32.2 Mecanismos de autenticación

Se pueden usar los siguientes mecanismos para autenticar dispositivos gestionados en la zona de gestión de ZENworks:

32.2.1 Kerberos (sólo Active Directory)

Kerberos*, un protocolo de autenticación desarrollado por el MIT, requiere entidades (por ejemplo, un usuario y un servicio de red) que necesitan comunicarse mediante una red no segura para demostrar su identidad mutuamente, de forma que se pueda llevar a cabo una autenticación segura.

La función de Kerberos está incluida de forma nativa en los entornos de Windows Active Directory.

Kerberos requiere el uso de un centro de distribución de claves (KDC) para que actúe como una tercera parte de confianza entre las entidades. Todos los servidores Kerberos requieren un archivo keytab para autenticarse en el centro de distribución de claves (KDC). El archivo keytab es una copia cifrada, local y en disco de la clave del host.

Cuando se usa la autenticación Kerberos, el servidor de Active Directory genera un ticket de Kerberos que Novell Common Authentication Services Adapter (CASA) utiliza para autenticar al usuario, en lugar del nombre de usuario y la contraseña.

Configuración de Kerberos en un entorno de ZENworks

  1. Hay que configurar una cuenta principal de servicios de Kerberos y generar un archivo keytab para dicha cuenta.

    Para obtener más información, consulte el sitio Web de Microsoft TechNet.

    Por ejemplo, si crea un usuario llamado atsserver en su dominio, debería ejecutar el siguiente comando en la línea de comandos:

    ktpass /princ host/atsserver.users.mi_servidor.com@MI_SERVIDOR.COM -pass contraseña_atsserver -mapuser atsserver -out atsserver.keytab -mapOp set -ptype KRB5_NT_PRINCIPAL

    Este comando crea un archivo keytab y modifica el usuario atsserver para que sea el identificador principal de Kerberos.

  2. Importe el archivo keytab al Centro de control de ZENworks.

    1. En el Centro de control de ZENworks, haga clic en la pestaña Configuración, seguidamente en Gestión de infraestructura y por último en Valores de origen de usuarios.

    2. Haga clic en para acceder al archivo keytab y selecciónelo.

    3. Haga clic en Aceptar para importar el archivo.

Habilitación de la autenticación Kerberos al añadir un origen de usuarios

La autenticación Kerberos se puede habilitar a la vez que se añade un origen de usuarios. Para obtener más información, consulte la Sección 31.2.1, Adición de orígenes de usuarios.

Habilitación de la autenticación Kerberos en un origen de usuarios existente

La autenticación Kerberos se puede habilitar en un origen de usuarios existente.

  1. En el Centro de control de ZENworks, haga clic en la pestaña Configuración.

  2. En el panel Orígenes de usuarios, haga clic en el origen que desee y, a continuación, haga clic en Editar, junto a Mecanismos de autenticación en la sección General.

  3. Seleccione la casilla de verificación de Kerberos y haga clic en Aceptar.

Interacción entre la autenticación Kerberos y el recuadro de diálogo Entrada de ZENworks

En la siguiente tabla se refleja la experiencia del usuario de ZENworks al usar la autenticación Kerberos con Active Directory:

Tabla 32-1 Autenticación Kerberos de ZENworks con Active Directory

¿La entrada de Windows coincide con la entrada del origen de usuarios?

¿ZENworks utiliza también la autenticación mediante nombre de usuario y contraseña?

¿Es miembro del mismo dominio?

¿Es miembro de un dominio diferente?

¿Coinciden las credenciales de Windows y las de ZENworks?

¿Puede entrar en la zona de gestión?

¿Se muestra el recuadro de diálogo de entrada a ZENworks?

 

No

 

 

No

 

 

 

 

 

 

 

No

No

 

 

 

No

No

 

 

 

 

 

No

No

 

 

 

 

No

No

 

 

No

 

 

No

 

 

 

 

Por ejemplo, en la segunda fila, coinciden las credenciales de la entrada inicial del usuario, las del origen de usuarios y las de la entrada a ZENworks. Como resultado, el usuario puede entrar en la zona de gestión de ZENworks y el recuadro de diálogo de entrada a ZENworks no aparece.

