Autenticación con dominio o dominio + token de seguridad

XenMobile admite la autenticación basada en dominios en uno o varios directorios, que son compatibles con el protocolo ligero de acceso a directorios (LDAP). En XenMobile, puede configurar una conexión a uno o varios directorios y usar la configuración de LDAP para importar grupos, cuentas de usuario y propiedades relacionadas.

El protocolo LDAP es un protocolo de aplicación de código abierto y no vinculado a ningún proveedor específico. Se utiliza para acceder a servicios de información sobre directorios distribuidos a través de una red de protocolo de Internet (IP) y para su mantenimiento. Los servicios de información de directorios se usan para compartir información acerca de usuarios, sistemas, redes, servicios y aplicaciones disponibles a través de la red.

Un uso común de LDAP es proporcionar el inicio de sesión único (SSO) para los usuarios, donde varios servicios comparten una sola contraseña (por usuario). El inicio SSO permite a los usuarios iniciar sesión una vez en el sitio Web de la empresa para obtener acceso autenticado a la intranet corporativa.

Un cliente inicia una sesión LDAP al conectarse a un servidor LDAP, denominado Directory System Agent (DSA). El cliente envía una solicitud de operación al servidor, y el servidor responde con la autenticación pertinente.

Importante:

Una vez que los usuarios hayan inscrito sus dispositivos en XenMobile, XenMobile no admite que se cambie el modo de autenticación de dominio a otro modo de autenticación.

Para agregar conexiones LDAP a XenMobile

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.

  2. En Servidor, haga clic en LDAP. Aparecerá la página LDAP. Puede agregar, modificar o eliminar directorios compatibles con el protocolo LDAP como se describe en este artículo.

    Imagen de la pantalla de configuración de LDAP

Para agregar un directorio compatible con LDAP

  1. En la página LDAP, haga clic en Agregar. Aparecerá la página Agregar LDAP.

    Imagen de la pantalla de configuración de LDAP

  2. Configure estos parámetros:

    • Tipo de directorio: En la lista, haga clic en el tipo de directorio correspondiente. El valor predeterminado es Microsoft Active Directory.
    • Servidor principal: Escriba el servidor principal usado para el protocolo LDAP; puede escribir la dirección IP o el nombre de dominio completo (FQDN).
    • Servidor secundario: Si quiere, puede introducir la dirección IP o el nombre de dominio completo (FQDN) del servidor secundario (si se ha configurado). Este es un servidor de conmutación por error que se utilizará si no se puede establecer contacto con el servidor principal.
    • Puerto: Escriba el número de puerto que utiliza el servidor LDAP. De forma predeterminada, el número de puerto es 389 para conexiones LDAP no protegidas. Use el número de puerto 636 para conexiones LDAP protegidas, el 3268 para conexiones LDAP no protegidas de Microsoft o el 3269 para conexiones LDAP protegidas de Microsoft.
    • Nombre de dominio: Introduzca el nombre de dominio.
    • DN base de usuarios: Mediante un identificador único, escriba la ubicación de los usuarios en Active Directory. Los ejemplos de sintaxis son: ou=users, dc=example o dc=com.
    • DN base de grupos: Escriba la ubicación de los grupos de Active Directory. Por ejemplo, cn=users, dc=domain, dc=net, donde cn=users representa el nombre del contenedor de los grupos y dc representa el componente de dominio de Active Directory.
    • ID de usuario: Escriba el ID de usuario asociado a la cuenta de Active Directory.
    • Contraseña: Escriba la contraseña asociada al usuario.
    • Alias de dominio: Escriba un alias del nombre de dominio.
    • Límite de bloqueo de XenMobile: Introduzca un número comprendido entre 0 y 999 para la cantidad de intentos fallidos de inicio de sesión. Si introduce 0 en este campo, indicará a XenMobile que nunca bloquee al usuario en función de los intentos fallidos de inicio de sesión.
    • Duración de bloqueo de XenMobile: Escriba un número comprendido entre 0 y 99999 que representará la cantidad de minutos que el usuario debe esperar una vez superado el límite de bloqueo. Un valor de 0 significa que no se obliga al usuario a esperar después de un bloqueo.
    • Puerto TCP del catálogo global: Escriba el número del puerto TCP destinado al servidor de catálogo global. De forma predeterminada, el número de puerto TCP está establecido en 3268; para las conexiones SSL, utilice el número de puerto 3269.
    • Contexto raíz del catálogo global: Si quiere, puede escribir el valor del contexto raíz del catálogo global utilizado para habilitar una búsqueda en el catálogo global de Active Directory. Esta búsqueda se añade a la búsqueda estándar LDAP en cualquier dominio y sin necesidad de especificar el nombre de dominio real.
    • Buscar usuarios por: En la lista, haga clic en userPrincipalName o en sAMAccountName. El valor predeterminado es userPrincipalName.
    • Usar conexión segura: Seleccione si utilizar conexiones protegidas. El valor predeterminado es NO.
  3. Haga clic en Guardar.

Para modificar un directorio compatible con LDAP

  1. En la tabla LDAP, seleccione el directorio a modificar.

    Cuando se marca la casilla situada junto a un directorio, el menú de opciones aparece encima de la lista de LDAP. Si hace clic en cualquier lugar de la lista, el menú de opciones aparece a la derecha de la lista.

