Autenticación en el servidor LDAP utilizando la tarjeta de autenticación (Autenticación tarjeta LDAP-IC)

Descripción general

Puede configurar los ajustes de modo que la autenticación se realice en el servidor LDAP utilizando el ID de tarjeta registrado en la tarjeta de autenticación (Autenticación tarjeta LDAP-IC).

La autenticación se completa solo colocando la tarjeta IC. Esto mejora la seguridad sin dañar la capacidad de los usuarios para hacer funcionar fácilmente la máquina.

Para realizar la autenticación utilizando la tarjeta de autenticación, siga el procedimiento que se indica a continuación para configurar los ajustes.

  1. Active el uso de la unidad de autenticación (tipo tarjeta IC) en esta máquina

    explicación adicionalEl servicio de asistencia técnica debe configurar la unidad de autenticación (tipo tarjeta IC). Para obtener más información, póngase en contacto con el servicio de asistencia técnica.

  2. Definición de la configuración básica para la autenticación de la tarjeta LDAP-IC

  3. Configure las siguientes opciones según su entorno

    Objetivo

    Referencia

    Establecer comunicación con el servidor LDAP utilizando SSL

    [Uso de la comunicación SSL]

    Prevenir el apagado del servidor LDAP

    [Configuración de un servidor de autenticación secundario en previsión del apagado del servidor LDAP]

    Permitir que el usuario registre el ID de la tarjeta IC en el servidor LDAP

    [Ajuste para permitir que el usuario registre la tarjeta IC en el servidor LDAP]

Definición de la configuración básica para la autenticación de la tarjeta LDAP-IC

  1. En el modo Administrador, seleccione [Aut.usuario / Seguim.cuenta] - [Config. auten. tarj. LDAP/IC] - [Config. auten. tarj. LDAP/IC], ajuste [Config. auten. tarj. LDAP/IC] a [ACT.] (Valor predeterminado: [DES.]).

  2. En el modo Administrador, seleccione [Aut.usuario / Seguim.cuenta] - [Config. auten. tarj. LDAP/IC] - [Registro de servidor] - [Editar] y, a continuación, registre la información del servidor LDAP que se va a utilizar para autenticar el ID de usuario de la tarjeta IC.

    Ajustes

    Descripción

    [Dirección del servidor]

    Introduzca la dirección del servidor LDAP que se va a utilizar para autenticar el ID de usuario de la tarjeta IC.

    Utilice uno de los siguientes formatos.

    • Ejemplo de entrada de nombre de host: "host.ejemplo.com"

    • Ejemplo de entrada de dirección IP (IPv4): "192.168.1.1"

    • Ejemplo de entrada de dirección IP (IPv6): "fe80::220:6bff:fe10:2f16"

    [Número de puerto]

    Si es necesario, cambie el número de puerto del servidor LDAP.

    En circunstancias normales, puede utilizar el número de puerto original.

    [389] es la opción predeterminada.

    [Base búsqueda 1] a [base búsqueda 3]

    Especifique el punto de inicio y el intervalo para buscar a un usuario para ser autenticado.

    • [Base de búsqueda]: especifique el punto de inicio para buscar un objetivo (utilizando 255 caracteres como máximo).
      Ejemplo de entrada: "cn=usuarios,dc=ejemplo,dc=com"

    • [Intervalo de búsqueda]: seleccione un árbol de intervalo de búsqueda. [Árbol completo] es la opción predeterminada.
      Al seleccionar [Árbol completo] se realiza una búsqueda que incluye la estructura de árbol por debajo del punto de inicio introducido. Al seleccionar [Solo próxima jerarq.] solo se buscará en un nivel directamente por debajo del punto de inicio introducido. En este caso, el nivel en el punto de inicio no se incluye como objetivo de búsqueda.

    [Tiempo de espera]

    Si es necesario, cambie la hora del tiempo de espera para limitar una comunicación con el servidor LDAP.

    [60] s es la opción predeterminada.

    [Config. General]

    Seleccione el método de autenticación para iniciar sesión en el servidor LDAP.

    Seleccione uno que resulte apropiado para el método de autenticación utilizado para su servidor LDAP.

