Contenido
Capítulo 1 Presentación
Componentes de Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
Almacén central. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
Password Manager Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20
Agente de Password Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
Citrix Password Manager Service. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
Línea de productos de Password Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
Password Manager Advanced Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
Password Manager Enterprise Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
Diferencias entre las ediciones Advanced y
Enterprise de Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
Funciones nuevas en Advanced Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
Extensiones de definición de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
Compatibilidad con Internet Explorer 7 (32 bits y 64 bits) . . . . . . . . . . . . .28
Compatibilidad mejorada con SAPGUI . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
Asistente para el cambio de contraseñas simplificado . . . . . . . . . . . . . . . . .28
Administración mediante grupos de Active Directory . . . . . . . . . . . . . . . . .28
Funciones nuevas en Enterprise Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
Integración del autoservicio de usuario con
la Interfaz Web de Presentation Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
Compatibilidad con Kerberos y entornos federados . . . . . . . . . . . . . . . . . . .29
Asociación de cuentas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Compatibilidad mejorada para el cambio de usuarios
de un método de autenticación segura a otro. . . . . . . . . . . . . . . . . . . . . . . . .29
Acerca de este documento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Lectores y supuestos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
Envío de comentarios sobre la documentación. . . . . . . . . . . . . . . . . . . . . . . . . .30
Convenciones del documento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
Información adicional y ayuda en pantalla. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
Documentación del producto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
Boletín de actualización previa a la instalación . . . . . . . . . . . . . . . . . . . . . .31
6 Guía del administrador de Citrix Password Manager
Consideraciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .114
Instalación y configuración de Password Manager Service . . . . . . . . . . . . . . . . .116
Número de puerto de Password Manager Service . . . . . . . . . . . . . . . . . . . . . .120
Instalación y configuración de Password Manager Console . . . . . . . . . . . . . . . . .121
Instalación y configuración del agente de Password Manager . . . . . . . . . . . . . . .123
Entornos de instalación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124
Consideraciones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125
Conservación de la cadena GINA al instalar el agente. . . . . . . . . . . . . . . . . . .126
Instalación automática del agente de Password Manager . . . . . . . . . . . . . . . .130
Capítulo 13 Operaciones
Registro de sucesos de Password Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .338
Activación del registro de sucesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .340
El agente de Password Manager no envía las credenciales . . . . . . . . . . . . . . . . . .341
Todos los formatos (Windows, Web, emuladores de terminal). . . . . . . . . . . .342
Aplicaciones de Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .342
Aplicaciones Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .344
Aplicaciones de emulador de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .344
Compatibilidad con emuladores de terminal . . . . . . . . . . . . . . . . . . . . . . . . . . . . .346
16 Guía del administrador de Citrix Password Manager
Presentación
Almacén central
El almacén central es un punto centralizado que utiliza Password Manager para
almacenar y administrar los datos de usuario y de administración. Los datos de
usuario incluyen credenciales, respuestas a preguntas de seguridad y otros datos
de usuario. Los datos de administración incluyen directivas de contraseña,
definiciones de aplicación, preguntas de seguridad y otros datos de mayor
alcance. Cuando un usuario inicia la sesión, Password Manager compara las
credenciales del usuario con las almacenadas en el almacén central. A medida que
el usuario abre las aplicaciones protegidas por contraseña o las páginas Web, se
obtienen las credenciales adecuadas del almacén central.
• Definiciones de aplicación
Las definiciones de aplicación proporcionan la información necesaria para
que el agente suministre credenciales a las aplicaciones y para detectar
posibles errores. Los administradores pueden utilizar las plantillas de
definición de aplicación de Password Manager para acelerar este proceso o
bien crear definiciones personalizadas para las aplicaciones con las que no
sea posible utilizar plantillas. En http://www.citrix.com/passwordmanager/
gettingstarted pueden encontrarse plantillas adicionales.
• Directivas de contraseña
Las directivas de contraseñas controlan la longitud de las contraseñas y el
tipo de caracteres empleados en las contraseñas definidas por el usuario y
las generadas automáticamente. Las directivas de contraseña también
permiten identificar los caracteres cuyo uso se excluirá de las contraseñas y
si se pueden utilizar las contraseñas anteriores. La creación de directivas de
contraseña coherentes con las directivas de seguridad de la empresa
garantiza que Password Manager administra correctamente la seguridad de
las contraseñas.
• Verificación de la identidad
La creación de preguntas mejora la seguridad del agente y sirve de medida
de protección frente a la suplantación de usuarios y los cambios de
contraseña o desbloqueos de cuenta no autorizados. Al responder a las
preguntas de seguridad, los usuarios registrados pueden verificar su
identidad y realizar tareas de autoservicio con la información de su cuenta,
como restablecer su contraseña primaria o desbloquear su cuenta de
usuario.
Otros comandos a los que se puede dar acceso a los usuarios son:
• El comando Revelar contraseñas, del menú Ver, permite al usuario
mostrar las contraseñas de las aplicaciones enumeradas en el
Administrador de inicios de sesión.
Advanced Enterprise
Funciones de seguridad Edition Edition
Cambio automático de contraseña X X
Cambio transparente de contraseña X X
Contraseñas cifradas en memoria, almacenamiento y X X
transmisión
Aplicación de directivas de contraseña: cambios automáticos de X X
contraseña
Aplicación de directivas de contraseña: cambios manuales de X X
contraseña
Caducidad de contraseñas X X
Compatibilidad con biometría y token de contraseña X X
Compatibilidad básica con tarjetas inteligentes X X
Capítulo 1 Presentación 27
Advanced Enterprise
Funciones de seguridad Edition Edition
Compatibilidad con tarjetas inteligentes X
Garantía de integridad de datos criptográficos X X
Compatibilidad con Kerberos y entornos federados (ADFS, X
SAML)
Advanced Enterprise
Funciones de administrador Edition Edition
Aprovisionamiento de credenciales por lotes X X
Integración con productos de aprovisionamiento de usuarios X X
Compatibilidad con puntos compartidos de Windows NT X X
Compatibilidad con Microsoft Active Directory X X
Respaldo para puntos compartidos de Novell NetWare X X
Compatibilidad con directorios LDAP X X
Administración mediante grupos de Active Directory X X
Compatibilidad con Citrix Streaming Server X X
Citrix Access Management Console X X
Administración de licencias integradas en la suite X X
Compatibilidad con Windows Server 2003 64-bit Extended X X
Licencias de usuarios identificados X X
Licencias de usuarios concurrentes (sólo Citrix Password X
Manager para Presentation Server)
Asociación de cuentas
La asociación de cuentas permite que las credenciales de inicio de sesión de
Windows de un usuario individual se puedan cambiar entre sus distintas cuentas
de Windows en varios dominios. Password Manager almacena las credenciales
del usuario en una ubicación a la que se puede acceder desde varias cuentas.
Lectores y supuestos
Este documento está dirigido a los administradores de sistemas y de seguridad
responsables de la instalación de Password Manager. Se supone que el lector tiene
conocimientos básicos de la administración de Windows Server. También es
necesario disponer de conocimientos prácticos de Novell NetWare si es la
plataforma que se utiliza para instalar Password Manager o realizar su
mantenimiento.
Convención Significado
Negrita Comandos, nombres de los elementos de la interfaz
gráfica (como cuadros de texto y botones de opciones)
y texto que debe introducir el usuario.
Cursiva Marcadores de posición de información o parámetros
proporcionados por el usuario. Por ejemplo,
nombre_de_archivo en un procedimiento significa que
el usuario debe escribir el nombre real de un archivo.
La cursiva también se utiliza para los términos nuevos
y los títulos de los libros.
%SystemRoot% Indica el directorio del sistema Windows, WTSRV,
WINNT, WINDOWS o cualquier otro nombre
utilizado durante la instalación de Windows.
Fuente de ancho fijo Texto presentado en un archivo de texto.
{ llaves } Serie de elementos, uno de los cuales es necesario, en
las sentencias de comandos. Por ejemplo, { yes | no }
quiere decir que se debe escribir yes o no. Las llaves
no se escriben, sólo el elemento.
Capítulo 1 Presentación 31
Convención Significado
[ corchetes ] Elementos opcionales en instrucciones de comandos.
Por ejemplo,
[/ping] significa que puede escribir /ping con el
comando. Los corchetes no se escriben, sólo el
elemento.
| (barra vertical) Separador de elementos entre llaves o corchetes en las
sentencias de comandos. Por ejemplo, { /hold | /
release | /delete } significa que se puede escribir /hold,
/release o /delete.
… (puntos suspensivos) Indican que se puede repetir uno o varios elementos
anteriores de la sentencia de comandos. Por ejemplo, /
route:nombre_de_dispositivo[,…] significa que se
pueden escribir varios nombre_de_dispositivo
separados por comas.
Archivo Léame
El archivo Léame proporciona la información sobre las funciones de Password
Manager, problemas conocidos, cambios y otra información importante
desarrollada después de finalizar la Guía del administrador de Citrix Password
Manager. Asegúrese de consultarla antes de instalar Password Manager.
32 Guía del administrador de Citrix Password Manager
Nota: las guías son archivos en formato PDF de Adobe. Para ver documentos
PDF, hacer búsquedas en éstos e imprimirlos, es necesario tener instalado Adobe
Acrobat Reader 5.0.5 con función de búsqueda, o bien versiones Adobe Reader
entre 6.0 y 7.0). Estos productos pueden descargarse de forma gratuita en el sitio
Web de Adobe Systems en http://www.adobe.com/.
Control de la instalación
Este documento proporciona una indicación rápida y concisa para los
administradores que tengan experiencia en la instalación de Password Manager.
El proceso de instalación se enfoca desde una perspectiva amplia y no pretende
sustituir a “Planificación del entorno de Password Manager” en la página 35 ni a
“Instalación de Password Manager” en la página 85 de esta guía del
administrador.
Asistencia técnica
Citrix proporciona asistencia técnica principalmente a través del programa Citrix
Solutions Advisors. Póngase en contacto con su proveedor para obtener servicio
técnico de primera línea o averigüe cuál es el miembro de Solutions Advisors más
cercano en la página Web http://www.citrix.com/site/partners.
Además de contar con el programa Citrix Solutions Advisors, Citrix ofrece
diversas herramientas de asistencia técnica de autoservicio y basadas en Web en
su centro de conocimientos en línea (Knowledge Center), al que puede accederse
desde: http://support.citrix.com/. La base de conocimientos en línea contiene los
siguientes recursos y fuentes de información:
• Miles de soluciones de asistencia técnica para los entornos Citrix.
• Una biblioteca de documentación de productos basada en Web.
• Foros interactivos de asistencia técnica para los productos Citrix.
• Acceso a los Hotfix y paquetes de servicios.
• Boletines de seguridad.
• Recursos para la notificación y el seguimiento de los problemas en Web
(para usuarios con contratos de asistencia válidos).
• Asistencia técnica remota de Citrix. Con el producto de asistencia técnica
remota de Citrix, GoToAssist, el personal del servicio técnico de Citrix
puede ver el escritorio del usuario y compartir el control del puntero y el
teclado para agilizar la solución de problemas.
También hay otra fuente de ayuda técnica, Citrix Preferred Support Services, que
dispone de una amplia gama de opciones para personalizar el nivel y el tipo de
ayuda técnica para los productos Citrix.
34 Guía del administrador de Citrix Password Manager
Subscription Advantage
Con Subscription Advantage se puede estar siempre al día con las funciones y la
documentación del software más recientes. Durante el período de suscripción, se
obtiene la entrega automática de:
• Nuevas funciones
• Actualizaciones de software
• Mejoras
• Versiones de mantenimiento
• Acceso prioritario a información tecnológica importante de Citrix.
Encontrará más información en el sitio Web de Citrix, en http://www.citrix.com/
services/ (elija Subscription Advantage). También puede ponerse en contacto con
el representante de ventas de Citrix o con un miembro del programa Citrix
Solutions Advisors.
Formación
Citrix ofrece una amplia gama de soluciones de formación con instructor y
basadas en Web. Los cursos con instructor se ofrecen a través de los centros de
enseñanza autorizados de Citrix o CALC (Citrix Authorized Learning Centers).
Estos centros proporcionan formación presencial de alta calidad mediante cursos
profesionales desarrollados por Citrix, muchos de los cuales permiten obtener una
certificación.
Los cursos de formación Web están disponibles a través de centros CALC, de los
distribuidores y del sitio Web de Citrix.
La información sobre programas y cursos de formación y certificación de Citrix
está disponible en http://www.citrix.com/edu/.
C APÍTULO 2
Esta sección contiene información que servirá de ayuda para planificar el entorno
de Password Manager y decidir el modo de implementarlo.
En esta sección se describen los temas siguientes:
• “Planificación del diagrama de flujo de trabajo” en la página 36
• “Introducción” en la página 37
• “¿Qué tipo de almacén central se debe elegir?” en la página 40
• “¿Qué son las directivas de contraseña para la asociación de cuentas?” en la
página 49
• “¿Qué tipo de aplicaciones habilitadas para SSO se utilizan en la empresa?”
en la página 55
• “¿Qué tipo de tarjetas inteligentes se utilizan en la empresa?” en la
página 57
• “¿Es necesario utilizar la verificación de identidad?” en la página 58
• “Planificación de las configuraciones de usuario” en la página 61
• “¿Se comparten los mismos recursos o un espacio de trabajo entre muchos
usuarios? (Escritorio dinámico)” en la página 66
• “Selección de funciones de Password Manager Service opcionales” en la
página 68
• “Entornos de instalación del agente de Password Manager” en la página 73
• “Instrucciones para la autenticación principal múltiple y opciones de
protección de credenciales de usuario” en la página 77
36 Guía del administrador de Citrix Password Manager
Introducción
Un entorno de Password Manager puede incluir los siguientes elementos:
• Carpetas de red compartidas o Active Directory que contenga el almacén
central
• Uno o varios equipos con Password Manager Console
• Uno o varios equipos con el agente de Password Manager
• Un servidor dedicado que aloje Password Manager Service con uno o
varios módulos de funciones instalados en él
• Un entorno Citrix Presentation que aloje el Agente de Password Manager
• Dispositivos de autenticación, como tarjetas inteligentes
• Funciones de Password Manager, como Escritorio dinámico y
administración de claves
Después de tener un plan básico o completo de Password Manager, se puede
empezar a implementar en el entorno. En la siguiente tabla se muestra lo
necesario para empezar a utilizar Password Manager.
38 Guía del administrador de Citrix Password Manager
Clase Descripción
citrix-SSOConfig Describe el objeto que contiene datos para la configuración del
agente, el estado de sincronización, el archivo de definición de
aplicación ENTLIST.INI y el archivo de comportamiento de uso
del agente por primera vez FTULIST.INI.
