certificate status checking si desea que
el IVE pueda comprobar la validez del certificado de firma configurado en el
perfil POST del servidor de autenticacin SAML. Es posible que el certificado
haya vencido, si fue revocado.
4. Si ya tiene un certificado cargado y desea usar otro, encuentre el certificado y
haga clic en Delete. Ahora, puede instalar otro certificado.
5. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
La ficha Settings permite modificar cualquiera de los ajustes relativos a la
instancia de servidor SAML y el perfil de artefacto. La ficha Users indica los
usuarios vlidos del servidor.

194

Configuracin de una instancia de servidor de SAML

Captulo 8

Territorios de autenticacin
Un territorio de autenticacin especifica las condiciones que los usuarios deben
cumplir para iniciar sesin en el IVE. Un territorio consiste en un grupo de recursos
de autenticacin, que incluye:

Un servidor de autenticacin, que verifica que el usuario es quien dice ser.


El IVE reenva las credenciales que enva el usuario a travs de la pgina de
inicio de sesin a un servidor de autenticacin. Para obtener ms informacin,
consulte Servidores de autenticacin y de directorios en la pgina 111.

Un servidor de directorios, que corresponde a un servidor LDAP que le


proporciona al IVE informacin del usuario y del grupo que ste utiliza para
asignar usuarios a uno o ms roles. Para obtener ms informacin, consulte
Servidores de autenticacin y de directorios en la pgina 111.

Una directiva de autenticacin, que especifica los requisitos de seguridad del


territorio que debern cumplirse para que el IVE enve las credenciales del
usuario a un servidor de autenticacin para verificarlas. Para obtener ms
informacin, consulte Definicin de directivas de autenticacin en la
pgina 198.

Reglas de asignacin de roles, que son condiciones que un usuario debe


cumplir para que el IVE lo asigne a uno o ms roles. Estas condiciones se basan
en la informacin del usuario devuelta por el servidor de directorios del
territorio o en el nombre de usuario. Para obtener ms informacin, consulte
Creacin de reglas de asignacin de roles en la pgina 199.

Esta seccin contiene la siguiente informacin acerca de los territorios de


autenticacin:

Licencia: disponibilidad de territorios de autenticacin en la pgina 196

Creacin de un territorio de autenticacin en la pgina 196

Definicin de directivas de autenticacin en la pgina 198

Creacin de reglas de asignacin de roles en la pgina 199

Personalizacin de vistas de UI de territorios de usuario en la pgina 209

195

Gua de administracin de Secure Access de Juniper Networks

Licencia: disponibilidad de territorios de autenticacin


Los territorios de autenticacin forman parte integral de la estructura de
administracin de acceso del IVE, por lo que estn disponibles en todos los
productos Secure Access. Sin embargo, tenga presente que no hay disponibles
expresiones personalizadas en el dispositivo SA 700 y que slo estn disponibles en
todos los dems productos Secure Access previa adquisicin de una licencia
especial. Por lo tanto, al crear un territorio, no todos los administradores pueden
crear reglas de avanzadas de asignacin de roles mediante expresiones
personalizadas.

Creacin de un territorio de autenticacin


Para crear un territorio de autenticacin:
1. En la consola de administracin, seleccione Administrators > Admin Realms
o Users > User Realms.
2. En la pgina Authentication Realms correspondiente, haga clic en New.
Tambin puede seleccionar un territorio y hacer clic en Duplicate para basar su
territorio en uno ya existente.
3. Introduzca un nombre para identificar este territorio y (opcionalmente) una
descripcin.
4. Si copia un territorio existente, haga clic en Duplicate. Luego, si desea
modificar alguno de los ajustes, haga clic en el nombre del territorio y pase al
modo de edicin.
5. Seleccione When editing, start on the Role Mapping page si desea que quede
seleccionada la ficha Role Mapping al abrir el territorio para su edicin.
6. En Servers, especifique:

Un servidor de autenticacin, que se utiliza para autenticar usuarios que


inician sesin en este territorio.

Un servidor de directorio o atributos, que se utiliza para recuperar


informacin sobre atributos de usuarios o grupos para las normas de
asignacin de roles y directivas de recursos. (opcional)

Un servidor de contabilidad RADIUS, que se utiliza para hacer seguimiento


de los inicios y cierres de sesin del usuario en el IVE (opcional).

NOTA: Si el servidor LDAP est inactivo, la autenticacin del usuario falla. Puede
encontrar mensajes y advertencias en los archivos de registro de eventos. Con un
servidor de atributos inactivo, la autenticacin de usuario no falla, sino que la lista
de grupos o atributos para la asignacin de roles y evaluacin de directivas est
vaca.

196

Licencia: disponibilidad de territorios de autenticacin

Captulo 8: Territorios de autenticacin

7. Si desea enviar las credenciales secundarias de los usuarios a un recurso


habilitado por SSO o habilitar una autenticacin de dos factores para acceder al
IVE (segn lo explicado en Informacin general de credenciales de inicios de
sesin mltiples en la pgina 226), seleccione Additional authentication
server. Despus:
a.

Seleccione el nombre del servidor de autenticacin secundario. Tenga en


cuenta que no puede elegir un servidor annimo, un servidor de
certificados ni un servidor eTrust SiteMinder.

b.

Seleccione Username is specified by user on sign-in page si desea pedir


al usuario que enve de forma manual su nombre de usuario al servidor
secundario durante el proceso de inicio de sesin del IVE. De lo contrario,
si desea enviar automticamente un nombre de usuario a un servidor
secundario, introduzca texto esttico o una variable vlida en el campo
predefined as. De forma predeterminada, el IVE enva la variable de sesin
<username>, que contiene el mismo nombre de usuario usado para iniciar
sesin en el servidor de autenticacin primario.

c.

Seleccione Password is specified by user on sign-in page si desea pedir al


usuario que enve de forma manual su contrasea al servidor secundario
durante el proceso de inicio de sesin del IVE. De lo contrario, si desea
enviar automticamente una contrasea a un servidor secundario,
introduzca texto esttico o una variable vlida en el campo predefined as.

d. Seleccione End session if authentication against this server fails si


desea controlar el acceso al IVE segn la autenticacin correcta de
las credenciales secundarias del usuario. Cuando se selecciona, la
autenticacin falla si tambin fallan las credenciales secundarias del
usuario.
8. Si desea usar la evaluacin dinmica de directivas para este territorio (como
se explica en Evaluacin dinmica de directivas en la pgina 57), seleccione
Dynamic policy evaluation a fin de habilitar un temporizador automtico para
la evaluacin dinmica de directivas de la directiva de autenticacin, reglas de
asignacin de roles y restricciones de roles de este territorio. Despus:
a.

Use la opcin Refresh interval para especificar la frecuencia con que desea
que el IVE debe llevar a cabo una evaluacin automtica de directivas a
todos los usuarios de territorios actualmente en sesin. Especifique los
minutos (de 5 a 1440).

b.

Seleccione Refresh roles para actualizar los roles de todos los usuarios de
este territorio. (Esta opcin no controla el mbito del botn Refresh Now.)

c.

Seleccione Refresh resource policies para actualizar las directivas de


recursos (sin incluir Meeting ni Email Client) para todos los usuarios de este
territorio. (Esta opcin no controla el mbito del botn Refresh Now.)

NOTA: Si selecciona Dynamic policy evaluation y no selecciona Refresh roles ni


Refresh resource policies, el IVE slo evala la directiva de autenticacin del
territorio, reglas de asignacin de roles y las restricciones de roles.

Creacin de un territorio de autenticacin

197

Gua de administracin de Secure Access de Juniper Networks

d. Haga clic en Refresh Now para evaluar manualmente la directiva de


autenticacin, las reglas de asignacin de roles, las restricciones de roles,
los roles de usuario y las directivas de recursos del territorio de todos los
usuarios del territorio actualmente en sesin. Use este botn si desea hacer
cambios a una directiva de autenticacin, a reglas de asignacin de roles,
a restricciones de roles o a directivas de recursos, y si desea actualizar
inmediatamente los roles de los usuarios de este territorio.
NOTA: Debido a que la evaluacin dinmica de directivas puede tener un impacto
en el rendimiento del sistema, tenga presentes las siguientes pautas:

Debido a que la actualizacin automtica (con temporizador) de los roles de


usuario y de las directivas de recursos puede afectar al rendimiento del
sistema, puede mejorarlo inhabilitando una de las opciones Refresh roles y
Refresh resource policies, o ambas, para reducir el mbito de la
actualizacin.

Para mejorar el rendimiento, configure la opcin Refresh interval para un


perodo mayor.

Use el botn Refresh Now en ocasiones en que los usuarios no puedan verse
afectados.

9. Haga clic en Save Changes para crear el territorio en el IVE. Aparecen las fichas
General, Authentication Policy y Role Mapping del territorio de autenticacin.
10. Realice los siguientes pasos de configuracin:
a.

Configure una o ms reglas de asignacin de roles como se describe en


Creacin de reglas de asignacin de roles en la pgina 199.

b.

Configure una directiva de autenticacin para el territorio como se describe


en Definicin de directivas de autenticacin en la pgina 198.

Definicin de directivas de autenticacin


Una directiva de autenticacin corresponde a un conjunto de reglas que controla un
aspecto de la administracin de acceso: si se debe presentar o no a un usuario una
pgina de inicio de sesin de un territorio. Una directiva de autenticacin forma
parte de la configuracin de un territorio de autenticacin, que especifica reglas
para que el IVE considere antes de presentar una pgina de inicio de sesin a un
usuario. Si ste cumple los requisitos especificados por la directiva de autenticacin
del territorio, el IVE presenta la pgina de inicio de sesin correspondiente al
usuario; luego, reenva las credenciales del usuario al servidor de autenticacin
correspondiente. Si este servidor autentica correctamente al usuario, el IVE pasa al
proceso de evaluacin de roles.

198

Definicin de directivas de autenticacin

Captulo 8: Territorios de autenticacin

Para especificar una directiva de territorio de autenticacin:


1. En la consola de administracin, seleccione Administrators > Admin Realms
o Users > User Realms.
2. En la pgina Authentication Realms correspondiente, haga clic en un territorio
y en la ficha Authentication Policy.
3. En la pgina Authentication Policy, configure una o ms de las opciones de
administracin de acceso en las siguientes secciones:

Especificacin de las restricciones de acceso de la direccin IP de origen


en la pgina 60

Especificacin de las restricciones de acceso para exploradores en la


pgina 62

Especificacin de las restricciones de acceso para certificados en la


pgina 65

Especificacin de las restricciones de acceso para contraseas en la


pgina 66

Especificacin de las restricciones de acceso para Host Checker en la


pgina 67

Especificacin de las restricciones de acceso para Cache Cleaner en la


pgina 671

Especificacin de las restricciones de lmite en la pgina 67

Creacin de reglas de asignacin de roles


Las reglas de asignacin de roles son condiciones que un usuario debe cumplir para
que el IVE lo asigne a uno o ms roles. Estas condiciones se basan ya sea en la
informacin del usuario devuelta por el servidor de directorio del territorio o en el
nombre de usuario. Debe especificar directivas de asignacin de roles en el
siguiente formato:
If the specified condition is|is not true, then map the user to the selected roles.

1. No disponible en territorios de administrador.


Creacin de reglas de asignacin de roles 199

Gua de administracin de Secure Access de Juniper Networks

Cree una regla de asignacin de roles en la ficha Role Mapping de un territorio de


autenticacin. (En el caso de los administradores, cree reglas de asignacin de roles
en la ficha Administrators > Admin Realms > [Territorio] > Role Mapping. En el
caso de los usuarios, cree reglas de asignacin de roles en la ficha Users > User
Realms > [Territorio] > Role Mapping.) Al hacer clic en New Rule en esta ficha,
aparece la pgina Role Mapping Rule con un editor en lnea para definir la regla.
Este editor lo gua por los tres pasos de la creacin de una regla:
1. Especifique el tipo de condicin en que desea basar la regla. Las opciones son:

Nombre de usuario

Atributo de usuario

Certificado o atributo de certificado

Asociacin de grupo

Expresiones personalizadas

2. Especifique la condicin que desea evaluar, que consiste en:


a.

Especificar uno o ms nombres de usuarios, atributos de usuario, atributos


de certificado, grupos (LDAP) o expresiones dependiendo del tipo de
condicin seleccionada en el paso 1.

b.

Especificar a qu deben equivaler los valores, lo que puede incluir una lista
de nombres de usuario, valores de atributos de usuario de un servidor
RADIUS o LDAP, valores de certificado del lado cliente (estticos o
comparados con atributos de LDAP), grupos de LDAP o expresiones
personalizadas predefinidas.

3. Especifique los roles que se deben asignar al usuario autenticado.


El IVE compila una lista de roles vlidos que se pueden asignar al usuario, que se
especifican mediante las reglas de asignacin de roles que cumple el usuario. A
continuacin, el IVE evala la definicin de cada rol a fin de determinar si el usuario
cumple las restricciones de roles. El IVE usa esta informacin para recopilar una
lista de roles vlidos, que corresponden a roles cuyos requisitos cumple el usuario.
Finalmente, el IVE lleva a cabo una combinacin permisiva de los roles vlidos o
presenta una lista de roles vlidos para el usuario, dependiendo de la configuracin
especificada en la ficha Role Mapping del territorio.
Para obtener ms informacin sobre roles, consulte Roles de usuario en la
pgina 69. Para obtener ms informacin sobre la especificacin de reglas de
asignacin de roles, consulte Cmo especificar reglas de asignacin de roles para
un territorio de autenticacin en la pgina 201.

200

Creacin de reglas de asignacin de roles

Captulo 8: Territorios de autenticacin

Cmo especificar reglas de asignacin de roles para un territorio de autenticacin


Al crear una nueva regla que use atributos de usuario de LDAP o SiteMinder,
informacin de grupo de LDAP o expresiones personalizadas, debe usar el catlogo
de servidores. Para obtener ms informacin sobre este catlogo, consulte Uso del
catlogo de servidores LDAP en la pgina 203.
Para especificar las reglas de asignacin de roles para un territorio de autenticacin:
1. En la consola de administracin, seleccione Administrators > Admin Realms
o Users > User Realms.
2. En la pgina Authentication Realms correspondiente, seleccione un territorio
y haga clic en la ficha Role Mapping.
3. Haga clic en New Rule para acceder a la pgina Role Mapping Rule, que
proporciona un editor en lnea para definir la regla.
4. En la lista Rule based on, seleccione una de las siguientes opciones:

Username: Username es el nombre de usuario de IVE introducido en la


pgina de inicio de sesin. Elija esta opcin si desea asignar usuarios a
roles segn los nombres de usuario del IVE. Este tipo de regla est
disponible para todos los territorios.

User attribute: User attribute es un atributo de usuario procedente de un


servidor RADIUS, LDAP o SiteMinder. Elija esta opcin si desea asignar
usuarios a roles segn un atributo del servidor correspondiente. Este tipo
de regla est disponible slo para territorios que usen un servidor RADIUS
como servidor de autenticacin o que usen un servidor LDAP o SiteMinder
como servidor de autenticacin o de directorio. Despus de elegir la opcin
User attribute, haga clic en Update para que aparezca la lista Attribute y el
botn Attributes. Haga clic en el botn Attributes para que aparezca el
catlogo de servidores.

Para agregar atributos de usuario de SiteMinder, introduzca el nombre


de la cookie de atributos de usuario de SiteMinder en el campo
Attribute del catlogo de servidores y haga clic en Add Attribute. Al
terminar de agregar los nombres de las cookies, haga clic en OK. El IVE
muestra los nombres de las cookies de los atributos de usuario de
SiteMinder en la lista Attribute de la pgina Role Mapping Rule.

Para obtener informacin sobre el uso del catlogo de servidores para


agregar los atributos de usuario de LDAP, consulte Uso del catlogo de
servidores LDAP en la pgina 203).

Certificate or Certificate attribute: Certificate o Certificate attribute es un


atributo compatible con el certificado de lado del cliente del usuario. Elija
esta opcin si desea asignar usuarios a roles segn atributos de certificados.
La opcin Certificate est disponible para todos los territorios; la opcin
Certificate attribute est disponible slo para territorios que usen LDAP
como servidor de autenticacin o de directorio. Despus de elegir esta
opcin, haga clic en Update para que aparezca el cuadro de texto Attribute.

Creacin de reglas de asignacin de roles 201

Gua de administracin de Secure Access de Juniper Networks

Group membership: Group membership es informacin de grupo de un


servidor LDAP o Active Directory que se agrega a la ficha Groups del
catlogo de servidores. Elija esta opcin si desea asignar usuarios a roles
segn la informacin de grupo de LDAP o Active Directory. Este tipo de
regla est disponible para territorios que usan un servidor LDAP como
servidor de autenticacin o de directorio, o que usan un servidor Active
Directory para autenticacin. (Tenga en cuenta que no puede especificar un
servidor Active Directory como servidor de autorizacin para un territorio.)

Custom Expressions: Custom Expressions es una o varias expresiones


personalizadas que se definen en el catlogo de servidores. Elija esta
opcin si desea asignar usuarios a roles segn expresiones personalizadas.
Este tipo de regla est disponible para todos los territorios. Despus de
elegir esta opcin, haga clic en Update para que aparezcan las listas
Expressions. Haga clic en el botn Expressions para que aparezca la ficha
Expressions del catlogo de servidores.

NOTA: Si agrega ms de una expresin personalizada a la misma regla, el IVE crea


una regla OR para dichas expresiones. Por ejemplo, puede agregar las siguientes
expresiones a una sola regla:

Expresin 1: cacheCleanerStatus = 1

Expresin 2: loginTime = (8:00AM TO 5:00PM)

Segn estas expresiones, un usuario coincidira con esta regla si el Cache Cleaner
se estaba ejecutando en su sistema O (OR) si inici sesin en el IVE entre las 8:00
y las 5:00.
5. En Rule, especifique la condicin que desea evaluar, que corresponde al tipo de
regla que seleccione y consiste en:
a.

Especificar uno o ms nombres de usuario, nombres de cookies de


atributos de usuario de SiteMinder, atributos de usuario de RADIUS o LDAP,
atributos de certificado, grupos de LDAP o expresiones personalizadas.

b.

Especificar a qu deben equivaler los valores, lo que puede incluir una lista
de nombres de usuario del IVE, valores de atributos de usuario de un
servidor RADIUS, SiteMinder o LDAP, valores de certificado del lado cliente
(estticos o valores de atributos de LDAP), grupos de LDAP o expresiones
personalizadas predefinidas.
Por ejemplo, puede escoger una cookie de atributos de usuario de
SiteMinder llamada department de la lista Attribute, elija is en la lista de
operadores e introduzca "sales" y "eng" en el cuadro de texto.
Tambin puede introducir una regla de expresin personalizada que se
refiera a la cookie de atributos de usuario de SiteMinder llamada
department:
userAttr.department = ("sales" and "eng")

202

Creacin de reglas de asignacin de roles

Captulo 8: Territorios de autenticacin

6. En ...then assign these roles:


a.

Especifique los roles que se deben asignar al usuario autenticado


agregndolos a la lista Selected Roles.

b.

Seleccione Stop processing rules when this rule matches si desea que el
IVE deje de evaluar las reglas de asignacin de roles si el usuario cumple las
condiciones especificadas para esta reglas.

7. Haga clic en Save Changes para crear la regla en la ficha Role Mapping.
Una vez finalizada la creacin de las reglas:

Ordnelas segn la forma en que quiere que el IVE las evale. Esta tarea es
especialmente importante si desea detener el procesamiento de las reglas
de asignacin de roles una vez encontrada una coincidencia.

Especifique si desea o no combinar ajustes para todos los roles asignados.


Consulte Pautas de combinacin permisiva en la pgina 72.

Uso del catlogo de servidores LDAP


El catlogo de servidores LDAP corresponde a una ventana secundaria a travs de
la cual puede especificar informacin de LDAP adicional para que el IVE la use al
asignar usuarios a roles, como:

Attributes: La ficha Server Catalog Attributes muestra una lista de atributos de


LDAP, como cn, uid, uniquemember y memberof. Esta ficha est disponible slo
al acceder al catlogo de servidores de un servidor LDAP. Puede usar esta ficha
para administrar los atributos del servidor LDAP agregando valores
personalizados al catlogo de servidores del IVE o borrando valores de l. Tenga
en cuenta que el IVE mantiene una copia local de los valores del servidor LDAP;
los atributos no se agregan al diccionario del servidor LDAP ni se eliminan
de l.

Groups: La ficha Server Catalog Groups proporciona un mecanismo que


permite recuperar fcilmente informacin de grupo de un servidor LDAP y
agregarla al catlogo de servidores del IVE del servidor. Especifique BaseDN de
sus grupos y, de forma opcional, un filtro para iniciar la bsqueda. Si no conoce
el contenedor exacto de sus grupos, puede especificar la raz del dominio como
BaseDN, como dc=juniper, dc=com. La pgina de bsqueda muestra una lista de
grupos de su servidor, en la cual puede escoger los grupos que desea agregar a
la lista Groups.

NOTA: El valor de BaseDN especificado en la pgina de configuracin del servidor


LDAP en Finding user entries corresponde al valor predeterminado de BaseDN.
El valor predeterminado del filtro es (cn=*).

Tambin puede usar la ficha Groups para especificar grupos. Debe especificar
el Nombre completo totalmente calificado (FQDN) de un grupo, como
cn=Gerentesdecalidad, ou=HQ, ou=Juniper, o=com, c=US, pero puede
asignar una etiqueta para este grupo que aparece en la lista Groups. Tenga en
cuenta que slo puede acceder a esta ficha si accede al catlogo de servidores
de un servidor LDAP.

Creacin de reglas de asignacin de roles 203

Gua de administracin de Secure Access de Juniper Networks

Expressions: La ficha Server Catalog Expressions proporciona un mecanismo


que permite escribir expresiones personalizadas para la regla de asignacin de
roles. Para obtener ms informacin sobre expresiones personalizadas,
consulte Escritura de expresiones personalizadas en la pgina 1041.

Para er el catlogo de servidores LDAP:


1. Despus de elegir la opcin User attribute de la pgina Role Mapping Rule
(consulte Cmo especificar reglas de asignacin de roles para un territorio de
autenticacin en la pgina 201), haga clic en Update para que aparezca la lista
Attribute y el botn Attributes.
2. Haga clic en el botn Attributes para que aparezca el catlogo de servidores
LDAP. (Tambin puede hacer clic en Groups despus de elegir la opcin Group
membership o hacer clic en Expressions despus de elegir la opcin Custom
Expressions.)
Figura 24: Catlogo de servidores > Ficha Attributes: Agregar un atributo para LDAP

204

Creacin de reglas de asignacin de roles

Captulo 8: Territorios de autenticacin

Figura 25: El atributo agregado al catlogo de servidores est disponible para la regla de
asignacin de roles

Creacin de reglas de asignacin de roles 205

Gua de administracin de Secure Access de Juniper Networks

Figura 26: Catlogo de servidores > Ficha Groups: Agregar grupos de LDAP

206

Creacin de reglas de asignacin de roles

Captulo 8: Territorios de autenticacin

Figura 27: Catlogo de servidores > Ficha Groups: Agregar grupos de Active Directory

Creacin de reglas de asignacin de roles 207

Gua de administracin de Secure Access de Juniper Networks

Figura 28: Catlogo de servidores > Ficha Expressions: Agregar una expresin
personalizada

208

Creacin de reglas de asignacin de roles

Captulo 8: Territorios de autenticacin

Figura 29: La expresin personalizada agregada al catlogo de servidores est


disponible para la regla de asignacin de roles

Personalizacin de vistas de UI de territorios de usuario


Puede usar las opciones de personalizacin de la pgina User Authentication
Realms para ver rpidamente los ajustes asociados con un territorio o conjunto de
territorios especfico. Por ejemplo, puede ver las reglas de asignacin de roles que
asoci con todos los territorios de sus usuarios. Adems, puede usar estas vistas
personalizadas para conectarse fcilmente con las directivas de autenticacin, los
servidores, las reglas de asignacin de roles y los roles asociados con los territorios
de usuario.
Para ver un subconjunto de datos de la pgina User Authentication Realms:
1. Dirjase a Users > User Realms.
2. Seleccione una de las siguientes opciones del men View:

Overview: Muestra los servidores de autenticacin y los ajustes de


evaluacin dinmica de directivas que configur para los territorios de
usuarios especificados. Tambin puede usar este ajuste para conectarse
con las pginas especificadas de configuracin de servidores.

Personalizacin de vistas de UI de territorios de usuario

209

Gua de administracin de Secure Access de Juniper Networks

Authentication Policy: Muestra las restricciones de Host Checker y de


Cache Cleaner que habilit para los territorios de usuarios especificados.
Tambin puede usar este ajuste para conectarse con las pginas
especificadas de configuracin de Host Checker y de Cache Cleaner.

Role Mapping: Muestra las condiciones de reglas y asignaciones de roles


correspondientes que habilit para los territorios de usuarios especificados.
Tambin puede usar este ajuste para conectarse con las pginas
especificadas de configuracin de condiciones de reglas y de asignacin
de roles.

Servers: Muestra los nombres de los servidores de autenticacin y los tipos


correspondientes que habilit para los territorios de usuarios especificados.
Tambin puede usar este ajuste para conectarse con las pginas
especificadas de configuracin de servidores.

Roles: Muestra las asignaciones de roles y los ajustes de combinacin


permisiva correspondientes que habilit para los territorios de usuarios
especificados.

3. Seleccione una de las siguientes opciones de la lista for:

All realms: Muestra los ajustes seleccionados para todos los territorios
de usuarios.

Selected realms: Muestra los ajustes seleccionados para los territorios de


usuarios que eligi. Si selecciona esta opcin, marque una o ms de las
casillas de verificacin de la lista Authentication Realm.

4. Haga clic en Update.

210

Personalizacin de vistas de UI de territorios de usuario

Captulo 9

Directivas de inicio de sesin


Las directivas de inicio de sesin definen las URL que los usuarios y los
administradores utilizan para acceder a IVE y las pginas de inicio de sesin que
ven. El IVE tiene dos tipos de directivas de inicio de sesin: una para usuarios y otra
para administradores. Cuando se configuran las directivas de inicio de sesin se
asocian territorios, pginas de inicio de sesin y direcciones URL.
Por ejemplo, con el fin de permitir a todos los usuarios iniciar sesin en el IVE,
se deben agregar todos los territorios de autenticacin de usuario a la directiva de
inicio de sesin del usuario. Puede tambin optar por modificar la URL estndar
que los usuarios finales utilizan para tener acceso al IVE y la pgina de inicio de
sesin que ellos ven. O bien, si tiene una licencia adecuada, puede crear directivas
de inicio de sesin para mltiples usuarios, habilitando a diferentes usuarios para
iniciar sesin en diferentes URL y pginas.
Adems, los dispositivos equipados con una licencia Secure Meeting vienen con una
URL de reunin. Puede usar esta URL para controlar la pgina de inicio de sesin
que los usuarios ven cuando inician sesin en una reunin en el dispositivo IVE. Si
tiene la licencia apropiada, tambin puede crear pginas de inicio de sesin para
reunin adicionales, habilitando diferentes usuarios de Secure Meeting para que
inicien sesin en diferentes URL y pginas.
Puede crear mltiples directivas de inicio de sesin, asociando diferentes pginas
de inicio de sesin a diferentes URL. Cuando configure una directiva de inicio de
sesin debe asociarla a uno o ms territorios. As, slo los miembros del territorio o
territorios de autenticacin especificados pueden iniciar sesin con la URL definida
en la directiva. En la directiva de inicio de sesin, tambin puede definir diferentes
pginas de inicio de sesin que asociar a diferentes URL.
Por ejemplo, puede crear directivas de inicio de sesin que especifiquen
lo siguiente:

Los miembros del territorio Partners pueden iniciar sesin en el IVE con la
URL: partner1.yourcompany.com y partner2.yourcompany.com. Los usuarios que
inician sesin en la primera URL ven la pgina de inicio partners1, aquellos
que inician sesin en la segunda URL ven la pgina de inicio de sesin
partners2.

Los miembros del territorio Local (local) y Remote (remoto) pueden iniciar
sesin en el IVE con la URL: employees.yourcompany.com. Cuando lo hacen, ven
la pgina de inicio de sesin Employees.

211

Gua de administracin de Secure Access de Juniper Networks

Los miembros del territorio Admin Users pueden iniciar sesin en el IVE con
la URL: access.yourcompany.com/super. Cuando lo hacen, ven la pgina de
inicio de sesin Administrators.

Al definir las directivas de inicio de sesin, puede utilizar diferentes nombres de


host (como partners.yourcompany.com y partners.yourcompany.com) o diferentes
rutas (como partners.yourcompany.com y partners.yourcompany.com) para distinguir
entre las URL.

NOTA: Si un usuario trata de iniciar sesin mientras hay otra sesin de usuario
activa con las mismas credenciales de inicio de sesin, el IVE muestra una pgina
de advertencia que muestra la direccin IP de la sesin existente y dos botones:
Continue y Cancel. Al hacer clic en el botn Cancel, el usuario termina el proceso
de inicio de sesin actual y es enviado nuevamente a la pgina Sign-in. Al hacer
clic en el botn Continue, el IVE crea la nueva sesin de usuario y finaliza la
sesin existente.

