Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Gua de Administracin
Versin 6.3
www.juniper.net
Nmero de pieza: 63A091008-ES
This product includes the Envoy SNMP Engine, developed by Epilogue Technology, an Integrated Systems Company. Copyright 19861997, Epilogue
Technology Corporation. All rights reserved. This program and its documentation were developed at private expense, and no part of them is in the public
domain.
This product includes memory allocation software developed by Mark Moraes, copyright 1988, 1989, 1993, University of Toronto.
This product includes FreeBSD software developed by the University of California, Berkeley, and its contributors. All of the documentation and software
included in the 4.4BSD and 4.4BSD-Lite Releases is copyrighted by The Regents of the University of California. Copyright 1979, 1980, 1983, 1986, 1988,
1989, 1991, 1992, 1993, 1994. The Regents of the University of California. All rights reserved.
GateD software copyright 1995, The Regents of the University. All rights reserved. Gate Daemon was originated and developed through release 3.0 by
Cornell University and its collaborators. Gated is based on Kirtons EGP, UC Berkeleys routing daemon (routed), and DCNs HELLO routing protocol.
Development of Gated has been supported in part by the National Science Foundation. Portions of the GateD software copyright 1988, Regents of the
University of California. All rights reserved. Portions of the GateD software copyright 1991, D. L. S. Associates.
Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, the NetScreen logo, NetScreen-Global Pro, ScreenOS, and GigaScreen are
registered trademarks of Juniper Networks, Inc. in the United States and other countries.
The following are trademarks of Juniper Networks, Inc.: ERX, E-series, ESP, Instant Virtual Extranet, Internet Processor, J2300, J4300, J6300, J-Protect,
J-series, J-Web, JUNOS, JUNOScope, JUNOScript, JUNOSe, M5, M7i, M10, M10i, M20, M40, M40e, M160, M320, M-series, MMD, NetScreen-5GT,
NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400,
NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-SA 1000 Series,
NetScreen-SA 3000 Series, NetScreen-SA 5000 Series, NetScreen-SA Central Manager, NetScreen Secure Access, NetScreen-SM 3000, NetScreen-Security
Manager, NMC-RX, SDX, Stateful Signature, T320, T640, T-series, and TX Matrix. All other trademarks, service marks, registered trademarks, or registered
service marks are the property of their respective owners. All specifications are subject to change without notice.
Products made or sold by Juniper Networks or components thereof might be covered by one or more of the following patents that are owned by or licensed
to Juniper Networks: U.S. Patent Nos. 5,473,599, 5,905,725, 5,909,440, 6,192,051, 6,333,650, 6,359,479, 6,406,312, 6,429,706, 6,459,579, 6,493,347,
6,538,518, 6,538,899, 6,552,918, 6,567,902, 6,578,186, and 6,590,785.
Copyright 2008, Juniper Networks, Inc.
All rights reserved. Printed in USA.
Juniper Networks assumes no responsibility for any inaccuracies in this document. Juniper Networks reserves the right to change, modify, transfer, or
otherwise revise this publication without notice.
Year 2000 Notice
Juniper Networks hardware and software products are Year 2000 compliant. The JUNOS software has no known time-related limitations through the year
2038. However, the NTP application is known to have some difficulty in the year 2036.
Software License
The terms and conditions for using this software are described in the software license contained in the acknowledgment to your purchase order or, to the
extent applicable, to any reseller agreement or end-user purchase agreement executed between you and Juniper Networks. By using this software, you
indicate that you understand and agree to be bound by those terms and conditions.
Generally speaking, the software license restricts the manner in which you are permitted to use the software and may contain prohibitions against certain
uses. The software license may state conditions under which the license is automatically terminated. You should consult the license for further details.
For complete product documentation, please see the Juniper Networks Web site at www.juniper.net/techpubs.
End User License Agreement
READ THIS END USER LICENSE AGREEMENT ("AGREEMENT") BEFORE DOWNLOADING, INSTALLING, OR USING THE SOFTWARE. BY
DOWNLOADING, INSTALLING, OR USING THE SOFTWARE OR OTHERWISE EXPRESSING YOUR AGREEMENT TO THE TERMS CONTAINED HEREIN, YOU
(AS CUSTOMER OR IF YOU ARE NOT THE CUSTOMER, AS A REPRESENTATIVE/AGENT AUTHORIZED TO BIND THE CUSTOMER) CONSENT TO BE BOUND
BY THIS AGREEMENT. IF YOU DO NOT OR CANNOT AGREE TO THE TERMS CONTAINED HEREIN, THEN (A) DO NOT DOWNLOAD, INSTALL, OR USE THE
SOFTWARE, AND (B) YOU MAY CONTACT JUNIPER NETWORKS REGARDING LICENSE TERMS.
1. The Parties. The parties to this Agreement are Juniper Networks, Inc. and its subsidiaries (collectively Juniper), and the person or organization that
originally purchased from Juniper or an authorized Juniper reseller the applicable license(s) for use of the Software (Customer) (collectively, the Parties).
2. The Software. In this Agreement, Software means the program modules and features of the Juniper or Juniper-supplied software, and updates and
releases of such software, for which Customer has paid the applicable license or support fees to Juniper or an authorized Juniper reseller.
3. License Grant. Subject to payment of the applicable fees and the limitations and restrictions set forth herein, Juniper grants to Customer a non-exclusive
and non-transferable license, without right to sublicense, to use the Software, in executable form only, subject to the following use restrictions:
a. Customer shall use the Software solely as embedded in, and for execution on, Juniper equipment originally purchased by Customer from Juniper or an
authorized Juniper reseller, unless the applicable Juniper documentation expressly permits installation on non-Juniper equipment.
b. Customer shall use the Software on a single hardware chassis having a single processing unit, or as many chassis or processing units for which Customer
has paid the applicable license fees.
c. Product purchase documents, paper or electronic user documentation, and/or the particular licenses purchased by Customer may specify limits to
Customers use of the Software. Such limits may restrict use to a maximum number of seats, registered endpoints, concurrent users, sessions, calls,
connections, subscribers, clusters, nodes, or transactions, or require the purchase of separate licenses to use particular features, functionalities, services,
applications, operations, or capabilities, or provide throughput, performance, configuration, bandwidth, interface, processing, temporal, or geographical
limits. Customers use of the Software shall be subject to all such limitations and purchase of all applicable licenses.
The foregoing license is not transferable or assignable by Customer. No license is granted herein to any user who did not originally purchase the applicable
license(s) for the Software from Juniper or an authorized Juniper reseller.