Esta clase incluye los atributos siguientes:
• citrix-SSOConfigData: contiene los datos reales.
• citrix-SSOConfigType: especifica el tipo de datos.
citrix-SSOSecret Describe el objeto de datos secretos que se utiliza para autenticar a
un usuario de Password Manager. Esta clase incluye el atributo
siguiente:
• citrix-SSOSecretData: contiene datos de credenciales
cifrados para una aplicación y datos de restablecimiento de
contraseñas de autoservicio.
Ventajas
• Active Directory incluye conmutación por error y redundancia
incorporadas, por lo que no se precisan medidas adicionales para la
recuperación de desastres
• La duplicación de Active Directory ayuda a distribuir los datos
administrativos y de usuario del almacén central por toda la empresa
• No se necesita hardware adicional al utilizar un almacén central de Active
Directory
Consideraciones
• Se debe ampliar el esquema cuando se utiliza un almacén central de Active
Directory, lo que requiere una planificación e instalación cuidadosas. La
ampliación del esquema afecta a todo el bosque.
• Se recomienda ampliar el esquema y crear el almacén central de Active
Directory durante las horas de poco uso. El retardo de ciclo de duplicación
de Active Directory afectará a la velocidad con que estos cambios se copien
en todos los controladores de dominio del bosque.
• La duplicación entre sitios de los datos del almacén central en empresas
grandes que utilicen WAN requiere la configuración correcta de la
duplicación para reducir el retardo. No obstante, la duplicación dentro del
sitio normalmente supone menos retardo.
44 Guía del administrador de Citrix Password Manager
Ventajas
• Se puede emular el aspecto de un almacén central de Active Directory sin
tener que ampliar el esquema de Active Directory. Se pueden aprovechar la
jerarquía o los grupos de Active Directory existentes.
Consideraciones
• Es posible que se necesite hardware adicional para alojar el almacén
central.
• Es necesario realizar una copia de seguridad de los archivos y las carpetas
(incluidos los permisos relacionados) del almacén central periódicamente.
También se deben mantener e implementar planes de recuperación de
desastres donde se dupliquen archivos y carpetas para la recuperación del
sitio.
• Es posible que la topología de la red empresarial requiera que los usuarios
(y el agente de Password Manager) transfieran datos de usuario entre uno o
varios vínculos WAN. En este caso, se recomienda implementar la
tecnología de sistema de archivos distribuidos, incluida como parte de
Microsoft Windows Server 2000 o 2003. En el sitio Web de Microsoft http:/
/support.microsoft.com se describe con más detalle la tecnología del
sistema de archivos distribuidos.
Ventajas
• Ya se han implementado los servicios de directorio de Novell NetWare
• Se puede seleccionar el uso de un punto compartido seguro como almacén
central
Consideraciones
• Este tipo de almacén central no admite la asociación de configuraciones de
usuario con grupos de Active Directory.
46 Guía del administrador de Citrix Password Manager
Los administradores pueden crear varios almacenes centrales en las empresas que
contengan varios dominios. De hecho, se pueden utilizar varios tipos de almacén
central en estos entornos. Por ejemplo, es posible asociar configuraciones de
usuarios a un almacén central de carpeta compartida NTFS en un dominio y a un
almacén central de Active Directory en otro dominio.
Como las empresas pueden mantener varios dominios de Windows, los usuarios
también pueden tener varias cuentas de Windows. Password Manager incluye una
función denominada asociación de cuentas que permite a un agente de usuario
iniciar sesión en cualquier aplicación desde una o varias cuentas de Windows.
Como Password Manager normalmente asocia las credenciales de usuario a una
sola cuenta, la información de credenciales no se sincroniza automáticamente
entre las distintas cuentas que posee un usuario.
No obstante, los administradores pueden configurar la asociación de cuentas para
sincronizar las credenciales de usuario mediante el módulo de sincronización de
credenciales. Los usuarios que tienen configurada la asociación de cuentas
disponen de acceso a todas las aplicaciones desde cualquiera de sus cuentas en su
entorno de Password Manager. Cuando las credenciales de usuario se cambian,
agregan o eliminan de una cuenta, se sincronizarán automáticamente con cada
una de las cuentas asociadas del usuario.
Sin la asociación de cuentas, un usuario con varias cuentas de Windows está
obligado a cambiar manualmente su información de inicio de sesión
independientemente en cada cuenta de Windows.
Ventajas
• La asociación de cuentas puede contribuir a aumentar la productividad y a
reducir las llamadas al servicio técnico mediante la sincronización de las
credenciales de usuario para disminuir el mantenimiento o los errores de
inicio de sesión.
• Las cuentas se pueden sincronizar entre distintos tipos de almacén central.
Es decir, una cuenta de usuario configurada para utilizar Active Directory
como almacén central puede sincronizarse con una cuenta de usuario
asociada que esté configurada para utilizar una carpeta compartida NTFS.
48 Guía del administrador de Citrix Password Manager
Consideraciones
Deben tenerse en cuenta los siguientes puntos antes de configurar la asociación
de cuentas:
• La asociación de cuentas no es compatible con las tarjetas inteligentes
cuando éstas se utilizan como el mecanismo de autenticación principal para
iniciar sesión en Windows.
Se pueden crear directivas de contraseña según sea necesario: puede aplicarse una
directiva para el grupo que comparte dominio, crear directivas que se aplicarán a
grupos individuales de aplicaciones para protegerlas, etc.
En general, las directivas de contraseña pueden especificar restricciones como las
siguientes:
• Un número de caracteres mínimo y máximo para las contraseñas
• El uso de caracteres alfabéticos y numéricos
• La cantidad de veces que se puede repetir un carácter
• La exclusión u obligación de los caracteres o caracteres especiales que
pueden usarse
• Si los usuarios pueden ver las contraseñas guardadas
• El número de intentos permitidos cuando el usuario indica una contraseña
errónea
• Los parámetros que regulan la caducidad de las contraseñas
• El historial y las excepciones de contraseñas
Capítulo 2 Planificación del entorno de Password Manager 51
Consideraciones
• Se deben tener en cuenta los requisitos de seguridad en el contexto de la
facilidad de uso para los usuarios. Los usuarios pueden tener dificultades
para crear, implementar o recordar contraseñas si son excesivamente
restrictivas.
• Como Password Manager es seguro por diseño, la directiva de contraseña
Predeterminada define el nivel mínimo de seguridad de contraseña
recomendado por Citrix Systems, Inc. para proteger la mayoría de las
aplicaciones habilitadas para el inicio de sesión único. Estos parámetros se
pueden modificar según las directivas y normativas de la empresa.
• debido a que Password Manager aplica la directiva de contraseña
Predeterminada a todas las aplicaciones agregadas por el usuario, la
directiva Predeterminada debe configurarse lo más ampliamente posible de
modo que acepte contraseñas para las aplicaciones para las que se permita
almacenar contraseñas.
• Cuando los usuarios cambian una contraseña en una aplicación, Password
Manager se puede configurar mediante un parámetro de configuración de
usuario para que compare la contraseña anterior con la nueva y para que no
puedan utilizar la misma dos veces seguidas.
• Los usuarios pueden tener una sola contraseña que se utiliza para varias
aplicaciones (una suite de productos, por ejemplo). Este esquema se
denomina contraseñas compartidas, donde la misma autoridad de
autenticación se utiliza para las aplicaciones.
Aunque el resto de las credenciales de estas aplicaciones (como el nombre
de usuario y los campos especiales) pueden ser diferentes, la contraseña es
la misma. En este caso, se debe crear un grupo de aplicaciones que sea a su
vez un grupo de contraseñas para garantizar que el agente administra la
contraseña de todas las aplicaciones del grupo como si fueran una única
aplicación. Cuando se modifica la contraseña de una aplicación, el agente
hace que el cambio se refleje en las credenciales almacenadas para todas las
aplicaciones del grupo.
• En los grupos de contraseñas de dominio, la contraseña de dominio del
usuario es válida para todo el grupo de aplicaciones. Cuando el usuario
modifica la contraseña de dominio, el agente aplica el cambio a las
credenciales del resto de las aplicaciones del grupo. Sólo puede modificarse
la contraseña de dominio. Los usuarios no pueden cambiar las contraseñas
desde las aplicaciones del grupo a menos que el administrador elimine la
aplicación del grupo de contraseñas de dominio.
52 Guía del administrador de Citrix Password Manager
El agente responde según las definiciones de aplicación que se puede crear desde
el principio o copiar de plantillas existentes. Las definiciones de aplicación:
• Permiten que el agente reconozca y responda a las aplicaciones y
formularios que utilizan las aplicaciones para procesar las credenciales de
usuario.
• Constan de un conjunto de identificadores que establecen parámetros para
llevar a cabo este reconocimiento y respuesta
56 Guía del administrador de Citrix Password Manager
Método Descripción
Contraseña anterior En este caso, los usuarios verifican su identidad
indicando sus contraseñas primarias anteriores.
Preguntas de seguridad (también se En este caso, se crea un cuestionario que contiene
denomina autenticación con tantas preguntas y grupos de preguntas como se
preguntas) quiera.
Se pueden utilizar las preguntas predeterminadas
que proporciona Password Manager o crear
preguntas propias. Consulte “Diseño de las
preguntas de seguridad: Seguridad y facilidad de
uso” en la página 265.
Consideraciones
• Si es necesario aplicar los mismos parámetros de configuración de usuario
a un grupo distinto de usuarios, se debe duplicar la configuración de usuario
en la consola y modificar los parámetros en consecuencia.
• El modo en que se organice el entorno de usuario de Password Manager
puede afectar al funcionamiento de las configuraciones de usuario. Es decir,
las configuraciones de usuario se asocian en el entorno de Password
Manager a una jerarquía (unidad organizativa o usuarios) o a un grupo de
Active Directory. Si se utilizan ambos (jerarquía y grupo) y un usuario se
encuentra en ambos contenedores, tiene prioridad la configuración de
usuario asociada a la jerarquía y es la que se utiliza. Este esquema se
considera un entorno mixto.
• La información de configuración de usuario que se mantiene en el almacén
central tiene prioridad sobre la información guardada en el almacén local
(es decir, los datos de usuario almacenados en el equipo). Los datos de
usuario del almacén local son los que se utilizan principalmente cuando el
almacén central no está disponible o está desconectado.
Capítulo 2 Planificación del entorno de Password Manager 63
Control de aplicaciones
Con Escritorio dinámico, los usuarios pueden autenticarse rápidamente mediante
sus credenciales de cuenta de Windows o el autenticador seguro de tarjetas
inteligentes. Los administradores pueden configurar Escritorio dinámico para
iniciar aplicaciones en el entorno de Escritorio dinámico de modo que los
usuarios no tengan que buscarlas ni esperar a que se inicien.
Asimismo, se puede configurar Escritorio dinámico para garantizar que todas las
aplicaciones se cierren correctamente, dejando un entorno limpio para la
siguiente sesión de usuario.
Consulte “Control del comportamiento de las aplicaciones para los usuarios de
Escritorio dinámico” en la página 312.
Autoservicio de cuentas
Nota: la función de autoservicio de cuentas sólo puede utilizarse para que los
usuarios restablezcan su contraseña primaria en entornos Active Directory o para
que desbloqueen sus cuentas de dominio de Windows.
Capítulo 2 Planificación del entorno de Password Manager 69
Integridad de datos
Nota: si ya se dispone de una infraestructura de seguridad que protege la
transferencia de datos, como IPsec (seguridad del protocolo Internet) o la firma
SMB (bloque de mensajes de servidor), no es necesario instalar el módulo
Integridad de datos.
Después de que la consola firme los datos, ésta envía los datos y la firma al
almacén central. El agente recibe los datos y la firma del almacén central durante
la sincronización. A continuación, el agente se pone en contacto con Password
Manager Service para obtener una copia de la clave pública que necesita para
verificar la firma que ha recibido del almacén central.
Si el agente está configurado para utilizar el módulo Integridad de datos, no
aceptará datos de configuración que no hayan superado la comprobación de
integridad de datos. Si no se cumple este requisito, el agente registra el suceso y
muestra un mensaje de error en el que se indica a los usuarios que se pongan en
contacto directamente con el administrador. A continuación, el agente utiliza de
forma predeterminada las configuraciones anteriores o vuelve a un estado sin
conexión.
Capítulo 2 Planificación del entorno de Password Manager 71
Administración de claves
Con la administración de claves, los usuarios inician sesión en la red y tienen
acceso inmediato a las aplicaciones administradas por Password Manager sin
utilizar la autenticación con preguntas (este esquema también se denomina
administración automática de claves). Cuando cambian su contraseña primaria, el
agente detecta el cambio y recupera las claves de cifrado mediante Password
Manager Service.
Esta administración automática de claves proporciona a los usuarios el acceso
más sencillo y rápido a sus aplicaciones. No obstante, la administración
automática de claves no protege frente a los usuarios no autorizados o frente a los
administradores que suplanten a usuarios, porque no hay ningún “secreto de
usuario” para proteger la contraseña de red del usuario. Para ayudar a evitar este
problema, se puede implementar la administración automática de claves
combinada con el módulo de autoservicio de cuentas y la autenticación con
preguntas.
La administración automática de claves utiliza la división de claves (un proceso
mediante el que se divide la clave privada en dos partes) para reducir las
amenazas de seguridad.
Aprovisionamiento
Nota: en “Uso del aprovisionamiento para automatizar el ingreso de
credenciales” en la página 285 se describe el aprovisionamiento de contraseñas.
En una empresa que incluye Access Gateway Advanced Edition, los usuarios
pueden acceder a las aplicaciones alojadas en la comunidad de servidores en la
que se ejecuta Presentation Server mediante:
• CDA Program Neighborhood
• CDA Aplicación incrustada
• CDA Visor de sitios Web
• Menús Agregar/Iniciar
• Redirección de contenido
Si los usuarios tienen que acceder a aplicaciones en servidores en los que se
ejecutan Presentation Server y varios CDA de la comunidad de servidores de
acceso, el agente se debe instalar en todos los escritorios cliente. Este tipo de
instalación permite que el agente del servidor en el que se ejecuta Presentation
Server detecte y envíe sucesos de inicio de sesión y de cambio de contraseña para
las aplicaciones publicadas, mientras que el agente local administra las
aplicaciones de la comunidad de servidores de acceso así como las instaladas
localmente.
La ubicación del almacén central se guarda en el registro local del dispositivo
cliente. Cuando el agente se inicia, accede al almacén central y se conecta a él con
las credenciales del usuario.
