Product Documentation

Autenticación de dominio o dominio + token de seguridad

Mar 02, 2017
XenMobile admite la autenticación basada en dominios con uno o varios directorios (como Active Directory), que son compatibles con el protocolo ligero de acceso a directorios (LDAP). En XenMobile, puede configurar una conexión a uno o varios directorios y usar la configuración de LDAP para importar grupos, cuentas de usuario y propiedades relacionadas.
 
El protocolo LDAP es un protocolo de aplicación de código abierto y no vinculado a ningún proveedor específico. Se utiliza para acceder a servicios de información sobre directorios distribuidos a través de una red de protocolo de Internet (IP) y para su mantenimiento. Los servicios de información de directorios se usan para compartir información acerca de usuarios, sistemas, redes, servicios y aplicaciones disponibles a través de la red. Es habitual que el protocolo LDAP se utilice para ofrecer acceso Single Sign-On (SSO) a los usuarios. En este tipo de acceso, se comparte una sola contraseña (por usuario) entre varios servicios, lo que permite a un usuario iniciar sesión una vez en el sitio Web de una empresa y, a su vez, iniciar sesión automáticamente en la intranet de la empresa.
 
Un cliente inicia una sesión LDAP al conectarse a un servidor LDAP, que se denomina Directory System Agent (DSA). El cliente envía una solicitud de operación al servidor, y el servidor responde con la autenticación pertinente.

Para agregar conexiones LDAP a XenMobile

1. En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Settings.

2. En Server, haga clic en LDAP. Aparecerá la página LDAP. Puede agregar, modificar o eliminar directorios compatibles con el protocolo LDAP desde esta página.

localized image

Para agregar un directorio compatible con LDAP

1. En la página LDAP, haga clic en Add. Aparecerá la página Add LDAP.

localized image

2. Configure estos parámetros:

  • Directory type. En la lista, haga clic en el tipo de directorio correspondiente. El valor predeterminado es Microsoft Active Directory.
  • Primary server. Escriba el servidor principal usado para el protocolo LDAP; puede escribir la dirección IP o el nombre de dominio completo (FQDN).
  • Secondary server. Si quiere, puede introducir la dirección IP o el nombre de dominio completo (FQDN) del servidor secundario (si se ha configurado). Este es un servidor de conmutación por error que se utilizará si no se puede establecer contacto con el servidor principal.
  • Port. Escriba el número de puerto que utiliza el servidor LDAP. De forma predeterminada, el número de puerto es 389 para conexiones LDAP no protegidas. Use el número de puerto 636 para conexiones LDAP protegidas, el 3268 para conexiones LDAP no protegidas de Microsoft o el 3269 para conexiones LDAP protegidas de Microsoft.
  • Domain name. Introduzca el nombre de dominio.
  • User base DN. Mediante un identificador único, escriba la ubicación de los usuarios en Active Directory. Algunos ejemplos de sintaxis: ou=usuarios, dc=ejemplo, dc=com.
  • Group base DN. Escriba la ubicación de los grupos de Active Directory. Por ejemplo, cn = users, dc = dominio, dc = net, donde cn = users representa el nombre del contenedor de los grupos y dc representa el componente de dominio de Active Directory.
  • User ID. Escriba el ID de usuario asociado a la cuenta de Active Directory.
  • Password. Escriba la contraseña asociada al usuario.
  • Domain alias. Escriba un alias del nombre de dominio.
  • XenMobile Lockout Limit. Introduzca un número comprendido entre 0 y 999 para la cantidad de intentos fallidos de inicio de sesión. Si introduce 0 en este campo, indicará a XenMobile que nunca bloquee al usuario en función de los intentos fallidos de inicio de sesión.
  • XenMobile Lockout Time. Escriba un número comprendido entre 0 y 99999 que representará la cantidad de minutos que el usuario debe esperar una vez superado el límite de bloqueo. Si introduce 0 en este campo, el usuario no deberá esperar después de un bloqueo.
  • Global Catalog TCP Port. Escriba el número del puerto TCP destinado al servidor de catálogo global. De forma predeterminada, el número de puerto TCP está establecido en 3268; para las conexiones SSL, utilice el número de puerto 3269.
  • Global Catalog Root Context. Si quiere, puede escribir el valor del parámetro Global Root Context utilizado para habilitar una búsqueda en el catálogo global de Active Directory. Esta búsqueda se añade a la búsqueda estándar LDAP en cualquier dominio y sin necesidad de especificar el nombre de dominio real.
  • User search by. En la lista, haga clic en userPrincipalName o en sAMAccountName. El valor predeterminado es userPrincipalName.
  • Use secure connection. Seleccione si utilizar conexiones protegidas. El valor predeterminado es NO.

3. Haga clic en Save.

Para modificar un directorio compatible con LDAP

1. En la tabla LDAP, seleccione el directorio a modificar.

Nota: Si marca la casilla situada junto a un directorio, el menú de opciones aparecerá encima de la lista LDAP. En cambio, si hace clic en cualquier otro lugar de la lista, el menú de opciones aparecerá en el lado derecho de la lista.