    • [Simple]

    • [Digest-MD5]

    • [GSS-SPNEGO]

    • [NTLM v1]

    • [NTLM v2]

    [Simple] es la opción predeterminada.

    [Nombre para inicio de sesión]

    Inicie sesión en el servidor LDAP e introduzca el nombre de conexión para buscar un usuario (utilizando 64 caracteres como máximo).

    [Contraseña]

    Introduzca la contraseña del nombre de usuario que ha especificado en [Nombre para inicio de sesión] (utilizando 64 caracteres como máximo, excluyendo ").

    Para introducir (cambiar) la contraseña, seleccione la casilla de verificación [Se ha modificado la contraseña.] y, a continuación, introduzca una nueva contraseña.

    [Nombre de dominio]

    Introduzca el nombre de dominio para iniciar sesión en el servidor LDAP (utilizando 64 caracteres como máximo).

    Si se selecciona [GSS-SPNEGO] para [Config. General], introduzca el nombre de dominio de Active Directory.

    [Use Referencia]

    Seleccione si se debe utilizar la función de referencia, si es necesario.

    Elija la opción apropiada para el entorno del servidor LDAP.

    [ACT.] es la opción predeterminada.

    [Buscar atributo]

    Introduzca el atributo para la ubicación donde está registrada la información de la tarjeta IC (utilizando hasta 63 caracteres, incluido el símbolo -).

    El atributo debe empezar con un carácter alfabético.

    [uid] es la opción predeterminada.

    [Nombre de usuario]

    Seleccione cómo obtener el nombre de usuario cuando inicie sesión en esta máquina.

    • [Usar ID de tarjeta]: seleccione esta opción cuando en el servidor solo se registre información de tarjeta IC. Utiliza el ID de tarjeta en la tarjeta IC como nombre de usuario.

    • [Adquiriendo]: seleccione esta opción cuando en el servidor se registre información de usuario que no sea la información de tarjeta IC. Utiliza el nombre de usuario obtenido desde el servidor. Especifique el atributo que se buscará como el nombre de usuario ("uid") en [Atributo de nombre usuario].
      Si se ha seleccionado [ACT.] en [Configurac.registro información tarjeta], se selecciona [Adquiriendo] y no puede realizarse ningún cambio. A continuación, el atributo especificado en [Configurac.registro información tarjeta] se muestra en [Atributo de nombre usuario]. Para obtener más información sobre la [Configurac.registro información tarjeta], consulte [Ajuste para permitir que el usuario registre la tarjeta IC en el servidor LDAP] .

    [Usar ID de tarjeta] es la opción predeterminada.

    [Conexión al servidor externo]

    Seleccione el nombre del servidor externo que se va a utilizar como información de autenticación guardada en esta máquina.

    La información de autenticación se almacena en esta máquina cuando la autenticación de tarjeta LDAP-IC se realiza correctamente. Esta información de autenticación incluye el nombre de usuario y el nombre de servidor externo.

    Como información de autenticación que se va a guardar en esta máquina, el nombre del servidor externo registrado en esta máquina se puede registrar.

    [Ninguna] es la opción predeterminada.

Uso de la comunicación SSL

La comunicación entre esta máquina y el servidor LDAP se cifra con SSL.

Configure este ajuste si su entorno requiere una comunicación cifrada SSL con el servidor LDAP.

En el modo Administrador, seleccione [Aut.usuario / Seguim.cuenta] - [Config. auten. tarj. LDAP/IC] - [Registro de servidor] - [Editar] y, a continuación, configure las siguientes opciones.

Ajustes

Descripción

[Habilitar SSL]

Seleccione esta casilla de verificación para utilizar la comunicación SSL.

[DES.] (no seleccionado) es la opción predeterminada.

[Número de puerto (SSL)]

Si es necesario, cambie el número de puerto de comunicación SSL.

En circunstancias normales, puede utilizar el número de puerto original.

[636] es la opción predeterminada.

[Configuración del nivel de verificación de certificados]

Para verificar el certificado, seleccione los elementos que se deben comprobar.

Si selecciona [Confirmar] en cada elemento, el certificado se verificará para cada elemento.

[Fecha de caducidad]

Confirma si el certificado todavía es válido.