Si se utiliza Password Manager con Access Gateway, es necesario tener en cuenta
los siguientes aspectos:
• Todas las instancias del CDA que requieran autenticación deben definirse
como definiciones de aplicación Web independientes en Password Manager
Console.
• Los usuarios pueden mover los CDA a distintos puntos de la página;
independientemente de la posición que ocupen, Password Manager los
reconoce sin problemas. No obstante, si se agregan CDA a una página, se
copian o se mueven de una página a otra (o de una carpeta a otra), es
necesario crear una nueva definición de aplicación Web. Si se exporta un
centro de acceso a otro servidor, los CDA se reconocen como si fueran los
mismos que los del centro de acceso original.
76 Guía del administrador de Citrix Password Manager
Suplantación de usuarios
Para impedir al acceso de los administradores a las credenciales de usuario, se
debe seleccionar Sí para la siguiente opción. Las credenciales se protegen de
modo que los administradores no puedan suplantar a los usuarios y obtener
acceso a la información del usuario.
¿Necesita regular el acceso del administrador de la cuenta a los datos del usuario?
Capítulo 2 Planificación del entorno de Password Manager 79
Opción Descripción
¿Necesita regular el acceso del Consulte “Suplantación de usuarios” en la
administrador de la cuenta a los datos página 78.
del usuario?
Datos de autenticación de los usuarios Seleccionado.
Se utiliza un secreto de usuario para acceder y
proteger los datos del usuario. En este caso, el
secreto de usuario es una contraseña.
La seguridad de la contraseña se puede derivar
de la contraseña de dominio escrita del usuario
o una contraseña de un solo uso de los
dispositivos de token, de proximidad o
biométricos.
80 Guía del administrador de Citrix Password Manager
Opción Descripción
¿Necesita regular el acceso del Consulte “Suplantación de usuarios” en la
administrador de la cuenta a los datos página 78.
del usuario?
Datos de autenticación de los usuarios Seleccionado.
Se utiliza un secreto de usuario para acceder y
proteger los datos del usuario. En este caso, el
secreto de usuario es una contraseña.
Certificados de tarjetas inteligentes Seleccionado.
En ese caso, el secreto de usuario se protege
mediante cifrado y descifrado que proporciona
el certificado de seguridad de la tarjeta.
Capítulo 2 Planificación del entorno de Password Manager 81
Opción Descripción
¿Necesita regular el acceso del Consulte “Suplantación de usuarios” en la
administrador de la cuenta a los datos página 78.
del usuario?
Datos de autenticación de los usuarios Seleccionado.
Se utiliza un secreto de usuario para acceder y
proteger los datos del usuario. En este caso, el
secreto de usuario es un número de
identificación personal (PIN).
Permitir PIN de tarjetas inteligentes Seleccionado.
Permitir que se utilice el PIN de tarjetas
inteligentes como secreto de usuario para la
protección. Esta opción sólo se debe utilizar si
la empresa o el entorno dispone de una
directiva de “PIN seguro”
82 Guía del administrador de Citrix Password Manager
Contraseñas en blanco
Importante: si no se selecciona esta opción y en el entorno se permiten las
contraseñas en blanco, el agente no deriva un secreto de usuario ni realiza
ninguna protección de datos con la contraseña en blanco.
Opción Descripción
¿Necesita regular el acceso del Consulte “Suplantación de usuarios” en la
administrador de la cuenta a los datos página 78.
del usuario?
Datos de autenticación de los usuarios Seleccionado.
Se utiliza un secreto de usuario para acceder y
proteger los datos del usuario. En este caso, el
secreto de usuario es una contraseña.
Permitir la protección usando Seleccionado.
contraseñas en blanco Cuando se selecciona esta opción y el agente
detecta que el usuario tiene una contraseña en
blanco, se deriva un secreto de usuario para la
protección de los datos a partir del ID de
usuario.
84 Guía del administrador de Citrix Password Manager
C APÍTULO 3
“Requisitos de hardware y
software” en la página 87
Preparar los equipos para la instalación. “Requisitos de ASP.NET” en la
página 91
“Requisitos de seguridad y
cuenta para Password Manager
Service” en la página 91
Requisitos de ASP.NET
Asegúrese de que el componente de Windows ASP.NET está instalado en el
equipo Windows 2003 Server.
1. Abra el Panel de control y haga clic en Agregar o quitar programas.
2. Haga clic en Agregar o quitar componentes de Windows y seleccione
Servidor de aplicaciones.
3. Haga clic en Detalles para comprobar si ASP.NET está instalado.
Si la casilla de verificación ASP.NET está seleccionada, significa que está
instalado.
Si no lo está, no está instalado.
4. Si ASP.NET no está instalado, selecciónelo y haga clic en Siguiente. Haga
clic en Finalizar cuando termine la instalación.
Cuentas necesarias
Módulo Servicio Proxy de datos Autoservicio
Integridad de datos Sí No No
Administración de claves Sí Sí No
Aprovisionamiento Sí Sí No
Autoservicio Sí Sí Sí
Sincronización de Sí No No
credenciales
94 Guía del administrador de Citrix Password Manager
Requisitos de autoservicio
Si se utilizan las funciones Restablecimiento personal de contraseñas o
Desbloqueo de cuentas del módulo Autoservicio de cuentas, se debe utilizar una
cuenta que sea miembro del grupo administradores del dominio.
Modo desconectado
Nota: este modo se configura como parte de una configuración de usuario.
Consulte “Configurar las licencias” en la página 230.
Orden de instalación
El orden de instalación sugerido para Password Manager es el siguiente:
• License Password Manager (consulte “Requisitos del sistema de licencias”
en la página 101).
• Cree el almacén central.
• Instale Password Manager Service si desea utilizar uno o varios de los
siguientes módulos:
• Administración de claves
• Autoservicio
• Aprovisionamiento
• Sincronización de credenciales
• Integridad de datos
104 Guía del administrador de Citrix Password Manager
Nota: a la carpeta compartida raíz se pueden agregar los usuarios que no sean
administradores en los servidores de archivos, pero que tengan que administrar
carpetas de Password Manager y se les puede permitir el control total. Estos
usuarios también se deben agregar a las carpetas People y CentralStoreRoot, ya
que éstas no heredan los derechos de acceso de la carpeta compartida raíz.
La asociación de configuraciones de usuario a grupos sólo se admite en dominios
de Active Directory que utilizan la autenticación de Active Directory.
Nota: antes de realizar el siguiente paso, hay que asegurarse de que la extensión
del esquema se ha propagado a todos los controladores de dominio en el entorno
de Active Directory.
Consulte:
• “Creación de un almacén central de Active Directory” en la página 110
• “Creación de un almacén central de punto compartido de red NTFS” en la
página 112
• “Creación de un almacén central de punto compartido Novell” en la
página 114
110 Guía del administrador de Citrix Password Manager
Nota: hay que asegurarse de que el maestro del esquema de Active Directory
está configurado para permitir actualizaciones.
Nota: a la carpeta compartida raíz se pueden agregar los usuarios que no sean
administradores en los servidores de archivos, pero que tengan que administrar
carpetas de Password Manager y se les puede permitir el control total. Estos
usuarios también se deben agregar a las carpetas People y CentralStoreRoot, ya
que éstas no heredan los derechos de acceso de la carpeta compartida raíz.
La asociación de configuraciones de usuario a grupos sólo se admite en dominios
de Active Directory que utilizan la autenticación de Active Directory.
donde:
Consideraciones
• Debido a que el agente utiliza una contraseña de Windows, el uso de la
sincronización de archivos de Novell NetWare requiere que la contraseña
de Novell de los usuarios sea idéntica a la de Windows.
• El almacén central se debe encontrar en el mismo árbol que los equipos en
los están instalados los agentes.
• Los usuarios deben iniciar la sesión en el árbol de Novell donde se
encuentre la carpeta compartida.
• Los usuarios deben disponer de cuentas con permisos de acceso de lectura
en la carpeta compartida de Novell NetWare que se designe como el
almacén central.
• Cualquier usuario sin derechos de supervisor que tenga que administrar las
carpetas de Password Manager se puede agregar a la carpeta de
sincronización raíz como usuario de confianza con todos los derechos. Esta
adición le concede el acceso necesario a las demás carpetas y archivos de la
carpeta de sincronización raíz.
Por ejemplo:
/path:\\NW5SRV\DATA\CITRIXSYNC
La pantalla Bienvenida enumera los módulos del servicio que se han detectado
como instalados.
1. Haga clic en Siguiente en la pantalla Bienvenida de Configuración del
servicio.
118 Guía del administrador de Citrix Password Manager
No planeo usar el módulo Seleccione esta opción si no necesita que los datos del
de integridad de datos en almacén central se firmen digitalmente y se escriban
este entorno de forma segura.
Seleccione también esta opción si no instaló el
módulo de integridad de datos.
Voy a usar el módulo de Seleccione esta opción si no necesita que los datos del
integridad de datos en este almacén central se firmen digitalmente y se escriban
entorno de forma segura; además, seleccione este módulo de
servicio para que se instale.
1. Haga clic en Inicio > Programas > Citrix > Management Consoles >
Access Management Console.
Se muestra la pantalla Configurar y ejecutar descubrimiento.
2. Haga clic en Siguiente.
Se muestra la pantalla Seleccionar productos o componentes.
3. Haga clic en Recursos de Citrix para seleccionar Herramientas de
configuración y Password Manager; haga clic en Siguiente.
4. Seleccione el tipo de almacén central que creó anteriormente y haga clic en
Siguiente.
Los usuarios pueden utilizar el agente para acceder a las aplicaciones locales,
aunque no estén conectados a una red. Las credenciales de usuario se sincronizan
cuando los usuarios se vuelven a conectar a la red de la empresa.
Cuando se instala el agente mediante la opción Autorun del CD de Password
Manager, el software de instalación detecta el sistema operativo (32 o 64 bits) e
instala el agente adecuado.
En esta sección se tratan los siguientes temas:
• “Entornos de instalación” en la página 124
• “Consideraciones” en la página 125
• “Conservación de la cadena GINA al instalar el agente” en la página 126
• “Para instalar el agente de Password Manager en un cliente local” en la
página 127
• “Para crear una copia del agente para la instalación en red” en la página 129
• “Instalación automática del agente de Password Manager” en la página 130
Entornos de instalación
En la siguiente tabla se muestran algunos entornos y esquemas de instalación:
Copia de software para la instalación Cree una copia de instalación que estará
en red disponible en la red. Consulte “Para crear una
copia del agente para la instalación en red” en
la página 129.
Instalación automática del agente Utilice las opciones de Windows Installer para
instalar el agente. Consulte “Instalación
automática del agente de Password Manager”
en la página 130.
Paquete del Cliente de acceso Puede utilizar el paquete del Cliente de acceso
para instalar el agente. Consulte el artículo más
reciente de la base de conocimientos de Citrix
en http://support.citrix.com/article/
CTX108321 para obtener más información.
Consideraciones
• Si se está realizando una instalación nueva de Citrix Access Suite que
incluya Password Manager, el agente de Password Manager debe instalarse
en último lugar.
• Cuando se configura el servidor de licencias, se cambia la ubicación del
mismo o se modifica cualquier otro parámetro relacionado con las
licencias, los cambios no se aplican a ninguno de los agentes que están
ejecutándose en el entorno. Los agentes deben cerrarse y reiniciarse para
que se apliquen los cambios.
• Si piensa utilizar Escritorio dinámico en el entorno como parte de la
instalación del agente, consulte “Interacción del usuario con Escritorio
dinámico” en la página 67.
• Después de instalar el agente, debe reiniciarse el dispositivo para que se
pueda instalar la DLL de GINA. Consulte “Conservación de la cadena
GINA al instalar el agente” en la página 126 para obtener más información
sobre GINA.
126 Guía del administrador de Citrix Password Manager
Puede instalarse una copia del agente en un punto compartido de red mediante la
utilidad disponible en el CD del producto. La utilidad crea una imagen de
instalación del Agente de Password Manager que contiene los parámetros
personalizados. En los siguientes procedimientos se supone que el CD de
Password Manager está cargado en el equipo elegido para instalar el agente y que
se muestra la pantalla de Autorun.
1. Haga clic en Paso 4: Instale el agente de Password Manager.
2. Haga clic en Crear una copia de instalación del Agente de Password
Manager.
Se muestra la pantalla Asistente de instalación del agente de Password
Manager.
3. Haga clic en Siguiente.
4. En la pantalla Creación de un paquete de instalación de administrador,
escriba la ubicación del punto compartido de red de la copia y haga clic en
Siguiente.
5. Seleccione una o varias de las funciones opcionales para instalarlas y haga
clic en Siguiente.
• Integridad de datos (si ha instalado este servicio).
• Autoservicio.
• Escritorio dinámico (esta opción requiere una cuenta existente que se
utilizará como la cuenta compartida de Escritorio dinámico. Consulte
“Escritorio dinámico: entorno de escritorio compartido para los
usuarios” en la página 301).
• Compatibilidad con Java (esta opción instala la compatibilidad de
Password Manager con Java Runtime Environment ya instalado en el
cliente).
Se muestra la pantalla de Configuración del almacén central.
130 Guía del administrador de Citrix Password Manager
Para obtener la lista completa de las opciones de Windows Installer, en una línea
de comandos en una estación de trabajo donde esté instalado Windows Installer
escriba:
• msiexec /?
En la siguiente tabla se enumeran las opciones específicas de Password Manager
que se utilizan al instalarlo desde la línea de comandos. Cada opción requiere un
signo igual (=) para establecer el valor (por ejemplo, SSPR_SELECT=1 activa las
funciones de autoservicio).
Opción Descripción
SYNCPOINTTYPE Especifica el tipo de almacén central.
Especifique FileSyncPath para utilizar un
almacén central de punto compartido de red
NTFS.
Especifique ADSyncPath para utilizar un almacén
central de Active Directory.
Especifique NovellSyncPath para utilizar un
almacén central de punto compartido Novell.
SYNCPOINTLOC Especifica la ruta UNC del almacén central de
punto compartido de red NTFS.
Especifique \\nombre de servidor\nombre de
carpeta$ donde nombre de servidor es el nombre
del equipo en el que se encuentra el almacén
central y nombre de carpeta es el nombre de la
carpeta compartida.
Esta opción no se necesita para un almacén central
de Active Directory.
DI_SELECT Especifique 1 para activar la función de integridad
de datos.
SSPR_SELECT Especifique 1 para activar la función de
autoservicio.
SERVICEURL Especifica la URL del equipo del servicio.
Especifique \\FQDN\MPMService, donde FQDN
es el nombre completo de dominio del equipo del
servicio.