4. Use Prohibitions. Notwithstanding the foregoing, the license provided herein does not permit the Customer to, and Customer agrees not to and shall not:
(a) modify, unbundle, reverse engineer, or create derivative works based on the Software; (b) make unauthorized copies of the Software (except as necessary
for backup purposes); (c) rent, sell, transfer, or grant any rights in and to any copy of the Software, in any form, to any third party; (d) remove any
proprietary notices, labels, or marks on or in any copy of the Software or any product in which the Software is embedded; (e) distribute any copy of the
Software to any third party, including as may be embedded in Juniper equipment sold in the secondhand market; (f) use any locked or key-restricted
feature, function, service, application, operation, or capability without first purchasing the applicable license(s) and obtaining a valid key from Juniper, even
if such feature, function, service, application, operation, or capability is enabled without a key; (g) distribute any key for the Software provided by Juniper to
any third party; (h) use the Software in any manner that extends or is broader than the uses purchased by Customer from Juniper or an authorized Juniper
reseller; (i) use the Software on non-Juniper equipment where the Juniper documentation does not expressly permit installation on non-Juniper equipment;
(j) use the Software (or make it available for use) on Juniper equipment that the Customer did not originally purchase from Juniper or an authorized Juniper
reseller; or (k) use the Software in any manner other than as expressly provided herein.
5. Audit. Customer shall maintain accurate records as necessary to verify compliance with this Agreement. Upon request by Juniper, Customer shall furnish
such records to Juniper and certify its compliance with this Agreement.
6. Confidentiality. The Parties agree that aspects of the Software and associated documentation are the confidential property of Juniper. As such, Customer
shall exercise all reasonable commercial efforts to maintain the Software and associated documentation in confidence, which at a minimum includes
restricting access to the Software to Customer employees and contractors having a need to use the Software for Customers internal business purposes.
7. Ownership. Juniper and Junipers licensors, respectively, retain ownership of all right, title, and interest (including copyright) in and to the Software,
associated documentation, and all copies of the Software. Nothing in this Agreement constitutes a transfer or conveyance of any right, title, or interest in the
Software or associated documentation, or a sale of the Software, associated documentation, or copies of the Software.
8. Warranty, Limitation of Liability, Disclaimer of Warranty. The warranty applicable to the Software shall be as set forth in the warranty statement that
accompanies the Software (the Warranty Statement). Nothing in this Agreement shall give rise to any obligation to support the Software. Support services
may be purchased separately. Any such support shall be governed by a separate, written support services agreement. TO THE MAXIMUM EXTENT
PERMITTED BY LAW, JUNIPER SHALL NOT BE LIABLE FOR ANY LOST PROFITS, LOSS OF DATA, OR COSTS OR PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES, OR FOR ANY SPECIAL, INDIRECT, OR CONSEQUENTIAL DAMAGES ARISING OUT OF THIS AGREEMENT, THE SOFTWARE, OR ANY JUNIPER
OR JUNIPER-SUPPLIED SOFTWARE. IN NO EVENT SHALL JUNIPER BE LIABLE FOR DAMAGES ARISING FROM UNAUTHORIZED OR IMPROPER USE OF
ANY JUNIPER OR JUNIPER-SUPPLIED SOFTWARE. EXCEPT AS EXPRESSLY PROVIDED IN THE WARRANTY STATEMENT TO THE EXTENT PERMITTED BY
LAW, JUNIPER DISCLAIMS ANY AND ALL WARRANTIES IN AND TO THE SOFTWARE (WHETHER EXPRESS, IMPLIED, STATUTORY, OR OTHERWISE),
INCLUDING ANY IMPLIED WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, OR NONINFRINGEMENT. IN NO EVENT DOES
JUNIPER WARRANT THAT THE SOFTWARE, OR ANY EQUIPMENT OR NETWORK RUNNING THE SOFTWARE, WILL OPERATE WITHOUT ERROR OR
INTERRUPTION, OR WILL BE FREE OF VULNERABILITY TO INTRUSION OR ATTACK. In no event shall Junipers or its suppliers or licensors liability to
Customer, whether in contract, tort (including negligence), breach of warranty, or otherwise, exceed the price paid by Customer for the Software that gave
rise to the claim, or if the Software is embedded in another Juniper product, the price paid by Customer for such other product. Customer acknowledges and
agrees that Juniper has set its prices and entered into this Agreement in reliance upon the disclaimers of warranty and the limitations of liability set forth
herein, that the same reflect an allocation of risk between the Parties (including the risk that a contract remedy may fail of its essential purpose and cause
consequential loss), and that the same form an essential basis of the bargain between the Parties.
9. Termination. Any breach of this Agreement or failure by Customer to pay any applicable fees due shall result in automatic termination of the license
granted herein. Upon such termination, Customer shall destroy or return to Juniper all copies of the Software and related documentation in Customers
possession or control.
10. Taxes. All license fees for the Software are exclusive of taxes, withholdings, duties, or levies (collectively Taxes). Customer shall be responsible for
paying Taxes arising from the purchase of the license, or importation or use of the Software.
11. Export. Customer agrees to comply with all applicable export laws and restrictions and regulations of any United States and any applicable foreign
agency or authority, and not to export or re-export the Software or any direct product thereof in violation of any such restrictions, laws or regulations, or
without all necessary approvals. Customer shall be liable for any such violations. The version of the Software supplied to Customer may contain encryption
or other capabilities restricting Customers ability to export the Software without an export license.
12. Commercial Computer Software. The Software is commercial computer software and is provided with restricted rights. Use, duplication, or
disclosure by the United States government is subject to restrictions set forth in this Agreement and as provided in DFARS 227.7201 through 227.7202-4,
FAR 12.212, FAR 27.405(b)(2), FAR 52.227-19, or FAR 52.227-14(ALT III) as applicable.
13. Interface Information. To the extent required by applicable law, and at Customer's written request, Juniper shall provide Customer with the interface
information needed to achieve interoperability between the Software and another independently created program, on payment of applicable fee, if any.
Customer shall observe strict obligations of confidentiality with respect to such information and shall use such information in compliance with any
applicable terms and conditions upon which Juniper makes such information available.
14. Third Party Software. Any licensor of Juniper whose software is embedded in the Software and any supplier of Juniper whose products or technology
are embedded in (or services are accessed by) the Software shall be a third party beneficiary with respect to this Agreement, and such licensor or vendor
shall have the right to enforce this Agreement in its own name as if it were Juniper. In addition, certain third party software may be provided with the
Software and is subject to the accompanying license(s), if any, of its respective owner(s). To the extent portions of the Software are distributed under and
subject to open source licenses obligating Juniper to make the source code for such portions publicly available (such as the GNU General Public License
(GPL) or the GNU Library General Public License (LGPL)), Juniper will make such source code portions (including Juniper modifications, as appropriate)
available upon request for a period of up to three years from the date of distribution. Such request can be made in writing to Juniper Networks, Inc., 1194 N.
Mathilda Ave., Sunnyvale, CA 94089, ATTN: General Counsel. You may obtain a copy of the GPL at http://www.gnu.org/licenses/gpl.html, and a copy of the
LGPL at http://www.gnu.org/licenses/lgpl.html.