NOTA: Al activar mltiples URL de inicio de sesin, tenga en cuenta que en algunos

casos el IVE debe usar cookies en el equipo del usuario para determinar qu
URL de inicio de sesin y pgina de inicio de sesin correspondiente mostrar
al usuario. El IVE crea estas cookies cuando el usuario inicia sesin en el IVE.
(Cuando un usuario inicia sesin en el IVE, el IVE responde con una cookie que
incluye el territorio de inicio de sesin de la URL. Entonces el IVE adjunta esta
cookie a cada solicitud del IVE que el usuario hace). Generalmente, estas cookies
aseguran que el IVE muestre al usuario la URL y la pgina de inicio de sesin
correctas. Por ejemplo, si un usuario inicia sesin en el IVE con la URL
http://yourcompany.net/employees y luego su sesin caduca, el IVE usa
la cookie para determinar que debe mostrar la URL de inicio de sesin
http://yourcompany.net/employees y la pgina correspondiente al usuario cuando
solicita otro recurso del IVE.
No obstante, en casos aislados, es posible que la cookie del equipo del usuario no
coincida con el recurso al que se trata de tener acceso. El usuario puede iniciar
sesin en una URL y luego tratar de tener acceso a un recurso que est protegido
por una URL diferente. En este caso, el IVE muestra la URL de inicio de sesin y la
pgina de inicio de sesin correspondiente que el usuario utiliz recientemente.
Por ejemplo, un usuario puede iniciar sesin en el IVE con la URL de inicio de
sesin http://yourcompany.net/employees. A continuacin puede tratar de tener
acceso a un recurso del IVE mediante un vnculo en un servidor externo, como
https://yourcompany.net/partners/dana/term/winlaunchterm.cgi?host=<termsrvIP >.
Tambin puede tratar de abrir un marcador que haya creado durante otra sesin,
como
https://yourcompany.net/partners/,DanaInfo=.awxyBmszGr3xt1r5O3v.,SSO=U+.
En estos casos, el IVE mostrar la URL y la pgina de inicio de sesin
http://yourcompany.net/employees al usuario, en lugar de la URL o pgina de inicio
de sesin asociadas al vnculo externo o marcador guardado al que se est
tratando de tener acceso.

212

Captulo 9: Directivas de inicio de sesin

Esta seccin contiene la siguiente informacin sobre las directivas de inicio


de sesin:

Licencia: Disponibilidad de directivas y pginas de inicio de sesin en la


pgina 213

Resumen de tareas: Configuracin de directivas de inicio de sesin en la


pgina 213

Configuracin de directivas de inicio de sesin en la pgina 214

Configuracin las pginas de inicio de sesin en la pgina 220

Licencia: Disponibilidad de directivas y pginas de inicio de sesin


Las directivas de inicio de sesin son una parte integral de la estructura de
administracin de acceso del IVE y, por lo tanto, estn disponibles en todos
los productos Secure Access. Sin embargo, tenga en cuenta que las siguientes
caractersticas avanzadas de inicio de sesin no estn disponibles en el
dispositivo SA 700:

La capacidad de crear mltiples directivas de inicio de sesin

La capacidad de crear pginas de inicio de sesin para usuarios de


Secure Meeting

La capacidad de crear y cargar pginas de inicio de sesin personalizadas


en el IVE

Resumen de tareas: Configuracin de directivas de inicio de sesin


Para configurar directivas de inicio de sesin debe:
1. Crear un territorio de autenticacin a travs de una de las pginas
Administrators > Admin Realms o Users > User Realms de la consola
de administracin.
2. (Opcional) Modificar una pgina de inicio de sesin existente o crear una nueva
utilizando las opciones de la pgina Authentication > Signing In > Sign-in
Pages de la consola de administracin.
3. Especificar una directiva de inicio de sesin que asocie un territorio, una URL
de inicio de sesin y una pgina de inicio de sesin a los ajustes de la pgina
Authentication > Signing In > Sign-in Policies de la consola de
administracin.
4. Si distingue entre URL mediante nombres de host, debe asociar cada nombre
de host con su propio certificado o cargar un certificado comodn en el IVE
utilizando las opciones de la pgina System > Configuration > Certificates >
Device Certificates.

Licencia: Disponibilidad de directivas y pginas de inicio de sesin

213

Gua de administracin de Secure Access de Juniper Networks

Configuracin de directivas de inicio de sesin


Las directivas de inicio de sesin definen las URL que los usuarios y los
administradores pueden utilizar para tener acceso al IVE, tal como se explic en
Directivas de inicio de sesin en la pgina 211.
Esta seccin contiene la siguiente informacin sobre las directivas de inicio
de sesin:

Definicin de las directivas de inicio de sesin en la pgina 214

Definicin de las directivas de inicio de sesin de reunin en la pgina 217

Especificacin del orden de evaluacin de las directivas de inicio de sesin en


la pgina 219

Habilitacin y inhabilitacin de directivas de inicio de sesin en la pgina 219

Definicin de las directivas de inicio de sesin


Para crear o configurar directivas de administrador o de inicio de sesin de usuario:
1. En la consola de administracin, seleccione Authentication > Signing In >
Sign-in Policies.
2. Para crear una nueva directiva de inicio de sesin haga clic en New URL.
Tambin puede editar una directiva existente haciendo clic en una URL en la
columna Administrator URLs o User URLs.
3. Seleccione Users o Administrators para especificar el tipo de usuario que
puede iniciar sesin en el IVE con la directiva de acceso.
4. En el campo Sign-in URL, introduzca la URL que desea asociar a la directiva.
Use el formato <host>/<path> en que <host> es el nombre de host del IVE y
<path> es cualquier cadena que desee que los usuarios introduzcan. Por
ejemplo: partner1.yourcompany.com/outside. Para especificar varios host use el
carcter comodn *. Por ejemplo:

Para especificar que todas las URL de administrador deben usar la pgina
de inicio de sesin, introduzca */admin.

NOTA: Slo puede utilizar caracteres comodn (*) al comienzo de la parte del

nombre de host en la URL. El IVE no reconoce comodines en la ruta de la URL.


5. Introduzca una Description para la directiva (opcional).
6. En la lista Sign-in Page, seleccione la pgina de inicio de sesin que desea
asociar a la directiva. Puede seleccionar la pgina predeterminada que viene
con el IVE, una variacin de la pgina de inicio de sesin estndar o una pgina
personalizada que cree con la caracterstica UI personalizable. Para obtener
ms informacin, consulte Configuracin de las pginas de inicio de sesin
estndares en la pgina 221.
214

Configuracin de directivas de inicio de sesin

Captulo 9: Directivas de inicio de sesin

7. (Slo URL del usuario) En el campo Meeting URL, seleccione la URL de reunin
que usted quiere asociar a esta directiva de inicio de sesin. El IVE aplica la URL
de reunin especificada a cualquier reunin creada por un usuario que inicia
sesin en esta URL de usuario.
8. En Authentication realm, especifique qu territorio se asigna a la directiva
y cmo los usuarios y administradores deben elegir entre los territorios.
Si selecciona:

User types the realm name: El IVE asigna la directiva de inicio de sesin
a todos los territorios de autenticacin, pero no proporciona una lista de
territorios entre los cuales el usuario o el administrador puedan elegir, sino
que el usuario o administrador deben introducir manualmente su nombre
de territorio en la pgina de inicio de sesin.

User picks from a list of authentication realms: El IVE slo asigna la


directiva de inicio de sesin a los territorios de autenticacin que se
seleccionen. El IVE presenta esta lista de territorios al usuario o
administrador cuando ste inicia sesin en el IVE y le permite elegir un
territorio de la lista. (Tenga en cuenta que el IVE no muestra una lista
desplegable de territorios de autenticacin si la URL slo se asigna a un
territorio, sino que utiliza automticamente el territorio especificado.)

NOTA: Si permite al usuario seleccionar de entre varios territorios y uno ellos


utiliza un servidor de autenticacin annimo, el IVE no mostrar ese territorio en
la lista desplegable de territorios. Para asignar eficazmente su directiva de inicio
de sesin a un territorio annimo, slo debe agregar ese territorio a la lista
Authentication realm.

9. Haga clic en Save Changes.

Definicin de directivas de acceso slo con autorizacin


El acceso slo con autorizacin es similar a un proxy inverso. Generalmente, un
proxy inverso es un servidor proxy que se instala frente a servidores web. Todas
las conexiones provenientes de Internet dirigidas a uno de los servidores web son
enrutadas a travs del servidor proxy, que puede abordar la peticin por s mismo
o transmitirla completa o parcialmente al servidor web principal.
Con un acceso slo con autorizacin, se selecciona el rol del usuario. El IVE acta
como un servidor proxy inverso y realiza la autorizacin respecto al servidor
Netegrity SiteMinder para cada peticin.
Por ejemplo, la caracterstica de acceso slo con autorizacin satisface las
siguientes necesidades empresariales:

Si tiene un servidor de administracin de directivas AAA de terceros


(como Netegrity), el IVE acta como un agente slo de autorizacin.

Si las sesiones de usuario son administradas por un sistema de administracin


de sesiones de terceros, no es necesario duplicar la administracin de sesiones
de usuario en el IVE.

Configuracin de directivas de inicio de sesin

215

Gua de administracin de Secure Access de Juniper Networks

Con acceso slo con autorizacin, no hay SSO desde el IVE. Su infraestructura de
AAA de terceros controla el SSO.

NOTA: Antes de definir esta directiva, primero debe configurar su servidor

Netegrity y definir los nombres de host en la pgina de configuracin de red.


Tambin debe especificar ajustes en la seccin SiteMinder authorization settings
de la pgina del servidor de autenticacin de SiteMinder. Los usuarios son
dirigidos a la URL especificada en el campo If Automatic Sign In fails, redirect to
cuando la validacin de la cookie SMSESSION falla o si dicha cookie no existe. Los
usuarios son dirigidos a la URL especificada en el campo If authorization fails,
redirect to cuando se produce un error de acceso denegado. Para obtener ms
informacin, consulte Definicin de una instancia de servidor eTrust SiteMinder
en la pgina 174.
Para crear o configurar directivas de acceso slo con autorizacin:
1. En la consola de administracin, elija Authentication > Signing In > Sign-in
Policies.
2. Para crear una nueva directiva de acceso slo con autorizacin, haga clic en
New URL y seleccione authorization only access. Tambin puede editar una
directiva existente haciendo clic en una URL en la columna Virtual Hostname.
3. En el campo Virtual Hostname, introduzca el nombre que se asigna a la
direccin IP del IVE. El nombre debe ser nico entre todos los nombres de
hosts virtuales usados en el modo del nombre de host del proxy pass-through.
El nombre de host se usa para acceder a la aplicacin backend introducida
en el campo Backend URL. No incluya el protocolo (por ejemplo, http:) en
este campo.
Por ejemplo, si el nombre de host virtual es miaplic.nombrehostive.com y la URL
backend es http://www.xyz.com:8080/, una peticin a
https://miaplic.nombrehostive.com/test1 a travs del IVE se convierte en una
peticin a http://www.xyz.com:8080/test1. La respuesta de la peticin
convertida se enva al explorador Web original que hizo la peticin.
4. En el campo Backend URL, introduzca la URL para el servidor remoto. Debe
especificar el protocolo, nombre de host y puerto del servidor. Por ejemplo,
http://www.midominio.com:8080/*.
Si las peticiones coinciden con el nombre de host del campo Virtual
Hostname, la peticin se transforma en la URL especificada en el campo
Backend URL. El cliente es dirigido a la URL backend sin saberlo.
5. Introduzca una Description para esta directiva (opcional).
6. Seleccione el servidor Netegrity SiteMinder del men desplegable
Authorization Server.

216

Configuracin de directivas de inicio de sesin

Captulo 9: Directivas de inicio de sesin

7. Seleccione un rol de usuario en el men desplegable Role Option.


Slo las siguientes opciones de rol de usuario se aplican al acceso slo con
autorizacin.

Permitir exploracin de sitios Web SSL no fiables (Users > User Roles >
Nombre de rol > Web > Options > View advanced options)

Tiempo de espera de conexin de HTTP (Users > User Roles > Nombre
de rol > Web > Options > View advanced options)

Restricciones de IP de origen (Users > User Roles > Nombre de rol >
General > Restrictions)

Restricciones de exploracin (Users > User Roles > Nombre de rol >
General > Restrictions)

Para obtener ms informacin sobre estas opciones de rol, consulte


Configuracin de opciones avanzadas de exploracin web en la pgina 419,
Especificacin de las restricciones de acceso de la direccin IP de origen en la
pgina 60 y Especificacin de las restricciones de acceso para exploradores
en la pgina 62.
8. Haga clic en Save Changes para guardar sus ediciones.

Definicin de las directivas de inicio de sesin de reunin


Para crear o configurar directivas de inicio de sesin de reunin
1. En la consola de administracin, seleccione Authentication >
Authentication > Signing In Policies.
2. Para crear una nueva directiva de inicio de sesin haga clic en New URL.
Tambin puede editar una directiva existente haciendo clic en una URL en la
columna Meeting URLs.
3. Seleccione Meeting.
4. En el campo Sign-in URL, introduzca la URL que desea asociar a la directiva de
reunin. Use el formato <host>/<path> en que <host> es el nombre de host del
IVE y <path> es cualquier cadena que desee que los usuarios introduzcan. Por
ejemplo: Partner1.YourCompany.com/OnlineConference. Cuando cree la URL de
reunin, tenga en cuenta que:

No es posible modificar la URL de la URL de reunin predeterminada


(*/meeting) que viene con el producto.

Si desea habilitar a los usuarios para iniciar sesin en las reuniones con
todos los nombres de host definidos en la URL de usuario asociada, use
el carcter comodn * en su definicin de URL de reunin. Por ejemplo,
podra asociar los siguientes host a la URL de usuario.

YourInternalServer.YourCompany.net

YourExternalServer.YourCompany.com

Configuracin de directivas de inicio de sesin

217

Gua de administracin de Secure Access de Juniper Networks

Posteriormente, si crea una definicin de URL de reunin


*/OnlineConference y la asocia a la URL de usuario, los usuarios
pueden tener acceso a la pgina de inicio de sesin de reunin con
las siguientes URL:

http://YourInternalServer.YourCompany.net/OnlineConference

http://YourExternalServer.YourCompany.com/OnlineConference

Si crea una URL de reunin que incluye el carcter comodn * y activa las
notificaciones de correo electrnico, el IVE crea la URL de reunin en el
correo electrnico de notificacin con el nombre de host especificado por
el usuario cuando inicia sesin en el IVE. Por ejemplo, un usuario podra
iniciar sesin en el IVE con la siguiente URL del ejemplo anterior:
http://YourInternalServer.YourCompany.net

A continuacin, si el usuario crea una reunin, el IVE especifica la siguiente


URL de inicio de sesin para esa reunin en la notificacin de correo
electrnico:
http://YourInternalServer.YourCompany.net/OnlineConference

Tenga en cuenta que puesto que el vnculo de correo electrnico hace


referencia a un servidor interno, los usuarios fuera de la red no pueden
tener acceso a la reunin.

Si slo desea habilitar a los usuarios para que inicien sesin en reuniones
con un subconjunto de los nombres de host definidos en la URL de usuario
asociada o si desea requerir que los usuarios utilicen una URL
completamente diferente para iniciar sesin en reuniones, no incluya el
carcter comodn en la definicin de la URL de reunin. En lugar de ello,
cree una definicin de URL de reunin especfica.
Por ejemplo, puede crear la siguiente definicin de URL de reunin y
asociarla a la URL de usuario del ejemplo anterior con el fin de especificar
que todas las reuniones contienen vnculos slo al servidor externo:
YourExternalServer.YourCompany.com/OnlineConference

5. Introduzca una Description para la directiva (opcional).


6. En la lista Sign-in Page, seleccione la pgina de inicio de sesin que desea que
aparezca a todos los usuarios cuando tengan acceso a las reuniones con esta
directiva. Puede seleccionar las pginas predeterminadas que vienen con el
IVE, una variacin de las pginas de inicio de sesin estndar o pginas
personalizadas que cree con la caracterstica UI personalizable. Para obtener
ms informacin, consulte Configuracin de las pginas de inicio de sesin
estndares en la pgina 221.
7. Haga clic en Save Changes.

218

Configuracin de directivas de inicio de sesin

Captulo 9: Directivas de inicio de sesin

Habilitacin y inhabilitacin de directivas de inicio de sesin


Para habilitar y inhabilitar directivas de inicio de sesin:
1. En la consola de administracin, elija Authentication > Signing In > Sign-in
Policies.
2. Para habilitar o inhabilitar:

Una directiva individual: Marque la casilla de verificacin al lado de la


directiva que desea cambiar y haga clic en Enable o Disable.

Todas las directivas de usuario y reunin: Seleccione o anule la seleccin


de la casilla de verificacin Restrict access to administrators only al inicio
de la pgina.

3. Haga clic en Save Changes.

Especificacin del orden de evaluacin de las directivas de inicio de sesin


El IVE evala las directivas de inicio de sesin en el mismo orden en que las
enumera en la pgina Sign-in Policies. Cuando encuentra una URL que coincide
exactamente, deja de realizar la evaluacin y presenta las pginas de inicio de
sesin correspondientes al administrador o al usuario. Por ejemplo, puede definir
dos directivas de inicio de sesin de administrador con dos URL diferentes.

La primera directiva utiliza la URL */admin y se asigna a la pgina de inicio de


sesin del administrador predeterminada.

La segunda directiva utiliza la URL yourcompany.com/admin y se asigna a una


pgina de inicio de sesin del administrador personalizada.

Si indica las directivas en este orden en la pgina Sign-in Policies, el IVE nunca
evala ni utiliza la segunda directiva porque la primera URL abarca la segunda.
Aunque un administrador inicie sesin con la URL yourcompany.com/admin, el IVE
muestra la pgina de inicio de sesin del administrador predeterminada. Sin
embargo, si indica las directivas en el orden opuesto, el IVE muestra la pgina de
inicio de sesin de administrador personalizada a los administradores que tienen
acceso al IVE con la URL yourcompany.com/admin.
Tenga en cuenta que el IVE slo acepta caracteres comodines en la seccin de
nombre de host de la URL y compara las direcciones URL segn la ruta exacta.
Por ejemplo, puede definir dos directivas de inicio de sesin de administrador con
dos rutas de URL diferentes:

La primera directiva utiliza la URL */marketing y se asigna a una pgina de


inicio de sesin personalizada para todo el Departamento de Marketing.

La segunda directiva utiliza la URL */marketing/Joe y se asigna a una pgina de


inicio de sesin personalizada diseada exclusivamente para Joe en el
Departamento de Marketing.

Configuracin de directivas de inicio de sesin

219

Gua de administracin de Secure Access de Juniper Networks

Si indica las directivas en este orden en la pgina Sign-in Policies, el IVE


muestra a Joe su pgina de inicio personalizada cuando usa la URL
yourcompany.com/marketing/joe para tener acceso al IVE. l no ve la pgina de
inicio de sesin de Marketing, aunque est indicada y sea evaluada primero, porque
la parte de la ruta de esta URL no coincide exactamente con la URL definida en la
primera directiva.
Para cambiar el orden en que las directivas de inicio de sesin de administracin
son evaluadas:
1. En la consola de administracin, elija Authentication > Signing In > Sign-in
Policies.
2. Seleccione una directiva de inicio de sesin en la lista Administrator URLs,
User URLs o Meeting URLs.
3. Haga clic en las flechas arriba y abajo para cambiar la ubicacin de la directiva
seleccionada en la lista.
4. Haga clic en Save Changes.

Configuracin las pginas de inicio de sesin


Una pgina de inicio de sesin define las propiedades personalizadas en la pgina de
bienvenida del usuario final, como el texto de bienvenida, el texto de ayuda, el
logotipo, el encabezado y el pie de pgina. El IVE le permite crear dos tipos de
pginas de inicio de sesin para presentarlas a los usuarios y administradores.

Pginas de inicio de sesin estndar: Estas pginas son creadas por Juniper
y se incluyen con todas las versiones del IVE. Puede modificar las pginas de
inicio de sesin estndar a travs de la ficha Authentication > Signing In >
Sign-in Pages de la consola de administracin. Para obtener ms informacin,
consulte Configuracin de las pginas de inicio de sesin estndares en la
pgina 221.

Pginas de inicio de sesin personalizadas: Las pginas de inicio de sesin


personalizadas son pginas THTML que se crean con la el kit de herramientas
de plantillas y se cargan en el IVE de forma de archivos Zip. La caracterstica de
pginas de inicio de sesin personalizada es una caracterstica con licencia, que
le permite utilizar sus propias pginas en lugar de tener que modificar la pgina
de inicio de sesin incluida en el IVE.

Para obtener ms informacin sobre las pginas de inicio personalizadas, consulte


el manual Custom Sign-In Pages Solution Guide.

220

Configuracin las pginas de inicio de sesin

Captulo 9: Directivas de inicio de sesin

Configuracin de las pginas de inicio de sesin estndares


Las pginas de inicio de sesin estndar que vienen con el IVE incluyen:

Pgina de inicio de sesin predeterminada: El IVE muestra de forma


predeterminada esta pgina a los usuarios cuando inician sesin en el IVE.

Pgina de inicio de sesin de reunin: El IVE muestra de forma


predeterminada esta pgina a los usuarios cuando inicien sesin en una
reunin. Esta pgina slo est disponible si instala una licencia Secure Meeting
en el IVE.

Puede modificar estas pginas o crear pginas nuevas que contengan texto,
logotipos, colores y texto de mensajes de error personalizados con los ajustes
de la ficha Authentication > Signing In > Sign-in Pages de la consola de
administracin.
Para crear o modificar una pgina de inicio de sesin estndar:
1. En la consola de administracin, elija Authentication > Signing In >
Sign-in Pages.
2. Si est:

Creando una pgina nueva: Haga clic en New Page.

Modificando una pgina existente: Seleccione el vnculo que corresponde


a la pgina que desea modificar.

3. (Slo pginas nuevas) En Page Type, especifique si sta es una pgina de acceso
de administrador o usuario o una pgina de reunin.
4. Introduzca un nombre para identificar la pgina.
5. En la seccin Custom text, revise el texto predeterminado utilizado para las
diversas etiquetas de pantalla que desee. Cuando agregue texto al campo
Instructions, tenga en cuenta que se puede formatear texto y agregar vnculos
a las siguientes etiquetas HTML: <i>, <b>, <br>, <font> y <a href>. Sin embargo,
el IVE no reescribe vnculos en la pgina de inicio de sesin (puesto que el
usuario an no se ha autenticado), de tal forma que slo debe dirigirse a sitios
externos. Los vnculos a los sitios situados detrs de un cortafuegos no
funcionarn.
NOTA: Si utiliza etiquetas HTML no admitidas en su mensaje personalizado, el IVE
puede mostrar la pgina de inicio de IVE del usuario final de forma incorrecta.

6. En la seccin Header appearance, especifique un archivo de imagen con el


logotipo personalizado para el encabezado y un color de encabezado diferente.
7. En la seccin Custom error messages, revise el texto predeterminado que se
muestra a los usuarios si encuentran errores de certificado. (No disponible para
la pgina de inicio de sesin de Secure Meeting).

Configuracin las pginas de inicio de sesin

221

Gua de administracin de Secure Access de Juniper Networks

Puede incluir las variables <<host>>, <<port>>, <<protocol>> y <<request>>


y variables de atributos de usuario, como <<userAttr.cn>>, en los mensajes de
error personalizados. Tenga en cuenta que estas variables deben seguir el
formato <<variable>> para distinguirlas de las etiquetas HTML que tienen el
formato <tag>.
8. Para proporcionar instrucciones de ayuda o adicionales personalizadas para sus
usuarios, seleccione Show Help button, introduzca una etiqueta para mostrar
en el botn y especifique un archivo HTML para cargar al IVE. Tenga en cuenta
que el IVE no muestra imgenes y otros contenidos a los que se hace referencia
en esta pgina HTML. (No disponible para la pgina de inicio de sesin de
Secure Meeting).
9. Haga clic en Save Changes. Los cambios tendrn efecto inmediatamente, pero
los usuarios con sesiones activas podran necesitar actualizar sus exploradores
Web.
NOTA: Haga clic en Restore Factory Defaults para restablecer la pgina de inicio
de sesin, la pgina principal de usuario de IVE y el aspecto de la consola de
administracin.

222

Configuracin las pginas de inicio de sesin

Captulo 10

Inicio de sesin nico


El inicio de sesin nico (SSO) es un proceso que permite a usuarios de IVE ya
autenticados acceder a otras aplicaciones o recursos que estn protegidos por
otro sistema de administracin de accesos sin tener que volver a introducir sus
credenciales.
Esta seccin contiene la siguiente informacin sobre el inicio de sesin nico en
caractersticas:

Licencia: Disponibilidad de inicio de sesin nico en la pgina 223

Informacin general de inicio de sesin nico en la pgina 224

Informacin general de credenciales de inicios de sesin mltiples en la


pgina 226

Configuracin de SAML en la pgina 234

Configuracin de perfiles SAML SSO en la pgina 237

Licencia: Disponibilidad de inicio de sesin nico


Todos los productos Secure Access contienen algunas caractersticas de inicio de
sesin nico. Sin embargo, recuerde que las caractersticas avanzadas de inicio de
sesin nico de Remote SSO, SAML y eTrust SSO no estn disponibles en el SA 700.
Adems, las caractersticas de autenticacin bsica, intermediacin de NTLM y
Telnet SSO slo estn disponibles en el dispositivo SA 700 si usted tiene la licencia
de actualizacin Core Clientless Access.

Licencia: Disponibilidad de inicio de sesin nico

223

Gua de administracin de Secure Access de Juniper Networks

Informacin general de inicio de sesin nico


El IVE proporciona varios mecanismos de integracin que le permiten configurar
conexiones de SSO desde el IVE a otros servidores, aplicaciones y recursos. Los
mecanismos de SSO incluyen:

224

Remote SSO: El IVE proporciona integracin abierta con cualquier aplicacin


que utiliza una accin POST esttica dentro de un formulario HTML para que
los usuarios inicien sesin. Puede configurar el IVE para enviar credenciales de
IVE, atributos LDAP y atributos de certificados a una aplicacin Web, al igual
que para configurar cookies y encabezados, lo que permite a los usuarios tener
acceso a la aplicacin sin volver a autenticarse. Para obtener ms informacin,
consulte Informacin general de SSO remoto en la pgina 388.

SAML: El IVE proporciona integracin abierta con sistemas de administracin


de acceso seleccionados que usan el lenguaje Security Assertion Markup
Language (SAML) para comunicarse con otros sistemas. Puede permitir que los
usuarios inicien sesin en el IVE y despus inicien sesin y accedan a recursos
protegidos por el sistema de administracin de accesos sin volver a
autenticarse. Tambin puede permitir que los usuarios inicien sesin en otro
sistema de administracin de accesos y despus accedan a recursos protegidos
por el IVE, sin volver a autenticarse. Para obtener ms informacin, consulte
Configuracin de SAML en la pgina 234.

Basic authentication and NTLM intermediation to Intranet sites: El IVE le


permite enviar automticamente credenciales de usuario de IVE a otros sitios
Web y proxies dentro de la misma zona Intranet. Cuando se activa la
intermediacin de autenticacin bsica a travs de la pgina Users > Resource
Profiles > Web Applications/Pages de la consola de administracin, el IVE
enva las credenciales en cach a sitios Intranet cuyos nombres de host
terminan en el sufijo DNS configurado en la pgina System > Network >
Overview. Para aumentar al mximo la seguridad, tambin puede configurar el
IVE para usar codificacin en base 64 para proteger las credenciales en cach.
Para obtener ms informacin, consulte Definicin de una directiva
automtica de inicio de sesin nico en la pgina 397.

Active Directory server: El IVE le permite enviar automticamente credenciales


de SSO Active Directory SSO a otros sitios Web y archivos Windows
compartidos dentro de la misma zona Intranet que est protegida por
autenticacin NTLM nativa. Cuando activa esta opcin, el IVE enva
credenciales en cach a sitios Web protegidos con NTLM cuyos nombres de
host terminan en el sufijo DNS configurado en la pgina System > Network >
Overview de la consola de administracin. Para obtener ms informacin,
consulte Configuracin de una instancia de Active Directory o dominio NT en
la pgina 120.

Informacin general de inicio de sesin nico

Captulo 10: Inicio de sesin nico

eTrust SiteMinder policy server: Cuando autentica a usuarios de IVE usando


un servidor de directivas eTrust SiteMinder, puede permitirles tener acceso a
recursos protegidos de SiteMinder sin volver a autenticarse (siempre que estn
autorizados con el nivel de proteccin correcto). Adems, puede volver a
autenticar usuarios a travs de IVE si solicitan recursos para los cuales su actual
nivel de proteccin es inadecuado y puede permitir a usuarios iniciar sesin en
el servidor de directivas primero y despus tener acceso al IVE sin volver a
autenticarse. Para obtener ms informacin, consulte Configuracin de una
instancia de servidor eTrust SiteMinder en la pgina 160.

Terminal Sessions: Cuando activa la caracterstica Terminal Services para un


rol, permite a los usuarios conectarse a aplicaciones que se estn ejecutando en
un servidor de terminal Windows o servidor Citrix MetaFrame sin volver a
autenticarse. Para obtener ms informacin, consulte Terminal Services en la
pgina 563. Tambin puede transmitir un nombre de usuario al servidor
Telnet/SSH, como se explica en Terminal Services en la pgina 563.

Email clients: Cuando activa la caracterstica Email Client para un rol y


despus crea una directiva de recursos correspondiente, permite a los usuarios
tener acceso a correo electrnico basado en estndares como Outlook Express,
Netscape Communicator o Eudora de Qualcomm sin volver a autenticarse. Para
obtener ms informacin, consulte Email Client en la pgina 647.