SERVICEURLPORT Especifica el puerto del servidor de servicio. El
número de puerto predeterminado es 443.
Consulte también “Número de puerto de Password
Manager Service” en la página 120.
/forcerestart Especifique /forcerestart para cerrar y reiniciar la
estación de trabajo después de la instalación. Se
requiere un reinicio para la instalación del agente.
Escriba msiexec /? para obtener más opciones.
132 Guía del administrador de Citrix Password Manager
Opción Descripción
Opciones específicas de Escritorio Consulte también “Instrucciones para la cuenta
dinámico compartida de Escritorio dinámico” en la
página 307.
HD_SELECT Especifique 1 para instalar Escritorio dinámico.
HD_USERNAME Especifica el nombre de usuario de la cuenta
compartida de Escritorio dinámico.
HD_PASSWORD Especifica la contraseña de la cuenta compartida
de Escritorio dinámico.
HD_DOMAIN Especifica el dominio de la cuenta compartida de
Escritorio dinámico.
DISABLE_TERMINAL_SERVICE Especifique 1 para desactivar Servicios de
Terminal Server, lo cual se necesita para el
funcionamiento de Escritorio dinámico.
C APÍTULO 4
En esta sección se describen las tareas necesarias para actualizar las versiones
anteriores de Citrix Password Manager a la versión actual 4.5:
• “Tipos de actualización permitidos” en la página 133
• “Resumen de los pasos de actualización” en la página 134
• “Antes de actualizar Password Manager” en la página 135
• “Paso 1: Actualice Password Manager Service” en la página 140
• “Paso 2: Actualice Password Manager Console” en la página 141
• “Paso 3: Actualice el agente de Password Manager” en la página 143
“Requisitos de hardware y
software” en la página 87
Preparar los equipos para la actualización y “Antes de actualizar Password
exportación de datos administrativos. Manager” en la página 135
Realizar la copia de seguridad del almacén central. “Antes de actualizar Password
Manager” en la página 135
Realizar la copia de seguridad del archivo
process.xml en todas las estaciones de trabajo de
Escritorio dinámico.
Instalar el servidor de licencias y agregar licencias “Requisitos del sistema de
para Password Manager. licencias” en la página 101
Guía de Licensing para Citrix
Access Suite, disponible en la
carpeta Documentation del
CD-ROM del producto (en
inglés)
Actualización
Revisar el menú Autorun. “Antes de instalar Password
Manager” en la página 103
Actualizar el almacén central. “¿Qué tipo de almacén central se
debe elegir?” en la página 40
“Paso 2: Actualice Password
Manager Console” en la
página 141
Actualizar Password Manager Service. “Paso 1: Actualice Password
Manager Service” en la
página 140
Actualizar Password Manager Console. “Paso 2: Actualice Password
Manager Console” en la
página 141
Actualizar el agente de Password Manager. “Paso 3: Actualice el agente de
Password Manager” en la
página 143
“Instalación y configuración del
agente de Password Manager” en
la página 123
Capítulo 4 Actualización de Password Manager 135
Uso de Autorun
Desde el menú Autorun pueden realizarse tareas de Password Manager, como
crear un almacén central o actualizar los componentes de Password Manager.
Después de insertar el CD-ROM del producto en la unidad correspondiente, se
muestra la pantalla de opciones de Autorun.
Si no se muestra automáticamente:
1. Abra el Explorador de Windows y seleccione la unidad de CD-ROM.
2. Haga clic en Autorun.exe.
Orden de actualización
El orden de actualización sugerido para Password Manager es el siguiente:
• Instale las licencias (consulte “Requisitos del sistema de licencias” en la
página 101).
• Actualice Password Manager Service si utiliza uno o varios de los
siguientes módulos:
• Administración de claves
• Autoservicio
• Aprovisionamiento
• Sincronización de credenciales
• Integridad de datos
Nota: el agente Password Manager 4.0 y 4.1 puede trabajar con un almacén
central de Password Manager 4.5. No obstante, se han introducido nuevas
funciones en la versión 4.5 que no están disponibles en esas versiones de agente.
Citrix recomienda actualizar el agente siempre que sea posible para que coincida
con las versiones de servicio y consola. Una actualización contribuye a garantizar
que los usuarios tienen acceso a las funciones y mejoras de seguridad más
recientes.
Los procedimientos de este paso son lo mismos que los de la instalación del
agente por primera vez. Consulte “Instalación y configuración del agente de
Password Manager” en la página 123.
144 Guía del administrador de Citrix Password Manager
C APÍTULO 5
Nota: Presentation Server cuenta con diversas reglas de directiva que permiten
configurar y controlar qué usuarios podrán acceder a Password Manager cuando
se conecten a servidores y aplicaciones publicadas en la comunidad de servidores.
Consulte la Guía del administrador de Presentation Server para obtener más
información.
146 Guía del administrador de Citrix Password Manager
Nota: cuando los usuarios cambian una contraseña en una aplicación, Password
Manager puede comparar la contraseña anterior con la nueva para que no puedan
utilizar la misma dos veces seguidas. Consulte “Configurar la historia y
caducidad de contraseñas” en la página 152.
Grupos de contraseñas
Los usuarios pueden tener una sola contraseña que se utiliza para varias
aplicaciones (una suite de productos, por ejemplo). Este esquema se denomina
contraseñas compartidas, donde la misma autoridad de autenticación se utiliza
para las aplicaciones.
Capítulo 5 Uso de directivas de contraseña para aplicar los requisitos de las contraseñas 147
Longitud de la contraseña
Especifique la cantidad mínima de caracteres necesarios. El valor mínimo
permitido es 0. El valor máximo permitido es 128. Asegúrese de que los valores
configurados coinciden con los requisitos de la aplicación habilitada para SSO
para la longitud de la contraseña.
• Permitir mayúsculas
• La contraseña puede comenzar con una mayúscula
• La contraseña puede terminar con una mayúscula
• Cantidad mínima de mayúsculas necesaria (el valor predeterminado
es 0 y el máximo es 128)
Historia de contraseñas
• La nueva contraseña no puede ser igual a las anteriores
Seleccione esta opción para exigir una contraseña nueva cuando caduque la
contraseña de un usuario. Si se desea, se puede impedir que los usuarios
vuelvan a utilizar hasta 24 contraseñas utilizadas anteriormente en el
entorno de Password Manager.
Caducidad de contraseñas
Nota: la opción Caducidad de contraseñas sólo notifica a los usuarios que una
contraseña está a punto de caducar o que ya ha caducado. Los usuarios pueden
utilizar contraseñas caducadas, pero reciben avisos o solicitudes de cambio hasta
que deciden modificarlas en el Administrador de inicios de sesión.
Las definiciones de aplicación también permiten ejecutar un script cuando
caducan las contraseñas. Asimismo, se puede utilizar la advertencia incorporada
de caducidad de contraseña de Password Manager.
Los parámetros de caducidad de contraseña en Password Manager son
independientes de los incorporados en las aplicaciones de software.
Nota: para permitir que los usuarios vean sus contraseñas de las
aplicaciones, también se debe activar Permitir que los usuarios revelen
las contraseñas en la configuración de usuario asociada a esta directiva de
contraseña. Consulte “Configurar la interacción del Agente” en la
página 223.
Identificar la aplicación
Esta página se utiliza para definir el nombre de la definición de aplicación y
proporcionar una descripción para dicha definición. Como nombre de aplicación
se puede definir cualquier nombre que se desee.
Se debe tener en cuenta que:
• El nombre se puede utilizar para diferenciar entre varias versiones de la
misma aplicación.
• Se trata del nombre que se buscará en el almacén central.
• Los usuarios del agente verán este nombre y esta descripción en el
Administrador de inicios de sesión.
Administrar formularios
La mayoría de las aplicaciones disponen de formularios independientes para el
inicio de sesión y cambios de contraseña. Algunas aplicaciones también disponen
de formularios independientes que notifican a los usuarios de un cambio de
contraseña satisfactorio o fallido.
Esta página se utiliza para agregar un formulario a la definición de aplicación.
Para agregar un nuevo formulario, se selecciona la opción Agregar formulario.
Esta acción inicia el asistente de definición de formularios que se emplea para
recopilar los datos para un solo formulario. El asistente de definición de
formularios se repite para cada formulario en la definición de aplicación.
Consulte “Introducción al asistente de definición de formularios” en la
página 169 para obtener información adicional.
Después de haber definido un formulario, la ventana Propiedades se utiliza para
ofrecer un resumen de las propiedades de formulario asociadas al formulario
resaltado en el panel Formulario de aplicación definido. Estas propiedades
también se presentan en la página Parámetros de confirmación del asistente de
definición de formularios.
Especificar el icono
De forma predeterminada, Password Manager utiliza un icono distinto para
indicar cada tipo de aplicación en el Administrador de inicios de sesión. No
obstante, para las aplicaciones de Windows, se puede definir un icono
personalizado para que los usuarios identifiquen aplicaciones concretas en el
Administrador de inicios de sesión.
Hay que tener en cuenta que cuando se utiliza un icono personalizado para indicar
una aplicación específica de Windows, la ruta identificada al archivo de icono
debe estar a disposición de todos los usuarios.
Cuando se inicia una aplicación predefinida por primera vez y esta opción está
seleccionada, el agente envía credenciales en la instancia inicial del formulario de
inicio de sesión sin que sea precisa la intervención del usuario. Cuando el usuario
cierra la sesión y se vuelve a presentar la pantalla de inicio de sesión, aparece una
ventana deslizante y permanece visible durante 10 segundos aproximadamente.
El usuario dispone de tres opciones:
• Cerrar la ventana: no se envía ninguna credencial.
• Ignorar la ventana: no se envía ninguna credencial.
• Hacer clic en el vínculo: se envían las credenciales.
Al cerrar la aplicación se termina la sesión y Password Manager envía las
credenciales la próxima vez que se abra la aplicación.
Confirmar parámetros
La página de parámetros de confirmación permite revisar los parámetros actuales
que se han estipulado para una definición de aplicación con el fin de identificar
errores y regresar para corregir dichos parámetros si se ha detectado un problema
antes de guardar la configuración.
Nombrar formulario
Al crear definiciones de aplicación para las aplicaciones de tipo Windows, la
página Nombrar formulario del asistente de definición de formularios se utiliza
para asignar un nombre definido por el usuario al formulario que se está creando
y para identificar el tipo de formulario.
Hay que tener en cuenta que el nombre asignado al formulario se muestra en la
página Administrar formularios del asistente de definición de aplicaciones. Se
debe asignar un nombre significativo para el tipo de formulario que se está
creando.
Capítulo 6 Administración del modo en que Password Manager trabaja con las aplicaciones 173
Identificar el formulario
Al crear definiciones de aplicación para las aplicaciones de tipo Windows, la
página Identificar el formulario se utiliza para proporcionar la información
necesaria para que el Agente de Password Manager reconozca de forma exclusiva
el formulario que se está definiendo.
La información de identificación incluye el título de la ventana y el nombre del
archivo ejecutable. Cuando el agente detecta el nombre del archivo ejecutable,
supervisa la aplicación para encontrar los títulos de ventana definidos.
Cuando se detecta un título de ventana, el agente realiza las acciones definidas
para el formulario.
174 Guía del administrador de Citrix Password Manager
Carácter Descripción
comodín
? Representa un solo carácter variable o dinámico que aparece en un título de
ventana.
* Representa uno o varios caracteres que aparecen en datos de título dinámicos.
No se recomienda utilizarlo para títulos de ventana vacíos (en esos casos,
debe utilizarse NULL).
NULL Representa títulos de Windows vacíos (la palabra “NULL” debe estar en
mayúsculas).
Coincidencia avanzada
Aunque la mayoría de los formularios de Windows se pueden identificar
mediante las funciones de la página Identificar el formulario, algunos tipos de
formularios requieren opciones de coincidencia más avanzadas a las que se
accede mediante el cuadro de diálogo Coincidencia avanzada. Al hacer clic en
Coincidencia avanzada se accede al cuadro de diálogo del mismo nombre.
Consulte “Uso de la coincidencia avanzada para identificar formularios de
Windows” en la página 178 para obtener información adicional sobre este cuadro
de diálogo.
Configuración adicional
En el caso de las definiciones de Windows, esta página se utiliza para especificar
si el agente pulsa automáticamente el botón de envío o si el usuario tiene que
enviar manualmente el botón.
Para que el formulario se envíe automáticamente sin intervención del usuario, se
debe seleccionar la casilla de verificación El agente envía este formulario
automáticamente.
Confirmar parámetros
La página Confirmar parámetros es la última del asistente de definición de
formularios. Se utiliza para revisar las opciones de configuración y los
parámetros asociados al formulario. Permite al administrador revisar la
configuración antes de finalizar el formulario y volver al asistente de definición
de aplicaciones para definir formularios adicionales o llevar a cabo una tarea de
edición de definiciones de aplicación.
Información de la clase
Este parámetro se utiliza para definir los identificadores de clase de ventana que
se ignorarán o el identificador de clase de ventana para reaccionar cuando varias
ventanas coincidan con el título de ventana especificado y el archivo ejecutable
asociado.
Este tipo de coincidencia no se debe utilizar para aplicaciones .NET o
aplicaciones que utilizan la clase de ventana 32770 (la clase predeterminada).
Este parámetro resulta útil cuando la clase de ventana es dinámica. En este caso,
se utilizan caracteres comodín para realizar una coincidencia con un identificador
de clase de ventana dinámica.
Carácter Descripción
comodín
? Representa un solo carácter variable o dinámico.
* Representa uno o varios caracteres que aparecen en datos de identificador
dinámicos. No se recomienda utilizarlo para identificadores de clase de
ventana vacíos (en esos casos, debe utilizarse NULL).
NULL Representa identificadores de clase de ventana vacíos (la palabra “NULL”
debe estar en mayúsculas).
Este control también resulta útil al intentar identificar una clase de ventana entre
muchos destinos de clase de ventana posibles. Se aplican las siguientes
condiciones:
180 Guía del administrador de Citrix Password Manager
Coincidencia de controles
Algunas aplicaciones asignan información dinámica a las etiquetas de los
controles. En estos casos, el título de ventana, su aplicación ejecutable asociada y
el ID de control (o los ID) pueden ser los mismos para diferentes formularios de
administración de credenciales de usuario, mientras que las etiquetas de texto u
otras propiedades del formulario cambian como respuesta a sucesos específicos
de la aplicación.
Para estos tipos de formularios, se utilizan las opciones de configuración de
coincidencia de controles para identificar un formulario para una acción de agente
específica según los valores de clase, estilo o texto exclusivos asociados al ID de
control (o varios ID de control si se precisan definiciones múltiples para
identificar el formulario de manera exclusiva).
