Se pueden usar los siguientes mecanismos para autenticar dispositivos gestionados en la zona de gestión de ZENworks:
Kerberos*, un protocolo de autenticación desarrollado por el MIT, requiere entidades (por ejemplo, un usuario y un servicio de red) que necesitan comunicarse mediante una red no segura para demostrar su identidad mutuamente, de forma que se pueda llevar a cabo una autenticación segura.
La función de Kerberos está incluida de forma nativa en los entornos de Windows Active Directory.
Kerberos requiere el uso de un centro de distribución de claves (KDC) para que actúe como una tercera parte de confianza entre las entidades. Todos los servidores Kerberos requieren un archivo keytab para autenticarse en el centro de distribución de claves (KDC). El archivo keytab es una copia cifrada, local y en disco de la clave del host.
Cuando se usa la autenticación Kerberos, el servidor de Active Directory genera un ticket de Kerberos que Novell Common Authentication Services Adapter (CASA) utiliza para autenticar al usuario, en lugar del nombre de usuario y la contraseña.
Hay que configurar una cuenta principal de servicios de Kerberos y generar un archivo keytab para dicha cuenta.
Para obtener más información, consulte el sitio Web de Microsoft TechNet.
Por ejemplo, si crea un usuario llamado atsserver en su dominio, debería ejecutar el siguiente comando en la línea de comandos:
ktpass /princ host/atsserver.users.mi_servidor.com@MI_SERVIDOR.COM -pass contraseña_atsserver -mapuser atsserver -out atsserver.keytab -mapOp set -ptype KRB5_NT_PRINCIPAL
Este comando crea un archivo keytab y modifica el usuario atsserver para que sea el identificador principal de Kerberos.
Importe el archivo keytab al Centro de control de ZENworks.
En el Centro de control de ZENworks, haga clic en la pestaña
seguidamente en y por último enHaga clic en para acceder al archivo keytab y selecciónelo.
Haga clic en Aceptar para importar el archivo.
La autenticación Kerberos se puede habilitar a la vez que se añade un origen de usuarios. Para obtener más información, consulte la Sección 31.2.1, Adición de orígenes de usuarios.
La autenticación Kerberos se puede habilitar en un origen de usuarios existente.
En el Centro de control de ZENworks, haga clic en la pestaña
En el panel Orígenes de usuarios, haga clic en el origen que desee y, a continuación, haga clic en
junto a en la sección General.Seleccione la casilla de verificación de
y haga clic enEn la siguiente tabla se refleja la experiencia del usuario de ZENworks al usar la autenticación Kerberos con Active Directory:
Tabla 32-1 Autenticación Kerberos de ZENworks con Active Directory
Por ejemplo, en la segunda fila, coinciden las credenciales de la entrada inicial del usuario, las del origen de usuarios y las de la entrada a ZENworks. Como resultado, el usuario puede entrar en la zona de gestión de ZENworks y el recuadro de diálogo de entrada a ZENworks no aparece.
En la tercera fila, por ejemplo, las credenciales de entrada inicial del usuario utilizan credenciales de un dominio distinto y son diferentes de las credenciales de entrada a ZENworks. En consecuencia, el usuario puede entrar en la zona de gestión de ZENworks, pero se muestra el recuadro de diálogo de entrada a ZENworks.
Cuando se usa la autenticación de Secreto compartido, es necesario instalar y configurar el cliente de Novell Identity Assurance Solution. Para obtener más información y conocer la lista de tarjetas inteligentes y de lectores de tarjetas inteligentes que se admiten, consulte la documentación del cliente Identity Assurance Solution en el sitio Web de documentación de Novell.
La autenticación en ZENworks usando tarjetas inteligentes se admite actualmente sólo en Windows XP y en sesiones de terminal de dispositivos con Windows Server 2003.
Cuando un usuario emplea una tarjeta inteligente para entrar en eDirectory, el usuario entra automáticamente en ZENworks siempre que el esquema de eDirectory especificado al añadir el origen de usuarios se haya extendido utilizando la herramienta novell-zenworks-configure.
Para obtener más información sobre la adición de orígenes de usuarios, consulte la Sección 31.2.1, Adición de orígenes de usuarios.
Para obtener más información sobre la extensión del esquema de eDirectory, consulte Extensión del esquema de eDirectory para habilitar la autenticación mediante Secreto compartido.
Si el esquema de eDirectory no está extendido, el
no estará disponible como mecanismo de autenticación. En consecuencia, se muestra el recuadro de diálogo de ZENworks cuando el usuario del dispositivo gestionado intenta entrar en eDirectory utilizando una tarjeta inteligente. Cuando el usuario especifica el nombre de usuario y la contraseña de eDirectory, la contraseña se almacena en Novell SecretStore. La próxima vez que el usuario utilice una tarjeta inteligente para entrar a la sesión en eDirectory, la contraseña se recuperará de SecretStore y el usuario entrará a la sesión en ZENworks sin necesidad de especificar la contraseña.Para autenticarse en ZENworks utilizando el mecanismo de autenticación de secreto compartido, el esquema de eDirectory especificado cuando se añade el origen de usuarios debe haberse extendido usando la herramienta novell-zenworks-configure.