El IVE determina qu credenciales enviar al servidor, aplicacin o recurso habilitado


con SSO basado en el mecanismo que usa para conectarse. La mayora de los
mecanismos le permiten recopilar credenciales de usuario para hasta dos
servidores de autenticacin en la pgina de inicio de sesin de IVE y despus enviar
esas credenciales durante SSO. Para obtener ms informacin, consulte
Informacin general de credenciales de inicios de sesin mltiples en la
pgina 226.
Los mecanismos restantes (SAML, eTrust SiteMinder y Email Client) usan mtodos
nicos para activar SSO desde el IVE a la aplicacin admitida. Para obtener ms
informacin, consulte:

Configuracin de SAML en la pgina 234

Configuracin de perfiles SAML SSO en la pgina 237

Configuracin de una instancia de servidor eTrust SiteMinder en la


pgina 160

Email Client en la pgina 647

Informacin general de inicio de sesin nico

225

Gua de administracin de Secure Access de Juniper Networks

Informacin general de credenciales de inicios de sesin mltiples


Cuando configura un territorio de autenticacin, puede activar hasta dos servidores
de autenticacin para el territorio. Activar dos servidores de autenticacin le
permite exigir dos conjuntos diferentes de credenciales; uno para el IVE y otro para
su recurso habilitado con SSO, sin necesidad de que el usuario introduzca el
segundo conjunto de credenciales cuando tiene acceso al recurso. Tambin le
permite exigir autenticacin de dos factores para tener acceso al IVE.
Esta seccin contiene la siguiente informacin sobre credenciales de inicios de
sesin mltiples:

Resumen de tareas: configuracin de mltiples servidores de autenticacin


en la pgina 226

Resumen de tareas: Activacin de SSO para recursos protegidos por


autenticacin bsica en la pgina 227

Resumen de tareas: Activacin de SSO para recursos protegidos por NTLM en


la pgina 227

Ejecucin de credenciales de inicios de sesin mltiples en la pgina 229

Resumen de tareas: configuracin de mltiples servidores de autenticacin


Para activar mltiples servidores de autenticacin:
1. Cree instancias de servidor de autenticacin como se indica en la pgina
Authentication > Auth. Servers de la consola de administracin. Para obtener
instrucciones sobre la configuracin, consulte Definicin de una instancia de
servidor de autenticacin en la pgina 114.
2. Asocie los servidores de autenticacin con un territorio usando configuraciones
en las siguientes pginas para la consola de administracin:

Users > User Realms > Seleccionar territorio > General

Administrators > Admin Realms > Seleccionar territorio > General

Para obtener instrucciones sobre la configuracin, consulte Creacin de un


territorio de autenticacin en la pgina 196.
3. (Opcional) Especifique restricciones de longitud de contraseas para el servidor
de autenticacin secundario usando configuraciones en las siguientes pginas
de la consola de administracin:

Users > User Realms > Seleccionar territorio > Authentication Policy >
Password

Administrators > Admin Realms > Seleccionar territorio >


Authentication Policy > Password

Para obtener instrucciones sobre la configuracin, consulte Especificacin de


las restricciones de acceso para contraseas en la pgina 66.
226

Informacin general de credenciales de inicios de sesin mltiples

Captulo 10: Inicio de sesin nico

Resumen de tareas: Activacin de SSO para recursos protegidos por autenticacin


bsica
Para activar el inicio de sesin nico en servidores Web y proxies Web que estn
protegidos por autenticacin bsica, debe:
1. Especificar un IVE nombre de host que termina con el mismo prefijo que su
recurso protegido usando configuraciones en la pgina System > Network >
Overview de la consola de administracin. (El IVE comprueba los nombres de
host para asegurar que slo est activando SSO a sitios dentro de la misma
Intranet.)
2. Permitir que los usuarios accedan a recursos Web, especificar los sitios a los
cuales desea que el IVE enve credenciales, crear directivas automticas que
permiten el inicio de sesin nico de intermediacin de autenticacin bsica
y crear marcadores a los recursos seleccionados usando configuraciones en la
pgina Users > Resource Profiles > Web Application/Pages > [Perfil] de la
consola de administracin.
3. Si desea que los usuarios tengan acceso a servidores Web mediante un proxy,
configure el IVE para reconocer los servidores y proxies adecuados usando
configuraciones en las siguientes pginas de la consola de administracin:
a.

Use configuraciones de la pgina Users > Resource Policies > Web >
Web proxy > Servers para especificar qu servidores Web desea proteger
con el proxy.

b.

Use configuraciones de la pgina Users > Resource Policies > Web >
Web proxy > Policies para especificar qu proxies desea usar y qu
servidores (arriba) desea que protejan los proxies. Puede especificar
recursos individuales en el servidor o el servidor entero.

Resumen de tareas: Activacin de SSO para recursos protegidos por NTLM


NOTA: El IVE admite proxies Web que realizan autenticacin NTLM. Sin embargo,
no se admite el siguiente caso. existe un proxy entre el IVE y el servidor de backend y ste realiza la autenticacin de NTLM.

Para activar inicio de sesin nico en servidores Web, servidores de archivo


Windows y proxies Web que estn protegidos por NTLM, debe:
1. Especificar un nombre de host de IVE que termine con el mismo sufijo que su
recurso protegido usando configuraciones en la pgina System > Network >
Overview de la consola de administracin. (El IVE comprueba los nombres de
host para asegurar que slo est activando SSO a sitios situados dentro de la
misma Intranet.)

Informacin general de credenciales de inicios de sesin mltiples 227

Gua de administracin de Secure Access de Juniper Networks

2. Permitir que los usuarios tengan acceso al tipo correspondiente de recursos


(Web o archivo), especificar los sitios o servidores a los cuales desea que el IVE
enve credenciales, crear directivas automticas que permitan el inicio de
sesin nico con NTLM y crear marcadores a los recursos seleccionados usando
configuraciones de las siguientes pginas de la consola de administracin:

Users > Resource Profiles > Web Application/Pages > [Perfil]

Users > Resource Profiles > File Browsing Resource Profiles > [Perfil]

3. Si desea que los usuarios tengan acceso a servidores Web mediante un proxy,
configure el IVE para reconocer los servidores y proxies adecuados usando
configuraciones en las siguientes pginas de la consola de administracin:

228

a.

Use configuraciones de la pgina Users > Resource Policies > Web >
Web proxy > Servers para especificar qu servidores Web desea proteger
con el proxy.

b.

Use configuraciones de la pgina Users > Resource Policies > Web >
Web proxy > Policies para especificar qu proxies desea usar y qu
servidores (arriba) desea que protejan los proxies. Puede especificar
recursos individuales en el servidor o el servidor entero.

Informacin general de credenciales de inicios de sesin mltiples

Captulo 10: Inicio de sesin nico

Ejecucin de credenciales de inicios de sesin mltiples


El siguiente diagrama ilustra el proceso que el IVE usa para recopilar y autenticar
mltiples credenciales de usuario y enviarlas a recursos habilitados con SSO.
Cada uno de los pasos del diagrama se describe con ms detalle en las secciones
siguientes.
Figura 30: Recopilacin y envo de credenciales desde mltiples servidores

Paso 1: El IVE recoge las credenciales principales del usuario


Cuando el usuario inicia sesin en el IVE, el IVE le solicita introducir sus
credenciales de servidor principales. El IVE guarda estas credenciales para enviar
al recurso de SSO posteriormente, si es necesario. Observe que el IVE guarda las
credenciales exactamente como el usuario las introduce, y que no incluye
informacin adicional como, por ejemplo, el dominio del usuario.

Paso 2: El IVE recoge o genera las credenciales secundarias del usuario


Puede configurar el IVE para recopilar manualmente o generar automticamente
el conjunto de credenciales secundario del usuario. Si configura el IVE para:

Recopilar manualmente las credenciales secundarias del usuario: El usuario


debe introducir sus credenciales secundarias despus de introducir sus
credenciales principales.

Informacin general de credenciales de inicios de sesin mltiples 229

Gua de administracin de Secure Access de Juniper Networks

Generar automticamente las credenciales del usuario: El IVE enva


los valores que especific en la consola de administracin durante la
configuracin. De forma predeterminada, el IVE usa las variables de
<username> y <password>, que mantienen el nombre de usuario y contrasea
introducidos por el usuario para el servidor de autenticacin principal.

Por ejemplo, puede configurar un servidor LDAP como su servidor de autenticacin


principal y un servidor Active Directory como su servidor de autenticacin
secundario. Despus, puede configurar el IVE para inferir el nombre de usuario
de Active Directory, pero requerir que el usuario introduzca manualmente su
contrasea de Active Directory. Cuando el IVE infiere el nombre de usuario de
Active Directory, simplemente toma el nombre introducido para el servidor LDAP
(por ejemplo, JDoe@LDAPServer) y lo reenva al Active Directory (por ejemplo,
JDoe@ActiveDirectoryServer).

Paso 3: El IVE autentica las credenciales principales


Despus de que el IVE recopila todas las credenciales requeridas, autentica el
primer conjunto de credenciales del usuario respecto al servidor de autenticacin
principal. Despus:

Si las credenciales se autentican correctamente, el IVE las almacena en las


variables de sesin <username> y <password> y contina para autenticar las
credenciales secundarias.

NOTA: Si autentica contra un servidor RADIUS que acepta contraseas dinmicas


y con tiempo, puede elegir no almacenar contraseas de usuario usando la
variable de sesin IVE. Para obtener ms informacin, consulte Configuracin de
una instancia de servidor de RADIUS en la pgina 145.

Si las credenciales no se autentican correctamente, el IVE deniega el acceso del


usuario al IVE.

Paso 4: El IVE autentica las credenciales secundarias


Despus de autenticar las credenciales principales, el IVE autentica las credenciales
secundarias. Seguidamente:

Si las credenciales se autentican correctamente, el IVE las almacena en las


variables de sesin <username[2]> y <password[2]> y permite al usuario tener
acceso al IVE. Tambin puede tener acceso a estas variables usando la sintaxis
<username@SecondaryServer> y <password@SecondaryServer>.

NOTA: Si autentica con un servidor RADIUS que acepta contraseas dinmicas y


con caducidad, puede optar por no almacenar contraseas de usuario usando la
variable de sesin del IVE. Para obtener ms informacin, consulte Configuracin
de una instancia de servidor de RADIUS en la pgina 145.

230

Informacin general de credenciales de inicios de sesin mltiples

Captulo 10: Inicio de sesin nico

Si las credenciales no se autentican correctamente, el IVE no las guarda.


Dependiendo de cmo configura su territorio de autenticacin, el IVE puede
permitir o denegar al usuario el acceso al IVE si sus credenciales secundarias no
se autentican correctamente.

NOTA: Puede detectar que ha fallado la autenticacin secundaria creando una


expresin personalizada que comprueba si hay una variable user@secondaryAuth

vaca. Quizs le interese hacer para poder asignar usuarios a roles que dependan
de una autenticacin correcta. Por ejemplo, la siguiente expresin asigna a
usuarios al rol MoreAccess si se hizo la autenticacin correcta en el servidor de
autenticacin secundario ACE server:
user@{ACE Server} != "" then assign role MoreAccess

Observe que se muestra Ace server entre llaves dado que el nombre del servidor
de autenticacin contiene espacios.

Paso 5: El IVE enva las credenciales a un recurso con SSO habilitado


Despus de que un usuario ha iniciado sesin correctamente en el IVE, puede
intentar tener acceso a un recurso habilitado con SSO usando un marcador
preconfigurado u otro mecanismo de acceso. Despus, dependiendo de a qu tipo
de recurso intenta acceder el usuario, el IVE enva diferentes credenciales. Si el
usuario est intentando tener acceso a un recurso:

Web SSO, Terminal Services o Telnet/SSH: El IVE enva las credenciales que
especifica mediante la consola de administracin como <username> (que enva
las credenciales principales del usuario al recurso) o <username[2]> (que enva
las credenciales secundarias del usuario al recurso). O si el usuario ha
introducido un nombre de usuario y contrasea diferentes a travs de la
consola de usuario final, el IVE enva las credenciales especificadas por
el usuario.

NOTA: El IVE no admite envo de credenciales del servidor ACE, servidor de

certificados o de servidor annimo a un recurso Web SSO, terminal services o


Telnet/SSH. Si configura el IVE para enviar credenciales desde uno de estos tipos
de servidores de autenticacin principal, el IVE enviar credenciales desde el
servidor de autenticacin secundario del usuario. Si estas credenciales fallan,
el IVE solicita al usuario que introduzca manualmente su nombre de usuario
y contrasea.

Recursos protegidos por un servidor Web, servidor Windows o proxy Web


que est usando autenticacin NTLM: El IVE enva credenciales al servidor
backend o proxy que est protegiendo el recurso Web o de archivo. Observe
que no puede desactivar la autenticacin NTLM mediante el IVE: Si un usuario
intenta tener acceso a un recurso que est protegido por NTLM, el IVE
intermedia automticamente el desafo de autenticacin y enva credenciales
en el siguiente orden:
a.

(recursos de archivos Windows solamente) Credenciales especificadas


por administrador: Si crea un perfil de recurso que especifica credenciales
para un recurso de archivo Windows y el usuario despus tiene acceso al
recurso especificado, el IVE enva las credenciales especificadas.
Informacin general de credenciales de inicios de sesin mltiples 231

Gua de administracin de Secure Access de Juniper Networks

b.

Credenciales en cach: Si el IVE no enva credenciales especificadas por el


administrador o las credenciales fallan, el IVE determina si ha almacenado
credenciales para el usuario y recurso especificados en su cach. (Consulte
ms adelante para obtener informacin cuando el IVE guarda en cach
credenciales.) Si est disponible, el IVE enva sus credenciales
almacenadas.

c.

Credenciales principales: Si el IVE no enva credenciales en cach o las


credenciales fallan, el IVE enva las credenciales principales del usuario del
IVE siempre que se cumplan las siguientes condiciones:

El recurso est en la misma zona Intranet que el IVE (es decir, el


nombre de host del recurso termina en el sufijo DNS configurado en
la pgina System > Network > Overview de la consola de
administracin).

(proxies Web solamente) Ha configurado el IVE para reconocer el proxy


Web mediante configuraciones en las pginas Users > Resource
Policies > Web > Web Proxy de la consola de administracin.

Las credenciales no son credenciales de ACE.

(Credenciales de RADIUS solamente) Se especifica en la pgina de


configuracin de RADIUS que el servidor RADIUS no acepte
contraseas de un solo uso.

d. Credenciales secundarias: Si las credenciales secundarias fallan, el IVE


determina si tiene credenciales secundarias para el usuario. Si est
disponible, el IVE enva las credenciales secundarias del usuario de IVE
siempre que se cumplan las condiciones descritas para las credenciales
principales.

232

e.

ltimas credenciales introducidas: Si el IVE no enva credenciales


secundarias o si las credenciales fallan, el IVE determina si ha almacenado
credenciales para el usuario especificado y un recurso diferente en su
cach. (Consulte ms adelante para obtener informacin cuando el IVE
guarda en cach credenciales.) Si est disponible, el IVE enva las
credenciales almacenadas siempre que se cumplan las condiciones
descritas para las credenciales principales.

f.

Credenciales especificadas por el usuario (peticin): Si el IVE no enva


las ltimas credenciales introducidas o si las credenciales fallan, el IVE pide
al usuario que introduzca manualmente sus credenciales en la pgina de
inicio de sesin del intermediario. Si el usuario selecciona la casilla de
verificacin Remember password?, el IVE guarda en cach las credenciales
especificadas por el usuario y, si es necesario, las reenva cuando el usuario
intenta tener acceso al mismo recurso nuevamente. Observe que cuando el
IVE guarda en cach estas credenciales, recuerda al usuario y recurso
especficos, incluso despus de que el usuario cierra la sesin del IVE.

Informacin general de credenciales de inicios de sesin mltiples

Captulo 10: Inicio de sesin nico

Recurso protegido por un servidor Web o proxy Web usando autenticacin


bsica: El IVE enva credenciales en el siguiente orden al servidor o proxy
backend que est protegiendo el recurso Web:
a.

Credenciales en cach: Si el IVE no enva credenciales especificadas por el


administrador o las credenciales fallan, el IVE determina si ha almacenado
credenciales para el usuario y recurso especificados en su cach. (Consulte
ms arriba para obtener informacin cuando el IVE guarda en cach
credenciales.) Si est disponible, el IVE enva sus credenciales
almacenadas.

b.

Credenciales principales: Si el IVE no enva credenciales en cach o las


credenciales fallan, el IVE enva las credenciales principales del usuario del
IVE siempre que se cumplan las siguientes condiciones:

c.

El recurso est en la misma zona Intranet que el IVE (es decir, el


nombre de host del recurso termina en el sufijo DNS configurado en
la pgina System > Network > Overview de la consola de
administracin).

(proxies Web solamente) Ha configurado el IVE para reconocer el proxy


Web mediante configuraciones en las pginas Users > Resource
Policies > Web > Web Proxy de la consola de administracin.

Las credenciales no son credenciales de ACE.

(Credenciales de RADIUS solamente) Se especifica en la pgina de


configuracin de RADIUS que el servidor RADIUS no acepte
contraseas de un solo uso.

Credenciales secundarias: Si las credenciales secundarias fallan, el IVE


determina si tiene credenciales secundarias para el usuario. Si est
disponible, el IVE enva las credenciales secundarias del usuario de IVE
siempre que se cumplan las condiciones descritas para las credenciales
principales.

d. ltimas credenciales introducidas: Si el IVE no enva credenciales


secundarias o si las credenciales fallan, el IVE determina si ha almacenado
credenciales para el usuario especificado y un recurso diferente en su
cach. (Consulte ms adelante para obtener informacin cuando el IVE
guarda en cach credenciales.) Si est disponible, el IVE enva las
credenciales almacenadas siempre que se cumplan las condiciones
descritas para las credenciales principales.
e.

Credenciales especificadas por el usuario (peticin): Si el IVE no enva


las ltimas credenciales introducidas o si las credenciales fallan, el IVE pide
al usuario introducir manualmente sus credenciales en la pgina de inicio
de sesin del intermediario. Si el usuario selecciona la casilla de
verificacin Remember password?, el IVE guarda en cach las credenciales
especificadas por el usuario y, si es necesario, las reenva cuando el usuario
intenta tener acceso al mismo recurso nuevamente. Observe que cuando el
IVE guarda en cach estas credenciales, recuerda al usuario y recurso
especficos, incluso despus de que el usuario cierra la sesin del IVE.

Informacin general de credenciales de inicios de sesin mltiples 233

Gua de administracin de Secure Access de Juniper Networks

NOTA:

El IVE no admite el mecanismo de autenticacin de credenciales mltiples


descrito en esta seccin con los mecanismos de Email client y SAML SSO.

Si no puede definir un servidor annimo, servidor de certificado o servidor


eTrust SiteMinder como un servidor de autenticacin secundario.

Si define un servidor eTrust SiteMinder como su servidor de autenticacin


principal, no puede definir un servidor de autenticacin secundario.

El IVE admite autenticacin bsica y el esquema de desafo/respuesta de


NTLM para HTTP cuando tiene acceso a aplicaciones Web, pero no admite la
autenticacin de plataformas cruzadas basada en HTTP mediante el protocolo
de negociacin.

Para obtener ms informacin sobre cmo el IVE usa autenticacin mltiple dentro
del proceso de autenticacin y autorizacin ms grande de IVE, consulte Vista
general de las directivas, reglas, restricciones y condiciones en la pgina 52.

Configuracin de SAML
El IVE le permite transmitir informacin de usuario y estado de sesin entre el IVE
y otro sistema de administracin de accesos fiable que admita (SAML). SAML
proporciona un mecanismo para que dos sistemas diferentes creen e intercambien
informacin de autenticacin y autorizacin usando un marco XML, minimizando
la necesidad de que los usuarios tengan que volver a introducir sus credenciales
cuando tienen acceso a mltiples aplicaciones o dominios1. El IVE admite SAML
versin 1.1.
Los intercambios de SAML dependen de una relacin fiable entre dos sistemas
o dominios. En los intercambios, un sistema acta como una autoridad SAML
(tambin llamada parte confirmadora o respondedor SAML) que confirma la
informacin sobre el usuario. El otro sistema acta como una parte receptora
(tambin llamada receptor SAML) que confa en la declaracin (tambin llamada
confirmacin) proporcionada por la autoridad SAML. Si elige confiar en la autoridad
SAML, la parte receptora autentica o autoriza al usuario basado en la informacin
proporcionada por la autoridad SAML.
El IVE admite dos contextos de caso de uso de SAML:

The IVE as the SAML authority: El usuario inicia sesin en un recurso


mediante el IVE primero, y todos los otros sistemas son receptores de SAML,
que confan en el IVE para autenticacin y autorizacin del usuario. En este
contexto, el IVE puede usar un perfil de artefacto o un perfil POST. Para obtener
ms informacin, consulte Configuracin de perfiles SAML SSO en la
pgina 237.

1. El Secure Access Markup Language es desarrollado por Security Services Technical Committee (SSTC) de la
organizacin de estndares OASIS. Para obtener informacin general tcnica de SAML, consulte el sitio Web de
OASIS: http://www.oasis-open.org/committees/download.php/5836/sstc-saml-tech-overview-1.1-draft-03.pdf

234

Configuracin de SAML

Captulo 10: Inicio de sesin nico

The IVE as the SAML receiver: El usuario inicia sesin en otro sistema en la red
primero, y el IVE es el receptor SAML, que confa en el otro sistema para
autenticacin y autorizacin del usuario.

Por ejemplo, en el primer contexto, un usuario autenticado de IVE llamado John


Smith puede intentar tener acceso a un recurso protegido por un sistema de
administracin de accesos. Cuando lo hace, el IVE acta como una autoridad SAML
y declara Este usuario es John Smith. Fue autenticado usando un mecanismo de
contrasea. El sistema de administracin de accesos (la parte receptora) recibe
esta declaracin y elige confiar en el IVE (y por lo tanto, confiar en que el IVE ha
identificado adecuadamente al usuario). El sistema de administracin de accesos
puede an elegir denegar el acceso al usuario al recurso solicitado (por ejemplo,
debido a que John Smith tiene privilegios de acceso insuficientes en el sistema),
al tiempo que confa en la informacin enviada por el IVE.
En el segundo contexto, John Smith inicia sesin en el portal de su empresa y es
autenticado usando un servidor LDAP tras el cortafuegos de la empresa. En el portal
seguro de la empresa, John Smith hace clic en un vnculo a un recurso protegido por
el IVE. Ocurre el siguiente proceso:
1. El vnculo redirecciona a John Smith a un Servicio de transferencia entre sitios
del portal de la empresa, que construye una URL de artefacto. La URL de
artefacto contiene una referencia a una confirmacin de SAML almacenada en
la cach del portal de la empresa.
2. El portal enva la URL al IVE, que puede decidir si incluye o no el vnculo a la
referencia.
3. Si el IVE establece el vnculo a la referencia, el portal enva un mensaje SOAP
que contiene la confirmacin de SAML (un mensaje XML que contiene las
credenciales del usuario) al IVE, que puede decidir entonces si permite o no al
usuario tener acceso al recurso solicitado.
4. Si el IVE permite el acceso del usuario, el IVE presenta al usuario el recurso
solicitado.
5. Si el IVE rechaza la confirmacin de SAML o las credenciales del usuario, el IVE
responde al usuario con un mensaje de error.
Cuando configure el IVE, puede usar SAML para:

Single sign-on (SSO) authentication: En una transaccin de SAML SSO, un


usuario autenticado inicia sesin sin problemas en otro sistema sin volver a
enviar sus credenciales. En este tipo de transaccin, el IVE puede ser la
autoridad SAML o el receptor SAML. Cuando acta como la autoridad SAML,
el IVE hace una declaracin de autenticacin, que declara el nombre de usuario
del usuario y cmo fue autenticado. Si la parte receptora (llamada servicio de
confirmacin de usuarios en las transacciones de SAML SSO) opta por confiar en
el IVE, el usuario inicia sesin sin problemas en el servicio de confirmacin de
usuarios usando el nombre de usuario contenido en la declaracin.

Configuracin de SAML

235

Gua de administracin de Secure Access de Juniper Networks

Cuando acta como el receptor SAML, el IVE solicita la confirmacin de


credenciales de la autoridad SAML, que es el sistema de administracin de
accesos, como LDAP u otro servidor de autenticacin. La autoridad SAML enva
una confirmacin mediante un mensaje SOAP. La confirmacin es un conjunto
de declaraciones XML que el IVE debe interpretar, basado en los criterios que el
administrador de IVE ha especificado en una definicin de instancia de
servidor SAML. Si el IVE elige confiar en la parte confirmadora, el IVE permite
al usuario iniciar sesin sin problemas usando las credenciales contenidas en la
confirmacin de SAML.

Access control authorization: En una transaccin de control de acceso de


SAML, el IVE pregunta a un sistema de administracin de accesos si el usuario
tiene acceso. En este tipo de transaccin, el IVE es la parte receptora (tambin
llamada punto de aplicacin de directiva en transacciones de control de
acceso). Consume y aplica una declaracin de decisin de autorizacin
proporcionada por el sistema de administracin de accesos (autoridad SAML),
que declara a qu puede acceder el usuario. Si la autoridad SAML (tambin
llamada punto de decisin de directiva en transacciones de control de acceso)
declara que el usuario de IVE tiene suficientes privilegios de acceso, el usuario
puede tener acceso al recurso solicitado.

NOTA:

236

Configuracin de SAML

El IVE no admite declaraciones de atributos, que declaran detalles especficos


sobre el usuario (como que John Smith es miembro de un grupo Gold).

El IVE no genera declaraciones de decisin de autorizacin: slo las consume.

Adems de proporcionar acceso a los usuarios a una URL basada en la


declaracin de decisin de autorizacin devuelta por una autoridad SAML, el
IVE tambin le permite definir los derechos de acceso del usuario a una URL
usando mecanismos slo de IVE (ficha Users > Resource Profiles > Web
Applications/Pages). Si define controles de acceso a travs del IVE al igual que
a travs de una autoridad SAML, ambas fuentes deben otorgar acceso a una
URL para que el usuario pueda tener acceso a ella. Por ejemplo, puede
configurar una directiva de acceso de IVE que deniega a los miembros del rol
Users acceso a www.google.com, pero configurar otra directiva de SAML que
basa los derechos de acceso del usuario en un atributo en un sistema de
administracin de accesos. Incluso si el sistema de administracin de accesos
permite a los usuarios tener acceso a www.google.com, an se puede denegar
el acceso a los usuarios basado en la directiva de acceso de IVE.

Cuando se pregunta si un usuario puede tener acceso a un recurso, los


sistemas de administracin de acceso que admiten SAML pueden devolver
una respuesta de permiso, denegacin o indeterminada. Si el IVE recibe una
respuesta indeterminada, deniega el acceso del usuario.

Puede que los tiempos de espera de la sesin en el IVE y su sistema de


administracin de accesos no se coordinen entre s. Si la cookie de la sesin
del sistema de administracin de accesos del usuario caduca antes que su
cookie de IVE (DSIDcookie), se pierde el inicio de sesin nico entre los dos
sistemas. El usuario est obligado a iniciar sesin nuevamente cuando caduca
el tiempo de sesin del sistema de administracin de accesos.

Captulo 10: Inicio de sesin nico

Para obtener ms informacin, consulte:

Configuracin de perfiles SAML SSO en la pgina 237

Creacin de una directiva de control de acceso en la pgina 245

Creacin de una relacin de confianza entre sistemas habilitados por


SAML en la pgina 249

Configuracin de SAML en la pgina 234

Configuracin de una instancia de servidor de SAML en la pgina 187

Resumen de tareas: Configuracin de SAML mediante el IVE en la


pgina 254

Configuracin de perfiles SAML SSO


Cuando activa transacciones de SSO para un sistema de administracin de accesos
fiable, debe indicar si el sistema de administracin de accesos debe extraer
informacin de usuario del IVE o si el IVE debe enviarla al sistema de
administracin de accesos. Usted indica qu mtodo de comunicacin deben usar
los dos sistemas al seleccionar un perfil durante la configuracin. Un perfil es un
mtodo que dos sitios fiables usan para transferir una declaracin de SAML. Cuando
configure el IVE, puede elegir usar un perfil de artefacto o perfil POST.

Creacin de un perfil de artefacto


Cuando elige comunicarse usando el perfil de artefacto (tambin llamado
Explorador/Artefacto), el servidor de administracin de accesos fiable extrae
informacin de autenticacin del IVE, como se muestra en Figura 31.
Figura 31: Perfil de artefacto

Configuracin de perfiles SAML SSO

237

Gua de administracin de Secure Access de Juniper Networks

El IVE y el servicio de confirmacin de usuarios (ACS) usan el siguiente proceso


para transmitir informacin:
1. El usuario intenta acceder a un recurso: Un usuario inicia sesin en el IVE
e intenta tener acceso a un recurso protegido en un servidor Web.
2. El IVE enva una solicitud HTTP o HTTPS GET al ACS: El IVE intercepta la
solicitud y comprueba si ha realizado la operacin SSO necesaria para cumplir
la solicitud. Si no lo ha hecho, el IVE crea una declaracin de autenticacin y
transmite una variable de consulta HTPP llamada artefacto al servicio de
confirmacin de usuarios.
Un perfil de artefacto es una cadena codificada en base 64 que contiene el ID de
origen del sitio de origen (es decir, una cadena de 20 bytes que hace referencia
al IVE) y genera al azar una cadena que acta como un ttulo de la declaracin
de autenticacin. (Observe que un ttulo caduca 5 minutos despus de enviar el
artefacto, de manera que si el servicio de confirmacin de usuarios responde
despus de 5 minutos, el IVE no enva una declaracin. Tambin observe que
el IVE descarta un ttulo despus de su primer uso para evitar que sea usado
dos veces.)
3. El ACS enva una solicitud SAML al IVE: El servicio de confirmacin de
usuarios usa el ID de origen enviado en el paso anterior para determinar la
ubicacin del IVE. Seguidamente, el servicio de confirmacin de usuarios enva
una solicitud de declaracin en un mensaje SOAP a la siguiente direccin en
el IVE:
https://<IVEhostname>/dana-ws/saml.ws

La solicitud incluye el ttulo de la declaracin transmitido en el paso anterior.