[Confirmar] es la opción predeterminada.

[CN]

Confirma si el CN (Nombre común) del certificado coincide con la dirección del servidor.

[No confirmar] es la opción predeterminada.

[Utilización de las teclas]

Confirma si el certificado se utiliza para el fin previsto aprobado por el emisor de dicho certificado.

[No confirmar] es la opción predeterminada.

[Cadena]

Confirma si hay un problema en la cadena de certificados (ruta de certificados).

La cadena es validada consultando los certificados externos gestionados en esta máquina.

[No confirmar] es la opción predeterminada.

[Confirmación de la fecha de caducidad]

Confirma si el certificado ha caducado.

Confirma la caducidad del certificado en el siguiente orden.

  • Servicio OCSP (Online Certificate Status Protocol)

  • CRL (Certificate Revocation List)

[No confirmar] es la opción predeterminada.

Configuración de un servidor de autenticación secundario en previsión del apagado del servidor LDAP

Si está instalado el servidor LDAP, puede definir un servidor de autenticación secundario en previsión del posible apagado del servidor principal de autenticación.

Al definir un servidor de autenticación secundario se permite el cambio automático en caso de que el servidor de autenticación principal utilizado para las operaciones normales se apague y de este modo se puede continuar la autenticación LDAP-IC.

  1. En el modo Administrador, seleccione [Autent. usuario/Seg. cuenta] - [Config. auten. tarj. LDAP/IC] - [Configuración de servidor de autenticación secundario] y, a continuación, defina los ajustes siguientes.

    Ajustes

    Descripción

    [Configuración de servidor de autenticación secundario]

    Seleccione [Act.] para utilizar el servidor de autenticación secundario.

    [DES.] es la opción predeterminada.

    [Configuración de la reconexión]

    Especifique la temporización para volver a conectar con el servidor de autenticación primario.

    [Ajustar intervalo de reconexión] es la opción predeterminada.

    • [Reconectar con cada inicio de sesión]: se conecta al servidor de autenticación primario cada vez que la autenticación se lleva a cabo en esta máquina. Si el servidor de autenticación primario se apaga, esta máquina se conecta al servidor de autenticación secundario.

    • [Ajustar intervalo de reconexión]: se conecta al servidor de autenticación secundario si el servidor de autenticación primario se apaga cuando se realiza la autenticación con la máquina. Después, esta máquina queda conectada al servidor de autenticación secundario cuando se realiza la autenticación con la máquina hasta que transcurra el tiempo especificado en [Hora de la reconexión]. Una vez transcurrido el tiempo especificado en [Hora de la reconexión], esta máquina se vuelve a conectar al servidor de autenticación primario cuando se realiza la autenticación con la máquina.

  2. En el modo Administrador, seleccione [Aut.usuario / Seguim.cuenta] - [Config. auten. tarj. LDAP/IC] - [Registro de servidor de autenticación secundario] y, a continuación, haga clic en [Editar] para configurar las siguientes opciones.

    Ajustes

    Descripción

    [Dirección del servidor]

    Introduzca la dirección del servidor LDAP.

    Utilice uno de los siguientes formatos.

    • Ejemplo de entrada de nombre de host: "host.ejemplo.com"

    • Ejemplo de entrada de dirección IP (IPv4): "192.168.1.1"

    • Ejemplo de entrada de dirección IP (IPv6): "fe80::220:6bff:fe10:2f16"

    [Número de puerto]

    Si es necesario, cambie el número de puerto del servidor LDAP.

    En circunstancias normales, puede utilizar el número de puerto original.

    [389] es la opción predeterminada.

    [Base búsqueda 1] a [base búsqueda 3]

    Especifique el punto de inicio y el intervalo para buscar a un usuario para ser autenticado.

    • [Base de búsqueda]: especifique el punto de inicio para buscar un objetivo (utilizando 255 caracteres como máximo).
      Ejemplo de entrada: "cn=usuarios,dc=ejemplo,dc=com"

    • [Intervalo de búsqueda]: seleccione un árbol de intervalo de búsqueda. [Árbol completo] es la opción predeterminada.
      Al seleccionar [Árbol completo] se realiza una búsqueda que incluye la estructura de árbol por debajo del punto de inicio introducido. Al seleccionar [Solo próxima jerarq.] solo se buscará en un nivel directamente por debajo del punto de inicio introducido. En este caso, el nivel en el punto de inicio no se incluye como objetivo de búsqueda.