15. Miscellaneous. This Agreement shall be governed by the laws of the State of California without reference to its conflicts of laws principles. The
provisions of the U.N. Convention for the International Sale of Goods shall not apply to this Agreement. For any disputes arising under this Agreement, the
Parties hereby consent to the personal and exclusive jurisdiction of, and venue in, the state and federal courts within Santa Clara County, California. This
Agreement constitutes the entire and sole agreement between Juniper and the Customer with respect to the Software, and supersedes all prior and
contemporaneous agreements relating to the Software, whether oral or written (including any inconsistent terms contained in a purchase order), except that
the terms of a separate written agreement executed by an authorized Juniper representative and Customer shall govern to the extent such terms are
inconsistent or conflict with terms contained herein. No modification to this Agreement nor any waiver of any rights hereunder shall be effective unless
expressly assented to in writing by the party to be charged. If any portion of this Agreement is held invalid, the Parties agree that such invalidity shall not
affect the validity of the remainder of this Agreement. This Agreement and associated documentation has been written in the English language, and the
Parties agree that the English version will govern. (For Canada: Les parties aux prsents confirment leur volont que cette convention de mme que tous
les documents y compris tout avis qui s'y rattach, soient redigs en langue anglaise. (Translation: The parties confirm that this Agreement and all related
documentation is and will be in the English language)).
Contenido
Acerca de esta gua
xxiii
Parte 1
Gua de inicio
Captulo 1
Introduccin al IVE
25
Qu es el IVE?............................................................................................... 25
Qu puedo hacer con el IVE? ........................................................................ 27
Puedo usar el IVE para proporcionar seguridad en el trfico de todas
las aplicaciones, servidores y pginas web de mi empresa? .............. 28
Puedo usar mis servidores actuales para autenticar a los usuarios
del IVE?............................................................................................. 29
Puedo ajustar con mayor precisin el acceso al IVE y a los recursos
para los que proporciona intermediacin? ........................................ 30
Puedo crear una integracin sin fisuras entre el IVE y los recursos
para los que proporciona intermediacin? ........................................ 31
Puedo usar el IVE para proporcionar proteccin contra equipos
infectados y otras amenazas a la seguridad? ..................................... 31
Contenido
Parte 2
51
Roles de usuario
69
vi
Contenido
Contenido
Captulo 5
Perfiles de recursos
91
Directivas de recursos
101
111
Contenido
vii
Territorios de autenticacin
195
211
223
Contenido
Contenido
Parte 3
Host Checker
257
Contenido
ix
Cache Cleaner
331
Parte 4
Acceso remoto
Eleccin de un mecanismo de acceso remoto..............................................344
Captulo 13
345
Plantillas de Citrix
361
Contenido
Captulo 15
371
Captulo 16
375
Captulo 17
379
Contenido
Captulo 18
Reescritura web
383
xi
Reescritura de archivos
465
491
xii
Contenido
Contenido
Telnet/SSH
551
Terminal Services
563
Contenido xiii
Secure Meeting
619
xiv
Contenido
Contenido
Captulo 24
Email Client
647
Network Connect
655
Contenido
xv
Parte 5
Administracin de sistema
Captulo 26
701
xvi
Contenido
Contenido
Captulo 27
Certificados
749
781
Contenido
xvii
Captulo 29
Registro y supervisin
823
Resolucin de problemas
851
xviii
Contenido
Contenido
Captulo 31
Creacin de clsteres
869
899
Contenido
xix
Captulo 33
Sistema IVS
915
Contenido
Contenido
975
Parte 6
Servicios de sistema
Captulo 35
987
Contenido
xxi
Captulo 36
995
999
1003
1011
Compresin
1023
1027
Contenido
Contenido
Captulo 42
1031
Parte 7
Informacin complementaria
Apndice A
1041
Contenido
xxiii
xxiv
Contenido
Audiencia
Esta gua est destinada a los administradores de sistema responsables de
configurar los productos Secure Access y Secure Access FIPS.
Informacin complementaria
Documentacin para administradores y desarrolladores
Para obtener ms informacin sobre los cambios que los clientes Secure Access
realizan en los equipos cliente, incluidos los archivos instalados y los cambios
de registro, adems de informacin sobre los derechos necesarios para instalar
y ejecutar clientes Secure Access, consulte la gua Client-side Changes Guide.
Audiencia
xxv
Para obtener informacin sobre los mensajes de error que Network Connect y
WSAM muestran a los usuarios finales, consulte la gua Network Connect and
WSAM Error Messages.
Para obtener informacin sobre los mensajes de error que Secure Meeting
muestra a usuarios finales administradores, consulte la gua Secure Meeting
Error Messages.
Para obtener ayuda para la instalacin, consulte la gua Quick Start Guide que
viene con el producto.
Para descargar la ltima versin del sistema Secure Access y Secure Access
FIPS, con las notas de la versin, dirjase a la pgina IVE OS Software del
Juniper Networks Customer Support Center.
Convenciones
La Tabla 1 define los iconos de avisos y la Tabla 2 define las convenciones de texto
que se utilizan en esta gua.
Tabla 1: Iconos de aviso
Icono
Significado
Descripcin
Nota de informacin
Cuidado
Advertencia
xxvi
Convencin
Descripcin
Ejemplos
Negrita
Convenciones
Descripcin
y directorios
Ejemplos
Ejemplos:
Cdigo:
Cursiva
Identifica:
Ejemplos:
Trmino definido:
Elementos variables
Nombres de libros
Documentacin
Notas de versin
Las notas de versin vienen incluidas con el software del producto y estn
disponibles en Internet.
En las Notas de versin, puede encontrar la ltima informacin disponible sobre
caractersticas, cambios, problemas conocidos y resolucin de problemas. Si
existiera alguna diferencia entre la informacin de las Notas de versin y la que se
halla en el conjunto de documentacin, siga las recomendaciones de esta ltima.
Acceso web
Para ver la documentacin en Internet, dirjase al sitio:
http://www.juniper.net/techpubs/
Documentacin
xxvii
xxviii
Parte 1
Gua de inicio
El IVE es un dispositivo de red blindado que proporciona una frrea seguridad al
proporcionar una intermediacin entre el flujo de datos que fluye entre los usuarios
externos y los recursos internos. Esta seccin contiene la siguiente informacin
sobre cmo comenzar a usar y entender el funcionamiento del IVE:
Captulo 1
Usuarios: Un usuario es una persona que utiliza el IVE para acceder a los
recursos corporativos de acuerdo con la configuracin definida por un
administrador. Ya cre la primera cuenta de usuario (testuser1) en Verificar
la accesibilidad del usuario en la pgina 3.
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
NOTA: Si le preocupa que los usuarios tengan acceso a todos sus contenidos web y
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
b.
c.
10
e.
f.
Haga clic en Save and Continue. Aparecer la pgina Test Web Access.
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
Seleccione Test Role en el cuadro Available Roles y haga clic en Add para
moverlo al cuadro Selected Roles.
b.
El IVE agrega Test Web Access a la pgina Web Application Resource Policies y
automticamente crea un marcador correspondiente que vincula a google.com.
Una vez completados estos pasos, habr configurado un perfil de recursos Web
Access. Aunque el IVE se suministra con una directiva de recursos que habilita el
acceso a todos los recursos web, se prohbe a los usuarios asignados a Test Role
acceder a http://www.google.com. Se les niega el acceso debido a que la
autodirectiva que cre durante la configuracin tiene preferencia sobre la directiva
de acceso web predeterminada suministrada por IVE.
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
11
3. Introduzca Test Server en el cuadro Name y luego haga clic en Save Changes.
Espere a que el IVE notifique que los cambios se han guardado, despus de lo
cual aparecern fichas de configuracin adicionales.