NOTA: El IVE slo admite artefactos de tipo 0x0001. Este tipo de artefacto
transmite una referencia a la ubicacin del sitio de origen (es decir, el ID de origen
del IVE), en lugar de enviar la ubicacin en s. Para manejar artefactos de tipo
0x0001, el servicio de confirmacin de usuarios deben mantener una tabla que
asigna ID de origen a las ubicaciones de sitios de origen de socios.

4. El IVE enva una declaracin de autenticacin al ACS: El IVE usa el ttulo de


la declaracin en la solicitud para encontrar la declaracin correcta en la cach
del IVE y despus enva la declaracin de autenticacin adecuada de vuelta al
servicio de confirmacin de usuarios. La declaracin que no ha iniciado sesin
contiene la identidad del usuario y el mecanismo que usa para iniciar sesin en
el IVE.
5. El ACS enva una cookie al IVE: El servicio de confirmacin de usuarios acepta
la declaracin y, despus, enva una cookie de vuelta al IVE que permite la
sesin del usuario.
6. El IVE enva la cookie al servidor Web: El IVE guarda en cach la cookie para
manejar futuras solicitudes. Seguidamente, el IVE enva la cookie en una
solicitud HTTP al servidor Web cuyo nombre de dominio coincide con el
dominio en la cookie. El servidor Web abre la sesin sin pedir credenciales
al usuario.

238

Configuracin de perfiles SAML SSO

Captulo 10: Inicio de sesin nico

NOTA: Si configura el IVE para usar perfiles de artefacto, debe instalar el


certificado de servidor Web de IVE en el servicio de confirmacin de usuarios
(como se explica en Configuracin de certificados en la pgina 250).

Para escribir una directiva de recurso de perfil de artefacto de SAML SSO:


1. En la consola de administracin, dirjase a Users > Resource Policies > Web.
2. Si su vista de administrador an no est configurada para mostrar directivas de
SAML, haga las siguientes modificaciones:
a.

Haga clic en el botn Customize en la esquina superior derecha de


la pgina.

b.

Seleccione la casilla de verificacin SSO.

c.

Seleccione la casilla de verificacin SAML ubicada debajo de la casilla de


verificacin SSO.

d. Haga clic en OK.


3. Seleccione la ficha SSO > SAML.
4. Haga clic en New Policy.
5. En la pgina New Policy, introduzca:
a.

Un nombre para identificar esta directiva.

b.

Una descripcin de la directiva (opcional).

6. En la seccin Resources, especifique los recursos a los cuales se aplica esta


directiva. Para obtener ms informacin, consulte Especificacin de los
recursos para una directiva de recursos en la pgina 103. Para habilitar la
coincidencia segn IP o la coincidencia que distingue entre maysculas y
minsculas para estos recursos, consulte Escritura de una directiva de recursos
proxy web en la pgina 456.
7. En la seccin Roles, especifique:

Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.

Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.

Configuracin de perfiles SAML SSO

239

Gua de administracin de Secure Access de Juniper Networks

8. En la seccin Action, especifique:

Use the SAML SSO defined below: El IVE ejecuta una solicitud de inicio de
sesin nico (SSO) a la URL especificada usando los datos especificados en
la seccin SAML SSO details. El IVE hace la solicitud de SSO cuando un
usuario intenta tener acceso a un recurso de SAML especificad en la lista
de Resources.

Do NOT use SAML: El IVE no ejecuta una solicitud de SSO.

Use Detailed Rules: Para especificar una o ms reglas detalladas para


esta directiva.

9. En la seccin SAML SSO Details, especifique:

SAML Assertion Consumer Service URL: Introduzca la URL que el IVE


debe usar para comunicarse con el servicio de confirmacin de usuarios
(es decir, el servidor de administrador de accesos). Por ejemplo,
https://<hostname>:<port>/dana-na/auth/saml-consumer.cgi. (Observe que
el IVE tambin utiliza este campo con objeto de determinar el receptor
SAML para sus confirmaciones.)

NOTA: Si introduce una URL que comienza con HTTPS, debe instalar la CA raz del
servicio de confirmacin de usuarios en el IVE (como se explica en Configuracin
de certificados en la pgina 250).

Profile: Seleccione Artifact para indicar que el servicio de confirmacin de


usuarios debe extraer informacin del IVE durante transacciones de SSO.

Source ID: Introduzca el ID de origen para el IVE. Si introduce una:

Cadena de texto plano: El IVE la convierte, agrega o trunca a una


cadena de 20 bytes.

Cadena codificada en base 64: El IVE la decodifica y se asegura de que


es de 20 bytes.

Si su sistema de administracin de accesos requiere ID de origen


codificados de base 64, puede crear una cadena de 20 bytes y, despus,
usarla como una herramienta como OpenSSL para codificarla en base 64.
NOTA: El identificador de IVE (es decir, ID de origen) debe asignar a la siguiente
URL en el servicio de confirmacin de usuarios (como se explica en
Configuracin de URL de aplicacin fiable en la pgina 249):
https://<IVEhostname>/dana-ws/saml.ws

Issuer: Introduzca una cadena nica que el IVE pueda usar para identificar
cuando genere confirmaciones (por lo general, su nombre de host).

NOTA: Debe configurar el servicio de confirmacin de usuarios para que reconozca

la cadena nica de IVE (como se explica en Configuracin de un emisor en la


pgina 250).

240

Configuracin de perfiles SAML SSO

Captulo 10: Inicio de sesin nico

10. En la seccin User Identity, especifique cmo el IVE y el servicio de


confirmacin de usuarios deben identificar al usuario:

Subject Name Type: Especifique qu mtodo el IVE y el servicio de


confirmacin de usuarios deben utilizar para identificar al usuario:

DN: Enve el nombre de usuario en el formato de un atributo de DN


(nombre completo).

Email Address: Enve el nombre de usuario en el formato de una


direccin de correo electrnico.

Windows: Enve el nombre de usuario en el formato de un nombre de


usuario de dominio calificado de Windows.

Other: Enve el nombre de usuario en otro formato acordado por el IVE


y el servicio de confirmacin de usuarios.

Subject Name: Use las variables descritas en Variables del sistema y


ejemplos en la pgina 1046 para especificar el nombre de usuario que el
IVE debe transmitir al servicio de confirmacin de usuarios. O introduzca
texto esttico.

NOTA: Debe enviar un nombre de usuario o atributo que el servicio de


confirmacin de usuarios reconocer (como se explica en Configuracin de la
identidad de usuario en la pgina 253).

11. En la seccin Web Service Authentication, especifique el mtodo de


autenticacin que el IVE debe usar para autenticar el servicio de confirmacin
de usuarios:

None: No autentique el servicio de confirmacin de usuarios.

Username: Autentique el servicio de confirmacin de usuarios usando un


nombre de usuario y contrasea. Introduzca el nombre de usuario y
contrasea que el servicio de confirmacin de usuarios debe enviar al IVE.

Certificate Attribute: Autentique el servicio de confirmacin de usuarios


usando atributos de certificados. Introduzca los atributos que el servicio de
confirmacin de usuarios debe enviar al IVE (un atributo por lnea). Por
ejemplo, cn=sales. Debe usar valores que coincidan con los valores
contenidos en el certificado del servicio de confirmacin de usuarios.

NOTA: Si selecciona esta opcin, debe instalar CA raz del servicio de confirmacin

de usuarios en el IVE (como se explica en Configuracin de certificados en la


pgina 250).
12. Cookie Domain: Introduzca una lista de dominios separados por coma a los
cuales enviar la cookie de SSO.

Configuracin de perfiles SAML SSO

241

Gua de administracin de Secure Access de Juniper Networks

13. Haga clic en Save Changes.


14. En la pgina SAML SSO Policies, ordene las directivas en el orden en el que
desee que el IVE las evale. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la accin especificada y detiene las
directivas de procesamiento.

Creacin de un perfil POST


Cuando opta por comunicarse usando un perfil POST (tambin llamado perfil
Explorador/POST), el IVE enva datos de autenticacin al sistema de
administracin de accesos usando un comando POST HTTP a travs de una
conexin SSL 3.0, como se muestra en la Figura 32.
Figura 32: Perfil POST

El IVE y un sistema de administracin de accesos (AM) usan el siguiente proceso


para transmitir informacin:
1. El usuario intenta acceder a un recurso: Un usuario inicia sesin en el IVE
e intenta tener acceso a un recurso protegido en un servidor Web.
2. El IVE publica una declaracin: El IVE intercepta la solicitud y comprueba si
ha ejecutado la operacin SSO necesaria para cumplir la solicitud. Si no lo ha
hecho, el IVE crea una declaracin de autenticacin, la firma digitalmente, y la
publica directamente el servidor de administracin de accesos. Dado que la
declaracin est firmada, el servidor de administracin de accesos debe confiar
en la autoridad de certificado que fue utilizada para emitir el certificado.
Observe que debe configurar qu certificado usa el IVE para firmar la
declaracin.
3. El AM establece una sesin: Si el usuario tiene los permisos adecuados, el
servidor de administracin de accesos enva una cookie devuelta al IVE que
permite la sesin del usuario.
4. El IVE enva la cookie al servidor Web: El IVE guarda en cach la cookie para
manejar futuras solicitudes. Seguidamente, el IVE enva la cookie en una
solicitud HTTP al servidor Web cuyo nombre de dominio coincide con el
dominio en la cookie. El servidor Web abre la sesin sin pedir credenciales
al usuario.

242

Configuracin de perfiles SAML SSO

Captulo 10: Inicio de sesin nico

NOTA: Si configura el IVE para usar perfiles POST, debe instalar la CA raz del
servicio de confirmacin de usuarios en el IVE y determinar qu mtodo usa el
servicio de confirmacin de usuarios para aprobar el certificado (como se explica
en Configuracin de certificados en la pgina 250).

Para escribir una directiva de recurso de perfil de POST SSO SAML:


1. En la consola de administracin, dirjase a Users > Resource Policies > Web.
2. Si su vista de administrador an no est configurada para mostrar directivas de
SAML, haga las siguientes modificaciones:
a.

Haga clic en el botn Customize en la esquina superior derecha de


la pgina.

b.

Seleccione la casilla de verificacin SSO.

c.

Seleccione la casilla de verificacin SAML ubicada debajo de la casilla de


verificacin SSO.

d. Haga clic en OK.


3. Seleccione la ficha SSO > SAML.
4. Haga clic en New Policy.
5. En la pgina SAML SSO Policy, introduzca:
a.

Un nombre para identificar esta directiva.

b.

Una descripcin de la directiva (opcional).

6. En la seccin Resources, especifique los recursos a los cuales se aplica esta


directiva. Para obtener ms informacin, consulte Especificacin de los
recursos para una directiva de recursos en la pgina 103. Para habilitar la
coincidencia segn IP o la coincidencia que distingue entre maysculas y
minsculas para estos recursos, consulte Escritura de una directiva de recursos
proxy web en la pgina 456.
7. En la seccin Roles, especifique:

Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.

Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.

Configuracin de perfiles SAML SSO

243

Gua de administracin de Secure Access de Juniper Networks

8. En la seccin Action, especifique:

Use the SAML SSO defined below: El IVE ejecuta una solicitud de inicio de
sesin nico (SSO) a la URL especificada usando los datos especificados en
la seccin SAML SSO details. El IVE hace la solicitud de SSO cuando un
usuario intenta tener acceso a un recurso de SAML especificad en la lista
de Resources.

Do NOT use SAML: El IVE no ejecuta una solicitud de SSO.

Use Detailed Rules: Para especificar una o ms reglas detalladas que se


apliquen a esta directiva.

9. En la seccin SAML SSO Details, especifique:

SAML Assertion Consumer Service URL: Introduzca la URL que el IVE


debe usar para comunicarse con el servicio de confirmacin de usuarios
(es decir, el servidor de administrador de accesos). Por ejemplo,
https://hostname/acs.

Profile: Seleccione POST para indicar que el IVE debe introducir


informacin en el servicio de confirmacin de usuarios durante
transacciones de SSO.

Issuer: Introduzca una cadena nica que el IVE pueda usar para identificar
cuando genere confirmaciones (por lo general, su nombre de host).

NOTA: Debe configurar el servicio de confirmacin de usuarios para que reconozca

la cadena nica de IVE (como se explica en Configuracin de un emisor en la


pgina 250).

Signing Certificate: Especifique qu certificado el IVE debe usar para


firmar sus confirmaciones.

10. En la seccin User Identity, especifique cmo el IVE y el servicio de


confirmacin de usuarios deben identificar al usuario:

244

Configuracin de perfiles SAML SSO

Subject Name Type: Especifique qu mtodo el IVE y el servicio de


confirmacin de usuarios deben utilizar para identificar al usuario:

DN: Enve el nombre de usuario en el formato de un atributo de DN


(nombre completo).

Email Address: Enve el nombre de usuario en el formato de una


direccin de correo electrnico.

Windows: Enve el nombre de usuario en el formato de un nombre de


usuario de dominio calificado de Windows.

Other: Enve el nombre de usuario en otro formato acordado por el IVE


y el servicio de confirmacin de usuarios.

Captulo 10: Inicio de sesin nico

Subject Name: Use las variables descritas en Variables del sistema y


ejemplos en la pgina 1046 para especificar el nombre de usuario que el
IVE debe transmitir al servicio de confirmacin de usuarios. O introduzca
texto esttico.

NOTA: Debe enviar un nombre de usuario o atributo que el servicio de


confirmacin de usuarios reconocer (como se explica en Configuracin de la
identidad de usuario en la pgina 253).

11. Cookie Domain: Introduzca una lista de dominios separados por coma a los
cuales enviar la cookie de SSO.
12. Haga clic en Save Changes.
13. En la pgina SAML SSO Policies, ordene las directivas en el orden en el que
desee que el IVE las evale. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la accin especificada y detiene las
directivas de procesamiento.

Creacin de una directiva de control de acceso


Cuando activa transacciones de control de acceso para un sistema de
administracin de accesos fiable, el IVE y el sistema de administracin de
accesos intercambian informacin usando el mtodo indicado en la Figura 33.
Figura 33: Directivas de control de acceso

Configuracin de perfiles SAML SSO

245

Gua de administracin de Secure Access de Juniper Networks

El IVE y un sistema de administracin de accesos (AM) usan el siguiente proceso


para transmitir informacin:
1. El usuario intenta acceder a un recurso: Un usuario inicia sesin en el IVE
e intenta tener acceso a un recurso protegido en un servidor Web.
2. El IVE publica una consulta de decisin de autorizacin: Si el IVE ya ha
hecho una solicitud de autorizacin y an es vlida, el IVE usa esa solicitud.
(La solicitud de autorizacin es vlida para el perodo de tiempo especificado en
la consola de administracin.) Si no tiene una solicitud de autorizacin vlida,
el IVE publica una consulta de decisin de autorizacin para acceder al sistema
de administracin de accesos. La consulta contiene la identidad del usuario y el
recurso que el sistema de administracin de accesos necesita autorizar.
3. El AM publica una declaracin de decisin de autorizacin: El sistema de
administracin de accesos enva un POST HTTPS que contiene un mensaje
SOAP con la declaracin de decisin de autorizacin. La declaracin de decisin
de autorizacin contiene un resultado de permiso, denegacin o
indeterminado.
4. El IVE enva la solicitud al servidor Web: Si la declaracin de decisin de
autorizacin devuelve un resultado de permiso, el IVE permite el acceso al
usuario. Si no lo hace, el IVE presenta una pgina de error al usuario indicando
que no tiene los permisos de acceso adecuados.

NOTA: Si configura el IVE para usar transacciones de control de acceso, debe


instalar la CA raz del servicio Web de SAML en el IVE (como se explica en
Configuracin de certificados en la pgina 250).

Para escribir una directiva de recurso de Control de acceso de SAML:


1. En la consola de administracin, dirjase a Users > Resource Policies > Web.
2. Si su vista de administrador an no est configurada para mostrar directivas de
SAML, haga las siguientes modificaciones:
a.

Haga clic en el botn Customize en la esquina superior derecha de


la pgina.

b.

Seleccione la casilla de verificacin SAML ACL ubicada debajo de la casilla


de verificacin Access.

c.

Haga clic en OK.

3. Seleccione la ficha Access > SAML ACL.


4. En la pgina SAML Access Control Policies, haga clic en New Policy.
5. En la pgina New Policy, introduzca:

246

a.

Un nombre para identificar esta directiva.

b.

Una descripcin de la directiva (opcional).

Configuracin de perfiles SAML SSO

Captulo 10: Inicio de sesin nico

6. En la seccin Resources, especifique los recursos a los cuales se aplica esta


directiva. Para obtener ms informacin, consulte Especificacin de los
recursos para una directiva de recursos en la pgina 103. Para habilitar la
coincidencia segn IP o la coincidencia que distingue entre maysculas y
minsculas para estos recursos, consulte Escritura de una directiva de recursos
proxy web en la pgina 456.
7. En la seccin Roles, especifique:

Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.

Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.

Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.

8. En la seccin Action, especifique:

Use the SAML Access Control checks defined below: El IVE ejecuta una
comprobacin de control de acceso a la URL especificada usando los datos
especificados en la seccin SAML Access Control Details.

Do not use SAML Access: El IVE no ejecuta una comprobacin de control


de acceso.

Use Detailed Rules: Para especificar una o ms reglas detalladas para


esta directiva.

9. En la seccin SAML Access Control Details, especifique:

SAML Web Service URL: Introduzca la URL del servidor SAML del sistema
de administracin de accesos. Por ejemplo, https://hostname/ws.

Issuer: Introduzca el nombre de host del emisor, que suele ser el nombre
de host del sistema de administracin de accesos.

NOTA: Debe introducir una cadena nica que el servicio Web de SAML Web utiliza
para identificarse en confirmaciones de autorizacin (como se explica en
Configuracin de un emisor en la pgina 250).

Configuracin de perfiles SAML SSO

247

Gua de administracin de Secure Access de Juniper Networks

10. En la seccin User Identity, especifique cmo deben identificar al usuario el


IVE y el servicio Web de SAML:

Subject Name Type: Especifique qu mtodo deben utilizar el IVE y el


servicio Web de SAML para identificar al usuario:

DN: Enve el nombre de usuario en el formato de un atributo de DN


(nombre completo).

Email Address: Enve el nombre de usuario en el formato de una


direccin de correo electrnico.

Windows: Enve el nombre de usuario en el formato de un nombre de


usuario de dominio calificado de Windows.

Other: Enve el nombre de usuario en otro formato acordado por el IVE


y el servicio Web de SAML.

Subject Name: Use las variables descritas en Variables del sistema y


ejemplos en la pgina 1046 para especificar el nombre de usuario que el
IVE debe transmitir al servicio Web de SAML. O introduzca texto esttico.

NOTA: Debe enviar un nombre de usuario o atributo que el servicio Web de SAML
reconocer (como se explica en Configuracin de la identidad de usuario en la
pgina 253).

11. En la seccin Web Service Authentication, especifique el mtodo de


autenticacin que el servicio Web de SAML debe usar para autenticar el IVE:

None: No autentique el IVE.

Username: Autentique el IVE usando un nombre de usuario y contrasea.


Introduzca el nombre de usuario y contrasea que el IVE debe enviar al
servicio Web.

Certificate Attribute: Autentique el IVE usando un certificado firmado por


una autoridad de certificado fiable. Si tiene ms de un certificado instalado
en el IVE, use la lista desplegable para seleccionar qu certificado enviar al
servicio Web.

NOTA: Si selecciona esta opcin, debe instalar el certificado del servidor Web de
IVE en el servidor Web del sistema de administracin de accesos y determinar
qu mtodo usa el servicio Web de SAML para aprobar el certificado (como se
explica en Configuracin de certificados en la pgina 250).

248

Configuracin de perfiles SAML SSO

Captulo 10: Inicio de sesin nico

12. En la seccin Options, especifique:

Maximum Cache Time: Puede eliminar el nivel mximo de generacin de


una decisin de autorizacin cada vez que el usuario solicita la misma URL
indicando que el IVE debe guardar en cach las respuestas de autorizacin
del sistema de administracin de accesos. Introduzca la cantidad de tiempo
que el IVE debe guardar en cach las respuestas (en segundos).

Ignore Query Data: De forma predeterminada, cuando un usuario solicita


un recurso, el IVE enva toda la URL para ese recurso (incluido el parmetro
de consulta) al servicio Web de SAML y guarda en cach URL. Puede
especificar que el IVE debe eliminar la cadena de consulta de la URL antes
de solicitar autorizacin o guardar en cach la respuesta de autorizacin.

13. Haga clic en Save Changes.


14. En la pgina SAML Access Control Policies, ordene las directivas en el orden
en el que desee que el IVE las evale. Tenga presente que una vez que el IVE
compara el recurso solicitado por el usuario con un recurso en una lista de
Resource de la directiva (o una regla detallada), realiza la accin especificada
y detiene las directivas de procesamiento.

Creacin de una relacin de confianza entre sistemas habilitados por SAML


Para asegurar que los sistemas habilitados por SAML estn solamente
transmitiendo informacin entre fuentes fiables, debe crear una relacin fiable
entre las aplicaciones que estn enviando y recibiendo informacin. Para crear una
relacin fiable entre el IVE y otra aplicacin habilitada por SAML, debe configurar
los siguientes tipos de informacin en cada sistema:

Configuracin de URL de aplicacin fiable en la pgina 249

Configuracin de un emisor en la pgina 250

Configuracin de certificados en la pgina 250

Configuracin de la identidad de usuario en la pgina 253

Configuracin de URL de aplicacin fiable


En una relacin fiable, debe proporcionar los sistemas habilitados por SAML con las
URL que necesitan para comunicarse con otras. En algunas transacciones,
solamente el sistema que inicia la transaccin (el IVE) necesita conocer la URL del
otro sistema. (El IVE usa la URL para iniciar la transaccin.) En otras transacciones
(las transacciones SSO que usan perfiles de artefactos), necesita configurar cada
sistema con la URL del otro.

Configuracin de perfiles SAML SSO

249

Gua de administracin de Secure Access de Juniper Networks

A continuacin se presenta una lista con los diferentes tipos de transacciones y URL
que debe configurar para cada cual:

Transacciones de SSO: Perfil de artefacto: En el IVE, debe introducir la URL


del servicio de confirmacin de usuarios. Por ejemplo: https://hostname/acs
Adems, debe introducir la siguiente URL para el servicio de confirmacin de
usuarios del IVE: https://<IVEhostname>/dana-ws/saml.ws

Transacciones de SSO: Perfil POST: En el IVE, debe introducir la URL del


servicio de confirmacin de usuarios. Por ejemplo: https://hostname/acs

Transacciones de control de accesos: En el IVE, debe introducir la URL del


servicio Web de SAML. Por ejemplo: https://hostname/ws

Configuracin de un emisor
Antes de aceptar una declaracin de otro sistema, una entidad habilitada por SAML
debe confiar en el emisor de la declaracin. Puede controlar en qu emisores confa
un sistema especificando cadenas nicas de los emisores fiables durante la
configuracin del sistema. (Cuando enva una declaracin, un emisor se identifica a
s mismo al incluir su cadena nica en la declaracin. Las aplicaciones habilitadas
por SAML generalmente usan nombres de hosts para identificar emisores, pero el
estndar SAML permite que las aplicaciones usen cualquier cadena.) Si no configura
un sistema para reconocer una cadena nica de un emisor, el sistema no aceptar
esas declaraciones del emisor.
A continuacin se presenta una lista con los diferentes tipos de transacciones y
emisores que debe configurar para cada cual:

Transacciones de SSO: Debe especificar una cadena nica en el IVE (por lo


general, su nombre de host) que puede usar para identificarse a s mismo y
despus, configurar el sistema de administracin de accesos para reconocer
esa cadena.

Transacciones de SSO: Debe especificar una cadena nica en el sistema de


administracin de accesos (por lo general, su nombre de host) que puede
usar para identificarse a s mismo y despus, configurar el IVE para reconocer
esa cadena.

Configuracin de certificados
Dentro de las transacciones de SSL, el servidor debe presentar un certificado al
cliente y despus el cliente debe comprobar (como mnimo) que confa en la
autoridad de certificado que emiti el certificado del servidor antes de aceptar la
informacin. Puede configurar todas las transacciones de SAML de IVE para usar
SSL (HTTPS). Las siguientes secciones tienen una lista de los diferentes tipos de
transacciones y requisitos de certificados para cada una.

250

Configuracin de perfiles SAML SSO

Captulo 10: Inicio de sesin nico

Configuracin de transacciones de SSO: Perfil de artefacto


Las transacciones de perfil de artefacto implican numerosas comunicaciones que
van y vienen entre el IVE y el sistema de administracin de accesos. Los mtodos
que utiliza para transmitir datos y autenticar los dos sistemas afectan a los
certificados que debe instalar y configurar. A continuacin encontrar una lista de
las diferentes opciones de configuracin de perfil de artefacto que requieren
configuraciones especiales de certificado:

All artifact profile transactions: Independientemente de la configuracin del


perfil de artefacto, debe instalar el certificado de la CA que firm el certificado
del servidor Web de IVE en el sistema de administracin de accesos. (El IVE
requiere que el sistema de administracin de accesos use una conexin SSL
cuando solicite una declaracin de autenticacin. En una conexin de SSL,
el iniciador debe confiar en el sistema al cual se est conectando. Al instalar el
certificado de CA en el sistema de administracin de accesos, asegura que el
sistema de administracin de accesos confiar en la CA que emiti el
certificado del IVE.)

Sending artifacts over an SSL connection (HTTPS GET requests): Si opta por
enviar artefactos al sistema de administracin de accesos usando una conexin
de SSL, debe instalar el certificado de CA raz del sistema de administracin de
accesos en el IVE. (En una conexin de SSL, el iniciador debe confiar en el
sistema al cual se est conectando). Al instalar el certificado de CA del sistema
de administracin de accesos en el IVE, asegura que el IVE confiar en la CA
que emiti el certificado del sistema de administracin de accesos.) Puede
instalar la CA raz desde la pgina System > Configuration > Certificates >
Trusted Client CAs en la consola de administracin. Para obtener ms
informacin, consulte Uso de CA de cliente de confianza en la pgina 758.
Si no desea enviar artefactos a travs de una conexin SSL, no necesita instalar
ningn certificado adicional.
Para activar comunicaciones basadas en SSL desde el IVE para el sistema de
administracin de accesos, introduzca una URL que comience con HTTPS en
el campo SAML Assertion Consumer Service URL durante la configuracin
de IVE. Tambin puede necesitar activar SSL en el sistema de administracin
de accesos.

Transactions using certificate authentication: Si opta por autenticar el


sistema de administracin de accesos usando un certificado, debe:

Instalar el certificado de CA raz del sistema de administracin de accesos


en el IVE. Puede instalar la CA raz desde la pgina System >
Configuration > Certificates > Trusted Client CAs en la consola de
administracin. Para obtener ms informacin, consulte Uso de CA de
cliente de confianza en la pgina 758.

Especifique qu valores de certificado debe usar el IVE para validar el


sistema de administracin de accesos. Debe usar valores que coincidan
con los valores contenidos en el certificado del sistema de administracin
de accesos.

Si no opta por autenticar el sistema de administracin de accesos, o elige usar


autenticacin de nombre de usuario/contrasea, no necesita instalar ningn
certificado adicional.

Configuracin de perfiles SAML SSO

251

Gua de administracin de Secure Access de Juniper Networks

Configuracin de transacciones de SSO: Perfil POST


En una transaccin de perfil POST, el IVE enva declaraciones de autenticacin
firmadas al sistema de administracin de accesos. Por lo general, las enva a travs
de una conexin SSL (recomendado), pero en algunas configuraciones, el IVE puede
enviar declaraciones mediante una conexin HTTP estndar. A continuacin
encontrar una lista de las diferentes opciones de configuracin de perfil POST que
requieren configuraciones especiales de certificado:

All POST profile transactions: De forma independiente de la configuracin del


perfil POST, debe especificar qu certificado debe usar el IVE para firmar sus
declaraciones. Puede elegir un certificado en la pgina Users > Resource
Policies > Web > SSO SAML > [Directiva] > General en la consola de
administracin. Para obtener ms informacin, consulte Configuracin de
SAML en la pgina 234. Despus, debe instalar el certificado del dispositivo de
IVE en el sistema de administracin de accesos. Puede descargar el certificado
del IVE desde la pgina System > Configuration > Certificates > Device
Certificates > [Certificado] > Certificate Details.