    [Tiempo de espera]

    Si es necesario, cambie la hora del tiempo de espera para limitar una comunicación con el servidor LDAP.

    [60] s es la opción predeterminada.

    [Config. General]

    Seleccione el método de autenticación para iniciar sesión en el servidor LDAP.

    Seleccione uno que resulte apropiado para el método de autenticación utilizado para su servidor LDAP.

    • [Simple]

    • [Digest-MD5]

    • [GSS-SPNEGO]

    • [NTLM v1]

    • [NTLM v2]

    [Simple] es la opción predeterminada.

    [Nombre para inicio de sesión]

    Inicie sesión en el servidor LDAP e introduzca el nombre de conexión para buscar un usuario (utilizando 64 caracteres como máximo).

    [Contraseña]

    Introduzca la contraseña del nombre de usuario que ha especificado en [Nombre para inicio de sesión] (utilizando 64 caracteres como máximo, excluyendo ").

    Para introducir (cambiar) la contraseña, seleccione la casilla de verificación [Se ha modificado la contraseña.] y, a continuación, introduzca una nueva contraseña.

    [Nombre de dominio]

    Introduzca el nombre de dominio para iniciar sesión en el servidor LDAP (utilizando 64 caracteres como máximo).

    Si se selecciona [GSS-SPNEGO] para [Config. General], introduzca el nombre de dominio de Active Directory.

    [Use Referencia]

    Seleccione si se debe utilizar la función de referencia, si es necesario.

    Elija la opción apropiada para el entorno del servidor LDAP.

    [ACT.] es la opción predeterminada.

    [Buscar atributo]

    Introduzca el atributo para la ubicación donde está registrada la información de la tarjeta IC (utilizando hasta 63 caracteres, incluido el símbolo -).

    El atributo debe empezar con un carácter alfabético.

    [uid] es la opción predeterminada.

    [Nombre de usuario]

    Seleccione cómo obtener el nombre de usuario cuando inicie sesión en esta máquina.

    • [Usar ID de tarjeta]: seleccione esta opción cuando en el servidor solo se registre información de tarjeta IC. Utiliza el ID de tarjeta en la tarjeta IC como nombre de usuario.

    • [Adquiriendo]: seleccione esta opción cuando en el servidor se registre información de usuario que no sea la información de tarjeta IC. Utiliza el nombre de usuario obtenido desde el servidor. Especifique el atributo que se buscará como el nombre de usuario ("uid") en [Atributo de nombre usuario].
      Si se ha seleccionado [ACT.] en [Configurac.registro información tarjeta], se selecciona [Adquiriendo] y no puede realizarse ningún cambio. A continuación, el atributo especificado en [Configurac.registro información tarjeta] se muestra en [Atributo de nombre usuario]. Para obtener más información sobre la [Configurac.registro información tarjeta], consulte [Ajuste para permitir que el usuario registre la tarjeta IC en el servidor LDAP] .

    [Usar ID de tarjeta] es la opción predeterminada.

  3. Si la comunicación con el servidor LDAP está cifrada mediante SSL, seleccione [Aut.usuario / Seguim.cuenta] - [Config. auten. tarj. LDAP/IC] - [Registro de servidor de autenticación secundario] en el modo Administrador y, a continuación, haga clic en [Editar] para configurar las siguientes opciones.

    Ajustes

    Descripción

    [Habilitar SSL]

    Seleccione esta casilla de verificación para utilizar la comunicación SSL.

    [DES.] (no seleccionado) es la opción predeterminada.

    [Número de puerto (SSL)]

    Si es necesario, cambie el número de puerto de comunicación SSL.

    En circunstancias normales, puede utilizar el número de puerto original.

    [636] es la opción predeterminada.

    [Configuración del nivel de verificación de certificados]

    Para verificar el certificado, seleccione los elementos que se deben comprobar.

    Si selecciona [Confirmar] en cada elemento, el certificado se verificará para cada elemento.