Para las definiciones de aplicación que cumplan estas condiciones, se define una
aplicación de Windows hasta llegar a la página Identificar formulario del
asistente de definición de formularios (consulte “Proceso de definición de
formularios” en la página 172 para obtener información adicional).
Haga clic en Coincidencia avanzada y, a continuación, seleccione la opción
Información del control. Prosiga del siguiente modo:
1. Haga clic en Agregar para abrir el cuadro de diálogo Definir el criterio de
coincidencia empleado para definir los criterios de coincidencia.
Esta acción muestra los parámetros de clase, etiqueta de texto y estilo para
cada ID de control identificado de la aplicación seleccionada.
4. Haga clic con el botón secundario en una entrada de ID de control. Esta
acción abre una ventana emergente en la que se puede seleccionar la
182 Guía del administrador de Citrix Password Manager
Identificador de ventanas
Esta página se utiliza para definir un ID de control de Windows que identifique
un formulario de manera exclusiva cuando se puedan identificar varias ventanas
únicamente mediante el título de Windows definido y el nombre del archivo
ejecutable. Sólo resulta útil si el ID de control de Windows se puede usar para
diferenciar entre los diferentes formularios que se pueden identificar.
Seleccione la casilla de verificación Habilitar la coincidencia con ID de control
de ventana y proporcione el ID de control que diferencia de manera exclusiva la
ventana del formulario que se está definiendo de todos los demás formularios
posibles.
Extensiones de identificación
Las extensiones de identificación forman parte de las extensiones de definición
de aplicación. Estas extensiones proporcionan compatibilidad para utilizar
aplicaciones que son externas al agente para reconocer la aparición de un suceso
de administración de credenciales de usuario y realizar el proceso de envío de
credenciales.
Aunque los administradores de Password Manager por lo general pueden crear
definiciones de aplicación mediante Password Manager Console y la Herramienta
de definición de aplicaciones, algunas aplicaciones tienen consideraciones o
requisitos especiales que requieren un medio alternativo para detectar la
aplicación y enviar las credenciales de usuario o realizar otras acciones similares.
Para admitir estas aplicaciones, los administradores de Password Manager
pueden utilizar las extensiones de definición de aplicación para ofrecer una
abstracción para los controles de aplicación y los mecanismos de entrada de datos
asociados.
Las extensiones de identificación están desarrolladas por otros implementadores
y la implementación es específica de la aplicación. Por lo tanto, los
procedimientos necesarios para configurar su uso son específicos de la
aplicación.
Capítulo 6 Administración del modo en que Password Manager trabaja con las aplicaciones 185
Descripciones de acciones
En las siguientes descripciones de acciones, cada acción se identifica como una
operación de ID de control, operación de envío de tecla (simulación de una
pulsación de teclas) u operación avanzada. Para evitar la creación de una
definición de aplicación que sólo se admite en la versión 4.5 del software de
agente, se deben identificar las secuencias de acciones que incluyan sólo
operaciones de ID de control o sólo operaciones de envío de tecla. Cualquier
secuencia de acciones que incluya una mezcla de operaciones de ID de control y
de envío de tecla, o que incluya operaciones avanzadas, requiere la versión 4.5
del agente para poderlas reconocer.
Enviar formulario
La acción Enviar formulario se utiliza para asociar una acción de envío a un
botón. Este control de acción permite hacer clic en un botón de ventana
(operación de ID de control) o enviar la tecla Intro (operación de envío de tecla).
Seleccione Hacer clic en un botón de ventana para asociar el botón que se
utilizará en el formulario para la acción de envío.
188 Guía del administrador de Citrix Password Manager
Nombrar formulario
Al crear definiciones para las aplicaciones de tipo Web, la página Nombrar
formulario del asistente de definición de formularios se utiliza para:
• Asignar un nombre definido por el usuario para el formulario que se está
creando
• Identificar el tipo de formulario que se está creando
• Identificar cualquier acción especial
Hay que tener en cuenta que el nombre asignado al formulario se muestra en la
página Administrar formularios del asistente de definición de aplicaciones. Se
debe asignar un nombre significativo para el tipo de formulario que se está
creando.
Capítulo 6 Administración del modo en que Password Manager trabaja con las aplicaciones 193
Identificar el formulario
Al crear definiciones de aplicación para las aplicaciones de tipo Web, la página
Identificar el formulario se utiliza para proporcionar la información necesaria
para que el Agente de Password Manager reconozca de forma exclusiva el
formulario que se está definiendo.
Las aplicaciones Web se identifican mediante la dirección URL asociada al
formulario de administración de credenciales de usuario que se está definiendo.
Haga clic en Seleccionar para abrir el asistente de formularios Web que se utiliza
para identificar la dirección URL y definir las acciones de administración de
credenciales de usuario para el formulario que se está definiendo (consulte
“Asistente de formularios Web”).
Después de completar el asistente de formularios Web, se volverá a esta página.
Hay disponibles dos casillas de verificación para administrar el modo en que se
interpretan las URL identificadas:
• Coincidencia estricta de URL
Esta casilla de verificación se selecciona para reconocer únicamente los
sucesos de administración de credenciales de usuario de las aplicaciones
Web que se inician mediante las URL especificadas. Algunas URL pueden
contener datos dinámicos como identificadores de administración de
sesión, parámetros de aplicación u otros identificadores que pueden
cambiar por cada instancia. En estas circunstancias, el uso de coincidencia
estricta puede provocar que no se reconozca la URL.
• Reconocer mayúsculas en URL
Esta casilla de verificación se selecciona para utilizar URL con
coincidencia exacta de mayúsculas y minúsculas.
Configuración adicional
En el caso de las definiciones Web, esta página se utiliza para especificar si el
agente pulsa automáticamente el botón de envío o si el usuario tiene que enviar
manualmente el botón.
Para que el formulario se envíe automáticamente sin intervención del usuario, se
debe seleccionar la casilla de verificación El agente envía este formulario
automáticamente.
Capítulo 6 Administración del modo en que Password Manager trabaja con las aplicaciones 195
Confirmar parámetros
La página Confirmar parámetros es la última del asistente de definición de
formularios. Se utiliza para revisar las opciones de configuración y los
parámetros asociados al formulario. Permite al administrador revisar la
configuración antes de finalizar el formulario y volver al asistente de definición
de aplicaciones para definir formularios adicionales o llevar a cabo una tarea de
edición de definiciones de aplicación.
• Criterio de coincidencia
Esta área se utiliza para definir los criterios para la coincidencia. Se
puede seleccionar uno de los siguientes criterios:
• Texto: puede ser cualquier texto que se encuentre en el código
HTML.
• HTML: cualquier código específico que se encuentre en la
etiqueta especificada.
• Atributo: cualquier atributo del código HTML (como un
atributo name de una etiqueta form).
• Valor que coincidirá
Este campo se utiliza para ingresar el valor de la coincidencia. la
casilla de verificación Hacer coincidir todo el valor se selecciona
para obligar la coincidencia estricta del valor (cualquier texto que se
encuentre en el elemento de etiqueta provocará que falle la
coincidencia). Se deben incluir todos los delimitadores y comillas que
se puedan encontrar.
• Operador
Esta área se utiliza para definir la relación de esta entrada de
coincidencia con otras definidas para este formulario. Las opciones
son:
• AND: esta opción se selecciona cuando esta entrada de
coincidencia es una de las varias coincidencias que deben ser
satisfactorias para identificar el formulario. Al seleccionar esta
opción, el resultado de coincidencia actual se compara con el
siguiente resultado de coincidencia. Si ambos son verdaderos,
la coincidencia se realiza de forma satisfactoria.
Capítulo 6 Administración del modo en que Password Manager trabaja con las aplicaciones 199
Nombrar formulario
Al crear definiciones para las aplicaciones de tipo host, la página Nombrar
formulario del asistente de definición de formularios se utiliza para:
• Asignar un nombre definido por el usuario para el formulario que se está
creando
• Identificar el tipo de formulario que se está creando
• Identificar cualquier acción especial
Hay que tener en cuenta que el nombre asignado al formulario se muestra en la
página Administrar formularios del asistente de definición de aplicaciones. Se
debe asignar un nombre significativo para el tipo de formulario que se está
creando.
Se pueden definir varios tipos de formularios de procesamiento de credenciales
de usuario mediante el asistente de definición de formularios:
• Formulario de inicio de sesión
se utiliza para identificar la interfaz de inicio de sesión de una aplicación y
para administrar las acciones de credenciales de usuario necesarias para
obtener acceso a la aplicación asociada.
202 Guía del administrador de Citrix Password Manager
Identificar el formulario
Al crear definiciones de aplicación para las aplicaciones de tipo host, la página
Identificar el formulario se utiliza para proporcionar la información necesaria
para que el Agente de Password Manager reconozca de forma exclusiva el
formulario que se está definiendo.
Las aplicaciones de host se identifican mediante la búsqueda de cadenas de texto
que se muestran en ubicaciones de fila y columna específicos en la página de la
aplicación de host. Sólo es necesario definir las coincidencias de cadena de texto
necesarias para identificar de forma exclusiva el host.
Para agregar una entrada de calificación de coincidencia de texto, realice el
siguiente procedimiento:
1. Asegúrese de que la aplicación de host se ha iniciado y de haber
determinado las cadenas de texto que se utilizarán para identificar de forma
exclusiva la aplicación de destino.
2. Haga clic en Agregar para agregar una nueva entrada de coincidencia de
texto a la lista de entradas de coincidencia de texto que se utiliza para
calificar la aplicación. Con esta acción se abre el cuadro de diálogo Texto
que coincidirá.
Capítulo 6 Administración del modo en que Password Manager trabaja con las aplicaciones 203
3. Rellene los campos siguientes del cuadro de diálogo Texto que coincidirá:
• Cadena de texto
Introduzca el texto exacto que se utilizará para identificar la
aplicación.
• Línea
Introduzca el número de fila exacto de la cadena.
• Columna
Introduzca el número de columna exacto de la cadena.
Configuración adicional
La página Configuración adicional se utiliza para acceder a opciones de
configuración avanzada del formulario que se está definiendo. La configuración
avanzada incluye:
• Definición de una demora de procesamiento de formulario inicial
• Definición de las pulsaciones necesarias para acceder al formulario de
administración de credenciales de usuario que se está definiendo
Capítulo 6 Administración del modo en que Password Manager trabaja con las aplicaciones 205
Confirmar parámetros
La página Confirmar parámetros es la última del asistente de definición de
formularios. Se utiliza para revisar las opciones de configuración y los
parámetros asociados al formulario. Permite al administrador revisar la
configuración antes de finalizar el formulario y volver al asistente de definición
de aplicaciones para definir formularios adicionales o llevar a cabo una tarea de
edición de definiciones de aplicación.
Parámetros adicionales
Resalte la opción Parámetros adicionales en el panel izquierdo para acceder a
las opciones de Parámetros adicionales:
• Entradas del campo de demora
Introduzca el número de milisegundos que se demorará el procesamiento
del formulario mientras se espera a que la aplicación termine de cargarse.
• Teclas antes
Indique los códigos de tecla virtual que se deben introducir para acceder al
primer campo del formulario de administración de credenciales de usuario
que se está procesando. Seleccione el hipervínculo Códigos de teclas
virtuales para acceder a la ayuda de los códigos de tecla virtual válidos.
• Usar ENTRAR en lugar de TAB para moverse de un campo a otro
Seleccione esta casilla de verificación si corresponde.
Ignorar coincidencia
Resalte la opción Ignorar coincidencia en el panel izquierdo para acceder a la
opción Coincidencia de texto para detener el envío de credenciales. Esta
opción se utiliza para especificar cadenas de texto que aparecen en la página de
aplicación para los formularios que se ignorarán. Sus opciones de configuración
son idénticas a las descritas en “Configurar las reglas de descripción de campos”
en la página 203.
EMU15=Aviva
EMU16=ViewNow
EMU17=ZephyrPC
EMU18=ZephyrWeb
;EMU19=BOSaNOVA
;EMU20=HostExplorer6
;EMU21=HostExplorer8
[Rumba6]
DisplayName=Rumba
RegistryLoc=WALLDATA\Install
ValueName=
DLLFile=SYSTEM\EHLAPI32.DLL
UpdateNotificationHandling=0.FirstLogin
Process=shared
ConvertPosType=long
QuerySessionsType=long
QuerySessionStatusType=long
QueryHostUpdateType=long
StartNotificationType=long
IntSize=16
WindowClass=WdPageFrame
WindowTitle=RUMBA
Campo Definiciones
[EmulatorName] El valor de EmulatorName debe coincidir con el valor
utilizado para la línea EMUnn=EmulatorName en la sección
[Emulators].
GroupName Sólo para uso interno.
DisplayName Nombre del emulador, que consta de uno de los dos
parámetros que se utilizan cuando se crea un proceso nuevo
para administrar la sesión y debe ser único para el archivo
Mfrmlist.ini.
RegistryLoc Clave de registro en
HKEY_LOCAL_MACHINE\SOFTWARE que hace
referencia a la ruta en la que se encuentra la DLL HLLAPI.
Si el programa no guarda esta información en
HKEY_LOCAL_MACHINE\SOFTWARE, deberá
utilizarse el parámetro ExplicitPath en lugar del parámetro
RegistryLoc. Si se han definido los dos parámetros
RegistryLoc y ExplicitPath, el parámetro ExplicitPath tiene
prioridad.
ExplicitPath Ruta explícita del archivo DLL HLLAPI utilizado por este
emulador. Este parámetro se utiliza en lugar del parámetro
RegistryLoc cuando el programa emulador no guarda la
ubicación del archivo DLL HLLAPI en el registro del
sistema. Si se han definido los dos parámetros RegistryLoc y
ExplicitPath, el parámetro ExplicitPath tiene prioridad.
ValueName Nombre del valor en la clave RegistryLoc que contiene el
valor de ruta real.
DLLFile Nombre del archivo DLL de HLLAPI.
StripFileName Indica que el valor de ValueName contiene una barra
inclinada inversa que debe quitarse al ensamblar la ruta de la
DLL de HLLAPI a partir de las entradas ValueName y
DLLFile.
210 Guía del administrador de Citrix Password Manager
Campo Definiciones
IntSize Define el tamaño de enteros que admite el emulador (16 bits
o 32 bits).
WindowClass Nombre de la clase de ventana para el emulador. Se obtiene
utilizando la consola de Password Manager o la Herramienta
de definición de aplicaciones.