Realice los siguientes pasos para extender el esquema de eDirectory:
Ejecute la utilidad novell-zenworks-configure en un servidor ZENworks:
En Windows: en el indicador de comandos, acceda a vía_de_instalación_de_ZENworks\bin\ e introduzca el comando siguiente:
novell-zenworks-configure.bat -c ExtendSchemaForSmartCard
En Linux: en el indicador de consola, acceda a /opt/novell/zenworks/bin e introduzca el comando siguiente:
./novell-zenworks-configure -c ExtendSchemaForSmartCard
Se le preguntará si desea continuar con la acción de extensión del esquema de Novell eDirectory y añadir un atributo zcmSharedSecret optativo a la clase de usuario. El valor por defecto es 1. Pulse Intro.
Introduzca el nombre DNS o la dirección IP del servidor de Novell eDirectory para extender el esquema.
Deberá elegir entre el protocolo SSL o el de texto no cifrado para comunicarse con el servidor de eDirectory. Escriba 1 para la comunicación SSL o 2 para la comunicación no cifrada y pulse
de nuevo.Indique el puerto para comunicarse con el servidor de eDirectory.
El puerto por defecto para la comunicación SSL es el 636 y para la comunicación no cifrada es 389.
Especifique el nombre completo (FDN) del administrador.
Por ejemplo, cn=admin,o=organization
Escriba la contraseña para el administrador especificada en el Paso 6.
(Opcional) Escriba el nombre completo del administrador del origen de usuarios de ZENworks al que se le aplicará la ACL.
El administrador del origen de usuarios de ZENworks se configura como un usuario del origen de usuarios de ZENworks para la lectura de usuarios desde el origen de usuarios en cuestión y no es necesario que sea el usuario administrativo especificado en el Paso 6. Si especifica el nombre completo de este usuario, el programa establece las ACL en los contenedores especificados para proporcionar acceso de lectura al atributo zcmSharedSecret de este usuario.
Especifique los contenedores de usuarios para los que desea extender el esquema.
Se pueden indicar varios contenedores separados por el signo +. Por ejemplo, o=sales o bien o=sales + o=marketing.
Pulse
para generar un secreto aleatorio para todos los usuarios de los contenedores anteriores.(Condicional) Si ha elegido la comunicación SSL para comunicarse con el servidor de eDirectory, el servidor presenta un certificado. Escriba
para aceptar el certificado.Al usar la autenticación mediante Nombre de usuario/Contraseña con un origen de usuarios de Novell eDirectory o Microsoft Active Directory, si las credenciales que el usuario especifica para entrar en la estación de trabajo o en el dominio coinciden con las credenciales para entrar en ZENworks, el recuadro de diálogo de entrada a ZENworks no se muestra y el usuario se autentica en la zona de gestión de ZENworks.
El nombre de usuario y la contraseña también se almacenan en el Secret Store. Si posteriormente un usuario entra en ZENworks donde no hay disponible un nombre de usuario o una contraseña (por ejemplo, el usuario entró usando una tarjeta inteligente), se utilizan las credenciales almacenadas y se omite el recuadro de diálogo de ZENworks.
Mientras se añade un origen de usuarios, se puede habilitar la autenticación mediante nombre de usuario/contraseña. Para obtener más información, consulte la Sección 31.2.1, Adición de orígenes de usuarios.
La autenticación mediante nombre de usuario/contraseña se puede habilitar en un origen de usuarios existente.
En el Centro de control de ZENworks, haga clic en la pestaña
haga clic en el origen de usuarios y haga clic en junto a en la sección General.En el panel Orígenes de usuarios, haga clic en el origen que desee y, a continuación, haga clic en
junto a en la sección General.Seleccione la casilla de verificación
y haga clic enEn la siguiente tabla se refleja la experiencia del usuario de ZENworks al usar la autenticación mediante nombre de usuario/contraseña con Active Directory:
Tabla 32-2 Autenticación mediante nombre de usuario/contraseña en ZENworks con Active Directory
Por ejemplo, en la primera fila, coinciden las credenciales de la entrada inicial del usuario, las del origen de usuarios y las de la entrada a ZENworks. Como resultado, el usuario puede entrar en la zona de gestión de ZENworks y el recuadro de diálogo de entrada a ZENworks no aparece.
En la segunda fila, por ejemplo, las credenciales de entrada inicial del usuario utilizan credenciales de un dominio distinto pero coinciden con las credenciales de entrada a ZENworks. Como resultado, el usuario puede entrar en la zona de gestión de ZENworks y el recuadro de diálogo de entrada a ZENworks no aparece.