En la tercera fila, por ejemplo, las credenciales de entrada inicial del usuario utilizan credenciales de un dominio distinto y son diferentes de las credenciales de entrada a ZENworks. En consecuencia, el usuario puede entrar en la zona de gestión de ZENworks, pero se muestra el recuadro de diálogo de entrada a ZENworks.

32.2.2 Secreto compartido

Cuando se usa la autenticación de Secreto compartido, es necesario instalar y configurar el cliente de Novell Identity Assurance Solution. Para obtener más información y conocer la lista de tarjetas inteligentes y de lectores de tarjetas inteligentes que se admiten, consulte la documentación del cliente Identity Assurance Solution en el sitio Web de documentación de Novell.

La autenticación en ZENworks usando tarjetas inteligentes se admite actualmente sólo en Windows XP y en sesiones de terminal de dispositivos con Windows Server 2003.

Cuando un usuario emplea una tarjeta inteligente para entrar en eDirectory, el usuario entra automáticamente en ZENworks siempre que el esquema de eDirectory especificado al añadir el origen de usuarios se haya extendido utilizando la herramienta novell-zenworks-configure.

Para obtener más información sobre la adición de orígenes de usuarios, consulte la Sección 31.2.1, Adición de orígenes de usuarios.

Para obtener más información sobre la extensión del esquema de eDirectory, consulte Extensión del esquema de eDirectory para habilitar la autenticación mediante Secreto compartido.

Si el esquema de eDirectory no está extendido, el Secreto compartido no estará disponible como mecanismo de autenticación. En consecuencia, se muestra el recuadro de diálogo de ZENworks cuando el usuario del dispositivo gestionado intenta entrar en eDirectory utilizando una tarjeta inteligente. Cuando el usuario especifica el nombre de usuario y la contraseña de eDirectory, la contraseña se almacena en Novell SecretStore. La próxima vez que el usuario utilice una tarjeta inteligente para entrar a la sesión en eDirectory, la contraseña se recuperará de SecretStore y el usuario entrará a la sesión en ZENworks sin necesidad de especificar la contraseña.

Extensión del esquema de eDirectory para habilitar la autenticación mediante Secreto compartido

Para autenticarse en ZENworks utilizando el mecanismo de autenticación de secreto compartido, el esquema de eDirectory especificado cuando se añade el origen de usuarios debe haberse extendido usando la herramienta novell-zenworks-configure.

Realice los siguientes pasos para extender el esquema de eDirectory:

  1. Ejecute la utilidad novell-zenworks-configure en un servidor ZENworks:

    En Windows: en el indicador de comandos, acceda a vía_de_instalación_de_ZENworks\bin\ e introduzca el comando siguiente:

    novell-zenworks-configure.bat -c ExtendSchemaForSmartCard

    En Linux: en el indicador de consola, acceda a /opt/novell/zenworks/bin e introduzca el comando siguiente:

    ./novell-zenworks-configure -c ExtendSchemaForSmartCard

  2. Se le preguntará si desea continuar con la acción de extensión del esquema de Novell eDirectory y añadir un atributo zcmSharedSecret optativo a la clase de usuario. El valor por defecto es 1. Pulse Intro.

  3. Introduzca el nombre DNS o la dirección IP del servidor de Novell eDirectory para extender el esquema.

  4. Deberá elegir entre el protocolo SSL o el de texto no cifrado para comunicarse con el servidor de eDirectory. Escriba 1 para la comunicación SSL o 2 para la comunicación no cifrada y pulse Intro de nuevo.

  5. Indique el puerto para comunicarse con el servidor de eDirectory.

    El puerto por defecto para la comunicación SSL es el 636 y para la comunicación no cifrada es 389.

  6. Especifique el nombre completo (FDN) del administrador.

    Por ejemplo, cn=admin,o=organization

  7. Escriba la contraseña para el administrador especificada en el Paso 6.

  8. (Opcional) Escriba el nombre completo del administrador del origen de usuarios de ZENworks al que se le aplicará la ACL.