WindowTitle Parte del título de una ventana que se asocia con el emulador
y que Password Manager puede utilizar para identificar la
ventana. Debe incluirse como mínimo una palabra que
siempre aparezca en el título y no es necesario indicar el
título completo.
UseSendKeys Indica a Password Manager que utilice el método Enviar
teclas para comunicarse con el emulador. La opción no es la
misma que se utiliza para las aplicaciones de Windows.
Creación de configuraciones de
usuario
Antes de empezar
Nota: consulte “Requisitos de cuenta para instalar y utilizar Password
Manager” en la página 96.
Elegir aplicaciones
Agregue las aplicaciones para la configuración de usuario. Al hacer clic en el
botón Agregar, aparece un cuadro de diálogo y muestra las definiciones de
aplicación que se han creado anteriormente. Se pueden agregar para crear un
grupo de aplicaciones.
222 Guía del administrador de Citrix Password Manager
Importante: para obtener mejores resultados, todas las contraseñas del grupo
de contraseñas se deben administrar mediante una autoridad de autenticación
común. Por ejemplo, se puede implementar un grupo de contraseñas si las
aplicaciones de un grupo de contraseñas comparten una autoridad de sistema de
autenticación común, como una base de datos, donde el usuario envíe las mismas
credenciales para cada aplicación con el fin de autenticarse con la base de datos.
No se deben agrupar aplicaciones no relacionadas, como un programa de correo
electrónico, una aplicación Web y un programa habilitado para inicio de sesión
unificado personalizado, en la intranet donde un usuario podría enviar tres
conjuntos distintos de credenciales, pero sólo por coincidencia utiliza las mismas
credenciales para las tres aplicaciones. En este caso, si un usuario cambia las
credenciales de una aplicación en este grupo de contraseñas, estas credenciales no
serán válidas necesariamente para las otras dos aplicaciones.
Capítulo 7 Creación de configuraciones de usuario 223
Nota: para permitir que los usuarios vean sus contraseñas de las
aplicaciones, también se debe activar la opción de revelación de
contraseñas en la directiva de contraseña seleccionada en la página Elegir
aplicaciones.
Configuración avanzada
Haga clic en el botón Configuración avanzada en la página Configurar la
interacción del Agente para acceder a estos parámetros.
Con este tipo de licencia, varios usuarios pueden compartir una sola
licencia de Password Manager (aunque no simultáneamente; este tipo se
suele denominar licencia flotante).
• Habilitar el período del modo desconectado
Al seleccionar esta opción se puede especificar el período de tiempo
que el usuario puede estar desconectado antes de que la licencia
caduque y vuelva al grupo de licencias disponibles. Si se selecciona,
el usuario mantiene el control de la licencia durante el período
especificado incluso si se cierra el equipo del usuario. El período de
tiempo predeterminado es de 1 hora y 30 minutos; el valor permitido
está entre 2 y 365 días.
Consulte también el parámetro de Sincronización Permitir que el
Agente funcione aún cuando no pueda conectarse al almacén
central, descrito en “Configuración avanzada” en la página 225.
Consulte “Modo desconectado” en la página 101 para obtener más
información sobre este modo.
232 Guía del administrador de Citrix Password Manager
Pedirle al usuario que entre su Si se selecciona esta opción, los usuarios que ha
contraseña anterior olvidado su contraseña anterior quedarán
bloqueados y deberán volver a inscribir sus
credenciales secundarias. Si los usuarios emplean
tarjetas inteligentes para la autenticación primaria,
no se debe seleccionar esta opción.
Pedirle al usuario que elija el Si se selecciona esta opción, a los usuarios se les
método: contraseña anterior o piden las credenciales según la opción de método de
preguntas de seguridad verificación que hayan elegido. Esta opción incluye
la subopción siguiente:
1. Haga clic en Inicio > Programas > Citrix > Management Consoles >
Access Management Console.
2. Expanda el nodo Password Manager y seleccione Configuraciones de
usuario.
3. Seleccione una configuración de usuario existente o cree una nueva.
• Si va a crear una nueva configuración de usuario, las siguientes
opciones están disponibles en el botón Configuración avanzada de
la página Configurar la interacción del Agente.
• Si va a editar una configuración de usuario existente, las siguientes
opciones están disponibles en la página de propiedades Modificar la
configuración de usuario.
4. Haga clic en Sincronización y seleccione la casilla de verificación
Permitir que se acceda a las credenciales de usuario a través del
módulo de sincronización de credenciales.
5. Haga clic en Aceptar y repita estos pasos para cada configuración de
usuario existente y nueva.
Capítulo 7 Creación de configuraciones de usuario 241
Todos los administradores de dominio deben permitir que los usuarios de dominio
asocien sus cuentas a su cuenta de dominio host. Edite la sección de asociación de
cuentas de las configuraciones de usuario adecuadas en la consola.
1. Haga clic en Inicio > Programas > Citrix > Management Consoles >
Access Management Console.
242 Guía del administrador de Citrix Password Manager
Restablecer los datos del usuario permite restablecer la información del usuario
en el almacén central, con lo que el usuario seleccionado vuelve al estado inicial.
• En los almacenes centrales de Active Directory, los datos de usuario
(credenciales, preguntas y respuestas de seguridad, etc.) se eliminan y se
marca al usuario para indicar que se han restablecido sus datos.
• En los almacenes centrales de un punto compartido de red NTFS y de una
carpeta compartida de Novell, los datos de usuario (credenciales, preguntas
y respuestas de seguridad, etc.) se eliminan y se marca al usuario para
indicar que se han restablecido sus datos.
Se puede utilizar Restablecer los datos del usuario si los usuarios han olvidado
las respuestas a sus preguntas de seguridad o para restablecer sus datos de
credenciales si los datos de los usuarios se han dañado de alguna forma. Cuando
el usuario utilice posteriormente el agente para ponerse en contacto con el
almacén central, se eliminan todos los datos del almacén de credenciales local del
usuario y éste debe volver a inscribirse, de forma similar a la configuración de
credenciales inicial.
Esta tarea también resulta útil cuando un usuario no puede iniciar sesión en el
agente.
Capítulo 7 Creación de configuraciones de usuario 245
1. Haga clic en Inicio > Programas > Citrix > Management Consoles >
Access Management Console.
2. Expanda el nodo Password Manager y seleccione Configuraciones de
usuario.
3. Seleccione la configuración de usuario.
4. Haga clic en Mover configuración de usuario.
5. Especifique la unidad organizativa, el usuario o el grupo que contiene a los
usuarios a los que se aplicará la configuración de usuario.
6. Haga clic en Aceptar.
Autenticación de usuarios y
verificación de la identidad
Suceso Descripción
Omisión de la cadena GINA de Si los usuarios modifican su contraseña principal
Password Manager y Windows. en un dispositivo en el que está instalado
Password Manager sin utilizar la combinación de
teclas Ctrl+Alt+Supr, Password Manager no
podrá confirmar que el usuario que ha solicitado
el cambio es el autorizado.
Un administrador cambia la Cuando los administradores modifican las
contraseña primaria de un usuario contraseñas principales de los usuarios, éstos
reciben un mensaje de aviso en el que se les pide
que confirmen su identidad. De este modo, se
garantiza que el usuario que ha iniciado sesión es
el usuario autorizado.
Los usuarios restablecen su Cuando los usuarios restablecen su contraseña
contraseña primaria con el principal mediante la opción Restablecimiento
autoservicio de contraseñas personal de contraseñas, se les pide que
confirmen su identidad. Si se utiliza el
Autoservicio para el restablecimiento de
contraseñas, la opción de autenticación con
contraseñas anteriores no debe utilizarse de
forma exclusiva.
Los usuarios desbloquean sus cuentas Cuando los usuarios desbloquean sus cuentas
de dominio con el autoservicio de mediante la función Desbloqueo de cuentas, se
contraseñas les pide que confirmen su identidad.
Los usuarios cambian sus tipos de Por ejemplo, cuando los usuarios cambian de
autenticación método de autenticación (por ejemplo, si dejan
de usar tarjetas inteligentes para usar la
autenticación con contraseñas), se les pide que
confirmen su identidad.
Cambio de contraseña en dispositivos Los usuarios que modifiquen su contraseña
cliente en los que no se ejecuta primaria en un dispositivo cliente en el que no se
Password Manager. ejecute el agente deberán confirmar su identidad
cuando inicien sesión en otro dispositivo en el
que sí se ejecute.
256 Guía del administrador de Citrix Password Manager
Los usuarios pueden confirmar sus identidades usando una o varias de las
opciones que pueden especificarse dependiendo de las necesidades de la
empresa, según se describe en “Métodos de verificación de identidad” en la
página 256.
Contraseña anterior
Con este método, los usuarios verifican su identidad indicando sus contraseñas
primarias anteriores.
Preguntas de seguridad
Nota: consulte “Administración de la autenticación con preguntas” en la
página 261 para obtener información sobre la creación de preguntas de seguridad.
Administración de la autenticación
con preguntas
Nota: también se puede crear una configuración de usuario que no necesite una
verificación subsiguiente al cambiar entre tipos de autenticación; consulte “Si los
usuarios cambian entre métodos de autenticación” en la página 258.
Consideraciones
Nota: dependiendo de los parámetros establecidos por el administrador, el uso
de mayúsculas y minúsculas, la puntuación y los espacios se tienen en cuenta en
la respuesta del usuario y deben coincidir con los que se indiquen cuando el
usuario responda la pregunta de seguridad seleccionada más adelante.
1. Haga clic en Inicio > Programas > Citrix > Management Consoles >
Access Management Console.
2. Expanda el nodo Password Manager, expanda el nodo Verificación de la
identidad, y seleccione Autenticación con preguntas.
3. Luego elija Administrar preguntas en el área Tareas comunes.
Se mostrará el cuadro de diálogo Administrar preguntas con cuatro tareas
posibles:
• Autenticación con preguntas
• Preguntas de seguridad
• Cuestionario
• Recuperación de claves
4. Seleccione Preguntas de seguridad.
5. Seleccione un idioma en la lista Idioma y haga clic en Agregar pregunta.
Aparecerá el editor Pregunta de seguridad.
6. En el editor:
A. Escriba una nueva pregunta en el campo Pregunta de seguridad.
B. Elija la longitud mínima de la respuesta necesaria
C. Elija Respuesta con mayúsculas y minúsculas si lo desea.
7. Haga clic en Aceptar para guardar la pregunta y los parámetros asociados.
8. Haga clic en Aceptar para cerrar el cuadro de diálogo Administrar
preguntas.
Antes de comenzar
• Todas las preguntas de seguridad pueden pertenecer a varios grupos.
Cuando se crean grupos de preguntas de seguridad, todas las preguntas
creadas pueden agregarse a cualquier otro grupo.
• Si está actualizando una versión anterior de Password Manager, es posible
que tenga que agregar preguntas y grupos de preguntas cuya configuración
permita la compatibilidad con versiones anteriores del Agente de Password
Manager.
Capítulo 9 Administración de la autenticación con preguntas 273
Esta función sólo está disponible si los usuarios se conectan a Password Manager
usando la versión actual del software del agente y registraron anteriormente sus
respuestas.
278 Guía del administrador de Citrix Password Manager
C APÍTULO 10
Consideraciones
• Las funciones del módulo de autoservicio sólo pueden utilizarse para que
los usuarios restablezcan su contraseña primaria (cuenta de dominio) o
desbloqueen sus cuentas de dominio de Windows en entornos Active
Directory.
• Cuando un usuario cambia su contraseña de aplicación con el Agente de
Password Manager o su contraseña primaria mediante la combinación de
teclas Ctrl+Alt+Supr en un dispositivo en el que está instalado el agente,
Password Manager detecta automáticamente el cambio.
• Para evitar el bloqueo de usuarios, no combine el método de
restablecimiento personal de contraseñas con el de la contraseña anterior de
forma exclusiva. Si sólo se utiliza el método de contraseña anterior, los
usuarios que no recuerden su contraseña principal anterior no podrán
acceder al sistema, sus datos de usuario se restablecerán o borrarán en el
almacén central y en todos los dispositivos cliente donde estén
almacenados, y deberán volver a introducir sus credenciales para todas las
aplicaciones. Consulte “Restablecimiento y eliminación de datos de
usuario” en la página 244.
Capítulo 10 Cómo permitir que los usuarios administren sus credenciales primarias con el autoservicio de
Experiencia de utilización
Después de que se instalan y configuran el software del servicio y del agente, el
módulo de autoservicio modifica el cuadro de diálogo de inicio de sesión de
Windows (es decir, el componente de identificación y autenticación gráfica o
GINA) incluyendo el botón Autoservicio de cuentas.
Antes de que los usuarios puedan acceder a las funciones del autoservicio, deben
iniciar una sesión con su cuenta de dominio primaria y registrar las respuestas a
las preguntas de seguridad. Una vez que se hayan inscripto podrán usar las
funciones de autoservicio para restablecimiento de contraseña y desbloqueo de
cuentas.
Como se describe en “Use de la administración de claves automática con el
autoservicio” en la página 281, con la administración de claves, los usuarios no
necesitan verificar sus identidades después de desbloquear las cuentas o
restablecer las contraseñas.
Capítulo 10 Cómo permitir que los usuarios administren sus credenciales primarias con el autoservicio de
Consulte “Consideraciones” en la
página 280 para evitar el bloqueo de los
usuarios.
284 Guía del administrador de Citrix Password Manager
C APÍTULO 11
285
La etiqueta <cpm-provision>
Nótese que se deben incluir las etiquetas y comandos dentro de la etiqueta
<cpm-provision> de aprovisionamiento (que se encuentra cerca de la línea 70 del
archivo XML):
Ejemplo de resultado
La plantilla generada incluye lo siguiente:
• <user> contiene información sobre el usuario que generó la plantilla
• comando <add> para el nombre de aplicación en la configuración de
usuario
• comando <modify> con el nombre de definición de aplicación
Cerca del final del archivo XML se encuentra la información específica sobre la
configuración de usuario seleccionada, que se puede copiar y usar en la plantilla.
Por ejemplo:
<user fqdn="DOMINIO\Juan-Admin">
<!--Application Group: PNA-->
<!--Application Definition: Citrix GoToMeeting-->
<!--<add>
<application name="Citrix GoToMeeting">0998ac2c-baa5-4103-
809a-b2daeea047f3</application>
<name>Citrix GoToMeeting</name>
<description>Inicio de sesión de Citrix GoToMeeting</
description>
<hidden-description>Descripción oculta de Citrix GoToMeeting</
hidden-description>
<userID>ID de usuario</userID>
<password>contraseña</password>
</add>-->
<!--<modify>
<credential-id>00000000-0000-0000-0000-000000000000</
credential-id>
<name>Citrix GoToMeeting</name>
<description>Inicio de sesión de Citrix GoToMeeting</
description>
<hidden-description>Descripción oculta de Citrix GoToMeeting</
hidden-description>
<userID>ID de usuario</userID>
<password>contraseña</password>
</modify>-->
</user>
290 Guía del administrador de Citrix Password Manager
Por ejemplo, se puede copiar la información de usuario entre las etiquetas <user>
y </user>, quitar el comentario y modificarla para cada usuario cuyas
credenciales se quieren agregar.