4. Haga clic en la ficha Users y luego en New. Aparecer la pgina New Local User.
Consulte la Figura 8.
12
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
13
Una vez completados estos pasos, habr creado un servidor de autenticacin que
contendr una cuenta de usuario. Este usuario podr conectarse a un territorio de
autenticacin que utilice el servidor de autenticacin Test Server.
NOTA: La consola de administracin proporciona estadsticas del ltimo acceso
para cada cuenta de usuario en las respectivas pginas de servidores de
autenticacin en la ficha Users, bajo un conjunto de columnas con el ttulo Last
Sign-in Statistic. Los informes de estadsticas incluyen la fecha y hora del ltimo
inicio de sesin exitoso de cada usuario, la direccin IP del usuario y el tipo y
versin del agente o explorador.
14
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
Las reglas de asignacin de roles son condiciones que debe cumplir un usuario
para que el IVE le asigne uno o ms roles. Estas condiciones se basan en la
informacin devuelta por el servidor de directorios del territorio, el nombre
de usuario de la persona o los atributos del certificado.
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
15
16
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
17
Todos los dispositivos IVE Secure Access y Secure Access FIPS vienen
preconfigurados con una directiva de inicio de sesin aplicable a los usuarios: */.
Esta directiva predeterminada de inicio de sesin de usuarios (*/) especifica
que cuando un usuario introduce la URL del IVE, el IVE muestra la pgina
predeterminada de inicio de sesin y exige al usuario seleccionar un territorio
de autenticacin (si existe ms de uno). La directiva */ de inicio de sesin est
configurada para ser aplicable al territorio de autenticacin Users, por lo que esta
directiva de inicio de sesin no es aplicable al territorio de autenticacin creado en
Definicin de un territorio de autenticacin en la pgina 15.
Puede ver la directiva predeterminada de inicio de sesin en la pgina Signing In.
Si su IVE dispone de una licencia de actualizacin Secure Meeting Upgrade, la
directiva de inicio de sesin */meeting tambin aparece en esta pgina. Esta
directiva permite personalizar la pgina de inicio de sesin para reuniones seguras.
18
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
2. Haga clic en */ bajo User URLs. Aparecer la pgina */. Consulte la Figura 12.
Figura 12: La pgina */
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
19
Opcional:
1. Seleccione Authentication > Signing In > Sign In Pages y haga clic en
New Page.
2. Introduzca Test Sign-in Page en el campo Name, escriba #FF0000 (rojo) en el
cuadro Background color y a continuacin haga clic en Save Changes.
3. Seleccione Authentication > Signing In > Signing In Policies y haga clic en
New URL. Aparecer la pgina New Sign-in Policy.
4. Escriba */test/ en el cuadro Sign-in URL, seleccione Default Sign-in Page desde
la lista y haga clic en Sign-in Page.
5. Seleccione Authentication > Signing In > Sign In Policies y haga clic*/test/
bajo User URLs. Aparecer la pgina */test/. Consulte la Figura 13.
Figura 13: La pgina */test/
6. Seleccione Test Sign-in Page desde la lista Sign-in page y haga clic en
Save Changes.
Despus de completar estos pasos opcionales, habr terminado de definir una
nueva pgina de inicio de sesin asociada a la directiva de inicio de sesin */test/.
20
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
Iniciar una sesin como el usuario creado en Test Server para asignarlo al
territorio Test Realm.
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
21
22
Crear un supuesto de prueba para aprender los conceptos y prcticas recomendadas con IVE
6. Regrese a la pgina inicial del IVE, haga clic en Sign Out y luego regrese a la
pgina de inicio de sesin del usuario.
7. Introduzca las credenciales para testuser1, especifique el territorio Users y haga
clic en Sign In.
8. En la pgina inicial del IVE, escriba www.google.com y haga clic en Browse.
El IVE abrir la pgina web en la misma ventana del explorador.
El supuesto de prueba demuestra los mecanismos bsicos de administracin de
accesos del IVE. Puede crear reglas de asignacin de roles y directivas de recursos
muy sofisticadas para controlar el acceso de los usuarios en funcin de factores
tales como una directiva de autenticacin de un territorio, la pertenencia de un
usuario a un grupo y otras variables. Para obtener ms informacin sobre la
administracin de accesos del IVE, recomendamos que se tome unos minutos
para leer la ayuda en lnea y familiarizarse con su contenido.
NOTA:
23
24
Captulo 2
Introduccin al IVE
La plataforma Juniper Networks Instant Virtual Extranet (IVE) funciona como
hardware y software subyacente para los dispositivos VPN SSL de Juniper Networks.
Estos productos permiten dar a los empleados, socios y clientes acceso seguro
y controlado a sus datos y aplicaciones corporativas tales como servidores de
archivos, servidores web, clientes de mensajera y correo electrnico nativos,
servidores hospedados y otros desde fuera de su red fiable usando solamente
un navegador web.
Este tema contiene la siguiente informacin sobre el IVE:
Qu es el IVE? en la pgina 25
Qu es el IVE?
El IVE es un sistema operativo para redes blindado que funciona como plataforma
para todos los productos Secure Access de Juniper Networks. Estos dispositivos
proporcionan una gama de caractersticas de escalabilidad de categora mundial,
alta disponibilidad y seguridad que brindan un acceso remoto seguro a recursos
de red.
El IVE proporciona una frrea seguridad al proporcionar una intermediacin entre
su empresa y los usuarios externos que tienen acceso a los recursos internos de
ella. El acceso a los recursos autorizados se autentica mediante una sesin de
extranet hospedada por el dispositivo. Durante la intermediacin, el IVE recibe
solicitudes seguras de usuarios externos autenticados que luego reenva a los
recursos internos en representacin de stos. Al proporcionar de esta manera
intermediacin del contenido, el IVE elimina la necesidad de implantar kits de
herramientas de extranet en una DMZ tradicional o proporcionar acceso remoto
de VPN a los empleados.
Qu es el IVE?
25
La pgina principal del IVE es muy fcil de utilizar: para acceder, slo es necesario
que los empleados, socios y clientes usen un navegador web que admita SSL y
tengan conexin a Internet. Est pgina proporciona la ventana desde la cual se
puede navegar por la web o explorar servidores de archivos de forma segura, usar
aplicaciones empresariales habilitadas con HTML, iniciar el proxy de aplicaciones
de cliente/servidor, comenzar una sesin en Windows, Citrix, o terminal
Telnet/SSH, tener acceso a servidores de correo electrnico corporativos, iniciar un
tnel seguro de capa 3 o programar o asistir a una reunin segura en lnea. Consulte
la Figura 17.
26
Qu es el IVE?
Ajustar los detalles del acceso de usuarios al dispositivo, los tipos de recursos
o los recursos particulares segn factores como la pertenencia a un grupo,
la direccin IP de origen, los atributos del certificado y el estado de seguridad
del punto final. Por ejemplo, se puede usar autenticacin de factor dual y
certificados digitales del lado cliente para autenticar a los usuarios en el IVE
y usar la pertenencia a un grupo LDAP para autorizar el acceso a aplicaciones
particulares.