Sending Sending POST data over an SSL connection (HTTPS): Si elige enviar
declaraciones al sistema de administracin de accesos usando una conexin de
SSL, debe instalar el certificado de CA raz del sistema de administracin de
accesos en el IVE. (En una conexin de SSL, el iniciador debe confiar en el
sistema al cual se est conectando). Al instalar en el IVE el certificado del
sistema de administracin de accesos, asegura que el IVE confiar en la CA que
emiti el certificado del sistema de administracin de accesos.) Puede instalar
la CA raz desde la pgina System > Configuration > Certificates > Trusted
Client CAs en la consola de administracin. Para obtener ms informacin,
consulte Uso de CA de cliente de confianza en la pgina 758. Si no desea
enviar declaraciones post a travs de una conexin SSL, no necesita instalar
ningn certificado adicional.
Para activar comunicaciones basadas en SSL desde el IVE para el sistema de
administracin de accesos, introduzca una URL que comience con HTTPS en
el campo SAML Assertion Consumer Service URL durante la configuracin
de IVE. Tambin puede necesitar activar SSL en el sistema de administracin
de accesos.

Configuracin de transacciones de control de acceso


En una transaccin de control de acceso, el IVE publica una consulta de decisin
de autorizacin en el sistema de administracin de accesos. Para asegurar que el
sistema de administracin de accesos responda a la consulta, debe determinar qu
opciones de certificado requiere su configuracin. A continuacin encontrar una
lista de las diferentes opciones de configuracin de control de acceso que requieren
configuraciones especiales de certificado:

252

Sending authorization data over an SSL connection: Si opta por conectarse


al sistema de administracin de accesos usando una conexin de SSL, debe
instalar el certificado de CA raz del sistema de administracin de accesos en el
IVE. (En una conexin de SSL, el iniciador debe confiar en el sistema al cual se
est conectando). Al instalar en el IVE el certificado del sistema de
administracin de accesos, se garantiza que el IVE confiar en la CA que emiti
el certificado del sistema de administracin de accesos.) Puede instalar la CA
raz desde la pgina System > Configuration > Certificates > Trusted Client
CAs en la consola de administracin. Para obtener ms informacin, consulte
Uso de CA de cliente de confianza en la pgina 758.

Configuracin de perfiles SAML SSO

Captulo 10: Inicio de sesin nico

Transactions using certificate authentication: Si opta por usar autenticacin


de certificados, debe configurar el sistema de control de acceso para confiar en
la CA que emiti el certificado del IVE. Opcionalmente, puede tambin optar
por aceptar el certificado basado en las siguientes opciones adicionales:

Cargar la clave pblica del certificado del IVE en el sistema de


administracin de accesos.

Validar el IVE usando atributos de certificado especficos.

Estas opciones requieren que especifique qu certificado debe transmitir el


IVE al sistema de administracin de accesos. Puede elegir un certificado en la
pgina Users > Resource Policies > Web > SAML ACL > [Directiva] >
General en la consola de administracin. Para obtener ms informacin,
consulte Configuracin de perfiles SAML SSO en la pgina 237.
Para determinar cmo configurar su sistema de administracin de accesos
para validar el certificado del IVE, consulte la documentacin del sistema de
administracin de accesos. Si su sistema de administracin de accesos no
requiere autenticacin de certificado, o si usa autenticacin de nombre de
usuario/contrasea, no necesita configurar el IVE para transmitir un certificado
al servidor de administracin de accesos. Si no especifica un mtodo fiable, su
sistema de administracin de accesos puede aceptar solicitudes de autorizacin
desde cualquier sistema.

Configuracin de la identidad de usuario


En una relacin fiable, las dos entidades deben acordar una forma de identificar
usuarios. Puede elegir compartir un nombre de usuario en sistemas, seleccionar un
LDAP o atributo de usuario de certificado para compartir entre sistemas o incruste
los datos directamente en el cdigo fuente de ID de usuario. (Por ejemplo, puede
elegir configurar el campo Subject Name con el nombre "invitado" con el fin de
permitir el acceso rpido en los sistemas).
Para asegurar que dos sistemas estn transmitiendo informacin comn sobre
usuarios, debe especificar qu informacin debe transmitir el IVE usando opciones
en la seccin User Identity de la pgina Users > Resource Policies > Web >
SAML SSO > [Directiva] > General (para obtener ms informacin, consulte
Configuracin de SAML en la pgina 234) y la pgina Users > Resource
Policies > Web > SAML ACL > [Directiva] > General de la consola de
administracin. Elija un nombre de usuario o atributo que reconozca el sistema
de administracin de accesos.

Configuracin de perfiles SAML SSO

253

Gua de administracin de Secure Access de Juniper Networks

Resumen de tareas: Configuracin de SAML mediante el IVE


Para configurar el SAML mediante el IVE, debe:
1. Configure una directiva de recurso Web para una URL mediante las fichas
Users > Resource Policies > Web > SAML ACL y Users > Resource
Policies > Web > SAML SSO en la consola de administracin. Para obtener
ms informacin, consulte Configuracin de SAML en la pgina 234.
2. Dentro de la directiva, proporcione informacin sobre el IVE, el sistema de
administracin de accesos fiable y el mecanismo que debe usar para compartir
informacin, segn se explica en Creacin de una relacin de confianza entre
sistemas habilitados por SAML en la pgina 249.
3. D acceso a los usuarios de IVE de un rol a la directiva de recursos Web
mediante la ficha Users > User Roles > Seleccionar rol > General de la
consola de administracin. Para obtener instrucciones, consulte Configuracin
de las opciones generales del rol en la pgina 73.

254

Configuracin de perfiles SAML SSO

Parte 3

Defensa en el punto final


Trusted Computing Group (TCG) es una organizacin sin fines de lucro fundada en
el 2003 para desarrollar, definir y promover estndares abiertos para tecnologas de
computacin y seguridad fiables con habilitacin de hardware en diversas
plataformas, dispositivos perifricos y otros. TCG tiene ms de 100 miembros entre
los que se cuentan proveedores de componentes, desarrolladores de software,
proveedores de sistemas y operadores de redes.
Trusted Network Connect (TNC) es un grupo perteneciente a TCG que cre una
arquitectura y un conjunto de estndares para verificar la integridad y el
cumplimiento de directivas en el punto final durante o despus de una solicitud de
acceso de red. Muchos de los miembros del TCG participaron en la definicin y
especificacin de la arquitectura del TNC. El TNC defini varias interfaces estndar
que permiten que componentes de distintos fabricantes funcionen juntos de
manera segura. La arquitectura del TNC est diseada para aprovechar estndares
y tecnologas establecidos, como 802 1X, RADIUS, IPsec, EAP y TLS/SSL.
Para obtener ms informacin acerca de TNC, visite
www.trustedcomputinggroup.org.
Con el uso de los siguientes componentes de defensa en el punto final, se puede
administrar y proporcionar una variedad de verificaciones en el punto final,
todo ello en el IVE.

Host Checker: Host Checker usa tecnologa basada en la arquitectura


y estndares de TNC para ofrecer un mtodo integral para determinar la
fiablilidad de los puntos finales. Host Checker es un componente nativo del IVE
que puede usar para realizar comprobaciones de los puntos finales en los hosts
que se conectan al IVE. Host Checker comprueba las aplicaciones, archivos,
procesos, puertos, claves de registro y DLL personalizadas de terceros, as como
el nombre de NetBIOS, direccin MAC o certificado del equipo cliente y niega
o permite el acceso de acuerdo con los resultados de las comprobaciones.
Cuando se cuenta con la licencia adecuada, tambin se puede usar Host
Checker para descargar software avanzado de deteccin de malware
directamente en el equipo del usuario. Cuando el equipo del usuario no cumple
con los requisitos especificados, se pueden mostrar instrucciones de correccin
a los usuarios para que puedan adecuar sus equipos. Para obtener ms
informacin, consulte Host Checker en la pgina 257.
Por ejemplo, se puede escoger que se detecten virus antes de otorgar acceso
a cualquiera de los territorios del IVE, lanzar el software en el sistema si es
necesario, asignar el usuario a roles segn las directivas particulares que estn
definidas en su propia DLL y despus restringir ms el acceso a los distintos
recursos de acuerdo con la existencia de un software de deteccin de spyware.

255

Gua de administracin de Secure Access de Juniper Networks

Cache Cleaner (slo Windows): Cache Cleaner es un componente nativo del


IVE que se puede usar para eliminar datos residuales, como cookies, archivos
temporales o cachs de aplicaciones del equipo de un usuario cuando termina
una sesin del IVE. Cache Cleaner ayuda proteger el sistema del usuario
evitando que usuarios posteriores encuentren copias temporales de archivos
que haya visto el usuario anterior y evitando que los exploradores web
almacenen de manera permanente los nombres de usuario, claves y
direcciones web que se introducen en los formularios. Para obtener ms
informacin, consulte Cache Cleaner en la pgina 331.

Esta seccin contiene la siguiente informacin sobre la defensa en el punto final:

256

Host Checker en la pgina 257

Cache Cleaner en la pgina 331

Captulo 11

Host Checker
Host Checker es un agente del lado cliente que realiza comprobaciones de los
puntos finales en los hosts que se conectan al IVE. Puede invocar el Host Checker
antes de mostrar al usuario la pgina de inicio de sesin del IVE y cuando evale
una regla de asignacin de roles o una directiva de recursos.

La arquitectura TNC dentro de Host Checker


Todas las reglas de Host Checker se implementan a travs de IMC (recopiladores de
medicin de integridad) e IMV (comprobadores de medicin de integridad) basados
en la arquitectura abierta de TNC (Trusted Network Computing).
Los IMC son mdulos de software que Host Checker ejecuta en el equipo cliente.
Los IMC son responsables de recopilar la informacin de, por ejemplo, antivirus,
antispyware, administracin de parches, cortafuegos y otra informacin de
seguridad y de configuracin para un equipo cliente.
Los IMV son mdulos de software que se ejecutan en el IVE y que son responsables
de comprobar un aspecto en particular de la integridad de un punto final.
El IVE y Host Checker administran el flujo de informacin entre los pares
concordantes de IMV e IMC. Cada IMV presente en el IVE trabaja con el
correspondiente IMC en el equipo cliente para comprobar que el ste cumpla
con las reglas de Host Checker.
Tambin puede configurar Host Checker para supervisar los IMC de terceros
instalados en los equipos cliente usando IMV de terceros que se instalan en
un servidor de IMV remoto. Para obtener ms informacin, consulte Uso de
Comprobadores de medicin de integridad de terceros en la pgina 289.
NOTA:

El IVE y Host Checker cumplen con las normas emitidas por el subgrupo
Trusted Network Connect (TNC) de Trusted Computing Group. Para obtener
ms informacin acerca de IMV e IMC, visite www.trustedcomputinggroup.org.

La arquitectura TNC dentro de Host Checker

257

Gua de administracin de Secure Access de Juniper Networks

El IVE puede buscar propiedades de los puntos finales en los hosts usando varios
tipos de reglas; por ejemplo, reglas que comprueban la presencia e instalan
proteccin contra malware; reglas predefinidas que buscan software antivirus,
cortafuegos, malware, spyware, sistemas operativos especficos, DLL de terceros,
puertos, procesos, archivos, valores de la clave de registro, el nombre del NetBIOS,
la direccin MAC o el certificado del equipo cliente.

Vista general de Host Checker


Si el equipo del usuario no cumple con alguno de los requisitos de las directivas
de Host Checker, puede crear una pgina personalizada en HTML que muestra las
acciones correctivas al usuario. Esta pgina puede contener instrucciones
especficas y vnculos a recursos que le ayudan al usuario a lograr que su equipo
cumpla con las directivas de Host Checker.
Esta seccin contiene la siguiente informacin sobre Host Checker:

Licencia: Disponibilidad de Host Checker en la pgina 258

Resumen de tareas: Configuracin de Host Checker en la pgina 259

Creacin de directivas de Host Checker globales en la pgina 261

Habilitacin de Secure Virtual Workspace en la pgina 321

Implementacin de las directivas del Host Checker en la pgina 298

Correccin de las directivas de Host Checker en la pgina 303

Definicin de los tneles de acceso de autenticacin previa de Host Checker


en la pgina 310

Especificacin de las opciones generales de Host Checker en la pgina 314

Especificacin de las opciones de instalacin de Host Checker en la


pgina 316

Uso de registros de Host Checker en la pgina 319

Licencia: Disponibilidad de Host Checker


Host Checker es una caracterstica estndar en todos los dispositivos Secure Access.
Sin embargo, debe tener en cuenta que las expresiones personalizadas de
Host Checker, las reglas detalladas de Host Checker, la opcin de correccin de
Host Checker y otras caractersticas no estn disponibles en el dispositivo SA 700
y que slo estn disponibles en todos los dems productos Secure Access previa
adquisicin de una licencia especial. Tambin, si desea admitir ms de 25 usuarios
con las directivas avanzadas de deteccin de malware para la defensa de los puntos
finales, debe adquirir una licencia de actualizacin.

258

Vista general de Host Checker

Captulo 11: Host Checker

Resumen de tareas: Configuracin de Host Checker


Para configurar Host Checker, debe realizar las siguientes tareas:
1. Cree y habilite las directivas de Host Checker en la pgina Authentication >
Endpoint Security > Host Checker de la consola de administracin, como se
explica en Creacin de directivas de Host Checker globales en la pgina 261.
2. Si fuese necesario, configure las opciones de nivel de sistema adicionales a
travs de la pgina Authentication > Endpoint Security > Host Checker de
la consola de administracin:

Si desea mostrar la informacin de correccin a los usuarios cuando no


cumplan con los requisitos de una directiva de Host Checker, configure las
opciones de correccin en la pgina Authentication > Endpoint
Security > Host Checker de la consola de administracin, como se
explica en Correccin de las directivas de Host Checker en la pgina 303.

Para clientes de Windows, determine si ser necesario usar un tnel de


acceso de autenticacin previa entre los clientes y los servidores de
directivas o los recursos. Si fuese necesario, cree un archivo manifest.hcif
con la definicin de tnel y crguelo en la pgina Authentication >
Endpoint Security > Host Checker de la consola de administracin,
como se explica en Definicin de los tneles de acceso de autenticacin
previa de Host Checker en la pgina 310.

Si desea cambiar los ajustes predeterminados de Host Checker,


configrelos en la pgina Authentication > Endpoint Security >
Host Checker de la consola de administracin, como se explica en
Especificacin de las opciones generales de Host Checker en la
pgina 314.

3. Determine en qu niveles dentro de la estructura de administracin de acceso


del IVE desea aplicar las directivas:

Para aplicar las directivas de Host Checker cuando el usuario tenga acceso
por primera vez al IVE, implemente las directivas a nivel de territorio
usando las pginas Administrators > Admin Realms > Seleccionar
territorio > Authentication Policy > Host Checker o Users > User
Realms > Seleccionar territorio > Authentication Policy > Host Checker
de la consola de administracin.

Para permitir o negar acceso a los roles a los usuarios dependiendo de su


cumplimiento con las directivas de Host Checker, implemente las directivas
en un nivel de rol usando las pginas Administrators > Admin Roles >
Seleccionar rol > General > Restrictions > Host Checker o Users > User
Roles > Seleccionar rol > General > Restrictions > Host Checker de la
consola de administracin.

Resumen de tareas: Configuracin de Host Checker 259

Gua de administracin de Secure Access de Juniper Networks

Para asignar usuarios a los roles dependiendo de su cumplimiento con las


directivas de Host Checker, use las expresiones personalizadas en las
pginas Administrators > Admin Realms > Seleccionar territorio > Role
Mapping o Users > User Realms > Seleccionar territorio > Role Mapping
de la consola de administracin.

Para conceder o denegar el acceso de los usuarios a recursos individuales


dependiendo de su cumplimiento con las directivas Host Checker, use las
condiciones de la pgina Users > Resource Policies > Seleccionar recurso
> Seleccionar directiva > Detailed Rules > Seleccionar|Crear regla de la
consola de administracin.

Para obtener ms informacin, consulte Configuracin de las restricciones de


Host Checker en la pgina 301.
4. Especifique la manera en la que los usuarios pueden tener acceso al agente del
lado cliente de Host Checker que aplica las directivas que usted define:

Para permitir la instalacin automtica del agente del lado cliente de


Host Checker en todas las plataformas, use la pgina Administrators >
Admin Realms > Seleccionar territorio > Authentication Policy > Host
Checker o la pgina Users > User Realms > Seleccionar territorio >
Authentication Policy > Host Checker de la consola de administracin.

Para descargar el instalador de Host Checker e instalarlo manualmente en


los sistemas de usuarios de Windows, use la pgina Maintenance >
System > Installers de la consola de administracin.

Para obtener instrucciones acerca de la configuracin, consulte Especificacin


de las opciones de instalacin de Host Checker en la pgina 316.

NOTA: Los usuarios deben habilitar en sus exploradores componentes ActiveX


firmados o applets de Java firmados para que Host Checker descargue,
instale e inicie las aplicaciones de cliente.

5. Determine si desea crear registros del lado cliente. Si habilita la creacin de


registros del lado cliente a travs de la pgina System > Log/Monitoring >
Client Logs de la consola de administracin, el dispositivo IVE crea archivos de
registro en el sistema del usuario y escribe en el archivo cada vez que se ejecuta
el Host Checker. Para obtener instrucciones sobre la configuracin, consulte
Uso de registros de Host Checker en la pgina 319.

260

Resumen de tareas: Configuracin de Host Checker

Captulo 11: Host Checker

Si existe ms de una sesin vlida del IVE desde el mismo sistema y se usa
Host Checker en esas sesiones, todas las sesiones finalizarn cuando un usuario se
desconecte de una de las sesiones. Para evitar esto, desactive Host Checker en las
sesiones que no lo necesitan.

NOTA: Si hay varios administradores o usuarios finales conectados a un solo IVE


desde el mismo sistema cliente y al menos uno de ellos implementa Host Checker,
podran ocurrir resultados inesperados. Por ejemplo, Host Checker podra cerrarse,
se podran perder privilegios de rol y podran ocurrir desconexiones forzadas.

Creacin de directivas de Host Checker globales


Para usar Host Checker como una herramienta de aplicacin de directivas para
administrar puntos finales, debe crear directivas de Host Checker globales a nivel
de sistema a travs de la pgina Authentication > Endpoint Security >
Host Checker de la consola de administracin y luego debe implementar las
directivas en los niveles de directivas de territorio, roles y recursos.
El IVE proporciona distintos mecanismos que puede usar para habilitar,
crear y configurar las directivas de Host Checker:

Directivas predefinidas (impiden ataques dentro de la red o la descarga de


software de deteccin de malware): El IVE viene equipado con dos tipos de
directivas predefinidas de Host Checker del lado cliente que simplemente
necesita habilitar para usarlas, ya que no es necesario crearlas ni configurarlas.
La directiva de control de conexiones impide ataques en equipos cliente que
usan Windows de otros equipos infectados en la misma red. La defensa de
punto final avanzada: Las directivas de proteccin contra malware descargan
software de proteccin contra malware en los equipos cliente antes de que los
usuarios inicien sesin en el IVE. Tenga en cuenta que estas directivas slo
funcionan en sistemas Windows. Para obtener ms informacin, consulte
Habilitacin de directivas predefinidas del lado cliente (solo en Windows) en
la pgina 262.

Reglas predefinidas (comprueban aplicaciones de terceros): Host Checker


contiene una amplia matriz de reglas predefinidas que buscan software
antivirus, cortafuegos, malware, spyware y sistemas operativos especficos de
una gran variedad de lderes de la industria. Puede habilitar una o ms de estas
reglas dentro de una directiva del lado cliente de Host Checker para garantizar
que las aplicaciones integradas de terceros que especifique se estn ejecutando
en los equipos de los usuarios de acuerdo con sus especificaciones.
Para obtener ms informacin, consulte Bsqueda de aplicaciones de terceros
usando reglas predefinidas (slo en Windows) en la pgina 268.

Reglas personalizadas (comprueban requisitos adicionales): Adems de las


reglas predefinidas, puede crear reglas personalizadas dentro de una directiva
de Host Checker para definir los requisitos que deben cumplir los equipos de
los usuarios. Al usar las reglas personalizadas, podr:

Configurar Host Checker para buscar DLL de terceros personalizadas que


realicen comprobaciones personalizadas del lado cliente.

Creacin de directivas de Host Checker globales 261

Gua de administracin de Secure Access de Juniper Networks

Verificar que determinados puertos estn abiertos o cerrados en el equipo


del usuario.

Confirmar que determinados procesos estn o no estn ejecutndose en el


equipo del usuario.

Comprobar que determinados archivos estn o no estn presentes en el


equipo cliente.

Evaluar la antigedad y el contenido de los archivos requeridos a travs de


sumas de comprobacin MD5.

Confirmar que las claves de registro estn configuradas en el equipo


cliente.

Comprobar el nombre del NetBIOS, las direcciones MAC o los certificados


del equipo cliente.

Evaluar el sistema operativo de cliente y los paquetes de actualizacin de la


aplicacin para garantizar que estn actualizados.

Realizar comprobaciones de la aplicacin y de versin para garantizar que


los puntos finales se estn ejecutando en el software correcto.

Para obtener ms informacin, consulte Especificacin de requisitos


personalizados usando reglas personalizadas en la pgina 276.

Aplicaciones integradas personalizadas (se implementan a travs del


servidor API): Para clientes de Windows, puede cargar una DLL J.E.D.I.
de terceros al IVE. Para obtener ms informacin, consulte Habilitacin de
directivas personalizadas del lado del servidor en la pgina 296.

Dentro de una directiva nica, puede crear diferentes requisitos de


Host Checker para Windows, Macintosh y Linux que compruebe diferentes
archivos, procesos y productos en cada sistema operativo. Tambin puede
combinar tantos tipos de comprobacin del host como quiera dentro de una
directiva nica y buscar conjuntos alternativos de reglas.

Habilitacin de directivas predefinidas del lado cliente (solo en Windows)


El IVE viene equipado con dos tipos de directivas de Host Checker del lado cliente
que simplemente necesita habilitar para usarlas, ya que no es necesario crearlas ni
configurarlas:

262

La directiva de control de conexiones previene ataques en equipos cliente que


usan Windows de otros equipos infectados en la misma red. Para obtener ms
informacin, consulte Habilitacin de las directivas de control de conexiones
en la pgina 263.

Creacin de directivas de Host Checker globales

Captulo 11: Host Checker

Las directivas avanzadas de deteccin de malware para la defensa de los puntos


finales descargan el software Confidence Online de Whole Security a los
equipos cliente. Este software proporciona a los usuarios proteccin contra
software malicioso, como gusanos, virus, software registrador de pulsaciones
de teclas, software de captura de pantalla y troyanos. Para obtener ms
informacin, consulte Habilitacin de directivas avanzadas de proteccin
contra malware en la pgina 264.

NOTA: Las directivas avanzadas de control de conexiones y de deteccin de


malware para la defensa de los puntos finales slo funcionan en sistemas
Windows.

Habilitacin de las directivas de control de conexiones


La directiva predefinida de control de conexiones de Host Checker evita que
equipos infectados en la misma red fsica ataquen a los equipos cliente que usan
Windows. La directiva de control de conexiones de Host Checker bloquea todas las
conexiones TCP entrantes. Esta directiva permite el trfico saliente de TCP y de
Network Connect, adems de las conexiones a servidores DNS, servidores WINS,
servidores DHCP y servidores proxy y el IVE.
NOTA: Los usuarios deben tener privilegios de administrador para que Host
Checker aplique la directiva de control de conexiones en el equipo del cliente.

Para habilitar la directiva predefinida de control de conexiones de Host Checker:


1. En la consola de administracin, seleccione Authentication > Endpoint
Security > Host Checker.
2. En Options, seleccione la casilla de verificacin Create Host Checker
Connection Control Policy.
3. Haga clic en Save Changes. El IVE habilita la directiva de control de conexiones
de Host Checker.
NOTA: Tenga en cuenta que no puede modificar esta directiva, slo puede
habilitarla o inhabilitarla. Tambin tenga en cuenta que debido a que no puede
modificar esta directiva, el IVE no la muestra en la seccin Policies de la pgina
Authentication > Endpoint Security > Host Checker junto con las otras
directivas que s se pueden configurar.

4. Implemente la directiva de control de conexiones de Host Checker en los


niveles de directivas de territorio, rol o recurso, usando las opciones descritas
en Configuracin de las restricciones de Host Checker en la pgina 301.
NOTA: Debe evaluar o aplicar la directiva de control de conexiones a nivel de
territorio para hacer que la directiva sea eficiente en los equipos cliente.

Creacin de directivas de Host Checker globales 263

Gua de administracin de Secure Access de Juniper Networks

Habilitacin de directivas avanzadas de proteccin contra malware


Si cuenta con la licencia adecuada, podr habilitar las directivas avanzadas de
deteccin de malware para la defensa de los puntos finales a travs de
Host Checker. Estas directivas descargan y ejecutan el software Confidence Online
de Whole Security en los equipos de los usuarios. Este software busca programas
maliciosos, como:

Troyanos: Los piratas informticos escriben troyanos para controlar de forma


remota el equipo infectado. Los troyanos casi siempre se instalan por s mismos
en el equipo de un usuario autorizado sin que ste lo sepa.

Software registrador de pulsaciones de teclas: Los piratas informticos


escriben software registrador de pulsaciones de teclas para espiar a un usuario
y registrar las teclas que presiona. El software registrador de pulsaciones de
teclas se instala por s mismo en el equipo de un usuario autorizado sin que
ste lo sepa.

Aplicaciones de monitorizacin: Las aplicaciones de monitorizacin son


aplicaciones de software de usuario final que monitorean y registran la
actividad del usuario. Los usuarios por lo general instalan este tipo de software
para supervisar la actividad de los nios, cnyuges y otros usuarios con los que
comparten sus equipos.

Controles remotos: Las aplicaciones de control remoto son aplicaciones


comerciales como VNC que ofrecen fcil acceso remoto a un usuario autorizado
para actividades de administracin del equipo.

Para usar el software de proteccin contra malware de Whole Security, deber


habilitar la opcin Advanced Endpoint Defense Malware Detection a nivel del
sistema y aplicarla en los niveles de directivas de territorio, rol o recurso.
No es necesario que cree o configure las directivas avanzadas de deteccin de
malware para la defensa de los puntos finales, ya que Host Checker las crea por
usted cuando habilita la opcin a nivel de sistema. Tenga en cuenta que se
recomienda que solicite y aplique la directiva avanzada de deteccin de malware
para la defensa de los puntos finales a nivel de territorio. De esta forma,
Host Checker puede descargar el software de Confidence Online a los equipos de
los usuarios y buscar posibles amenazas antes de que inicien sesin en el IVE pero
despus de iniciar sesin en Windows. Despus de que Confidence Online
comience a ejecutarse, continuar buscando y bloqueando las amenazas a travs de
la sesin del IVE del usuario.
NOTA: Los equipos de los usuarios deben tener acceso al sitio de Whole Security
(update.wholesecurity.com) para que Confidence Online pueda descargar de forma
peridica los ltimos archivos de definicin.

Para habilitar y configurar las directivas avanzadas de deteccin de malware para la


defensa de los puntos finales:
1. En la consola de administracin, seleccione Authentication > Endpoint
Security > Host Checker.

264

Creacin de directivas de Host Checker globales

Captulo 11: Host Checker

2. En Options, seleccione la casilla de verificacin Enable Advanced Endpoint


Defense: Malware Protection.
3. Seleccione la casilla de verificacin Enable Silent Enforcement of Signature
Scan si es que no desea que Confidence Online les notifique a los usuarios
cuando bloquea troyanos, software registrador de pulsaciones de teclas y otras
aplicaciones que considere maliciosas. (Tenga en cuenta que Confidence Online
entra al servidor de Whole Security diariamente para mantener actualizada la
lista de aplicaciones maliciosas.)
4. Seleccione la casilla de verificacin Enable User Control over disabling
Behavior Blocker si desea permitir que los usuarios escojan si quieren o no
bloquear las aplicaciones de monitorizacin, el software de control remoto
y otras aplicaciones potencialmente legtimas. Si selecciona esta opcin,
los usuarios pueden ver y controlar las aplicaciones bloqueadas a travs
del.icono de Confidence Online que se encuentra en la bandeja del sistema.
(Para obtener ms informacin, consulte el sistema de ayuda de usuario final
de Confidence Online.) Si no selecciona esta opcin, Confidence Online
simplemente bloquear estas aplicaciones sin la interaccin del usuario.
NOTA:

Category 1 and Category 2 Signature Scans: Los usuarios restringidos,


los usuarios avanzados y los administradores pueden instalar y ejecutar la
caracterstica de anlisis en Confidence Online. La caracterstica de anlisis es
compatible con los sistemas Windows NT4, Windows 2000 y Windows XP.

Behavior Blocker: Slo los administradores pueden instalar y ejecutar la


caracterstica de bloqueo de comportamiento en Confidence Online.
La caracterstica de bloqueo de comportamiento se admite en los sistemas
Windows 2000 y Windows XP.

5. Haga clic en Save Changes. El IVE habilita las siguientes directivas avanzadas
de deteccin de malware para la defensa de los puntos finales:

Advanced Endpoint Defense: Malware Protection.Behavior Blocker: Esta


directiva fue creada por Whole Security. Habilita el software bloqueador de
comportamiento para bloquear software registrador de pulsaciones de
teclas y de captura de pantallas y otras aplicaciones que intenten espiar las
sesiones del usuario.