La etiqueta <user>
Use la etiqueta <user> para agregar información de dominio y nombre de usuario
para cada usuario cuyas credenciales de aplicación desea aprovisionar. Se debe
ingresar una etiqueta <user> para cada usuario que se desea aprovisionar. Cada
etiqueta <user> también contendrá los comandos para ejecutar en la cuenta de
usuario.
La sintaxis del comando es la siguiente:
<user fqdn="suDominio\IdDeUsuario">
<comando>
</user>
donde:
El comando <add>
El comando <add> permite que se agregue el nombre de usuario y contraseña
necesarios para las aplicaciones que se incluyen en la configuración de usuario.
La sintaxis del comando es la siguiente:
<add>
<application name="%APPNAME%">%APPGUID%</application>
<name>%CREDENTIALNAME%</name>
<description>Descripción larga</description>
<hidden-description>Descripción oculta de %APPNAME%</
hidden-description>
<userID>ID de usuario</userID>
<password>contraseña</password>
<custom-field index="1" label="%LABELTEXT%">custom-
field1 </custom-field>
<custom-field index="2" label="%LABELTEXT%">custom-
field2 </custom-field>
</add>
donde:
El comando <modify>
El comando <modify> permite que se modifique el nombre de usuario y
contraseña necesarios para las aplicaciones que se incluyen en la configuración de
usuario.
<modify>
<credential-id>%CREDENTIAL-ID%</credential-id>
<name>%CREDENTIALNAME%</name>
<description>Descripción larga</description>
<hidden-description>Descripción oculta de %APPNAME%</
hidden-description>
<userID>ID de usuario</userID>
<password>contraseña</password>
<custom-field index="1" label="%LABELTEXT%">custom-
field1 </custom-field>
<custom-field index="2" label="%LABELTEXT%">custom-
field2 </custom-field>
</modify>
294 Guía del administrador de Citrix Password Manager
donde:
El comando <delete>
El comando <delete> permite eliminar credenciales de usuario de una aplicación
específica.
<user fqdn="suDominio\IdDeUsuario">
<delete>
<credential-id>%CREDENTIAL-ID%</credential-id>
</delete>
</user>
donde:
El comando <remove>
Nota: este comando es similar al comando de Password Manager Console
Eliminar los datos de usuario del almacén central. Consulte “Eliminar los
datos de usuario del almacén central” en la página 246.
<user fqdn="suDominio\IdDeUsuario">
<remove />
</user>
donde:
El comando <reset>
Nota: este comando es similar al comando de Password Manager Console
Restablecer los datos del usuario. Consulte “Restablecer los datos del usuario”
en la página 244.
<user fqdn="suDominio\IdDeUsuario">
<reset />
</user>
donde:
El comando <list-credentials>
El comando <list-credentials> permite que se obtengan las credenciales
específicas de usuario para cada aplicación asociada con una configuración de
usuario. Los comandos <modify> y <delete> necesitan que se use la GUID de
credencial como valore para el parámetro %CREDENTIAL-ID%. Consulte “El
comando <modify>” en la página 293 y “El comando <delete>” en la página 295.
El número de identificador que obtiene este comando es la GUID de la
credencial, por ejemplo, 634EE015-10C2-4ed2-80F5-75CCA9AA5C11.
La sintaxis del comando es la siguiente:
<user fqdn="suDominio\IdDeUsuario">
<list-credentials />
</user>
donde:
Aprovisionamiento de credenciales
Use la consola para realizar las tareas de aprovisionamiento que se indican en el
archivo XML. Password Manager valida la sintaxis de cada comando, ejecuta los
comandos y agrega o modifica los datos del almacén central.
1. Haga clic en Inicio > Programas > Citrix > Management Consoles >
Access Management Console.
2. Expanda el nodo Password Manager y seleccione Configuraciones de
usuario.
3. Elija una configuración de usuario o un grupo de aplicaciones de una
configuración de usuario.
4. En Tareas comunes , haga clic en Ejecutar el aprovisionamiento.
Aparece el Asistente de aprovisionamiento.
Haga clic en Siguiente.
5. Escriba el nombre del archivo de aprovisionamiento o haga clic en
Examinar para ubicarlo y luego haga clic en Siguiente.
Password Manager valida el archivo XML.
• Si no se detectan errores de sintaxis, se mostrará un resumen de los
cambios que pueden realizarse. Se puede guardar el resumen.
• Si hay errores de sintaxis o de otro tipo, se mostrará un archivo de
registro de errores. Guárdelo si lo desea y haga clic en Cancelar para
cerrar el asistente.
6. Si no se encuentran errores, haga clic en Siguiente para ejecutar los
comandos del archivo.
En cuanto se modifica la información en el almacén central, se muestran los
errores derivados del aprovisionamiento (si los hay). Para detener el
proceso de aprovisionamiento, haga clic en Anular. El proceso se detendrá
cuando Password Manager llegue al final de la sección de datos que está
300 Guía del administrador de Citrix Password Manager
Nota: cuando los usuarios dejan una estación de trabajo sin actividad,
Escritorio dinámico inicia un período de tiempo de desconexión de la
sesión. Mediante la consola de Password Manager, puede especificarse el
tiempo que puede permanecer inactiva una estación de trabajo. Cuando se
excede ese intervalo, Escritorio dinámico bloquea la estación de trabajo. Si
transcurre más tiempo y el usuario no vuelve, Escritorio dinámico cierra la
sesión. Consulte “Especificación de las opciones de desconexión de la
sesión de Escritorio dinámico” en la página 324.
Antes de empezar
Importante: no puede indicarse que un proceso se ejecute como cuenta
compartida de Escritorio dinámico en el archivo session.xml y a continuación
indicarse que se ejecute como usuario de Escritorio dinámico en el archivo
process.xml. Las entradas del archivo session.xml anulan las entradas realizadas
en el elemento <shellexecute_processes> del archivo process.xml.
Archivo session.xml
Nota: en la carpeta \Support del CD de Password Manager se incluye un
archivo session.xml de muestra.
Etiquetas de session.xml
Las etiquetas se deben incluir entre las etiquetas <session_settings> y
< /session_settings> en el archivo.
<startup_scripts>
Esta sección del archivo se utiliza para especificar las aplicaciones que se inician
en la cuenta compartida de Escritorio dinámico y la cuenta de Windows asociada
al usuario de Escritorio dinámico.
<startup_scripts>
<script>
<account>cuenta</account>
<working_directory>directorio_de_tra
bajo
</working_directory>
<path>opciones_de_ruta</path>
</script>
</
startup_scripts>
donde:
<shutdown_scripts>
Para eliminar todos los datos no utilizados procedentes de la sesión de usuario
anterior es necesario modificar las aplicaciones de cierre de session.xml. Estas
aplicaciones suelen eliminar los archivos de configuración que pueden impedir el
trabajo del otro usuario que se conecte después del anterior, los archivos
confidenciales (por ejemplo, registros) y los documentos almacenados en el
sistema. Estas aplicaciones deben garantizar que el entorno de Escritorio
dinámico se vacíe para la siguiente sesión de usuario. Esta parte del archivo
resulta muy útil para la seguridad de los datos.
<shutdown_scripts>
<script>
<account>cuenta</account>
<working_directory>directorio_de_t
rabajo
</working_directory>
<path>opciones_de_ruta</path>
</script>
</shutdown_scripts>
donde:
<startup_scripts>
<script>
<account>HDU</account>
<working_directory>c:\archivos de
programa\Internet Explorer
</working_directory>
<path>c:\archivos de
programa\Internet
Explorer\iexplore.exe http://
www.miempresa.com</path>
</script>
</startup_scripts>
<shutdown_scripts>
<script>
<account>HDSA</account>
<working_directory>c:\
</working_directory>
<path>c:\session_cleanup.vbs</path>
</script>
</shutdown_scripts>
Capítulo 12 Escritorio dinámico: entorno de escritorio compartido para los usuarios 319
Archivo process.xml
Nota: el archivo se crea en la carpeta C:\Archivos de
programa\Citrix\MetaFrame Password Manager\HotDesktop de cada estación de
trabajo o dispositivo donde está instalado Escritorio dinámico. En la carpeta
\Support del CD de Password Manager también se incluye un archivo
process.xml de muestra. Por lo tanto, cualquier cambio que se haga en este
archivo debe llevarse a cabo en cada uno de los dispositivos. No obstante,
consulte el artículo de asistencia de Citrix http://support.citrix.com/article/
CTX110394 para obtener información para reemplazar cada archivo process.xml
de usuario mediante una directiva de grupo de equipos en Active Directory.
Etiquetas de process.xml
Las etiquetas se deben incluir entre las etiquetas <configuration> y
</configuration> en el archivo.
320 Guía del administrador de Citrix Password Manager
<persistent_processes>
Esta sección del archivo se utiliza para especificar las aplicaciones que se siguen
ejecutando después de que el usuario de Escritorio dinámico cierre la sesión. Las
aplicaciones especificadas no finalizarán al cerrar las sesiones de Escritorio
dinámico, aunque se hayan iniciado durante una sesión. Se debe especificar la
ruta completa del proceso persistente para garantizar que sólo los procesos
correctos siguen ejecutándose después de cada sesión.
<persistent_processes>
<process>
<name>opciones_de_ruta</
name>
</process>
</persistent_processes>
donde:
Nota: tras la instalación, el agente crea automáticamente una entrada para una
aplicación persistente denominada activator.exe en el archivo process.xml. La
aplicación activator.exe proporciona a los usuarios el indicador de sesión de
Escritorio dinámico. El indicador de sesión es una ventana móvil transparente que
ven los usuarios cuando están conectados, y que contiene información sobre los
usuarios y sus sesiones definida por el administrador. De forma predeterminada,
activator.exe se especifica como proceso persistente, de modo que no se reinicia
cada vez que un usuario de Escritorio dinámico inicia o cierra una sesión.
Capítulo 12 Escritorio dinámico: entorno de escritorio compartido para los usuarios 321
<transient_processes>
Nota: tras la instalación, el agente especifica automáticamente una aplicación
efímera denominada shellexecute.exe en el archivo process.xml. De forma
predeterminada, se especifica como proceso efímero, de modo que termina cada
vez que un usuario de Escritorio dinámico cierra una sesión.
Esta sección del archivo se utiliza para especificar las aplicaciones que se
terminarán después de que el usuario de Escritorio dinámico cierre la sesión.
<persistent_processes>
<process>
<name>nombre_de_aplicación</
name>
</process>
</persistent_processes>
donde:
<shellexecute_processes>
Nota: tras la instalación, el agente especifica automáticamente una aplicación
ejecutable de shell denominada ssoshell.exe (el agente de Password Manager) en
el archivo process.xml. De forma predeterminada, se especifica como proceso
que se ejecutará como el usuario de Escritorio dinámico.
Esta sección del archivo se utiliza para especificar las aplicaciones o tipos de
archivo que se ejecutarán como el usuario de Escritorio dinámico. Este parámetro
contribuye a garantizar la seguridad de las aplicaciones que se ejecutarán
mediante las credenciales de los usuarios que han iniciado sesión. Por ejemplo, se
puede especificar el Agente de Program Neighborhood; cuando se inicia, se
ejecuta con las credenciales de dicho usuario.
Mientras que el script de inicio del archivo session.xml especifica las
aplicaciones que se ejecutarán cuando se inicie por primera vez una sesión de
Escritorio dinámico, <shellexecute_processes> enumera las aplicaciones que los
usuarios pueden iniciar en el contexto de su sesión de Escritorio dinámico.
<shellexecute_processes>
<process>
<name>nombre_de_aplicación<
/name>
</process>
</
shellexecute_processes>
donde:
Operaciones
Si el agente de Password Manager sigue sin enviar las credenciales del usuario,
pruebe las siguientes técnicas de solución de problemas para las aplicaciones de
Windows, Web y de emulador de terminal.
342 Guía del administrador de Citrix Password Manager
Aplicaciones de Windows
Cree la definición de aplicación desde una consola que utilice el mismo sistema
operativo que el agente de Password Manager. No todas las plataformas de
Windows detectan las aplicaciones del mismo modo, por lo que podrían crearse
definiciones distintas para la misma aplicación.
Capítulo 13 Operaciones 343
Aplicaciones Web
Cree definiciones de aplicaciones Web utilizando el asistente de definición de
aplicaciones y el asistente de definición de formularios. Con este último asistente,
Password Manager es capaz de configurar páginas Web utilizando la URL exacta
(redireccionado, distinción de mayúsculas/minúsculas, etc.) y se evitan los
errores tipográficos.
Donde:
<nombre_del_certificado_público> = nombre de archivo del certificado público
<nombre_del_certificado_privado> = nombre de archivo del certificado privado
<período_de_validez_en_meses> = período de validez del certificado, expresado
en meses
Ejemplo:
ctxcreatesigningcert “C:\PublicKeyCert.cert”
“C:\PrivateKeyCert.cert” “12”
Ejemplos:
Los pasos asociados con la migración de datos administrativos son los mismos en
todos los casos. En primer lugar se exportan los datos administrativos desde su
entorno existente y, a continuación, se importan al nuevo entorno. En la mayoría
de los casos, también es necesario redireccionar a los usuarios al nuevo almacén
central. Estas tareas se realizan con los comandos de Password Manager Console.
La siguiente tabla muestra los datos que migran y los que no migran al utilizar el
comando Exportar:
Migran No migran
Directivas de contraseña Configuraciones de usuario
Plantillas de aplicación Carpetas personales
Definiciones de aplicación Grupos de aplicaciones
Preguntas de seguridad y grupos de Credenciales del usuario
preguntas de seguridad utilizados en la
autenticación con preguntas
Cuestionarios
Nota: durante la redirección, todos los usuarios que se redirigen deben haber
iniciado la sesión. La actualización del agente de Password Manager se produce
cuando éste facilita las credenciales.