    El administrador del origen de usuarios de ZENworks se configura como un usuario del origen de usuarios de ZENworks para la lectura de usuarios desde el origen de usuarios en cuestión y no es necesario que sea el usuario administrativo especificado en el Paso 6. Si especifica el nombre completo de este usuario, el programa establece las ACL en los contenedores especificados para proporcionar acceso de lectura al atributo zcmSharedSecret de este usuario.

  9. Especifique los contenedores de usuarios para los que desea extender el esquema.

    Se pueden indicar varios contenedores separados por el signo +. Por ejemplo, o=sales o bien o=sales + o=marketing.

  10. Pulse Intro para generar un secreto aleatorio para todos los usuarios de los contenedores anteriores.

  11. (Condicional) Si ha elegido la comunicación SSL para comunicarse con el servidor de eDirectory, el servidor presenta un certificado. Escriba y para aceptar el certificado.

32.2.3 Nombre de usuario/Contraseña (eDirectory y Active Directory)

Al usar la autenticación mediante Nombre de usuario/Contraseña con un origen de usuarios de Novell eDirectory o Microsoft Active Directory, si las credenciales que el usuario especifica para entrar en la estación de trabajo o en el dominio coinciden con las credenciales para entrar en ZENworks, el recuadro de diálogo de entrada a ZENworks no se muestra y el usuario se autentica en la zona de gestión de ZENworks.

El nombre de usuario y la contraseña también se almacenan en el Secret Store. Si posteriormente un usuario entra en ZENworks donde no hay disponible un nombre de usuario o una contraseña (por ejemplo, el usuario entró usando una tarjeta inteligente), se utilizan las credenciales almacenadas y se omite el recuadro de diálogo de ZENworks.

Habilitación de la autenticación mediante nombre de usuario/contraseña al añadir un origen de usuarios

Mientras se añade un origen de usuarios, se puede habilitar la autenticación mediante nombre de usuario/contraseña. Para obtener más información, consulte la Sección 31.2.1, Adición de orígenes de usuarios.

Habilitación de la autenticación mediante nombre de usuario/contraseña en un origen de usuarios existente

La autenticación mediante nombre de usuario/contraseña se puede habilitar en un origen de usuarios existente.

  1. En el Centro de control de ZENworks, haga clic en la pestaña Configuración, haga clic en el origen de usuarios y haga clic en Editar junto a Mecanismos de autenticación en la sección General.

  2. En el panel Orígenes de usuarios, haga clic en el origen que desee y, a continuación, haga clic en Editar, junto a Mecanismos de autenticación en la sección General.

  3. Seleccione la casilla de verificación Nombre de usuario/Contraseña y haga clic en Aceptar.

Interacción entre la autenticación mediante nombre de usuario/contraseña y el recuadro de diálogo Entrada de ZENworks

En la siguiente tabla se refleja la experiencia del usuario de ZENworks al usar la autenticación mediante nombre de usuario/contraseña con Active Directory:

Tabla 32-2 Autenticación mediante nombre de usuario/contraseña en ZENworks con Active Directory

¿La entrada de Windows coincide con la entrada del origen de usuarios?

¿ZENworks utiliza también la autenticación Kerberos?

¿Es miembro del mismo dominio?

¿Es miembro de un dominio diferente?

¿Coinciden las credenciales de Windows y las de ZENworks?

¿Puede entrar en la zona de gestión?

¿Se muestra el recuadro de diálogo de entrada a ZENworks?

 

 

No

 

 

No

 

 

 

 

 

 

No

 

 

 

No

 

 

 

 

No

 

 

 

 

 

 

 

 

 

 

 

Por ejemplo, en la primera fila, coinciden las credenciales de la entrada inicial del usuario, las del origen de usuarios y las de la entrada a ZENworks. Como resultado, el usuario puede entrar en la zona de gestión de ZENworks y el recuadro de diálogo de entrada a ZENworks no aparece.

En la segunda fila, por ejemplo, las credenciales de entrada inicial del usuario utilizan credenciales de un dominio distinto pero coinciden con las credenciales de entrada a ZENworks. Como resultado, el usuario puede entrar en la zona de gestión de ZENworks y el recuadro de diálogo de entrada a ZENworks no aparece.