    [Fecha de caducidad]

    Confirma si el certificado todavía es válido.

    [Confirmar] es la opción predeterminada.

    [CN]

    Confirma si el CN (Nombre común) del certificado coincide con la dirección del servidor.

    [No confirmar] es la opción predeterminada.

    [Utilización de las teclas]

    Confirma si el certificado se utiliza para el fin previsto aprobado por el emisor de dicho certificado.

    [No confirmar] es la opción predeterminada.

    [Cadena]

    Confirma si hay un problema en la cadena de certificados (ruta de certificados).

    La cadena es validada consultando los certificados externos gestionados en esta máquina.

    [No confirmar] es la opción predeterminada.

    [Confirmación de la fecha de caducidad]

    Confirma si el certificado ha caducado.

    Confirma la caducidad del certificado en el siguiente orden.

    • Servicio OCSP (Online Certificate Status Protocol)

    • CRL (Certificate Revocation List)

    [No confirmar] es la opción predeterminada.

Tips

  • Para comprobar el estado de la conexión del servidor de autenticación principal y del servidor de autenticación secundario, seleccione [Aut.usuario / Seguim.cuenta] - [Estado de conexión a servidor primario/secundario] - [Config. auten. tarj. LDAP/IC] en modo Administrador. Si se visualiza [Conexión permitida], es posible conectar tanto al servidor de autenticación primario como al secundario.

Ajuste para permitir que el usuario registre la tarjeta IC en el servidor LDAP

Cuando la autenticación se realice en la máquina utilizando una tarjeta IC no registrada en el servidor LDAP, configure los ajustes para permitir que el usuario registre la tarjeta IC en el servidor LDAP.

El usuario puede registrar la información de una nueva tarjeta IC en el servidor LDAP y, de este modo, reducir la carga de trabajo del usuario o el trabajo administrativo.

En el modo Administrador, seleccione [Aut.usuario/Seguimiento de cuenta] - [Config. auten. tarj. LDAP/IC] - [Configurac.registro información tarjeta] - [Configurac.registro información tarjeta] y, a continuación, configure las siguientes opciones.

Ajustes

Descripción

[Configuración del registro de información de tarjeta]

Para registrar la tarjeta IC en el servidor LDAP cuando la autenticación se realice en la máquina utilizando una tarjeta IC no registrada en el servidor LDAP, seleccione [ACT.]

Si selecciona [ACT.], introduzca el atributo como "uid" que se buscará como el nombre de usuario en [Atributo de nombre usuario].

[DES.] es la opción predeterminada.

Si se selecciona [ACT.] en [Configurac. registro información tarjeta], el ajuste de [Config. auten. tarj. LDAP/IC] se cambia como se muestra a continuación.

Cuando no se especifica el uso de un servidor de autenticación secundario:

  • El parámetro [Nombre usuario] en [Registro de servidor] se ha ajustado a [Adquiriendo].

  • El mismo atributo especificado en [Atributo de nombre usuario] de este parámetro se ha ajustado en [Atributo de nombre usuario] de [Registro de servidor].

Cuando se especifica el uso de un servidor de autenticación secundario:

  • El parámetro [Nombre usuario] en [Registro de servidor] se ha ajustado a [Adquiriendo].

  • El mismo atributo especificado en [Atributo de nombre usuario] de este parámetro se ha ajustado en [Atributo de nombre usuario] de [Registro de servidor].

  • El parámetro [Nombre usuario] en [Registro de servidor de autenticación secundario] se ha ajustado a [Adquiriendo].

  • El mismo atributo especificado en [Atributo de nombre usuario] de este parámetro se ha ajustado en [Atributo de nombre usuario] de [Registro de servidor de autenticación secundario].

Tips

  • Para poder utilizar esta función es necesario predefinir un ajuste que permita al usuario registrar información de la tarjeta IC. En el panel de control de esta máquina, seleccione [Configuración administrador] - [Ajustes sistema] - [Prohibir operación usuario] - [Restring. acceso a ajustes tarea] y, a continuación, ajuste [Registro de info. biométrica/tarj. IC] a [Permitir] (predeterminado: [Prohibir]).