Advanced Endpoint Defense: Malware Protection.Category One Threats


(Trojan Horses and Key Loggers): Esta directiva fue creada por Whole
Security. Habilita el software de Confidence Online para bloquear
programas troyanos, spyware, malware y otras aplicaciones maliciosas.

Advanced Endpoint Defense: Malware Protection.Category Two Threats


(Monitoring Applications and Remote Controls): Esta directiva fue creada
por Whole Security. Habilita el software de Confidence Online para
bloquear aplicaciones de monitorizacin, software control remoto y otras
aplicaciones potencialmente legtimas.

Creacin de directivas de Host Checker globales 265

Gua de administracin de Secure Access de Juniper Networks

Cada una de estas directivas incluye instrucciones para la correccin que


muestran un mensaje a los usuarios si no cumplen con la directiva
especificada. El mensaje comunica a los usuarios que deben seguir las
instrucciones en la ventana emergente para realizar las correcciones en sus
equipos.
6. Implemente las directivas avanzadas de deteccin de malware para la defensa
de los puntos finales a niveles de directivas de territorio, rol o recurso usando
las opciones descritas en Configuracin de las restricciones de Host Checker
en la pgina 301. (Debe evaluar o aplicar al menos una directiva de deteccin
de malware para la defensa de los puntos finales a nivel de territorio para hacer
que la directiva sea eficiente en los equipos cliente.)

NOTA: Cuando aplique las directivas de deteccin de malware para la defensa de


los puntos finales, tenga en cuenta que:

No puede modificar estas directivas; slo puede habilitarlas o inhabilitarlas.


Tambin, debido a que no puede modificar estas directivas, el IVE no las
muestra en la seccin Policies de la pgina Authentication > Endpoint
Security > Host Checker junto con las otras directivas que s puede
configurar.

Si sus licencias de usuario simultneas para el IVE y Whole Security no


concuerdan, estar limitado a la cantidad menor de licencias entre las dos.
Por ejemplo, si tiene una licencia que permite 100 usuarios de IVE
simultneos y otra licencia que permite 50 usuarios de Whole Security
simultneos, esta limitacin le permitir que slo 50 usuarios tengan acceso
de forma simultnea a un IVE habilitado con las directivas de deteccin de
malware para la defensa de los puntos finales.

Si cuenta con licencias GINA y Whole Security, debe recordar que GINA se
ejecuta antes de que el usuario inicie sesin en Windows y que la descarga del
software Confidence Online de Whole Security ocurre despus de que el
usuario inicia sesin en Windows. Por lo tanto, Whole Security no realiza la
proteccin contra malware establecida hasta despus que Windows inicia
sesin. Si usa Network Connect, Host Checker, GINA y Whole Security,
pero el usuario final no est en modo de usuario cuando su sistema intenta
iniciar Host Checker, es posible que reciba mensajes de error. Asegrese de
que el sistema est configurado para iniciar GINA antes del inicio de sesin de
Windows y para iniciar Whole Security despus del inicio de sesin.

NOTA: La caracterstica Confidence Online de Whole Security que admite Host


Checker actualmente no se puede traducir a otros idiomas. Para obtener ms
informacin acerca de la localizacin del IVE, consulte Traduccin de la interfaz
de usuario en la pgina 1029.

266

Creacin de directivas de Host Checker globales

Captulo 11: Host Checker

Creacin y configuracin de nuevas directivas del lado cliente


Puede crear una variedad de directivas a travs del cliente Host Checker que
pueden buscar software antivirus, cortafuegos, malware, spyware y sistemas
operativos especficos de una gran variedad de lderes de la industria. Puede crear
comprobaciones para DLL de terceros, puertos, procesos, archivos, claves de
registro y el nombre del NetBIOS, direcciones MAC o certificar el equipo cliente.
Cuando cree las directivas, debe definir el nombre de la directiva y crear reglas
predefinidas o crear reglas personalizadas que ejecuten comprobaciones
especficas. De manera opcional, puede especificar la forma en que Host Checker
debe evaluar las distintas reglas dentro de una directiva nica.
Para crear una directiva estndar del lado cliente:
1. En la consola de administracin, seleccione Authentication > Endpoint
Security > Host Checker.
2. En Policies, haga clic en New.
3. Introduzca un nombre en el campo Policy Name y luego haga clic en Continue.
(Los usuarios vern este nombre en la pgina de correccin de Host Checker si
habilita las instrucciones personalizadas para esta directiva.)
4. Cree una o ms reglas para asociarlas con la directiva siguiendo las
instrucciones de las secciones a continuacin:

Bsqueda de aplicaciones de terceros usando reglas predefinidas (slo en


Windows) en la pgina 268

Especificacin de requisitos personalizados usando reglas personalizadas


en la pgina 276

5. Especifique la forma en que Host Checker debe evaluar las distintas reglas
dentro de la directiva usando las instrucciones en Evaluacin de varias reglas
en una directiva nica de Host Checker en la pgina 284.
6. (Recomendado) Especifique las opciones de correccin para usuarios cuyos
equipos no cumplen con los requisitos especificados en la directiva.
Para obtener instrucciones, consulte Configuracin de la correccin general de
Host Checker en la pgina 305. (Si no crea instrucciones para lograr la
correccin y la directiva no se cumple, los usuarios no conocern los motivos
por los que no pueden tener acceso a sus recursos.)
7. Implemente la directiva en los niveles de directivas de territorio, rol o recurso
usando las opciones descritas en Configuracin de las restricciones de Host
Checker en la pgina 301.

Creacin y configuracin de nuevas directivas del lado cliente

267

Gua de administracin de Secure Access de Juniper Networks

Bsqueda de aplicaciones de terceros usando reglas predefinidas


(slo en Windows)
Host Checker viene equipado con una gran matriz de reglas predefinidas que
buscan software antivirus, cortafuegos, malware, spyware y sistemas operativos
especficos de una variedad de lderes de la industria. Puede habilitar una o ms de
estas reglas dentro de una directiva del lado cliente de Host Checker para garantizar
que las aplicaciones integradas de terceros que especifique se estn ejecutando en
los equipos de los usuarios de acuerdo con sus especificaciones. Para las reglas de
cortafuegos y antivirus, puede especificar las acciones correctivas que lograrn
automticamente que el punto final cumpla con la directiva.

Predefined: AntiVirus: Seleccione esta opcin para crear una regla que
busque el software antivirus que usted especifique y para especificar las
opciones de correccin. Consulte Configuracin de una regla de antivirus
predefinida con opciones de correccin en la pgina 269.

Predefined: Firewall: Seleccione esta opcin para crear una regla que
busque el software de cortafuegos que usted especifique y para especificar
las opciones de correccin. Consulte Configuracin de una regla de
cortafuegos predefinida con opciones de correccin en la pgina 272.

Predefined: Malware: Seleccione esta opcin para crear una regla que
busque el software de proteccin contra malware que usted especifique.

Predefined: Spyware: Seleccione esta opcin para crear una regla que
busque el software de proteccin contra spyware que usted especifique.
Consulte Configuracin de una regla predefinida de Spyware en la
pgina 273.

Predefined: OS Checks: Seleccione esta opcin para crear una regla que
busque sistemas operativos Windows y las versiones mnimas del paquete
de actualizacin que usted especifique. (Cualquier paquete de actualizacin
de versin igual o mayor a la que usted especifique cumplir con la
directiva.) Consulte

Para crear una regla de Host Checker usando reglas de comprobacin de sistemas
operativos predefinidas o reglas de malware predefinidas:
1. En la consola de administracin, seleccione Authentication > Endpoint
Security > Host Checker.
2. Cree una directiva nueva siguiendo las instrucciones que se encuentran en
Creacin y configuracin de nuevas directivas del lado cliente en la
pgina 267 o haga clic en la seccin Policies de la pgina de una directiva
existente.
3. En Rule Settings, elija una de las siguientes opciones y haga clic en Add:

268

Predefined Malware

Predefined OS Checks

Bsqueda de aplicaciones de terceros usando reglas predefinidas (slo en Windows)

Captulo 11: Host Checker

4. En la pgina Add Predefined Rule:


5. En el campo Rule Name, introduzca un identificador para la regla.
6. Bajo el Criterio, seleccione el malware o los sistemas operativos que desee
buscar y haga clic en Add. (Cuando busque sistemas operativos, tambin puede
especificar una versin del paquete de actualizacin.)
NOTA: Cuando seleccione ms de un tipo de software dentro de una regla
predefinida, Host Checker considera que la regla se cumple si cualquiera de las
aplicaciones de software seleccionadas est presente en el equipo del usuario.

7. En Optional, seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva de los puntos finales. Si esta
casilla de verificacin est seleccionada y ocurre un cambio en el estado de
cumplimiento de un punto final que ha iniciado sesin correctamente,
el IVE establecer la conexin nuevamente para reevaluar las asignaciones de
territorio o de roles.
NOTA: Si se elimina o detiene el servicio TNCC subyacente, el punto final puede
permanecer en la red, posiblemente sin cumplir con la directiva, hasta que se
actualice la siguiente directiva de Host Checker. Para obtener ms informacin
sobre TNCC, consulte La arquitectura TNC dentro de Host Checker en la
pgina 257.

8. Haga clic en Save Changes.


9. De forma opcional, puede agregar reglas adicionales a la directiva, especificar
la forma en la que Host Checker evala las distintas reglas dentro de la directiva
y definir las opciones de correccin siguiendo las instrucciones en Creacin y
configuracin de nuevas directivas del lado cliente en la pgina 267.
NOTA: Para ver las aplicaciones que actualmente se admiten, vaya a
Authentication > Endpoint Security > Host Checker y cree una directiva
nueva. Puede escoger tipos de reglas predefinidas en la lista desplegable Select
Rule Type para ver una lista de las aplicaciones admitidas dentro de esa categora.
Las listas de aplicaciones pueden ser muy extensas y se actualizan en cada versin
de soporte, por lo que es til comprobar esta lista de forma peridica.

Configuracin de una regla de antivirus predefinida con opciones de correccin


Puede configurar las acciones de correccin del antivirus con Host Checker. Puede
especificar un requisito para la antigedad (en das) del ltimo anlisis exitoso en
busca de virus y puede especificar que las firmas de virus instaladas en los equipos
cliente no sean ms antiguas que un nmero especfico de actualizaciones.
Tambin puede supervisar las directivas para asegurarse de que los puntos finales
que inician sesin se mantengan en el estado de cumplimiento y para corregir el
punto final a otro rol o territorio dependiendo del estado actual.

Bsqueda de aplicaciones de terceros usando reglas predefinidas (slo en Windows)

269

Gua de administracin de Secure Access de Juniper Networks

Si un cliente intenta iniciar sesin y el equipo cliente no cumple los requisitos


especificados, Host Checker puede intentar corregir las deficiencias para permitir
que el cliente inicie sesin correctamente. Con la correccin de antivirus de
Host Checker, puede sugerir a un punto final que descargue los ltimos archivos
de firma de virus, active la proteccin del antivirus e inicie un anlisis de antivirus.
No todos los productos de los proveedores de software antivirus admiten todas las
opciones de correccin. Al seleccionar el botn de la opcin Require any
supported product podr ver todos los proveedores y productos disponibles que se
admiten.
Como alternativa, puede seleccionar el botn de opcin Require specific
products/vendors y seleccionar las casillas de verificacin Require any supported
product from a specific vendor o Require specific products y luego agregue un
tipo disponible a Selected Types. Aparecern las opciones de correccin y podr
determinar cules estarn disponibles para productos o proveedores especficos.
Para configurar una regla predefinida para antivirus:
1. En la consola de administracin, seleccione Authentication > Endpoint
Security > Host Checker.
2. Cree una directiva nueva siguiendo las instrucciones que se encuentran en
Creacin y configuracin de nuevas directivas del lado cliente en la
pgina 267 o haga clic en la seccin Policies de la pgina de una directiva
existente.
3. En Rule Settings, elija Predefined: Antivirus y haga clic en Add.
4. Introduzca un nombre para esta regla de antivirus.
5. Para determinar si la revisin de System Scan admite el producto de su
proveedor de software, haga clic en these Antivirus products. Se abrir una
nueva ventana con una lista de todos los productos que admiten la
caracterstica.
6. Marque o desmarque la casilla de verificacin situada junto a Successful
System Scan must have been performed in the last _ days e introduzca
el nmero de das en el campo.
Si selecciona esta casilla de verificacin, aparecer una nueva opcin.
Si la accin correctiva para iniciar un anlisis de antivirus se ha iniciado
correctamente, puede omitir la comprobacin anterior.
7. Marque o desmarque la casilla de verificacin situada junto a Consider this
rule as passed if Full System Scan was started successfully as remediation.
8. Marque o desmarque la casilla de verificacin situada junto a Virus definition
files should not be older than _ updates. Introduzca un nmero entre 1 y 10.
Si introduce 1, el cliente debe tener la ltima actualizacin. Debe importar la
lista de firma de virus para el proveedor compatible. Consulte Configuracin
de la supervisin de la versin de la firma de virus y de la supervisin de los
datos de la evaluacin de parches en la pgina 274.

270

Bsqueda de aplicaciones de terceros usando reglas predefinidas (slo en Windows)

Captulo 11: Host Checker

9. Seleccione los productos de su proveedor de antivirus usando los botones de


opcin Require any supported product o Require specific products/vendors.
La opcin Require any supported product le permite buscar cualquier
producto (en vez de solicitar que seleccione cada producto por separado).
Este botn de opcin desplegar una lista de productos en la seccin de
correccin para permitirle habilitar las opciones de correccin que son
especficas para el producto.
La opcin Require specific products/vendors permite definir el cumplimiento
al aceptar cualquier producto de un proveedor especfico (por ejemplo,
cualquier producto Symantec).
La opcin Require specific products proporciona funcionalidad que le permite
seleccionar productos individuales para definir el cumplimiento.
Despus de seleccionar los proveedores y productos, aparecern en la pgina
las opciones de correccin.
Para cada una de las acciones de correccin siguientes:

Download latest virus definition files (obtiene el ltimo archivo disponible


para el proveedor especificado)

Turn on Real Time Protection (inicia el mecanismo de anlisis de virus para


el proveedor especificado)

Start Antivirus Scan (realiza un anlisis de virus en tiempo real para el


proveedor especificado)

la casilla de verificacin est activa (se puede hacer clic) si su producto admite
la accin.
Si su producto antivirus no est admitido, puede hacer clic en los encabezados
de las columnas de correccin para determinar qu proveedores y productos
estn admitidos.
10. Si su producto est admitido, seleccione la casilla de verificacin para todas las
acciones de correccin que desee aplicar.
11. En Optional, seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva de los puntos finales. Si esta
casilla de verificacin est seleccionada y ocurre un cambio en el estado de
cumplimiento de un punto final que ha iniciado sesin correctamente,
el IVE establecer la conexin nuevamente para reevaluar las asignaciones de
territorio o de roles.
NOTA: Si se elimina o detiene el servicio TNCC subyacente, el punto final puede
permanecer en la red, posiblemente sin cumplir con la directiva, hasta que se
actualice la siguiente directiva de Host Checker. Para obtener ms informacin
sobre TNCC, consulte La arquitectura TNC dentro de Host Checker en la
pgina 257.

Bsqueda de aplicaciones de terceros usando reglas predefinidas (slo en Windows)

271

Gua de administracin de Secure Access de Juniper Networks

12. Haga clic en Save Changes para guardar la regla de antivirus y aplicar la
correccin de antivirus.
13. De forma opcional, puede agregar reglas adicionales a la directiva, especificar
la forma en la que Host Checker evala las distintas reglas dentro de la directiva
y definir las opciones de correccin siguiendo las instrucciones en Creacin y
configuracin de nuevas directivas del lado cliente en la pgina 267.

Configuracin de una regla de cortafuegos predefinida con opciones de correccin


Puede configurar acciones de correccin para el cortafuegos con Host Checker
despus de crear una regla para cortafuegos de Host Checker que le solicite al punto
final que tenga un cortafuegos especfico instalado y ejecutndose antes de
conectarse a la red.
Despus de aplicar la regla de Host Checker con las acciones de correccin del
cortafuegos, Host Checker puede intentar habilitar el cortafuegos en el equipo
cliente si un punto final intenta iniciar sesin sin que dicho cortafuegos se est
ejecutando.
La opcin de correccin no est admitida por todos los productos de cortafuegos.
Podr ver todos los productos disponibles usando los botones de opcin Require
any supported product o Require specific products/vendors.
Para configurar una regla predefinida para cortafuegos de Host Checker:
1. En la consola de administracin, seleccione Authentication > Endpoint
Security > Host Checker.
2. Cree una directiva nueva siguiendo las instrucciones que se encuentran en
Creacin y configuracin de nuevas directivas del lado cliente en la
pgina 267 o haga clic en la seccin Policies de la pgina de una directiva
existente.
3. En Rule Settings, elija Predefined: Firewall y haga clic en Add.
4. Introduzca un nombre para la regla del cortafuegos.
5. Seleccione los productos de su proveedor de cortafuegos usando los botones de
opcin Require any supported product o Require specific products/vendors.
La opcin Require any supported product le permite buscar cualquier
producto (en vez de solicitar que seleccione cada producto por separado).
Este botn de opcin desplegar una lista de productos en la seccin de
correccin para permitirle habilitar las opciones de correccin que son
especficas para el producto.
Cuando agregue a Selected Products un producto disponible, aparecern las
opciones de correccin y podr determinar si la opcin de correccin est
disponible para el cortafuegos que ha seleccionado.
La opcin Require specific products/vendors permite definir el cumplimiento
al aceptar cualquier producto de un proveedor especfico (por ejemplo,
cualquier producto Symantec).

272

Bsqueda de aplicaciones de terceros usando reglas predefinidas (slo en Windows)

Captulo 11: Host Checker

La opcin Require specific products proporciona funcionalidad que le permite


seleccionar productos individuales para definir el cumplimiento.
Despus de seleccionar los proveedores y productos, aparecern en la pgina
las opciones de correccin. La casilla de verificacin Turn on Firewall est
activa (se puede hacer clic) si su producto admite la accin.
6. Si el cortafuegos es compatible, seleccione la casilla de verificacin Turn on
Firewall.
7. En Optional, seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva de los puntos finales. Si esta
casilla de verificacin est seleccionada y ocurre un cambio en el estado de
cumplimiento de un punto final que ha iniciado sesin correctamente,
el IVE establecer la conexin nuevamente para reevaluar las asignaciones de
territorio o de roles.
NOTA: Si se elimina o detiene el servicio TNCC subyacente, el punto final puede
permanecer en la red, posiblemente sin cumplir con la directiva, hasta que se
actualice la siguiente directiva de Host Checker. Para obtener ms informacin
sobre TNCC, consulte La arquitectura TNC dentro de Host Checker en la
pgina 257.

8. Haga clic en Save Changes para guardar la regla de cortafuegos y aplicar la


correccin del cortafuegos.
9. De forma opcional, puede agregar reglas adicionales a la directiva, especificar
la forma en la que Host Checker evala las distintas reglas dentro de la directiva
y definir las opciones de correccin siguiendo las instrucciones en Creacin y
configuracin de nuevas directivas del lado cliente en la pgina 267.

Configuracin de una regla predefinida de Spyware


Puede configurar Host Checker para buscar spyware instalado en los puntos finales.
Despus de aplicar la regla de Host Checker, si un punto final intenta iniciar sesin
sin el spyware requerido, la regla de Host Checker no se cumplir.
No todos los productos de spyware admiten esta opcin. Podr ver todos los
productos disponibles usando los botones de opcin Require any supported product
o Require specific products/vendors.
Para configurar una regla predefinida para spyware de Host Checker:
1. En la consola de administracin, seleccione Authentication > Endpoint
Security > Host Checker.
2. Cree una directiva nueva siguiendo las instrucciones que se encuentran en
Creacin y configuracin de nuevas directivas del lado cliente en la
pgina 267 o haga clic en la seccin Policies de la pgina de una directiva
existente.

Bsqueda de aplicaciones de terceros usando reglas predefinidas (slo en Windows)

273

Gua de administracin de Secure Access de Juniper Networks

3. En Rule Settings, elija Predefined: Spyware y haga clic en Add.


4. Introduzca un nombre para la regla del cortafuegos.
5. Seleccione una de las siguientes opciones:
6. Seleccione el botn de opcin Require any supported product para buscar
cualquier producto (en vez de solicitarle que seleccione cada producto por
separado).
7. Seleccione el botn de opcin Require specific products/vendors para
especificar el spyware que desee buscar.
8. Elija las opciones Require any supported product from a specific vendor
o Require specific products para seleccionar su spyware.
Agregue el spyware disponible desde Available Products a Selected Products.
9. En Optional, seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva de los puntos finales. Si esta
casilla de verificacin est seleccionada y ocurre un cambio en el estado de
cumplimiento de un punto final que ha iniciado sesin correctamente,
el IVE establecer la conexin nuevamente para reevaluar las asignaciones de
territorio o de roles.
10. Haga clic en Save Changes para guardar las reglas de spyware.
11. De forma opcional, puede agregar reglas adicionales a la directiva, especificar
la forma en la que Host Checker evala las distintas reglas dentro de la directiva
y definir las opciones de correccin siguiendo las instrucciones en Creacin y
configuracin de nuevas directivas del lado cliente en la pgina 267.

Configuracin de la supervisin de la versin de la firma de virus y de la supervisin de


los datos de la evaluacin de parches
Puede configurar Host Checker para supervisar y verificar que las firmas de virus,
los sistemas operativos, las versiones de software y los parches instalados en los
equipos cliente estn actualizados, adems de corregir esos puntos finales que no
cumplan con los criterios especificados. Host Checker usa las firmas de virus y las
versiones de evaluacin de parches de los proveedores que usted especifique para
las reglas predefinidas en una directiva de Host Checker.
Puede importar automticamente las listas actuales de supervisin de la versin de
la firma de virus o de supervisin de la versin de administracin de parches desde
el sitio de pruebas de Juniper Networks en intervalos especificados o puede
descargar los archivos desde Juniper y usar su propio servidor de pruebas.
Para entrar al sitio de pruebas de Juniper Networks y recibir actualizaciones,
debe introducir las credenciales de su cuenta de Soporte de Juniper Networks.

274

Bsqueda de aplicaciones de terceros usando reglas predefinidas (slo en Windows)

Captulo 11: Host Checker

Para configurar el IVE de modo que importe automticamente las listas actuales de
supervisin de la versin de la firma de virus y de supervisin de la versin de
administracin de parches desde el sitio de pruebas de Juniper:
1. Seleccione Authentication > Endpoint Security > Host Checker.
2. Haga clic en Virus signature version monitoring o en Patch Management Info
Monitoring.
3. Seleccione los datos Auto-update virus signatures list o Auto-update Patch
Management.
4. En Download path, deje la URL existente de los sitios de pruebas donde se
almacenan las listas actuales. Las URL predeterminadas son las rutas a los sitios
de prueba de Juniper Networks:
https://download.juniper.net/software/av/uac/epupdate_hist.xml
(para listas de firmas de virus de actualizacin automtica)
https://download.juniper.net/software/hc/patchdata/patchupdate.dat

(para administracin de parches de actualizacin automtica)


5. Para Download interval, especifique la frecuencia en la que quiere que el IVE
importe de forma automtica las listas actuales.
6. Para Username y Password introduzca sus credenciales de Soporte de
Juniper Networks.
7. Haga clic en Save Changes.
Para descargar los archivos que usar en su propio servidor de pruebas:
1. Seleccione Authentication > Endpoint Security > Host Checker.
2. Haga clic en Virus signature version monitoring o en Patch Management Info
Monitoring.
3. Descargue las listas desde el sitio de pruebas de Juniper a un servidor de red
o unidad local en su equipo introduciendo la URL de Juniper en una ventana del
explorador.
https://download.juniper.net/software/av/uac/epupdate_hist.xml
(para listas de firmas de virus de actualizacin automtica)
https://download.juniper.net/software/hc/patchdata/patchupdate.dat

(para administracin de parches de actualizacin automtica)


4. En Manually import virus signatures list, haga clic en Browse, seleccione la
lista y luego haga clic en OK.

Bsqueda de aplicaciones de terceros usando reglas predefinidas (slo en Windows)

275

Gua de administracin de Secure Access de Juniper Networks

5. Haga clic en Save Changes.


NOTA: Si usa su propio servidor de pruebas para almacenar las listas actuales,
debe cargar el certificado de raz de confianza del CA que firm el certificado del
servidor de pruebas del IVE. Para obtener ms informacin, consulte Carga de
certificados de CA del servidor de confianza en la pgina 775.

Especificacin de requisitos personalizados usando reglas


personalizadas
Si las directivas y las reglas predefinidas del lado cliente que vienen con el IVE no
satisfacen sus necesidades, puede crear reglas personalizadas dentro de una
directiva de Host Checker para definir los requisitos que los equipos de los usuarios
deben cumplir. Al usar las reglas personalizadas, podr:

configurar verificadores de integridad remota (IMV) para realizar


comprobaciones personalizadas del lado cliente.

configurar Host Checker para buscar DLL personalizadas que realicen


comprobaciones personalizadas del lado cliente.

verificar que determinados puertos estn abiertos o cerrados en el equipo del


usuario.

confirmar que determinados procesos estn o no estn ejecutndose en el


equipo del usuario.

comprobar que determinados archivos estn o no estn presentes en el equipo


cliente.

evaluar la antigedad y el contenido de los archivos requeridos a travs de


sumas de comprobacin MD5.

configurar reglas de PatchLink.

confirmar que las claves de registro estn configuradas en el equipo cliente.

confirmar el nombre del NETBIOS del equipo cliente.

confirmar las direcciones MAC del equipo cliente.

comprobar la validez del certificado de equipo que est instalado en el equipo


del usuario.

NOTA: Slo puede buscar claves de registro, DLL de terceros, nombres de


NETBIOS, direcciones MAC y certificados de equipo en equipos que ejecuten
Windows.

276

Especificacin de requisitos personalizados usando reglas personalizadas

Captulo 11: Host Checker

Para crear una directiva de Host Checker del lado cliente:


1. En la consola de administracin, seleccione Authentication > Endpoint
Security > Host Checker.
2. Cree una directiva nueva siguiendo las instrucciones que se encuentran en
Creacin y configuracin de nuevas directivas del lado cliente en la
pgina 267 o haga clic en la seccin Policies de la pgina de una directiva
existente.
3. Haga clic en la lengeta correspondiente al sistema operativo para el que desee
especificar las opciones de Host Checker: Windows, Mac, Linux or Solaris.
En la misma directiva, puede especificar los diferentes requisitos de Host
Checker en cada sistema operativo. Por ejemplo, puede crear una directiva que
compruebe los diferentes archivos o procesos en cada sistema operativo.
NOTA: Debe crear directivas explcitamente para cada sistema operativo que desee

permitir. Por ejemplo, si crea una directiva para Host Checker en Windows,
pero no crea una para Mac o Linux, los usuarios que inicien sesin en el IVE desde
un equipo Mac o Linux no cumplirn con la directiva de Host Checker y, por lo
tanto, no podrn tener acceso al territorio, rol o recurso al que est aplicando
Host Checker.
4. En Rule Settings, elija las opciones en las siguientes secciones y haga clic en
Add. Aparecer la pgina Add Custom Rule para el tipo de regla.

Custom: Remote IMV: Use este tipo de regla para configurar el software de
medicin de integridad que un cliente debe ejecutar para verificar un
aspecto especial de la integridad del cliente, como su sistema operativo,
el nivel de parche o la proteccin de virus.

Integrity Measurement (slo en Windows): Use este tipo de regla para


configurar el software de medicin de integridad que un cliente debe
ejecutar para verificar un aspecto especial de la integridad del cliente,
como su sistema operativo, el nivel de parche o la proteccin de virus.
Para obtener ms informacin, consulte La arquitectura TNC dentro de
Host Checker en la pgina 257.

3rd Party NHC Check (solo en Windows): Use este tipo de regla para
especificar la ubicacin de un DLL personalizado. Host Checker se
comunica con el DLL para realizar comprobaciones personalizadas del lado
cliente. Si el DLL devuelve un valor acertado al Host Checker, entonces el
IVE considera que la regla se cumpli. En la pgina de configuracin de
3rd Party NHC Check:
i.

Introduzca un nombre y un proveedor para la regla de NHC Check de


terceros

ii.

Introduzca la ubicacin del DLL en los equipos cliente (ruta y nombre


de archivo).

Especificacin de requisitos personalizados usando reglas personalizadas

277

Gua de administracin de Secure Access de Juniper Networks

iii. Haga clic en Save Changes.


NOTA: La caracterstica 3rd Party NHC Check se proporciona principalmente para

compatibilidad con versiones anteriores. Recomendamos que en su lugar use los


IMC y los IMV, como se describe en La arquitectura TNC dentro de Host Checker
en la pgina 257.

Ports: Use este tipo de regla para controlar las conexiones de red que un
cliente puede generar durante una sesin. Este tipo de reglas asegura que
determinados puertos estn abiertos o cerrados en el equipo cliente antes
de que el usuario pueda tener acceso al IVE. En la pgina de configuracin
de Ports:
i.

Introduzca un nombre para la regla del puerto.

ii.

Introduzca una lista delimitada por comas (sin espacios) de puertos


o intervalos de puertos, como: 1234,11000-11999,1235.

iii. Seleccione Required para requerir que estos puertos estn abiertos en
el equipo cliente o Deny para requerir que estn cerrados.
iv. En Optional, seleccione Monitor this rule for change in result para
supervisar continuamente el cumplimiento de la directiva de los
puntos finales. Si esta casilla de verificacin est seleccionada y ocurre
un cambio en el estado de cumplimiento de un punto final que ha
iniciado sesin correctamente, el IVE establecer la conexin
nuevamente para reevaluar las asignaciones de territorio o de roles.
v.