  2. Haga clic en Modificar. Aparecerá la página Modificar LDAP.

    Imagen de la pantalla de configuración de LDAP

  3. Cambie la siguiente información como corresponda:

    • Tipo de directorio: En la lista, haga clic en el tipo de directorio correspondiente.
    • Servidor principal: Escriba el servidor principal usado para el protocolo LDAP; puede escribir la dirección IP o el nombre de dominio completo (FQDN).
    • Servidor secundario: Puede introducir la dirección IP o el nombre de dominio completo (FQDN) del servidor secundario (si se ha configurado).
    • Puerto: Escriba el número de puerto que utiliza el servidor LDAP. De forma predeterminada, el número de puerto es 389 para conexiones LDAP no protegidas. Use el número de puerto 636 para conexiones LDAP protegidas, el 3268 para conexiones LDAP no protegidas de Microsoft o el 3269 para conexiones LDAP protegidas de Microsoft.
    • Nombre de dominio: No puede modificar este campo.
    • DN base de usuarios: Mediante un identificador único, escriba la ubicación de los usuarios en Active Directory. Los ejemplos de sintaxis son: ou=users, dc=example o dc=com.
    • DN base de grupos: Escriba el nombre del grupo de DN base especificado como cn=groupname. Por ejemplo, cn=users, dc=servername, dc=net, donde cn=users es el nombre del grupo. DN y servername representan el nombre del servidor que ejecuta Active Directory.
    • ID de usuario: Escriba el ID de usuario asociado a la cuenta de Active Directory.
    • Contraseña: Escriba la contraseña asociada al usuario.
    • Alias de dominio: Escriba un alias del nombre de dominio.
    • Límite de bloqueo de XenMobile: Introduzca un número comprendido entre 0 y 999 para la cantidad de intentos fallidos de inicio de sesión. Si introduce 0 en este campo, indicará a XenMobile que nunca bloquee al usuario en función de los intentos fallidos de inicio de sesión.
    • Duración de bloqueo de XenMobile: Escriba un número comprendido entre 0 y 99999 que representará la cantidad de minutos que el usuario debe esperar una vez superado el límite de bloqueo. Un valor de 0 significa que no se obliga al usuario a esperar después de un bloqueo.
    • Puerto TCP del catálogo global: Escriba el número del puerto TCP destinado al servidor de catálogo global. De forma predeterminada, el número de puerto TCP está establecido en 3268; para las conexiones SSL, utilice el número de puerto 3269.
    • Contexto raíz del catálogo global: Si quiere, puede escribir el valor del contexto raíz del catálogo global utilizado para habilitar una búsqueda en el catálogo global de Active Directory. Esta búsqueda se añade a la búsqueda estándar LDAP en cualquier dominio y sin necesidad de especificar el nombre de dominio real.
    • Buscar usuarios por: En la lista, haga clic en userPrincipalName o en sAMAccountName.
    • Usar conexión segura: Seleccione si utilizar conexiones protegidas.
  4. Haga clic en Guardar para guardar los cambios o en Cancelar para descartarlos.

Para eliminar un directorio compatible con LDAP

  1. En la tabla LDAP, seleccione el directorio a eliminar.

    Puede eliminar más de una propiedad. Para ello, marque la casilla de verificación situada junto a cada propiedad.

  2. Haga clic en Eliminar. Aparecerá un cuadro de diálogo de confirmación. Vuelva a hacer clic en Eliminar.

Configurar la autenticación de dominio + token de seguridad

Puede configurar XenMobile para exigir a los usuarios que se autentiquen mediante el protocolo RADIUS con sus credenciales de LDAP más una contraseña de un solo uso.

Para una experiencia de uso óptima, puede combinar esta configuración con el PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory. Con esa configuración, los usuarios no tienen que escribir repetidamente sus nombres de usuario ni contraseñas LDAP. Los usuarios escriben su nombre de usuario y contraseña para la inscripción, la caducidad de contraseñas y el bloqueo de cuentas.

Configurar parámetros de LDAP

El uso del protocolo LDAP para la autenticación exige que se instale un certificado SSL desde una autoridad certificadora en XenMobile. Para obtener más información, consulte Carga de certificados en XenMobile.

  1. En Parámetros, haga clic en LDAP.

  2. Seleccione Microsoft Active Directory y, a continuación, haga clic en Modificar.

    Imagen de la pantalla de configuración de LDAP

  3. Verifique que el campo “Puerto” tiene el valor 636 para conexiones LDAP seguras, o bien 3269 para conexiones LDAP seguras de Microsoft.

  4. Cambie Usar conexión segura a .

    Imagen de la pantalla de configuración de LDAP

Configurar parámetros de NetScaler Gateway

En los siguientes pasos se supone que ya ha agregado una instancia de NetScaler Gateway a XenMobile. Para agregar una instancia de NetScaler Gateway, consulte Agregar una instancia de NetScaler Gateway.

  1. En Parámetros, haga clic en NetScaler Gateway.

  2. Seleccione NetScaler Gateway y, a continuación, haga clic en Modificar.

  3. En Tipo de inicio de sesión, seleccione Dominio y token de seguridad.

    Imagen de la pantalla de configuración de NetScaler Gateway

Habilitar el PIN de Citrix y el almacenamiento en caché de contraseñas de usuario

Para habilitar el PIN de Citrix y el almacenamiento en caché de contraseñas, vaya a Parámetros > Propiedades de cliente y marque las casillas Enable Citrix PIN Authentication y Enable User Password Caching. Para obtener más información, consulte Propiedades de cliente.

Configurar NetScaler Gateway para la autenticación de dominio y token de seguridad

Configure directivas y perfiles de sesión de NetScaler Gateway para los servidores virtuales que utilice con XenMobile. Para obtener más información, consulte la documentación de Citrix NetScaler Gateway.