2. Haga clic en Edit.Aparecerá la página LDAP.

localized image

3. Cambie la siguiente información como corresponda:

  • Directory type. En la lista, haga clic en el tipo de directorio correspondiente.
  • Primary server. Escriba el servidor principal usado para el protocolo LDAP; puede escribir la dirección IP o el nombre de dominio completo (FQDN).
  • Secondary server. Si quiere, puede introducir la dirección IP o el nombre de dominio completo (FQDN) del servidor secundario (si se ha configurado).
  • Port. Escriba el número de puerto que utiliza el servidor LDAP. De forma predeterminada, el número de puerto es 389 para conexiones LDAP no protegidas. Use el número de puerto 636 para conexiones LDAP protegidas, el 3268 para conexiones LDAP no protegidas de Microsoft o el 3269 para conexiones LDAP protegidas de Microsoft.
  • Domain name. No puede cambiar este campo.
  • User base DN. Mediante un identificador único, escriba la ubicación de los usuarios en Active Directory. Algunos ejemplos de sintaxis: ou=usuarios, dc=ejemplo, dc=com.
  • Group base DN. Escriba el nombre del grupo de DN base especificado como cn=nombre_de_grupo. Por ejemplo, puede introducir cn=users, dc=nombre_de_servidor, dc=net, donde cn=users es el nombre del grupo; el DN y el nombre de servidor representan el nombre del servidor que ejecuta Active Directory.
  • User ID. Escriba el ID de usuario asociado a la cuenta de Active Directory.
  • Password. Escriba la contraseña asociada al usuario.
  • Domain alias. Escriba un alias del nombre de dominio.
  • XenMobile Lockout Limit. Introduzca un número comprendido entre 0 y 999 para la cantidad de intentos fallidos de inicio de sesión. Si introduce 0 en este campo, indicará a XenMobile que nunca bloquee al usuario en función de los intentos fallidos de inicio de sesión.
  • XenMobile Lockout Time. Escriba un número comprendido entre 0 y 99999 que representará la cantidad de minutos que el usuario debe esperar una vez superado el límite de bloqueo. Si introduce 0 en este campo, el usuario no deberá esperar después de un bloqueo.
  • Global Catalog TCP Port. Escriba el número del puerto TCP destinado al servidor de catálogo global. De forma predeterminada, el número de puerto TCP está establecido en 3268; para las conexiones SSL, utilice el número de puerto 3269.
  • Global Catalog Root Context. Si quiere, puede escribir el valor del parámetro Global Root Context utilizado para habilitar una búsqueda en el catálogo global de Active Directory. Esta búsqueda se añade a la búsqueda estándar LDAP en cualquier dominio y sin necesidad de especificar el nombre de dominio real.
  • User search by. En la lista, haga clic en userPrincipalName o en sAMAccountName.
  • Use secure connection. Seleccione si utilizar conexiones protegidas.

4. Haga clic en Save para guardar los cambios o en Cancel para no realizar cambios en la propiedad.

Para eliminar un directorio compatible con LDAP

1. En la tabla LDAP, seleccione el directorio a eliminar.

Nota: Puede eliminar más de una propiedad. Para ello, deberá marcar la casilla de verificación situada junto a cada propiedad.

2. Haga clic en Delete. Aparecerá un cuadro de diálogo de confirmación. Vuelva a hacer clic en Delete.

Configuración de la autenticación de dominio + token de seguridad

Puede configurar XenMobile para exigir a los usuarios que se autentiquen mediante el protocolo RADIUS con sus credenciales de LDAP más una contraseña de un solo uso.

Para disfrutar de una usabilidad óptima, puede combinar esta configuración con un PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory, de modo que los usuarios no tengan que escribir continuamente su nombre de usuario y su contraseña de Active Directory. Los usuarios necesitarán escribir su nombre de usuario y su contraseña para la inscripción, la caducidad de contraseñas y el bloqueo de cuentas.

Configuración de los parámetros de LDAP

El uso del protocolo LDAP para la autenticación exige que se instale un certificado SSL desde una autoridad certificadora en XenMobile. Para obtener más información, consulte Carga de certificados en XenMobile.

1. En Settings, haga clic en LDAP.

2. Seleccione Microsoft Active Directory y, a continuación, haga clic en Edit.

localized image

3. Verifique que el campo Port es 636 para conexiones LDAP seguras, o bien 3269 para conexiones LDAP seguras de Microsoft.

4. Cambie Use secure connection a Yes.

localized image

Configuración de los parámetros de NetScaler Gateway

En los siguientes pasos se supone que ya ha agregado una instancia de NetScaler Gateway a XenMobile. Para agregar una instancia de NetScaler Gateway, consulte Para configurar una nueva instancia de NetScaler Gateway.

1. En Settings, haga clic NetScaler Gateway.

2. Seleccione NetScaler Gateway y, a continuación, haga clic en Edit.

3. En Logon Type, seleccione Domain and security token.

localized image

Cómo habilitar el PIN de Worx y almacenamiento en caché de contraseñas de usuario

Para habilitar el PIN de Worx y el almacenamiento en caché de contraseñas, vaya a Settings > Client Properties y marque las casillas de Enable Worx PIN Authentication y Enable User Password Caching. Para obtener más información, consulte Propiedades de cliente.

Configuración de NetScaler Gateway para la autenticación de dominio y token de seguridad

Configure directivas y perfiles de sesión de NetScaler Gateway para los servidores virtuales que utilice con XenMobile. Para obtener más información, consulte Configuración de la autenticación de dominios y tokens de seguridad en la documentación de NetScaler Gateway.