Haga clic en Save Changes.

Process: Use este tipo de regla para controlar el software que un cliente
puede generar durante una sesin. Este tipo de reglas asegura que
determinados procesos se estn ejecutando o no en el equipo cliente antes
de que el usuario pueda tener acceso a recursos protegidos por el IVE.
En la pgina de configuracin de Processes:
i.

Introduzca un nombre para la regla del proceso.

ii.

Introduzca el nombre de un proceso (archivo ejecutable), como:


good-app.exe.

NOTA: Para sistemas Linux, Macintosh y Solaris, el proceso que se est detectando
se debe iniciar usando una ruta absoluta.

Puede usar un carcter comodn para especificar el nombre del


proceso. Por ejemplo:
good*.exe

Para obtener ms informacin, consulte Uso de un comodn o una


variable de entorno en una regla de Host Checker en la pgina 283.

278

Especificacin de requisitos personalizados usando reglas personalizadas

Captulo 11: Host Checker

iii. Seleccione Required para solicitar que este proceso se ejecute o Deny
para solicitar que este proceso no se ejecute.
iv. Especifique el valor de la suma de comprobacin MD5 de cada archivo
ejecutable para el que desee que se aplique la directiva (opcional).
Por ejemplo, un archivo ejecutable puede tener distintos valores de la
suma de comprobaciones MD5 en un equipo de escritorio, en un
porttil o en sistemas operativos diferentes. En un sistema que tenga
instalado OpenSSL, como muchos sistemas Macintosh, Linux y Solaris
que tienen instalado OpenSSL de forma predeterminada, puede
determinar la suma de comprobaciones MD5 usando este comando:
openssl md5 <processFilePath>

v.

Haga clic en Save Changes.

File: Use este tipo de regla para asegurar que determinados archivos estn
presentes o no en el equipo cliente antes de que el usuario pueda tener
acceso al IVE. Tambin puede usar comprobaciones de archivos para
evaluar la antigedad y el contenido (a travs de las sumas de
comprobaciones MD5) de los archivos requeridos y permitir o denegar
acceso dependiendo de ello. En la pgina de configuracin de Files:
i.

Introduzca un nombre para la regla del archivo.

ii.

Introduzca el nombre de un archivo (cualquier tipo de archivo), como:


c:\temp\bad-file.txt o /temp/bad-file.txt.
Puede usar un carcter comodn para especificar el nombre del
archivo. Por ejemplo:
*.txt

Tambin puede usar una variable de entorno para especificar la ruta


del directorio al archivo. (No puede usar un carcter comodn en la ruta
del directorio.) Escriba la variable entre los caracteres <% y %>.
Por ejemplo:
<%windir%>\bad-file.txt

Para obtener ms informacin, consulte Uso de un comodn o una


variable de entorno en una regla de Host Checker en la pgina 283.
iii. Seleccione Required para solicitar que este archivo est presente en el
equipo cliente o Deny para solicitar que este archivo no est presente.
iv. Especifique la versin mnima el archivo (opcional). Por ejemplo,
si requiere que notepad.exe est presente en el cliente, puede
introducir 5.0 en el campo. Host Checker acepta la versin 5.0 y
posteriores de notepad.exe.

Especificacin de requisitos personalizados usando reglas personalizadas

279

Gua de administracin de Secure Access de Juniper Networks

v.

Especifique la antigedad mxima (en das) para un archivo (File


modified less than n days) (opcional). Si el archivo es ms antiguo que
el nmero de das especificado, entonces el cliente no cumplir con los
requisitos de comprobacin de atributos.

NOTA: Puede usar la opcin de antigedad mxima para comprobar la antigedad

de las firmas de virus. Verifique que especifica la ruta de un archivo en el campo


File Name cuya marca de tiempo indica la fecha en la que se actualizaron las
firmas de virus por ltima vez, como la base de datos o el archivo de registro de la
firma de virus que se actualiza cada vez que la base de datos lo hace. Por ejemplo,
si usa TrendMicro, puede especificar:
C:\Program Files\Trend Micro\OfficeScan Client\TmUpdate.ini.

vi. Especifique el valor de la suma de comprobacin MD5 de cada archivo


para el que desee que se aplique la directiva (opcional). En Macintosh,
Linux y Solaris, puede determinar la suma de comprobacin MD5
usando este comando:
openssl md5 <filePath>

vii. Seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva en los puntos finales.
Si esta casilla de verificacin est seleccionada y ocurre un cambio en
el estado de cumplimiento de un punto final que ha iniciado sesin
correctamente, el IVE establecer la conexin nuevamente para
reevaluar las asignaciones de territorio o de roles.
viii. Haga clic en Save Changes.

Registry Setting (Solo en Windows): Use este tipo de regla para controlar
las imgenes, ajustes del sistema y ajustes de software del equipo
corporativo que debe tener un cliente para entrar al IVE. Este tipo de reglas
asegura que determinadas claves de registro estn configuradas en el
equipo cliente antes de que el usuario pueda tener acceso al IVE. Tambin
puede usar comprobaciones del registro para evaluar la antigedad de los
archivos requeridos y permitir o denegar acceso dependiendo de ello.
En la pgina de configuracin de Registry Settings:
i.

Introduzca un nombre para la regla de los ajustes de registro.

ii.

Seleccione una clave raz en la lista desplegable.

iii. Introduzca la ruta a la carpeta de la aplicacin para la subclave de


registro.
iv. Introduzca el nombre del valor de la clave que desee solicitar
(opcional). Este nombre aparece en la columna Name del Editor de
Registro.
v.

280

Seleccione el tipo de valor de la clave (String, Binary o DWORD) en la


lista desplegable (opcional). Este tipo aparece en la columna Type del
Editor de Registro.

Especificacin de requisitos personalizados usando reglas personalizadas

Captulo 11: Host Checker

vi. Especifique el valor de la clave de registro (opcional). Esta informacin


aparece en la columna Data del Editor de Registro.
Si el valor de la clave representa la versin de una aplicacin,
seleccione Minimum version para permitir la versin especificada
o versiones nuevas de la aplicacin. Por ejemplo, puede usar esta
opcin para especificar la informacin de la versin para una
aplicacin antivirus para asegurarse de que el software antivirus del
cliente es el actual. El IVE usa la clasificacin lxica si el cliente
contiene la versin especificada o una superior. Por ejemplo:
3.3.3 es ms reciente que 3.3
4.0 es ms reciente que 3.3
4.0a es ms reciente que 4.0b
4.1 es ms reciente que 3.3.1
NOTA: Si especifica slo la clave y la subclave, Host Checker simplemente
verificar que la carpeta de la subclave exista en el registro.

vii. En Optional, seleccione Monitor this rule for change in result para
supervisar continuamente el cumplimiento de la directiva de los
puntos finales. Si esta casilla de verificacin est seleccionada y ocurre
un cambio en el estado de cumplimiento de un punto final que ha
iniciado sesin correctamente, el IVE establecer la conexin
nuevamente para reevaluar las asignaciones de territorio o de roles.
Puede configurar las acciones de correccin de los ajustes de registro
con Host Checker. Si un cliente intenta iniciar sesin y el equipo cliente
no cumple con los requisitos especificados, Host Checker puede
intentar corregir las diferencias para permitir que el cliente inicie
la sesin.
viii. Seleccione la casilla de verificacin Set Registry value specified in
criteria.
ix. Haga clic en Save Changes.

NetBIOS (slo en Windows pero no incluye Windows Mobile): use este tipo
de regla para comprobar el nombre del NetBIOS del equipo cliente antes de
que el usuario pueda tener acceso al IVE. En la pgina de configuracin de
NetBIOS:
i.

Introduzca un nombre para el NetBIOS.

ii.

Introduzca una lista delimitada por comas (sin espacios) de nombres


del NetBIOS. El nombre puede tener hasta 15 caracteres. Puede usar
caracteres comodn en el nombre y no distingue maysculas de
minsculas. Por ejemplo, md*, m*xp y *xp coincidirn con MDXP.

Especificacin de requisitos personalizados usando reglas personalizadas

281

Gua de administracin de Secure Access de Juniper Networks

iii. Seleccione Required para requerir que el nombre del NETBIOS del
equipo cliente coincida con los nombres que usted especifique,
o Deny para requerir el nombre no coincida con ninguno.
iv. Haga clic en Save Changes.

MAC Address (slo en Windows): Use este tipo de regla para comprobar las
direcciones MAC en el equipo cliente antes de que el usuario pueda tener
acceso al IVE. En la pgina de configuracin de MAC Address:
i.

Introduzca un nombre para la regla de la direccin MAC.

ii.

Introduzca una lista delimitada por comas (sin espacios) de direcciones


MAC en la forma XX:XX:XX:XX:XX:XX donde cada X es un nmero
hexadecimal. Por ejemplo:
00:0e:1b:04:40:29

Puede usar un carcter comodn * para representar una seccin de dos


caracteres de la direccin. Por ejemplo, puede usar un * para
representar las secciones 04, 40 y 29 de la direccin del ejemplo
anterior:
00:0e:1b:*:*:*

Sin embargo, no puede usar un * para representar un solo carcter.


Por ejemplo, el * en la siguiente direccin no es vlido:
00:0e:1b:04:40:*9

iii. Seleccione Required para solicitar que una direccin MAC del equipo
cliente concuerde con las direcciones que usted especifique,
o seleccione Deny para solicitar que todas las direcciones no
concuerden. Un equipo cliente tendr al menos una direccin MAC
para cada conexin de red, tal como Ethernet, inalmbrica y VPN.
El requisito de esta regla se cumple si hay una concordancia entre
cualquiera de las direcciones especificadas y cualquiera de las
direcciones MAC del equipo cliente.
iv. Haga clic en Save Changes.
NOTA: Debido a que la direccin MAC puede cambiar en algunas tarjetas de red,
esta comprobacin no garantiza que un equipo cliente cumpla los requisitos de la
directiva de Host Checker.

Machine Certificate (slo en Windows): Use este tipo de reglas para


comprobar que el equipo cliente cuente con acceso autorizado al validar el
certificado de equipo almacenado en el equipo cliente, como se explica en
Uso de CA de cliente de confianza en la pgina 758. En la pgina de
configuracin de Machine Certificate:
i.

282

Introduzca un nombre para la regla del certificado de equipo.

Especificacin de requisitos personalizados usando reglas personalizadas

Captulo 11: Host Checker

ii.

En la lista Select Issuer Certificate, seleccione el certificado que desee


recuperar y validar desde el equipo del usuario. O bien, seleccione Any
Certificate para omitir la comprobacin del emisor y validar solo el
certificado de equipo basado en los criterios opcionales que puede
especificar abajo.

iii. En los campos Optional (Certificate field y Expected value),


especifique cualquier criterio adicional que Host Checker deba usar
cuando verifique el certificado de equipo.
iv. Haga clic en Save Changes.
NOTA: Si se instala en el equipo cliente ms de un certificado que coincida con los
criterios especificados, el cliente de Host Checker transmite al IVE el primer
certificado que encuentra para que ste lo valide.

5. De forma opcional, puede agregar reglas adicionales a la directiva, especificar


la forma en la que Host Checker evala las distintas reglas dentro de la directiva
y definir las opciones de correccin siguiendo las instrucciones en Creacin y
configuracin de nuevas directivas del lado cliente en la pgina 267.

Uso de un comodn o una variable de entorno en una regla de Host Checker


Puede usar los siguientes comodines para especificar un nombre de archivo en una
regla de Custom File o un nombre de proceso en una regla de Custom Process:
Tabla 15: Caracteres comodn para especificar un nombre de archivo o un nombre de
proceso
Carcter comodn

Descripcin

Ejemplo

Coincide con cualquier carcter

*.txt

Coincide exactamente con un


carcter

app-?.exe

En una regla de Custom File para Windows, puede usar las siguientes variables de
entorno para especificar la ruta del directorio a un archivo:
Tabla 16: Variables de entorno para especificar una ruta del directorio en Windows
Variable de entorno

Ejemplo del valor en Windows

<%APPDATA%>

C:\Documents and Settings\jdoe\Application Data

<%windir%>

C:\WINDOWS

<%ProgramFiles%>

C:\Program Files

<%CommonProgramFiles%>

C:\Program Files\Common Files

<%USERPROFILE%>

C:\Documents and Settings\jdoe

<%HOMEDRIVE%>

C:

<%Temp%>

C:\Documents and Settings \<user name>\Local


Settings\Temp

Especificacin de requisitos personalizados usando reglas personalizadas

283

Gua de administracin de Secure Access de Juniper Networks

En una regla de Custom File para Macintosh, Linux y Solaris, puede usar las
siguientes variables de entorno para especificar la ruta del directorio a un archivo:
Tabla 17: Variables de entorno para especificar una ruta del directorio en Macintosh,
Linux y Solaris
Ejemplo del valor en Linux
y Solaris

Variable de entorno

Ejemplo del valor en Macintosh

<%java.home%>

/System/Library/Frameworks/JavaVM /local/local/java/j2sdk1.4.1_02/
.framework/ Versions/1.4.2/Home
jre

<%java.io.tmpdir%>

/tmp

/tmp

<%user.dir%>

/Users/admin

/home-shared/cknouse

<%user.home%>

/Users/admin

/home/cknouse

NOTA: Aunque las variables de entorno tienen el mismo formato que las directivas

Toolkit Template, no son intercambiables y debe tener cuidado de no confundirlas.

Evaluacin de varias reglas en una directiva nica de Host Checker


Si escoge incluir varias reglas dentro de una directiva nica del lado cliente,
debe especificar la manera en la que Host Checker debe evaluar estas reglas.
Para especificar los requisitos de varias reglas dentro de una directiva de
Host Checker:
1. En la consola de administracin, seleccione Authentication > Endpoint
Security > Host Checker.
2. En la seccin Policies de la pgina, haga clic en una directiva existente que
incluya reglas mltiples.
3. En la seccin Require, seleccione una de las siguientes opciones:

284

All of the above rules: Seleccione esta opcin para especificar que el
equipo del usuario debe devolver un valor acertado para todas las reglas de
la directiva a fin de obtener acceso.

Any of the above rules: Seleccione esta opcin para especificar que el
equipo del usuario debe devolver un valor acertado para cualquiera de las
reglas de la directiva a fin de obtener acceso.

Custom: Seleccione esta opcin para personalizar las reglas que el equipo
del usuario debe cumplir para obtener acceso. Luego, cree la regla
personalizada usando las instrucciones del siguiente paso.

Especificacin de requisitos personalizados usando reglas personalizadas

Captulo 11: Host Checker

4. (Slo expresiones personalizadas) Si desea usar grupos alternativos de reglas en


la directiva, combine reglas con operadores booleanos (AND, OR, NOT) usando
las siguientes pautas:

Introduzca el nombre de las reglas en la casilla de verificacin Rules


expression.

Use los operadores AND o && para requerir que dos reglas o grupos de
reglas devuelvan un valor acertado.

Use los operadores OR o || para requerir que alguna de dos reglas o grupos
de reglas devuelva un valor acertado.

Use los operadores NOT o ! para excluir una regla.

Use parntesis para combinar grupos de reglas.

Al combinar reglas personalizadas de medicin de integridad, puede usar


las palabras clave Allow, Deny, Isolate, y NoRecommendation. Por ejemplo,
puede usar las siguientes expresiones para solicitar que un cortafuegos
personal se ejecute y para requerir que cualquiera de dos posibles antivirus
se ejecuten:
ZoneLabsFirewall AND (McAfeeAntivirus OR NortonAntivirus)

5. Haga clic en Save Changes.

Configuracin de directivas de evaluacin de parches


Puede configurar directivas de Host Checker que comprueben el cumplimiento de
versin de los parches en las aplicaciones de escritorio, la versin del software o el
paquete de actualizacin del sistema operativo Windows de los puntos finales.
Host Checker usa una lista de las versiones de parches ms actuales de los
proveedores para reglas predefinidas en la directiva de Host Checker.
Puede obtener la informacin de versin de parches ms actual en el sitio de
pruebas de Juniper Networks. Puede descargar e importar manualmente la lista
actual en el IVE o puede importar automticamente la lista actual desde el sitio de
pruebas de Juniper Networks o su propio sitio de pruebas en los intervalos que
especifique.
Las bsquedas pueden basarse en uno o ms productos especficos o en parches
especficos, pero no en la misma directiva. Por ejemplo, con una directiva puede
buscar Internet Explorer versin 7 y el parche MSOO-039: SSL Certificate Validation
Vulnerabilities con una segunda directiva. Despus, aplique ambas directivas a los
puntos finales a nivel de rol o territorio para garantizar que el usuario tiene la ltima
versin del explorador con una parche especfico. De forma adicional, puede
especificar el nivel de gravedad de los parches que desee ignorar para los productos
Microsoft; por ejemplo, puede optar por ignorar las amenazas bajas o moderadas.

Especificacin de requisitos personalizados usando reglas personalizadas

285

Gua de administracin de Secure Access de Juniper Networks

El IVE puede enviar instrucciones de correccin (por ejemplo, un mensaje


sealando los parches o el software que no cumple con la directiva y un vnculo
indicando el lugar donde el punto final puede obtener el parche). El IVE no hace
correcciones automticas en el caso de que un punto final no cumpla con la
directiva. No obstante, puede optar por enviar los elementos al cliente para la
correccin manual de los equipos administrados.
Cuando un punto final se conecta por primera vez con el IVE, se descargan del IMC
las ltimas versiones de los archivos y bibliotecas de datos hacia el equipo host.
La comprobacin inicial tarda entre 10 a 20 segundos en ejecutarse, dependiendo
de la velocidad del vnculo. Si est obsoleto, estos archivos se actualizan de forma
automtica en comprobaciones sucesivas. Si es la primera vez que el punto final se
conecta al IVE con la directiva de evaluacin de parches, y la conexin es Layer 2,
no se podr descargar el IMC necesario para la comprobacin Patch Assesment.
En este caso, deber configurar un rol de correccin que muestre las instrucciones
que le ordenen al usuario que reintente con la conexin Layer 3 o que se ponga en
contacto con el administrador.
Para configurar una regla personalizada de evaluacin de parches:
1. En la consola de administracin, seleccione Authentication > Endpoint
Security > Host Checker.
2. Cree una directiva nueva siguiendo las instrucciones que se encuentran en
Creacin y configuracin de nuevas directivas del lado cliente en la
pgina 267 o haga clic en la seccin Policies de la pgina de una directiva
existente.
3. Haga clic en la ficha Windows.
4. En Rule Settings, escoja Custom: Patch assessment.
5. Haga clic en Add bajo Rule Settings. Aparecer la pgina Add Custom Rule:
Patch assessment.
6. Introduzca un nombre para la regla de la medida de integridad.
NOTA: Si una seleccin que no se aplica est incluida en una directiva,
por ejemplo, el punto final no tiene el software sealado, la regla no se
considerar y se omitir la comprobacin de esa seleccin en especial.

7. Seleccione Scan for specific products o Scan for specific patches.


Si selecciona Scan for specific products deber seleccionar tambin All
Products o Specific Products.
Si selecciona All Products, Host Checker buscar todos los parches expuestos
en el punto final.

286

Especificacin de requisitos personalizados usando reglas personalizadas

Captulo 11: Host Checker

Para configurar una directiva basada en todos los productos:


a.

Escoja el botn de opcin All Products.

b.

De manera opcional, haga clic en el botn Add bajo Ignore following


patches para seleccionar los parches especficos que desee ignorar para
todos los productos.

c.

Haga clic en Save Changes.

d. De manera opcional para los productos Microsoft, desactive las casillas de


verificacin para determinar el nivel de gravedad de los parches que desee
ignorar. Por ejemplo, si desea buscar slo parches crticos para las opciones
seleccionadas, desactive las casillas de verificacin para Important,
Moderate, Low y Unspecified.
e.

Haga clic en Save Changes.

Si selecciona Specific Products, se abrirn dos nuevos dilogos. Puede


seleccionar desde una extensa lista de productos y versiones y puede optar por
ignorar parches especficos.
Por ejemplo, si agrega Internet Explorer 6 a la lista Selected Products, puede
optar por ignorar cualquier parche que no considere esencial para el producto.
Puede ajustar de forma adicional el nivel de gravedad de parches especficos
que se ignorarn al desactivar las casillas de verificacin de gravedad para los
productos Microsoft.
Para configurar una directiva basada en productos especficos:
a.

Escoja el botn de opcin Specific Products.

b.

Seleccione software de la ventana Available products y agrguelo a la


ventana Selected products.

c.

Haga clic en Save Changes.

d. De manera opcional, haga clic en el botn Add bajo Ignore following


patches para seleccionar los parches especficos que desee ignorar para los
productos elegidos.
Cuando haga clic en el botn Add, se abrir un nuevo dilogo,
que mostrar todos los parches disponibles para el software que ha
seleccionado.
e.

Seleccione los parches especficos que desee ignorar desde la ventana


Available patches y agrguelos a la ventana Selected patches.

f.

Haga clic en el botn Add bajo Add.


Cuando haga clic en el botn Add, la ventana Ignore followiing patches se
llenar con los parches que seleccion.

Especificacin de requisitos personalizados usando reglas personalizadas

287

Gua de administracin de Secure Access de Juniper Networks

g.

De manera opcional para los productos Microsoft, desactive las casillas de


verificacin para determinar el nivel de gravedad de los parches que desee
ignorar. Por ejemplo, si desea buscar slo parches crticos para las opciones
seleccionadas, desactive las casillas de verificacin para Important,
Moderate, Low y Unspecified.

NOTA: Las casillas de verificacin de los niveles de gravedad slo se aplican a


productos Microsoft. Para otros proveedores, como Adobe, la casilla de verificacin
Unspecified determina si se ejecutar o no la comprobacin.

h. Haga clic en Save Changes.


La opcin Scan for specific patches le permite escoger desde una lista de
parches disponibles.
Para configurar una directiva basada en parches:
a.

Escoja el botn de opcin Scan for specific patches.


Cuando seleccione la opcin Scan for specific patches, se abrir un nuevo
dilogo, el que le permitir agregar parches especficos.

b.

Haga clic en el botn Add.

c.

En la ventana Available patches seleccione los parches especficos que


desee buscar y agrguelos a Selected patches.

d. Haga clic en el botn Add.


e.

Haga clic en Save Changes.

8. Haga clic en Save Changes.


Puede mostrar la informacin de correccin para los usuarios en funcin de
qu versin o parche se necesite actualizar. Por ejemplo, puede configurar una
cadena de motivos para mostrar la informacin acerca de un parche que no se
encuentra y especificar un vnculo que lleve al usuario a la pgina Web donde
puede obtener el parche.
9. Para mostrar la informacin de correccin a los usuarios, seleccione la opcin
Send Reason Strings bajo Remediation. Para obtener ms informacin sobre
esta opcin, consulte Configuracin de la correccin general de Host Checker
en la pgina 305.

288

Especificacin de requisitos personalizados usando reglas personalizadas

Captulo 11: Host Checker

Uso de Comprobadores de medicin de integridad de terceros


Las normas de Trusted Network Connect (TNC) permiten la aplicacin de requisitos
de seguridad para puntos finales que se conectan a redes. Los componentes del
lado cliente del TNC son los IMC y el cliente TNC (TNCC). El TNCC compila las
mediciones IMC y las enva al servidor. En el servidor, existe un grupo de
componentes equivalentes: El servidor TNC (TNCS) y los IMV. El TNCS administra
los mensajes entre los IMV y los IMC y enva las recomendaciones en funcin de los
IMV, que son los motores de directivas. Para obtener ms informacin acerca de los
IMV y los IMC, consulte La arquitectura TNC dentro de Host Checker en la
pgina 257.
El IVE y Host Checker cumplen con los estndares emitidos por TNC. Para obtener
ms informacin acerca de TNC, IMV e IMC, visite
www.trustedcomputinggroup.org.
Puede configurar Host Checker para que supervise los IMC de terceros, que
cumplen con las normas de TNC, instalados en los equipos cliente. Para hacerlo,
debe hacer lo siguiente:
1. Ejecute el instalador de Third-party Integrity Measurement Verifier (IMV)
Server en el sistema designado como servidor IMV remoto. Instale los IMV de
terceros y cree los certificados de servidor. Consulte Configuracin de un
servidor IMV remoto en la pgina 289.
2. Especifique el servidor IMV remoto para que el IVE se pueda comunicar con l.
Consulte Especificacin del servidor IMV remoto en la pgina 293.
3. Implemente la directiva de Host Checker. Consulte Implementacin de la
directiva para IMV de terceros en la pgina 295.

Configuracin de un servidor IMV remoto


Durante este paso, instalar IMV de terceros. Los IMV de terceros se instalan en el
servidor IMV remoto, no en el IVE.
Durante este paso, tambin obtendr un certificado de servidor para el servidor
IMV remoto. Importar el certificado CA de raz de confianza que genera el
certificado de servidor al IVE. Luego, el IVE autenticar el servidor IMV remoto
mediante el certificado. Si no cuenta con una autoridad de certificacin,
instale y use OpenSSL para generar un certificado CA.
Para instalar y configurar el software del servidor:
1. En la consola de administracin del IVE, escoja Maintenance > System >
Installers y descargue el instalador de Third-party Integrity Measurement
Verifier (IMV) Server.
2. Ejecute el instalador en el sistema designado como servidor IMV remoto.
3. Instale los IMV de terceros en el servidor IMV y los IMC correspondientes en los
sistemas del cliente.

Uso de Comprobadores de medicin de integridad de terceros

289

Gua de administracin de Secure Access de Juniper Networks

4. Genere un certificado de servidor desde una autoridad de certificacin para


el servidor IMV remoto. El valor Subject CN del certificado de servidor debe
contener el nombre o la direccin IP real del host del servidor IMV remoto.
Para obtener ms informacin sobre la creacin de sistemas, consulte Uso de
CA del servidor de confianza en la pgina 774.
El certificado de servidor y la clave privada deben combinarse en un archivo
PKCS#12 nico y se debe encriptar con una contrasea.
Si no tiene una autoridad de certificacin, puede seguir estos pasos para crear
una CA y luego crear un certificado de servidor para el servidor IMV remoto.
NOTA: Instale la versin completa de OpenSSL. La versin light de OpenSSL no
sirve para esto.

Siga los pasos a continuacin para configurar OpenSSL:


i.

Descargue e instale OpenSSL desde este sitio:


http://www.slproweb.com/products/Win32OpenSSL.html

ii.

En el smbolo de sistema de Windows, escriba los siguientes


comandos:
cd \openssl
md certs
cd certs
md demoCA
md demoCA\newcerts
edit demoCA\index.txt

iii. Presione las teclas ALT-F y luego la tecla S para guardar el archivo.
iv. Presione las teclas ALT-F y luego la tecla X para salir del editor.
v.

En el smbolo de sistema de Windows, escriba los siguientes


comandos:
edit demoCA\serial

vi. Escriba estos nmeros en la ventana del documento: 01


vii. Presione las teclas ALT-F y luego la tecla S para guardar el archivo.
viii. Presione las teclas ALT-F y luego la tecla X para salir del editor.
ix. En el smbolo de sistema de Windows, escriba el siguiente comando:
set path=c:\openssl\bin;%path%

290

Uso de Comprobadores de medicin de integridad de terceros

Captulo 11: Host Checker

Siga los pasos a continuacin para crear una clave de CA:


x. Para crear una clave de CA, escriba el siguiente comando en el smbolo
de sistema de Windows en el directorio c:\openssl\certs:
openssl genrsa -out ca.key 1024

Debe aparecer el siguiente resultado:


Loading 'screen' into random state - done
Generating RSA private key, 1024 bit long modulus
........++++++
.++++++
e is 65537 (0x10001

Siga los pasos a continuacin para crear un certificado de CA:


i.

Escriba el siguiente comando en el smbolo de sistema de Windows en


el directorio c:\openssl\certs:
openssl req -new -x509 -days 365 -key ca.key -out
demoCA/cacert.pem

ii.

Introduzca la informacin de nombre completo (DN) apropiada para


el certificado CA. Puede dejar algunos campos en blanco si introduce
un punto.
Por ejemplo:
Country Name: US
State or Province Name: CA
Locality Name: Sunnyvale
Organization Name: XYZ
Org. Unit Name: IT
Common Name: ic.xyz.com
Email Address: user@xyz.com

iii. Para configurar el CA, escriba el siguiente comando en el smbolo de


sistema de Windows en el directorio c:\openssl\certs:
copy ca.key demoCA
notepad demoCA.cnf

iv. Cuando se le pregunte si desea crear un archivo nuevo, pulse el


botn yes.
v.