El IVE funciona como una puerta de enlace segura en la capa de aplicacin que
proporciona intermediacin de todas las solicitudes entre la Internet pblica y los
recursos corporativos internos. Todas las solicitudes que introducen al IVE ya
vienen encriptadas desde el explorador del usuario final mediante SSL/HTTPS de
128 bits o 168 bits. Las solicitudes que no estn encriptadas se descartan. Debido a
que el IVE proporciona una frrea capa de seguridad entre la Internet pblica y los
recursos internos, los administradores no necesitan administrar constantemente las
directivas de seguridad y las vulnerabilidades de seguridad de los parches para la
amplia variedad de aplicaciones y servidores web que se implantan en la DMZ de
cara al pblico.
Puedo usar mis servidores actuales para autenticar a los usuarios del IVE?
en la pgina 29
Puedo ajustar con mayor precisin el acceso al IVE y a los recursos para los
que proporciona intermediacin? en la pgina 30
Puedo crear una integracin sin fisuras entre el IVE y los recursos para los
que proporciona intermediacin? en la pgina 31
Puedo hacer que la interfaz del IVE coincida con la apariencia y aspecto de
mi empresa? en la pgina 32
27
Puedo usar el IVE para proporcionar seguridad en el trfico de todas las aplicaciones,
servidores y pginas web de mi empresa?
El IVE le permite brindar un acceso seguro a una amplia variedad de aplicaciones,
servidores y otros recursos por medio de sus mecanismos de acceso remoto.
Cuando haya escogido los recursos que desea usar, podr escoger el mecanismo
de acceso correspondiente.
Por ejemplo, si desea proporcionar acceso seguro a Microsoft Outlook, puede usar
Secure Application Manager (SAM). Secure Application Manager proporciona
intermediacin del trfico hacia aplicaciones cliente/servidor como Microsoft
Outlook, Lotus Notes y Citrix. Asimismo, si lo que desea es proporcionar acceso
seguro a la Intranet de su empresa, puede usar la caracterstica de reescritura web.
Esta caracterstica usa el motor de intermediacin de contenido del IVE para
proporcionar intermediacin del trfico hacia las aplicaciones basadas en web
y las pginas web.
El IVE comprende mecanismos de acceso remoto que proporcionan intermediacin
de los siguientes tipos de trfico:
28
Trfico basado en web, incluidas las pginas web y las aplicaciones basadas
en web: Use la caracterstica de reescritura web para proporcionar
intermediacin de este tipo de contenido. La caracterstica de reescritura web
incluye plantillas que le permiten configurar el acceso a aplicaciones como
Citrix, OWA, Lotus iNotes y Sharepoint fcilmente. Adems, puede usar la
opcin de configuracin personalizada de la escritura web para proporcionar
intermediacin en el trfico de una amplia variedad de aplicaciones web y
pginas web adicionales, entre ellas, las aplicaciones web hechas a medida.
Applets de Java, incluidas las aplicaciones web que las utilizan: Use la
caracterstica de applets de Java hospedados para proporcionar intermediacin
de este tipo de contenido. La caracterstica permite albergar applets de Java y
las pginas HTML a las que hacen referencia directamente en el IVE en lugar de
mantener un servidor Java independiente.
Puedo usar mis servidores actuales para autenticar a los usuarios del IVE?
Se puede configurar fcilmente el IVE para que use los servidores actuales de su
empresa para autenticar a los usuarios finales. Los usuarios no tienen que aprender
un nuevo nombre de usuario ni contrasea para tener acceso al IVE. El IVE admite
la integracin con LDAP, RADIUS, NIS, Windows NT Domain, Active Directory,
eTrust SiteMinder, SAML y RSA ACE/Server.
Si prefiere no usar uno de estos servidores estndar, puede almacenar los nombres
de usuario y credenciales directamente en el IVE y usarlo directamente como
servidor de autenticacin. Adems, puede optar por autenticar a los usuarios de
acuerdo con atributos contenidos en declaraciones de autenticacin generadas por
autoridades SAML o certificados del lado cliente. Si prefiere no exigir a sus usuarios
que inicien sesin en el IVE, puede usar el servidor de autenticacin annima del
IVE, que permite tener acceso a este sin proporcionar un nombre de usuario ni
contrasea.
Para obtener ms informacin sobre proteccin del acceso al IVE mediante
servidores de autenticacin, consulte Servidores de autenticacin y de directorios
en la pgina 111.
29
Puedo ajustar con mayor precisin el acceso al IVE y a los recursos para los que
proporciona intermediacin?
Adems de usar servidores de autenticacin para controlar el acceso al IVE,
se puede controlar el acceso a este y a los recursos para los que proporciona
intermediacin mediante una variedad de verificaciones adicionales del lado
cliente. El IVE le permite crear un mtodo de capas mltiples para protegerlo
y proteger tambin los recursos:
1. En primer lugar, se pueden llevar a cabo verificaciones de preautenticacin
que controlan el acceso de los usuarios a la pgina de inicio de sesin del IVE.
Por ejemplo, se podra configurar el IVE para que compruebe si el equipo del
usuario est ejecutando una versin en particular de Norton Antivirus. Si no la
est ejecutando, se puede determinar que el equipo de ese usuario no es seguro
y se puede inhabilitar el acceso a la pgina de inicio de sesin del IVE mientras
el usuario no actualice el software antivirus del equipo.
2. Cuando un usuario haya tenido acceso satisfactorio a la pgina de inicio de
sesin del IVE, se puede llevar a cabo una verificacin de nivel de territorio para
determinar si el usuario puede tener acceso a la pgina de inicio para usuarios
finales del IVE. La verificacin de nivel de territorio ms comn es la que lleva a
cabo un servidor de autenticacin. (El servidor determina si el usuario introdujo
un nombre de usuario y contrasea vlidos.) No obstante, se pueden llevar a
cabo otros tipos de verificaciones de nivel de territorio, tales como verificar que
la direccin IP del usuario est dentro de su red o que est usando el tipo de
explorador web que usted especifique.
Si el usuario supera las verificaciones de nivel de territorio especificadas, puede
tener acceso a la pgina de inicio para usuarios finales del IVE. De lo contrario,
el IVE no permitir al usuario iniciar la sesin o mostrar una versin
simplificada de la pgina de inicio que usted cre. Por lo general, la versin
simplificada contiene muchas menos funcionalidades que las que estn
disponibles para los usuarios estndar, debido a la falta de cumplimiento de
todos los criterios de autenticacin. El IVE proporciona definiciones de directiva
extremadamente flexibles, lo que le permite alterar de forma dinmica el
acceso a los recursos de los usuarios finales de acuerdo con las directivas de
seguridad de la empresa.
3. Una vez que el IVE asigna satisfactoriamente al usuario a un territorio, el
dispositivo lo asigna a un rol de acuerdo con los criterios de seleccin que se
definan. Los roles especifican los mecanismos de acceso que tiene un grupo de
usuarios. Tambin controla las opciones de sesin y de la interfaz de usuario
para el grupo de usuarios. Se puede usar una amplia variedad de criterios para
asignar usuarios a los roles. Por ejemplo, se pueden asignar usuarios a distintos
roles de acuerdo con las verificaciones de seguridad de punto final o con base
en atributos obtenidos de un certificado de servidor LDAP o del lado cliente.