Generar y probar varias contraseñas únicas que cumplan con las directivas . . . . . . . . . . . . . . . . . . . 393
Habilitar el gráfico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
Habilitar el indicador de sesiones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
Habilitar el período del modo desconectado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Habilitar el respaldo para emuladores de terminales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
Hacer que el usuario tenga que volver a autenticarse antes de enviar
las credenciales de la aplicación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Icono de la aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
Ingresar el dominio predeterminado. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
Ingresar la dirección del servicio predeterminado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
Intervalo de tiempo en el que el agente controla cambios en el emulador de terminales . . . . . . . . . 374
La contraseña puede comenzar con un carácter especial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
La contraseña puede comenzar con un número . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
La contraseña puede comenzar con una minúscula . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
La contraseña puede comenzar con una minúscula . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
La contraseña puede terminar con un carácter especial . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
La contraseña puede terminar con un número . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
La contraseña puede terminar con una minúscula . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
La contraseña puede terminar con una minúscula . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
La nueva contraseña no puede ser igual a la anterior . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
Licencia de usuarios concurrentes (sólo en Enterprise Edition). . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
Licencias de usuarios identificados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
Limitar la cantidad de días que se mantendrá un registro de las credenciales eliminadas . . . . . . . . . 369
Límite de tiempo para la cantidad de reintentos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Lista de caracteres especiales permitidos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
Mostrar el icono de notificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
Mostrar el nombre del equipo en la información del icono de notificación. . . . . . . . . . . . . . . . . . . . 367
¿Necesita regular el acceso del administrador de la cuenta a los datos del usuario? . . . . . . . . . . . . . 378
No permitir el nombre de usuario de la aplicación en la contraseña . . . . . . . . . . . . . . . . . . . . . . . . . 390
No permitir el nombre de usuario de la aplicación en la contraseña . . . . . . . . . . . . . . . . . . . . . . . . . 390
No permitir partes del nombre de usuario de la aplicación en la contraseña . . . . . . . . . . . . . . . . . . . 390
No permitir partes del nombre de usuario de la aplicación en la contraseña . . . . . . . . . . . . . . . . . . . 391
No preguntarle a los usuarios; restaurar la protección de datos primaria automáticamente . . . . . . . 381
Notificar al usuario cuando falle la sincronización del agente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
Número de reintentos de inicio de sesión. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
Para mejorar la experiencia del usuario frente a los sucesos de inicio de sesión,
seleccione todos los métodos de protección de datos que correspondan . . . . . . . . . . . . . . . . . . . . . . 378
Pedirle a los usuarios que verifiquen su identidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Pedirle al usuario que elija el método: contraseña anterior o preguntas de seguridad . . . . . . . . . . . . 381
Pedirle al usuario que entre su contraseña anterior . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Permitir al usuario recordar su contraseña . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372
Permitir caracteres especiales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
Permitir la protección usando contraseñas en blanco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
Permitir mayúsculas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
Permitir minúsculas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
Apéndice A Lista de parámetros de Password Manager 363
Configuraciones de usuario
En esta sección se describen los parámetros y controles de configuración de
usuario. Todas las sugerencias de exploración ofrecidas en esta sección se
efectúan en una configuración de usuario existente cuando se realiza una función
de edición. Para acceder al cuadro de diálogo Modificar configuración de
usuario, vaya a:
Management Consoles > Access Management Console > Password Manager
> Configuraciones de usuario > [configuración] > Modificar configuración
de usuario
Interacción en el cliente
Estos parámetros se utilizan para configurar la coincidencia de contraseñas, el
registro de sucesos del agente, la retención de claves del registro en el cierre y el
almacenamiento de credenciales en las aplicaciones recién detectadas.
Configuraciones de usuario > [configuración] > Modificar configuración de
usuario > Interacción en el cliente
Sincronización
Estos controles se usan para permitir que los usuarios actualicen los parámetros
del agente, sincronicen la información de configuración, reciban notificaciones
sobre problemas de sincronización, puedan seguir usando el software del agente
si no se puede conectar con el almacén de datos y también para especificar
intervalos de sincronización automática
Configuraciones de usuario > [configuración] > Modificar configuración de
usuario > Sincronización
Asociación de cuentas
Como las empresas pueden mantener varios dominios de Windows, los usuarios
también pueden tener varias cuentas de Windows. Con las opciones de asociación
de cuentas los agentes de usuario pueden iniciar sesión en cualquier aplicación
desde una o varias cuentas de Windows. Estos controles permiten que los
usuarios asocien su información de inicio de sesión entre distintas cuentas de
Windows.
Configuraciones de usuario > [configuración] > Modificar configuración de
usuario > Asociación de cuenta
Respaldo de aplicaciones
Estos controles permiten que el agente detecte las definiciones de aplicación en el
cliente, activan la compatibilidad con emuladores de terminal y especifican el
número mínimo de niveles de nombre de dominio que deben coincidir para las
aplicaciones Web.
Configuraciones de usuario > [configuración] > Modificar configuración de
usuario > Respaldo de aplicaciones
Escritorio dinámico
Estos controles especifican:
• La ruta del archivo de parámetros de sesión que define los script que se
ejecutarán al comienzo y fin de las sesiones de Escritorio dinámico.
• Cuántos minutos permanecerá activa la sesión de Escritorio dinámico
cuando la estación de trabajo no se utiliza.
• Cuánto tiempo se ejecutará la sesión de Escritorio dinámico mientras el
escritorio está bloqueado.
• Si se selecciona una ventana que identifica la sesión de Escritorio dinámico.
• El gráfico que se visualiza en el indicador de sesión de Escritorio dinámico.
Configuraciones de usuario > [configuración] > Modificar configuración de
usuario > Escritorio dinámico
Apéndice B Parámetros de Password Manager 4.5 375
Habilitar el gráfico
Este control se utiliza para indicar la ruta del archivo gráfico que se muestra
en el indicador de sesión de Escritorio dinámico. El archivo especificado
debe estar en una ubicación accesible para todos los usuarios y en el
formato de archivo de mapa de bits de Windows (.bmp).
parámetro predeterminado: [ninguno]
376 Guía del administrador de Citrix Password Manager
Configuración de licencias
Estos controles se utilizan para identificar el nombre y el puerto de acceso del
servidor de licencias, seleccionar el modelo de licencias y continuar la
configuración sin validar la información de licencias.
Configuraciones de usuario > [configuración] > Modificar configuración de
usuario > Configuración de licencias
Módulo de aprovisionamiento
El módulo de aprovisionamiento permite importar, modificar y quitar las
credenciales asociadas a los usuarios en esta configuración de usuario. En estas
páginas es necesario especificar la ubicación y el puerto de servicio del módulo
de aprovisionamiento.
Configuraciones de usuario > [configuración] > Modificar la configuración
de usuario > Módulo de aprovisionamiento
Usar el aprovisionamiento
Al seleccionar este parámetro se puede utilizar el aprovisionamiento.
parámetro predeterminado: no seleccionado
Apéndice B Parámetros de Password Manager 4.5 383
Definiciones de aplicación
En esta sección se describen los parámetros y controles de definición de
aplicación. Todas las sugerencias de exploración ofrecidas en esta sección se
efectúan en una definición de aplicación cuando se realiza una función de
edición. Para acceder al cuadro de diálogo Modificar la definición de
aplicación, utilice la siguiente ruta:
Management Consoles > Access Management Console > Password Manager
> Definiciones de aplicación > [definición] > Modificar definición de
aplicación
Icono de la aplicación
Este control se utiliza para identificar el icono que se mostrará junto a la
aplicación en el Administrador de inicios de sesión.
Definiciones de aplicación > [definición] > Modificar definición de
aplicación > Icono de la aplicación
Icono de la aplicación
Este parámetro controla el icono que se mostrará junto al nombre de la
aplicación en el Administrador de inicios de sesión. Hay dos opciones
disponibles:
• Usar el icono predeterminado
• Usar el icono predeterminado (ingrese la ruta del icono).
Si se va a utilizar un icono personalizado, se debe usar la función de
búsqueda para identificar la ruta al archivo de icono. Se puede identificar
cualquier archivo de icono de Windows estándar. Se admiten las variables
de entorno de Microsoft Windows.
parámetro predeterminado: Usar el icono predeterminado
Detección avanzada
Estos controles se usan para forzar al agente a ignorar formularios posteriores de
inicio de sesión o de cambio de contraseña durante la sesión de la aplicación
cuando ya se procesaron los mismos.
Definiciones de aplicación > [definición] > Modificar definición de aplicación
> Detección de la aplicación
Caducidad de contraseñas
Estos controles se usan para especificar los parámetros de esta aplicación cuando
caduca la contraseña. La política de caducidad de Citrix Password Manager sólo
se aplica si se selecciona en la directiva de contraseña asociada a esta aplicación.
Definiciones de aplicación > [definición] > Modificar definición de aplicación
> Caducidad de contraseñas
Directivas de contraseña
En esta sección se describen los parámetros y controles de directiva de
contraseña. Todas las sugerencias de exploración ofrecidas en esta sección se
efectúan en una directiva de contraseña existente cuando se realiza una función
de edición. Para acceder al cuadro de diálogo Modificar la directiva de
contraseñas, utilice la siguiente ruta:
Management Consoles > Access Management Console > Password Manager
> Directivas de contraseña > [directiva] > Modificar la directiva de
contraseñas
Permitir minúsculas
Controla si se usarán minúsculas en las contraseñas.
parámetro predeterminado: Permitir minúsculas
Permitir mayúsculas
Controla si se usarán mayúsculas en las contraseñas.
parámetro predeterminado: Permitir mayúsculas
Permitir números
Controla si se usarán números en las contraseñas.
parámetro predeterminado: Permitir números
388 Guía del administrador de Citrix Password Manager
Reglas de exclusión
Estos controles especifican los caracteres y cadenas de caracteres que no se
permiten en las contraseñas.
Directivas de contraseña > [directiva] > Modificar la directiva de
contraseñas > Reglas de exclusión
Caducidad de contraseñas
Cuando se selecciona, los parámetros (Cantidad de días hasta que
caduque la contraseña y Cantidad de días antes de que caduque la
contraseña que se advertirá al usuario) especificados aquí se aplican a
las definiciones de aplicación asociados a esta directiva. La directiva de
Citrix Password Manager funciona independientemente de cualquier
directiva de caducidad de contraseñas incorporada en la aplicación.
parámetro predeterminado: no se especifica la caducidad de contraseñas
(no está seleccionada la casilla de verificación)
Preguntarle al usuario
Al seleccionar esta opción, el asistente para el cambio de contraseñas
permite que los usuarios elijan una contraseña generada por el sistema o
creen su propia contraseña.
parámetro predeterminado: seleccionado
Extensiones de identificación
El software del agente usa conectores de escucha para detectar sucesos en el
escritorio como instalaciones de aplicaciones, cargas de URL, notificaciones de
carga de documentos HTML y otros sucesos similares.
A medida que ocurren, el software del agente determina si la aplicación de
destino necesita acciones de administración de credenciales de usuario (como
ignorar, iniciar sesión, cambiar contraseña, etc.). La determinación se basa en la
comparación de las características expuestas por la aplicación y las que definen
exclusivamente al formulario. Estas características incluyen el título de la ventana
y el nombre de archivo ejecutable (como mínimo) y, si es necesario, otras
características avanzadas como el uso de un proceso externo para identificar el
formulario (extensión de identificación).
Si es necesario un proceso de identificación externo, el mismo se identifica en la
definición del formulario. La definición del formulario incluye información sobre
la extensión de identificación y sus parámetros asociados. Estos se asocian
directamente con el parámetro del registro.
Después de que el software del agente procesa los algoritmos de coincidencia
mínimos y avanzados, se evalúan las extensiones de identificación que usan
procesos externos.
Cuando hay varias extensiones de identificación definidas para evaluar un
formulario, las extensiones se ejecutan en el orden de aparición en la página de
extensiones de identificación.
En el caso de cada extensión de identificación, el software del agente espera un
período de tiempo especificado (definido en el parámetro del registro del sistema)
para que se cierre el proceso externo antes de analizar el código de salida del
proceso.
Si los procesos de coincidencia mínima, avanzada y externa se completan con un
código de respuesta cero, la aplicación de destino es una aplicación coincidente.
Si un proceso termina con otro valor, el proceso de evaluación se detiene y la
aplicación no se considera coincidente.
Si se encuentra un valor negativo, se registra un error en el Visor de sucesos de
Windows. Los valores positivos se escriben en un archivo de registro, si se lo
habilita (consulte “Habilitación del registro” en la página 405 para obtener más
información).
La acción de administración de credenciales de usuario subsiguiente se puede
llevar a cabo usando cualquier combinación de acciones de formulario estándar
de Windows, secuencias de acciones o extensiones de acciones (consulte
“Extensiones de acciones” en la página 401). Consulte “Definir las acciones del
formulario” en la página 176 o “Uso del editor de acciones para definir la
secuencia de acciones para los formularios” en la página 185 para obtener
información adicional.
Apéndice C Extensiones de definición de aplicación 399
Extensiones de acciones
Las extensiones de acciones usan procesos externos para administrar las acciones
de administración de credenciales. El proceso de definición de extensiones tiene
la capacidad de pasar las credenciales de usuario a la aplicación externa.
La acción de administración de credenciales de usuario subsiguiente se puede
llevar a cabo usando cualquier combinación de acciones de formulario estándar
de Windows, secuencias de acciones o extensiones de acciones (consulte
“Extensiones de identificación” en la página 398).
El software del agente respalda las funciones descritas en “Extensiones de
identificación” en la página 398.
El software del agente ejecuta el proceso externo y espera el tiempo especificado
(si WaitForCompletion se configura como TRUE) y luego analice al código de
salida del proceso. Si el proceso termina con un valor cero, la extensión se ejecutó
satisfactoriamente. Cualquier valor que no sea cero significa que hubo un error.
Si se encuentra un valor negativo, se registra un error en el Visor de sucesos de
Windows. Los valores positivos se escriben en un archivo de registro, si se lo
habilita (consulte “Habilitación del registro” en la página 405 para obtener más
información).
Este apéndice sirve como referencia de los códigos de teclas para las aplicaciones
Windows y de Host/Sistema central.
Código Descripción
`DELAY=N` N es el número de milésimas de segundo de retraso.
`VKEY=N` N es la tecla virtual para el envío.
Por ejemplo, para enviar tabulador, Fin, espacio, un retraso de 1,5 segundos, el
nombre de usuario de inicio de sesión, espacio, el nombre de usuario/ID, Inicio,
un retraso de 0,35 segundos, tabulador y, por último, la contraseña use lo
siguiente:
VTabKey1=`VKEY=9``VKEY=35` `DELAY=1500`Logon username`VKEY=32`
VTabKey2=`VKEY=36``DELAY=350``VKEY=9`
408 Guía del administrador de Citrix Password Manager