Teclee las lneas siguientes en el documento y pulse la tecla Enter al


final de cada lnea.
[ca]
default_ca = demoCA
[demoCA]
dir = ./demoCA
database = $dir/index.txt
new_certs_dir = $dir/newcerts
certificate = $dir/cacert.pem
Uso de Comprobadores de medicin de integridad de terceros

291

Gua de administracin de Secure Access de Juniper Networks

serial = $dir/serial
private_key = $dir/ca.key
default_days = 365
default_md = md5
policy = policy_any
email_in_dn = no
name_opt = ca_default
cert_opt = ca_default
copy_extensions = none
[ policy_any ]
countryName = supplied
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

vi. Guarde el archivo y cierre el bloc de notas.


vii. Escriba el siguiente comando para generar una clave privada RSA para
el servidor IMV remoto:
openssl genrsa out rimvs_key.pem 1024

viii. Escriba el siguiente comando para generar un CSR para el servidor IMV
remoto:
openssl req new key rimvs_key.pem out rimvs_csr.pem

ix. Escriba las lneas siguientes:


Country Name:
State or Province Name:
Locality Name:
Organization Name:
Organizational Unit Name:
Common Name: [IPAddress]
Email Address:
A challenge password:
An optional company name:

Puede introducir cualquier valor que desee en la mayora de los campos,


pero el campo Common Name debe contener la direccin IP del equipo que
ejecuta el servidor IMV remoto. Este equipo debe tener una direccin IP
esttica.
x. Escriba el siguiente comando para generar un certificado para el
servidor IMV remoto:
openssl ca config demoCA.cnf in rimvs_csr.pem
out rimvs_cert.pem

292

Uso de Comprobadores de medicin de integridad de terceros

Captulo 11: Host Checker

xi. Presione y dos veces cuando se le solicite para generar el certificado.


Este certificado es vlido por 365 das de forma predeterminada. Si
desea modificar la duracin del certificado, cambie el parmetro
default_days en el archivo demoCA.cnf, o use el parmetro days en el
comando openssla ca para especificar una duracin distinta.
xii. Escriba el siguiente comando para agregar la clave del servidor IMV
remoto y el certificado en un archivo PKCS#12 (use su propia
contrasea):
openssl pkcs12 export in rimvs_cert.pem inkey rimvs_key.pem
passout
pass:<password> -out rimvs_p12.pem

5. En el servidor IMV remoto, escoja Programs > Juniper Networks > Remote
IMV Server > Remote IMV Server Configurator en el men Start.
6. En Client Info, haga clic en Add.
7. Configure el puerto que atender las solicitudes SOAP desde el IVE.
8. Introduzca la direccin IP del cliente, la cantidad de direcciones que se usarn
y el secreto compartido que usarn tanto el IVE como el servidor IMV remoto.
9. Si desea, cambie los ajustes de creacin de registros (el registro se genera en el
directorio de instalacin).
10. Busque el archivo PKCS#12 que gener en el sistema de archivos.
11. Especifique la contrasea asociada al certificado.
12. En la consola de administracin IVE, use la lengeta System > Configuration
> Certificates > Trusted Server CAs para importar el certificado CA de raz de
confianza de la CA que emiti el certificado para el servidor IMV remoto.
Si us OpenSSL para generar el certificado de servidor del Servidor IMV
remoto, ste es: demoCA\cacert.pem.
Si no us OpenSSL para generar este certificado, asegrese de que el archivo
que importe tiene el certificado CA (no el certificado de raz).
13. Haga clic en Import Trusted Server CA y busque el certificado de servidor que
us en el servidor IMV remoto.
14. Agregue el nuevo servidor IMV remoto en Especificacin del servidor IMV
remoto en la pgina 293.

Especificacin del servidor IMV remoto


Para especificar el servidor IMV remoto para que el IVE se pueda comunicar con l:
1. En la consola de administracin, seleccione Authentication > Endpoint
Security > Host Checker.
2. En Remote IMV, haga clic en New Server.

Uso de Comprobadores de medicin de integridad de terceros

293

Gua de administracin de Secure Access de Juniper Networks

3. En la pgina New Server:


a.

Cree una etiqueta para el servidor usando los campos Name


y (opcionalmente) Description.

b.

En el campo Hostname, introduzca la direccin IP o el nombre del host


como se defini en el certificado de servidor.

c.

En el campo Port, introduzca el nmero de puerto nico que el IVE usa


para comunicarse con el servidor IMV remoto. Compruebe que ningn otro
servicio est usando est nmero de puerto.
El nmero de puerto predeterminado es el mismo que el nmero de puerto
https predeterminado. Si est ejecutando un servidor Web en el mismo
sistema que el servidor IMV remoto, introduzca un nmero de puerto
nuevo en el campo Port.

d. En el campo Shared Secret, introduzca el mismo secreto compartido que


us en la entrada de informacin del cliente en el servidor IMV remoto.
e.

Haga clic en Save Changes.

4. En Remote IMV, haga clic en New IMV para especificar el IMV de terceros.
5. En la pgina New IMV:
a.

Cree una etiqueta para el IMV usando los campos Name y (opcionalmente)
Description.

b.

En el campo IMV Name, introduzca el nombre del IMV. Este nombre debe
coincidir con el nombre legible en la clave de registro conocida del IMV
en el servidor IMV remoto. Para obtener ms informacin acerca de
nombres legibles y la clave de registro conocida, visite
www.trustedcomputinggroup.org.

c.

Desde el men emergente Primary Server, seleccione el servidor IMV


remoto donde este IMV est instalado.

d. (Opcional) Desde el men emergente Secondary Server, seleccione el


servidor IMV remoto donde este IMV est instalado. El servidor secundario
acta como un conmutador por error en caso de que el servidor primario
no est disponible.
El IVE contina intentando restablecer la conexin con el servidor IMV
remoto primario y lo usa al establecer las conexiones siguientes cuando
vuelve a estar disponible.
e.

Haga clic en Save Changes.

6. Haga clic en Save Changes.

294

Uso de Comprobadores de medicin de integridad de terceros

Captulo 11: Host Checker

Implementacin de la directiva para IMV de terceros


Para usar el Host Checker como una herramienta de aplicacin de directivas para
gestionar puntos finales, debe crear directivas globales del Host Checker a nivel de
sistema a travs de la pgina Authentication > Endpoint Security > Host
Checker de la consola de administracin y luego debe implementar las directivas
en los niveles de territorio y roles.
Para implementar la directiva para IMV de terceros:
1. En la consola de administracin, seleccione Authentication > Endpoint
Security > Host Checker.
2. En Policies, haga clic en New.
3. Introduzca un nombre en el campo Policy Name y luego haga clic en Continue.
(Los usuarios vern este nombre en la pgina de correccin de Host Checker
si habilita las instrucciones personalizadas para esta directiva.)
4. En Rule Settings, elija Custom: Remote IMV y haga clic en Add.
5. En la pgina Add Custom Rule: Remote IMV:
a.

En el campo Rule Name, introduzca un identificador para la regla.

b.

En Criteria, seleccione el IMV de terceros que se asociar a esta regla.

c.

Haga clic en Save Changes.

6. Especifique la forma en que Host Checker debe evaluar las distintas reglas
dentro de la directiva usando las instrucciones en Evaluacin de varias reglas
en una directiva nica de Host Checker en la pgina 284.
7. (Recomendado) Especifique las opciones de correccin para usuarios cuyos
equipos no cumplen con los requisitos especificados en la directiva.
Para obtener instrucciones, consulte Configuracin de la correccin general de
Host Checker en la pgina 305.
8. Haga clic en Save Changes.
9. Implemente la directiva en los niveles de territorio o rol usando las opciones
descritas en Configuracin de las restricciones de Host Checker en la
pgina 301.

Uso de Comprobadores de medicin de integridad de terceros

295

Gua de administracin de Secure Access de Juniper Networks

Combinacin de varias reglas de medicin de integridad con


expresiones personalizadas
Puede combinar reglas de medicin de integridad mltiples en una directiva de
Host Checker nica y cada regla puede devolver uno de dos resultados: Allow para
permitir o Deny para denegar.
Una regla requerida devolver Allow si coincide y Deny si no se cumple. Una regla
Deny devolver Deny si coincide, y Allow si no se cumple. Si escoge la opcin Any of
the above rules en la directiva de Host Checker, la regla se entender como
cumplida si al menos una de las reglas devuelve Allow. Si escoge All of the above
rules, entonces la regla se entender como cumplida si todas las reglas devuelven
Allow. En cualquier caso, si el resultado de una regla de cumplimiento no se puede
completar por alguna razn, esa regla se considerar como no cumplida.
Algunos IMV de terceros tambin pueden devolver el resultado Isolate. Al usar la
opcin Any of the above rules o All of the above rules, el resultado Isolate se se
trata como si fuera Deny. Si desea tratar los resultados Isolate de forma diferente,
debe escoger la opcin Custom para usar los resultados exactos de las reglas para
determinar la respuesta final. Por ejemplo, si tiene dos reglas Sym1 y Mac1,
puede usar esta combinacin personalizada de reglas:
(Sym1 == Isolate AND Mac1 == NoRecomendation) OR
(Sym1 == NoRecommendation AND Mac1 == Allow)

Puede omitir la palabra clave Allow en la expresin predeterminada. Por ejemplo:


rule1 OR rule2

es equivalente a:
rule1 == Allow OR rule2 == Allow

Habilitacin de directivas personalizadas del lado del servidor


Para clientes de Windows, puede crear directivas de Host Checker globales que
toman un DLL-J.E.D.I. de terceros que se cargan en el IVE y se ejecutan en los
equipos cliente.
NOTA: Esta caracterstica se proporciona principalmente para compatibilidad con
versiones anteriores. Recomendamos que en su lugar use los IMC y los IMV, como
se describe en La arquitectura TNC dentro de Host Checker en la pgina 257.

Carga de un paquete de directivas de Host Checker al IVE


Para que el IVE reconozca un archivo de definicin del paquete, debe hacer
lo siguiente:
1. Ponerle al archivo de definicin del paquete el nombre MANIFEST.HCIF
e incluirlo en una carpeta llamada META-INF.

296

Combinacin de varias reglas de medicin de integridad con expresiones personalizadas

Captulo 11: Host Checker

2. Crear un paquete de directivas Host Checker creando un archivo zip. El archivo


debe contener la carpeta META-INF que contiene el archivo MANIFEST.HCIF junto
con la DLL de interfaz y cualquier archivo de inicializacin. Por ejemplo,
el paquete de directivas de Host Checker puede contener:
META-INF/MANIFEST.HCIF
hcif-myPestPatrol.dll
hcif-myPestPatrol.ini

3. Cargar el o los paquetes de Host Checker al IVE siguiendo las instrucciones que
se encuentran en Habilitacin de directivas personalizadas del lado del
servidor en la pgina 296. Puede cargar varios paquetes de directivas al IVE,
cada uno con un archivo MANIFEST.HCIF diferente.
NOTA: Despus de cargar un paquete de directivas de Host Checker al IVE,
no podr modificar los contenidos del paquete en el servidor. En cambio,
deber modificar el paquete en su sistema local y luego cargar la versin
modificada al IVE.

Host Checker crea tneles para todas las definiciones de tneles en todos los
archivos MANIFEST.HCIF, siempre y cuando las definiciones sean nicas. Para
ver la lista de definiciones de tneles de acceso de autenticacin previa para un
paquete de directivas, haga clic en el nombre del paquete de directivas bajo 3rd
Party Policy en la pgina Host Checker Configuration. El IVE muestra una lista
de las definiciones de tneles bajo Host Checker Preauth Access Tunnels en la
pgina 3rd Party Policy.
4. Implemente la directiva en los niveles de directivas de territorio, rol o recurso
usando las opciones descritas en Configuracin de las restricciones de Host
Checker en la pgina 301. Si desea verificar que el paquete se instal y se est
ejecutando en el equipo del cliente (y no si se cumple o no una directiva
especfica del paquete), puede usar el nombre que especific cuando carg el
paquete de directivas (por ejemplo, myPestPatrol). Para aplicar una directiva en
particular en el paquete, use la sintaxis <PackageName>.<PolicyName>.
Por ejemplo, para aplicar la directiva FileCheck en el paquete myPestPatrol,
use myPestPatrol.FileCheck. Para obtener instrucciones, consulte Configuracin
de las restricciones de Host Checker en la pgina 301.
Para permitir una directiva personalizada del Host Checker del lado del servidor:
1. En la consola de administracin, seleccione Authentication > Endpoint
Security > Host Checker.
2. En Policies, haga clic en New 3rd Party Policy.
3. Introduzca un nombre para identificar su archivo zip en el IVE.
4. Busque el directorio local donde se encuentra el archivo zip.
5. (Opcional) Especifique las instrucciones y acciones de correccin para usuarios
cuyos equipos no cumplen con los requisitos especificados en la directiva.
Para obtener instrucciones, consulte Configuracin de la correccin general de
Host Checker en la pgina 305.
Combinacin de varias reglas de medicin de integridad con expresiones personalizadas

297

Gua de administracin de Secure Access de Juniper Networks

6. Haga clic en Save Changes. El IVE agrega las directivas definidas en el archivo
zip a la lista de directivas de la pgina del Host Checker.
7. Implemente las directivas en los niveles de directivas de territorio, rol o recurso
usando las opciones descritas en Configuracin de las restricciones de Host
Checker en la pgina 301.

Implementacin de las directivas del Host Checker


Despus de crear directivas globales a travs de la pgina del Authentication >
Endpoint Security > Host Checker de la consola de administracin, puede
restringir el acceso al IVE y a los recursos requiriendo el Host Checker en las
opciones siguientes:

298

Directiva de autenticacin de territorio: Cuando los administradores o los


usuarios intentan iniciar sesin en el IVEo iniciar una sesin de Virtual
Workspace, el IVE evala la directiva de autenticacin especificada del territorio
para determinar si los requisitos de autenticacin previa incluyen al
Host Checker. Puede configurar una directiva de autenticacin de territorio
para descargar Host Checker, iniciar Host Checker y aplicar las directivas
especificadas de Host Checker para el territorio, o para no requerir Host
Checker. El usuario debe iniciar sesin en un equipo que cumpla con los
requisitos de Host Checker que se especificaron para el territorio. Si el equipo
del usuario no cumple los requisitos, entonces el IVE negar el acceso al usuario
a menos que configure acciones correctivas que ayuden al usuario a lograr que
su equipo cumpla con las directivas. Puede configurar restricciones a nivel de
territorio a travs de la pgina Administrators > Admin Realms > Seleccionar
territorio > Authentication Policy > Host Checker o la pgina Users > User
Realms > Seleccionar territorio > Authentication Policy > Host Checker de
la consola de administracin.

Rol: Cuando el IVE determina la lista de roles vlidos para las que puede
asignar un administrador o un usuario, evala las restricciones de cada rol para
determinar si requiere que el equipo del usuario se adhiera a determinadas
directivas de Host Checker. Si es as, y el equipo del usuario no sigue las
directivas de Host Checker especificadas, el IVE no asignar al usuario dichos
roles a menos que configure acciones correctivas para ayudar al usuario a
lograr que su equipo cumpla las directivas. Puede configurar la asignacin de
roles usando los ajustes de la pgina Users > User Realms > Seleccionar
territorio > Role Mapping. Puede configurar restricciones a nivel de rol en la
pgina Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Host Checker de la consola de administracin o en la pgina
Users > User Roles> Seleccionar rol > General > Restrictions >
Host Checker.

Implementacin de las directivas del Host Checker

Captulo 11: Host Checker

Directiva de recursos: Cuando un usuario solicita un recurso, el IVE evala las


reglas detalladas de la directiva de recursos para determinar si el recurso
requiere que el equipo del usuario se adhiera a determinadas directivas de
Host Checker. El IVE denegar acceso a los recursos si el equipo del usuario
no cumple con las directivas de Host Checker, a menos que configure acciones
correctivas para ayudarle al usuario a que logre que su equipo cumpla con las
directivas. Para implementar las restricciones de Host Checker en el nivel de
directivas de recursos, use los ajustes en la pgina Users > Resource Policies
> Seleccionar recurso > Seleccionar directiva > Detailed Rules.

Puede especificar que el IVE evale las directivas del Host Checker slo cuando el
usuario intenta tener acceso por primera vez al territorio, rol o recurso al que hace
referencia la directiva del Host Checker. Como alternativa, puede especificar que el
IVE evale de forma peridica las directivas a travs de la sesin del usuario. Si elige
evaluar peridicamente las directivas del Host Checker, el IVE asigna de forma
dinmica los usuarios a los roles y les permite acceder a nuevos recursos en funcin
de la evaluacin ms reciente.

Ejecucin de las directivas del Host Checker


Cuando el usuario intenta entrar al IVE, el Host Checker evala sus directivas en el
siguiente orden:
1. Evaluacin inicial: Cuando un usuario intenta acceder por primera vez a la
pgina de inicio de sesin del IVE, el Host Checker realiza una evaluacin
inicial. Con las reglas que especific en las directivas, el Host Checker
comprueba que el cliente cumpla los requisitos del punto final y devuelve sus
resultados al IVE. El Host Checker realiza una evaluacin inicial
independientemente de si ha implementado las directivas del Host Checker
a nivel de territorio, de rol o de directiva.
Si el usuario sale de la pgina de inicio de sesin del IVE despus de que
Host Checker se comienza a ejecutar pero antes de que inicie sesin en el IVE,
Host Checker continuar ejecutndose en el equipo del usuario hasta que se
agote el tiempo de espera del proceso de Host Checker.
Si por cualquier motivo (incluso porque el usuario cerr manualmente
Host Checker) el IVE no recibe un resultado del Host Checker, el IVE mostrar
un mensaje de error y le solicitar al usuario que vuelva a la pgina de inicio de
sesin.
En caso contrario, si el proceso de Host Checker devuelve un resultado,
el IVE sigue evaluando las directivas de nivel de territorio.

Implementacin de las directivas del Host Checker 299

Gua de administracin de Secure Access de Juniper Networks

2. Directivas a nivel de territorio: El IVE usa los resultados de la evaluacin inicial


del Host Checker para determinar a cul de los territorios puede tener acceso el
usuario. Despus, el IVE muestra u oculta los territorios al usuario y le permite
iniciar sesin en los territorios que habilite para la pgina de inicio de sesin
slo si cumple con los requisitos del Host Checker para cada territorio.
Si el usuario no puede cumplir las condiciones que requiere el Host Checker
para alguno de los territorios disponibles, el IVE no mostrar la pgina de inicio
de sesin, sino que muestra un mensaje de error que indica que el usuario no
tendr acceso, a menos que configure acciones correctivas para ayudar al
usuario a lograr que su equipo cumpla con las directivas.
Tenga en cuenta que el Host Checker slo realiza revisiones a nivel de territorio
cuando el usuario inicia sesin por primera vez en el IVE. Si el estado del
sistema del usuario cambia durante su sesin, el IVE no lo expulsa del territorio
actual ni le permite tener acceso a un territorio nuevo basado en el nuevo
estado del sistema.
3. Directivas a nivel de rol: Despus de que el usuario inicia sesin en un
territorio, el IVE evala las directivas a nivel de rol y asigna el usuario a los roles
si es que cumple con los requisitos del Host Checker para esos roles. Despus,
el IVE le muestra al usuario la pgina de inicio del IVE y habilita esas opciones
que permite el rol asignado.
Si el Host Checker devuelve un estado distinto durante una evaluacin
peridica, el IVE reasignar de forma dinmica los roles del usuario en funcin
de los nuevos resultados. Si el usuario pierde derechos a todos los roles
disponibles durante una de las evaluaciones peridicas, el IVE desconectar la
sesin del usuario, a menos que configure acciones correctivas para ayudar al
usuario a que logre que su equipo cumpla con las directivas.
4. Directivas a nivel de recursos: Despus de que el IVE le permite al usuario
tener acceso a la pgina de inicio, el usuario puede intentar tener acceso a un
recurso que est controlado por una directiva de recursos. Cuando lo hace,
el IVE determina si debe realizar o no la accin especificada en la directiva de
recursos basado en el ltimo informe de estado que devolvi el Host Checker.
Si el Host Checker devuelve un informe de estado distinto durante una
evaluacin peridica, el nuevo estado slo tendr efecto en los nuevos recursos
a los que el usuario intente tener acceso. Por ejemplo, si el usuario inicia de
forma correcta una sesin de Network Connect y luego no logra comprobar el
host a nivel de recursos, puede seguir teniendo acceso a la sesin abierta de
Network Connect. El IVE solo le denegar el acceso si intenta abrir una nueva
sesin de Network Connect. El IVE comprueba el ltimo estado devuelto por el
Host Checker cuando el usuario intenta tener acceso a un recurso de la web
nuevo o abrir una sesin nueva de Secure Application Manager, Network
Connect o Secure Terminal Access.
Ya sea con un resultado vlido o no, el Host Checker permanece en el cliente.
Los usuarios de Windows pueden desinstalar manualmente el agente al ejecutar el
archivo uninstall.exe que se encuentra en el directorio donde est instalado el
Host Checker. Si habilita el inicio de sesin del lado cliente a travs de la pgina
System > Log/Monitoring > Client Logs, este directorio tambin contendr un
archivo de registro, el que reescribe el IVE cada vez que se ejecuta el Host Checker.

300

Implementacin de las directivas del Host Checker

Captulo 11: Host Checker

Si habilita la evaluacin de directivas dinmicas para Host Checker (consulte


Comprensin de la evaluacin dinmica de directivas en la pgina 57),
el IVE evaluar las directivas de recursos implementadas a nivel de territorio cada
vez que el estado de Host Checker cambie. Si no habilita la evaluacin de directivas
dinmicas para Host Checker, el IVE no evaluar las directivas de recursos pero
s evaluar la directiva de autenticacin, las reglas de asignacin de recursos y las
restricciones de roles cada vez que el estado de Host Checker del usuario cambie.
Para obtener instrucciones sobre la configuracin, consulte Especificacin de las
opciones generales de Host Checker en la pgina 314.

Configuracin de las restricciones de Host Checker


Para especificar las restricciones de Host Checker:
1. Desplcese hasta: Authentication > Endpoint Security > Host Checker y
especifique las opciones globales que el Host Checker debe aplicar a cualquier
usuario que requiera que una directiva de autenticacin, una regla de
asignacin o una directiva de recursos del Host Checker.
2. Si desea implementar el Host Checker a nivel de territorio:
a.

b.

c.

Desplcese hasta:

Administrators > Admin Realms > Seleccionar territorio >


Authentication Policy > Host Checker

Users > User Realms > Seleccionar territorio > Authentication


Policy > Host Checker

Escoja una de las siguientes opciones para todas las directivas disponibles o
para directivas individuales que aparecen en la columna Available Policies:

Evaluate Policies: Evala sin aplicar la directiva en el cliente y permite


el acceso del usuario. Esta opcin no requiere que el Host Checker est
instalado durante el proceso de evaluacin, sino que se instala cuando
el usuario inicia sesin en el IVE.

Require and Enforce: Requiere y aplica la directiva en el cliente para


que el usuario pueda iniciar sesin en el territorio especificado.
Requiere que el Host Checker est ejecutando las directivas
especificadas del Host Checker para que el usuario pueda cumplir con
los requisitos de acceso. Requiere que el IVE descargue Host Checker
en el equipo cliente. Si elige esta opcin para una directiva de
autenticacin del territorio, entonces el IVE descarga Host Checker al
equipo cliente despus de que el usuario se ha autenticado y antes de
que se le asignen roles en el sistema. Al seleccionar esta opcin,
automticamente se habilita la opcin Evaluate Policies.

Seleccione la casilla de verificacin Allow access to realm if any ONE of


the selected Require and Enforce policies is passed si no desea
requerir a los usuarios que cumplan todos los requisitos en todas las
directivas seleccionadas, sino que el usuario puede tener acceso al
territorio si cumple los requisitos de cualquiera de las directivas
seleccionadas de Host Checker.

Implementacin de las directivas del Host Checker 301

Gua de administracin de Secure Access de Juniper Networks

3. Si desea implementar el Host Checker a nivel de rol:


a.

b.

c.

Desplcese hasta:

Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Host Checker

Users > User Roles > Seleccionar rol > General > Restrictions >
Host Checker

Escoja una de las siguientes opciones:

Allow all users: No requiere que el Host Checker est instalado para
que el usuario cumpla el requisito de acceso.

Allow only users whose workstations meet the requirements


specified by these Host Checker policies: Requiere que el Host
Checker est ejecutando las directivas especificadas del Host Checker
para que el usuario pueda cumplir con los requisitos de acceso.

Seleccione la casilla de verificacin Allow access to role if any ONE of the


selected Require and Enforce policies is passed si no desea requerir
a los usuarios que cumplan todos los requisitos en todas las directivas
seleccionadas, sino que el usuario puede tener acceso al rol si cumple los
requisitos de cualquiera de las directivas seleccionadas de Host Checker.

4. Si desea crear reglas de asignacin de roles basadas en el estado del Host


Checker del usuario:
a.

Desplcese hasta: Users > User Realms > Seleccionar territorio > Role
Mapping.

b.

Haga clic en New Rule, seleccione Custom Expressions en la lista Rule


based on y haga clic en Update. O bien, para actualizar una lista existente,
seleccinela desde la lista When users meet these conditions.

c.

Haga clic en Expressions.

d. Usando la variable hostCheckerPolicy, escriba una expresin personalizada


para la regla de asignacin de roles que evaluar el estado del Host
Checker. Si necesita ayuda para escribir expresiones personalizadas, utilice
los consejos que se encuentran en Expressions Dictionary. O bien,
consulte Expresiones personalizadas en la pgina 1041.

302

e.

En la seccin ...then assign these roles, seleccione los roles que el IVE
debe asignar a los usuarios cuando cumplan los requisitos especificados en
la expresin personalizada y luego haga clic en Add.

f.

Seleccione Stop processing rules when this rule matches si desea que
el IVE deje de evaluar las reglas de asignacin de roles si el usuario cumple
satisfactoriamente con los requisitos definidos en esta reglas.

Implementacin de las directivas del Host Checker

Captulo 11: Host Checker

5. Si desea implementar el Host Checker a nivel de directivas de recursos:


a.

Desplcese hasta: Users > Resource Policies > Seleccionar recurso >
Seleccionar directiva > Detailed Rules.

b.

Haga clic en New Rule o seleccione una regla existente desde la lista
Detailed Rules.

c.

Escriba una expresin personalizada para la regla detallada para evaluar el


estado del Host Checker usando la variable hostCheckerPolicy. Si necesita
ayuda para escribir expresiones personalizadas, utilice los consejos que se
encuentran en Conditions Dictionary. O bien, consulte Expresiones
personalizadas en la pgina 1041.

Estas opciones le permitirn controlar qu versin de una aplicacin o servicios se


ejecuta en los equipos cliente.

Correccin de las directivas de Host Checker


Puede especificar acciones correctivas generales que desee que Host Checker lleve
a cabo si un punto final no cumple con los requisitos de una directiva. Por ejemplo,
puede mostrar una pgina de correccin al usuario que contenga instrucciones
especficas y vnculos a recursos que le ayudarn a lograr que su punto final cumpla
con los requisitos de las directivas de Host Checker.
Tambin puede escoger incluir un mensaje a los usuarios (llamado una cadena de
motivos) que Host Checker o un comprobador de medicin de integridad (IMV)
devuelve y explica los motivos por los que el equipo cliente no cumple los requisitos
de las directivas de Host Checker.
Por ejemplo, el usuario puede ver una pgina de correccin que contenga las
siguientes instrucciones personalizadas, un vnculo a recursos y las cadenas de
motivos:
Your computer's security is unsatisfactory.
Your computer does not meet the following security requirements. Please follow
the instructions below to fix these problems. When you are done click Try Again.
If you choose to Continue without fixing these problems, you may not have access
to all of your intranet servers.
1. Symantec
Instructions: You do not have the latest signature files. Click here to download
the latest signature files.
Motivos: La versin del producto antivirus es muy antigua. La antigedad de las
definiciones de virus no es aceptable.

Correccin de las directivas de Host Checker

303

Gua de administracin de Secure Access de Juniper Networks

Para cada directiva de Host Checker, puede configurar dos tipos de acciones de
correccin:

Realizadas por el usuario: Con instrucciones personalizadas, puede informar


al usuario acerca de la directiva que no se cumpli y la forma en que puede
hacer que su equipo cumpla con ella. El usuario debe realizar acciones para
reevaluar satisfactoriamente la directiva que no se cumpli. Por ejemplo,
puede crear una pgina personalizada que incluya un vnculo a un servidor de
directivas o a una pgina Web y le permita al usuario hacer que su equipo
cumpla con las directivas.

Automtica (realizadas por el sistema): Puede configurar Host Checker para


que corrija automticamente el equipo del usuario. Por ejemplo, cuando la
directiva inicial no se cumple, puede eliminar procesos, borrar archivos o
permitir la correccin automtica a travs de un IMV (consulte La arquitectura
TNC dentro de Host Checker en la pgina 257). En Windows, tambin puede
realizar una llamada a la funcin API HCIF_Module.Remediate () dentro de un
archivo J.E.D.I. DLL de terceros. Cuando realiza acciones automticas, Host
Checker no informa a los usuarios. (No obstante, podra incluir informacin
acerca de las acciones automticas en las instrucciones personalizadas.)

Puede habilitar estas acciones correctivas tanto en las directivas del lado cliente
como de lado del servidor. Para obtener instrucciones acerca de la configuracin,
consulte Creacin y configuracin de nuevas directivas del lado cliente en la
pgina 267 o Habilitacin de directivas personalizadas del lado del servidor en la
pgina 296.

Experiencia del usuario en la correccin de Host Checker


Los usuarios pueden ver la pgina de correccin en las siguientes situaciones:

Antes de que inicien sesin:

Si habilita las instrucciones personalizadas para una directiva que no se


cumple, el IVE mostrar la pgina de correccin al usuario. El usuario tiene
dos opciones:

Tomar las acciones apropiadas para hacer que su equipo cumpla con la
directiva y luego hacer clic en el botn Try Again en la pgina de
correccin. Host Checker comprueba nuevamente si el equipo del
usuario cumple con la directiva.

Dejar su equipo en el estado actual y hacer clic en el botn Continue


par