4. En la mayora de los casos, las asignaciones de rol de un usuario controlan los
recursos particulares a los que puede tener acceso. Por ejemplo, se podra
configurar acceso a la pgina de Intranet de su empresa mediante un perfil de
recursos web y luego especificar que todos los miembros del rol Empleado
tengan acceso a ese recurso.
30
Puedo crear una integracin sin fisuras entre el IVE y los recursos para los que
proporciona intermediacin?
En una configuracin tpica del IVE, se pueden agregar marcadores directamente a
la pgina de inicio para usuarios finales del IVE. Estos marcadores son vnculos a los
recursos para los que el IVE proporciona intermediacin. Al agregar estos
marcadores, los usuarios podrn iniciar sesin en un solo lugar (el IVE) y encontrar
una sola lista con todos los recursos disponibles.
Con esta configuracin tpica, se puede racionalizar la integracin entre el IVE y los
recursos para los que proporciona intermediacin mediante la habilitacin del
inicio de sesin nico (SSO). El SSO es un proceso que permite que los usuarios
preautenticados en el IVE tengan acceso a otras aplicaciones o recursos que estn
protegidos con otro sistema de administracin del acceso sin tener que volver a
introducir sus credenciales. Durante la configuracin del IVE, se puede habilitar el
SSO indicando las credenciales de usuario que desea que traspase el IVE a los
recursos para los que proporciona intermediacin. Consulte Inicio de sesin nico
en la pgina 223.
Si prefiere no centralizar los recursos de usuario en la pgina de inicio para usuarios
finales del IVE, puede crear vnculos a los recursos para los que el IVE proporciona
intermediacin desde otra pgina web. Por ejemplo, se pueden configurar
marcadores en el IVE y despus agregar vnculos en la Intranet de su empresa que
apunten hacia ellos. Los usuarios pueden entonces iniciar sesin en la Intranet de la
empresa y hacer clic en los vnculos que all encuentren para tener acceso a los
recursos para los que el IVE proporciona intermediacin, sin tener que entrar a la
pgina de inicio de ste. Al igual que con los marcadores estndar del IVE, se puede
habilitar el SSO para estos vnculos externos.
Puedo usar el IVE para proporcionar proteccin contra equipos infectados y otras
amenazas a la seguridad?
El IVE le permite proporcionar proteccin contra virus, ataques y otras amenazas
a la seguridad mediante la caracterstica Host Checker. Host Checker lleva a cabo
verificaciones de seguridad en los clientes que se conectan al IVE. Por ejemplo, se
puede usar la caracterstica Host Checker para verificar que los sistemas del usuario
final contengan software antivirus actualizado, firewalls, parches urgentes de
software y otras aplicaciones que protegen los equipos de los usuarios. Se puede
permitir o negar a los usuarios tener acceso a las pginas de inicio de sesin del
IVE, territorios, roles y recursos segn los resultados que devuelva Host Checker.
Tambin se pueden mostrar instrucciones de correccin a los usuarios para que
puedan adecuar sus equipos.
Qu puedo hacer con el IVE?
31
Puedo hacer que la interfaz del IVE coincida con la apariencia y aspecto de mi
empresa?
El IVE permite personalizar una variedad de elementos en la interfaz de usuario
final. Con las caractersticas de personalizacin, se puede actualizar la apariencia
y aspecto de la consola de usuario final del IVE para que se parezca a una de las
pginas web estndar de su empresa o a sus aplicaciones.
32
Puedo habilitar usuarios de equipos y dispositivos diversos para que usen el IVE?
Adems de permitir a los usuarios acceder al IVE desde estaciones de trabajo y
equipos pblicos estndar que ejecuten sistemas operativos Windows, Macintosh y
Linux, el IVE permite a los usuarios finales tener acceso a l desde PDA, dispositivos
de mano y telfonos inteligentes conectados, como i-mode y Pocket PC. Cuando un
usuario se conecta desde un PDA o un dispositivo porttil, el IVE determina cules
de sus pginas y qu funcionalidad mostrar segn los ajustes que haya configurado.
Para obtener ms informacin sobre especificacin de las pginas que muestra el
IVE a dispositivos distintos, consulte el documento sobre plataformas admitidas por
el IVE que est disponible en la pgina IVE OS Software del sitio Juniper Networks
Customer Support Center.
Para obtener ms informacin sobre los sistemas operativos, PDA y dispositivos de
mano especficos que admite el IVE, consulte Dispositivos de mano y PDA en la
pgina 1031.
33
b.
c.
34
35
Una vez terminada la configuracin de red inicial, se puede configurar el IVE para
proporcionar comunicaciones con el NSM de acuerdo con la informacin de red
correspondiente. Una vez configurado para comunicarse con el NSM, el IVE
establece contacto con el NSM e inicia una sesin de DMI por medio del
establecimiento de una conexin inicial TCP.
Todas las comunicaciones entre el IVE y el NSM suceden sobre SSH a fin de
garantizar la integridad de los datos.
Una vez que el IVE establece contacto inicial con el NSM y se establece una sesin
TCP, la interaccin entre ambos est controlada por el NSM, que enva comandos
para obtener los detalles sobre el hardware, software y licencias del IVE. El NSM se
conecta al Juniper Update Repository para descargar el esquema de configuracin
que corresponde al IVE.
Cuando el IVE y el NSM estn comunicndose, el primero proporciona informacin
de syslog y de sucesos al segundo.
Una vez que se conecte el NSM con el IVE, podr hacer cualquier cambio de
configuracin directamente en el IVE, pasando por alto el NSM. Actualmente no hay
una caracterstica de reimportacin automtica en el NSM. Si se hacen cambios
directamente en el IVE, se deben comunicar manualmente al NSM.
Al hacer cambios a la configuracin del IVE mediante el NSM, se deben traspasar
los cambios al dispositivo llevando a cabo la operacin Update Device.
Cuando se hace doble clic en el cono del dispositivo IVE en Device Manager y se
selecciona la ficha Config, aparece el rbol de configuraciones en el rea principal
de la pantalla con la misma orientacin con que aparecen los elementos en la
interfaz del IVE.
36
Servicio de registro: El servicio de registro permite obtener los registros del IVE
en el orden en que fueron generados. El registro de detalles de configuracin
que estn fijados en el IVE se aplicarn al NSM.
37
NSM nicos en la interfaz del NSM. El nombre de usuario se usar en el IVE como
nombre de usuario de la cuenta de administrador que se usar para administrar el
IVE. El NSM debe tener un inicio de sesin nico con la cuenta para evitar que se
interrumpan las comunicaciones con el IVE. El NSM genera automticamente una
identificacin nica que se usa para la clave HMAC.
4. En la consola de administracin del IVE, seleccione Authentication > Auth.
servers e introduzca el nombre de usuario y la contrasea del administrador
de NSM con las credenciales que introdujo en el NSM en el servidor de
autenticacin correspondiente. Use el nombre de usuario y la contrasea del
NSM que introdujo en la interfaz de usuario del NSM. Consulte Servidores de
autenticacin y de directorios en la pgina 111.
NOTA: Slo pueden usarse servidores de autenticacin basados en contraseas.
No se admite la autenticacin con una contrasea que se pueda utilizar solamente
una vez.
En un entorno de clsteres, cada nodo del clster debe tener su propio y nico
agente DMI y su propia identificacin de dispositivo y clave HMAC, ya que
cada nodo del clster mantiene su propia conexin persistente de DMI con
la aplicacin administrativa.
7. Cuando se haya agregado el IVE al NSM, seleccione System > Configuration >
DMI Agent en la consola de administracin del IVE y llene los campos NSM
Primary Server IP address or hostname (direccin IP o nombre de host del
servidor NSM principal), Primary Port (puerto principal), Backup Server
(servidor de respaldo) y Backup Port (puerto de respaldo, si corresponde),
Device ID (identificacin de dispositivo) y HMAC Key (clave HMAC).
8. Seleccione el territorio de administracin que configur para el agente DMI.
38
39
40
a.
b.
b.
c.
41
Para crear un vnculo desde un rbol de configuracin del dispositivo Secure Access
a un objeto compartido que contiene un archivo liveupdate del antivirus (AV), haga
lo siguiente:
1. En el Device Manager, haga doble clic en el dispositivo Secure Access para abrir
el editor de dispositivos y seleccione la ficha Configuration.
2. Ample Authentication.
3. Seleccione Endpoint Security.
4. En la ficha Host Checker, seleccione Live Update Settings.
42
43
44
45
46
47
48
Parte 2
49
50
Captulo 3
51
52
53
54
Figura 18: Comprobaciones de seguridad realizada por el IVE durante una sesin
de usuario
1. El usuario escribe la direccin URL de la consola del usuario final del IVE
(como http://empleados.suempresa.com/marketing) en un navegador Web.
2. El IVE evala sus directivas de inicio de sesin (comenzando con las
direcciones URL del administrador y siguiendo con las URL del usuario) hasta
que encuentra una coincidencia con el nombre del host que el usuario
introdujo.
3. El IVE evala las restricciones de la autenticacin previa y determina si el
sistema del usuario aprueba las comprobaciones del host y otros requisitos.
Si la comprobacin de autenticacin previa no se aprueba, el IVE denegar el
acceso al usuario. Si se aprueba la comprobacin, el IVE le solicitar al usuario
que escriba el nombre de usuario y la contrasea para los territorios en los que
tuvo xito la comprobacin de autenticacin previa. (Si el territorio lo requiere,
el IVE le indica al usuario que escriba dos grupos de credenciales). Si existe ms
de un territorio, el usuario deber introducir un territorio o escoger uno de
la lista.
55
56
Network Connect
57
Telnet/SSH
Java Access
NOTA: Debido a que el IVE evala las directivas de recursos de la Web y los
archivos cada vez que el usuario realiza una solicitud para un recurso, la
evaluacin dinmica de directivas no es necesaria para estos elementos. El IVE no
usa la evaluacin dinmica de directivas para directivas de recursos de reuniones
o de clientes de correo electrnico.
Cuando el usuario intenta entrar a la pgina de inicio del IVE por primera vez,
el IVE evala las directivas del Host Checker y de Cache Cleaner (si las hubiera)
para un territorio.
Cada vez que el usuario realiza una solicitud por un recurso, el IVE evala las
directivas de recursos.
Cada vez que cambia el estado del Host Checker y Cache Cleaner en el equipo
del cliente, el IVE evala las directivas del Host Checker y de Cache Cleaner
(si las hubiera) para un rol.
58
59
60
Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Source IP
Users > User Roles > Seleccionar rol > General > Restrictions >
Source IP
Allow users to sign in from any IP address: Habilita a los usuarios para
que inicien sesin en el IVE desde cualquier direccin IP para satisfacer el
requisito de administracin de acceso.
ii.
Allow para permitir que los usuarios inicien sesin desde las
direcciones IP especificadas.
Deny para impedir que los usuarios inicien sesin desde las
direcciones IP especificadas.
62
Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Browser
Users > User Realms > Seleccionar territorio > Role Mapping >
Selecccionar|Crear regla > Expresin personalizada
Users > User Roles > Seleccionar rol > General > Restrictions >
Browser
Allow all users matching any user-agent string sent by the browser:
Permite a los usuarios tener acceso al IVE o a los recursos utilizando
cualquier navegador Web compatible.
Allow para permitir que los usuarios utilicen un navegador que tenga
un encabezado de agente de usuario que contenga la subcadena
<browser_string>.
Deny para impedir que los usuarios utilicen un navegador que tenga
un encabezado de agente de usuario que contenga la subcadena
<browser_string>.
Las reglas se aplican en orden, por lo que se aplicar la primera regla que
coincida.
64
Users > User Realms > Seleccionar territorio > Authentication Policy >
Certificate
Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Certificate
Users > User Realms > Seleccionar territorio > Role Mapping >
Seleccionar|Crear regla > Expresin personalizada
Users > User Roles > Seleccionar rol > General > Restrictions >
Certificate
Users > User Realms > Seleccionar territorio > Authentication Policy >
Password
66
Users > User Realms > Seleccionar territorio > Authentication Policy >
Limits
b.
68
Captulo 4
Roles de usuario
Un rol de usuario es una entidad que define parmetros de sesin de usuario
(ajustes y opciones de sesin), ajustes de personalizacin (personalizacin y
marcadores de interfaz de usuarios) y roles de acceso habilitados (Web, archivo,
aplicacin, Telnet/SSH, Terminal Services, red, reunin y acceso a correo
electrnico). Un rol de usuario no especifica control de acceso a recursos ni otras
opciones basadas en recursos para una solicitud individual. Por ejemplo, un rol de
usuario puede determinar si un usuario puede realizar una exploracin Web o no.
No obstante, los recursos Web individuales a los que un usuario puede acceder se
definen segn las directivas de recursos Web que debe configurar por separado.
El IVE reconoce dos tipos de roles de usuario:
69
70
b.
Merge settings for all assigned roles: Si elige esta opcin, el IVE realiza
una combinacin permisiva de todos los roles de usuario vlidas a fin de
determinar el rol de sesin general (red) para la sesin de un usuario.
User must select from among assigned roles: Si elige esta opcin, el IVE
presenta una lista de roles vlidos para un usuario autenticado. El usuario
debe seleccionar un rol de la lista y el IVE asigna al usuario dicho rol
durante la sesin del usuario.
User must select the sets of merged roles assigned by each rule: Si elige
esta opcin, el IVE presenta una lista de reglas vlidas para un usuario
autenticado (es decir, reglas cuyas condiciones debe cumplir el usuario).
El usuario debe seleccionar una regla de la lista y el IVE realiza una
combinacin permisiva de todos los roles asignados a dicha regla.
71
En el caso de las opciones de interfaz de usuario, el IVE aplica los ajustes que
corresponden con el primer rol de usuario.
Al combinar dos roles asignados a un usuario (uno que abre los marcadores en
una ventana aparte y otro que los abre en la misma ventana), el rol combinado
abre los marcadores en la misma ventana.
El rol combinado usa el valor ms alto que aparece para el tiempo de espera de
conexin HTTP. Haga clic en Users > User Roles > Seleccionar rol > Web >
Options y despus en View advanced options.
72
NOTA:
Session Options: Seleccione esta opcin para aplicar los ajustes al rol de
la pgina General > Session Options. Consulte Especificacin de las
opciones de sesin en la pgina 76.
73
4. En Access features, marque las caractersticas que desea habilitar paral rol.
Las opciones son:
74
Si se asigna un usuario final a varios roles y el IVE los combina, el IVE asocia
la direccin IP de origen configurada para el primer rol en la lista con el rol
combinado.
75
Max. Session Length: Especifique los minutos que una sesin activa
no administrativa puede permanecer abierta antes de que se termine.
El mnimo son seis minutos. El lmite de tiempo predeterminado para una
sesin de usuario son sesenta minutos, tras lo cual el IVE termina la sesin
y registra el evento en el registro del sistema. Durante una sesin de
usuario final, antes de alcanzar el lmite mximo de la sesin, el IVE solicita
al usuario que vuelva a introducir las credenciales de autenticacin, lo que
evita que la sesin termine sin advertencia.
NOTA: Se recomienda que la diferencia entre Idle Timeout y Reminder Time sea
superior a dos minutos. Esto garantiza que aparecer la ventana emergente de
recordatorio en el momento correcto.
NOTA: Si est utilizando Secure Meeting, puede configurar los lmites de sesin de
reunin haciendo clic en Users > Resource Policies > Meetings de la consola de
administracin. Consulte Configuracin de los ajustes de reunin a nivel de
sistema en la pgina 640.
76
b.
Display sign-in page on max session time out: Seleccione esta opcin si
desea mostrar una nueva pgina de inicio de sesin del explorador para el
usuario final cuando termine su sesin. Esta opcin slo aparece cuando
elige habilitar la advertencia de tiempo de espera de sesin.
NOTA:
77
78
10. Haga clic en Save Changes para aplicar los ajustes al rol.
NOTA: Slo puede especificar un archivo JPEG o GIF para la imagen del logotipo
personalizado. No se pueden mostrar apropiadamente otros formatos grficos en
la ventana de estado JSAM de algunas plataformas de sistemas operativos.
79
4. En la pgina Start, especifique la pgina de inicio que desea que vean los
usuarios despus de iniciar sesin y cuando hagan clic en el icono Home de la
barra de herramientas:
Custom page: Seleccione esta opcin para mostrar una pgina de inicio
personalizada y especifique la URL en la pgina. El IVE vuelve a escribir la
URL y crea una regla de control de acceso para que los usuarios accedan a
la URL. (Tenga en cuanta que los usuarios tambin pueden introducir la
URL personalizada en el campo Browse del IVE en la barra de
herramientas.) El IVE evala la regla de control de acceso despus de
evaluar todas las otras directivas, lo que significa que otra directiva puede
denegar el acceso a la URL.
Also allow access to directories below this url: Seleccione esta opcin
para permitir que los usuarios obtengan acceso a los subdirectorios de la
URL de la pgina-personalizada. Por ejemplo, si especifica
http://www.domain.com/, los usuarios tambin pueden acceder a
http://www.domain.com/dept/.
b.
Para colocar un panel por encima o por debajo de otros paneles, haga clic
en Move Up o Move Down.
c.
NOTA: El IVE muestra todos los paneles en Bookmarks Panel Arrangement para
todas las caractersticas con licencia sin importar si habilit la caracterstica
correspondiente para el rol.
80
6. En la pgina Help, seleccione las opciones para controlar la pgina Help que
aparece cuando el usuario hace clic en el botn Help de la barra de
herramientas:
Disable help link: Seleccione esta opcin para evitar que los usuarios
muestren la ayuda, retirando el botn Help de la barra de herramientas.
Standard help page: Seleccione esta opcin para mostrar la pgina Help
estndar del IVE para el usuario final.
Custom help page: Seleccione esta opcin para mostrar una pgina Help
personalizada. Especifique la URL para la pgina de ayuda personalizada
y luego establezca un ancho y altura opcionales para la ventana de la
pgina de ayuda. El IVE vuelve a escribir la URL y crea una regla de control
de acceso para que los usuarios accedan a la URL. (Tenga en cuanta que
los usuarios tambin pueden introducir la URL personalizada en el campo
Browse del IVE en la barra de herramientas.) El IVE evala la regla de
control de acceso luego de todas las otras directivas, lo que significa
que otra directiva puede denegar el acceso a la URL. (Tenga en cuenta
que cuando elige esta opcin, el IVE inhabilita el vnculo Tips junto al
campo Browse.)
Also allow access to directories below this url: Seleccione esta opcin
para permitir que los usuarios obtengan acceso a los subdirectorios de la
URL de la pgina de ayuda personalizada. Por ejemplo, si especifica
http://www.domain.com/help, los usuarios tambin pueden acceder a
http://www.domain.com/help/pdf/.
81
Show the browsing toolbar: Seleccione esta opcin para mostrar la barra
de herramientas de exploracin.
82
Logo links to: Seleccione una opcin para vincular el logotipo de la barra
de herramientas de exploracin con una pgina que aparezca cuando el
usuario hace clic en el logotipo:
NOTA: Si hace clic en Users > User Roles > Nombre de rol > Web > Options y
desmarca la casilla User can add bookmarks; el IVE no mostrar los botones
Bookmark this Page ni Bookmark Favorites en la barra de herramientas de
navegacin aunque seleccione las opciones Enable "Add Bookmark" link y
Enable "Bookmark Favorites" link.
83
NOTA:
84
Opciones de sesin
Opciones de UI
NOTA: Si no desea que los roles de usuario vean el aviso de copyright, tambin
puede desmarcar la casilla de verificacin Show copyright notice and Secured
by Juniper Networks label in footers para los roles de usuario, en general.
De esa manera, todos los roles posteriores que cree no permitirn que el aviso
aparezca en la UI del usuario final.
Configuracin de los roles de usuario
85
Personalizacin de mensajes
Puede personalizar tres mensajes bsicos que se mostrarn a los usuarios finales
cuando inicien sesin en el IVE. Puede cambiar el texto del mensaje y agregar
versiones internacionales de los mensajes en chino (simplificado), chino
(tradicional), francs, alemn, japons, coreano y espaol, adems de ingls.
Para personalizar mensajes:
1. Seleccione Users > User Roles. Aparecer la pgina Roles.
2. Haga clic en Default Options.
3. Seleccione la ficha Custom Messages.
4. Seleccione el idioma que desea utilizar en el men.
5. Introduzca el texto en el cuadro Custom Message, debajo del mensaje
predeterminado que desea anular.
6. Haga clic en Save Changes.
7. Repita el proceso para crear mensajes en los idiomas adicionales.
All roles: Muestra los marcadores seleccionados para todos los roles
de usuario.
86
Descripcin
Enabled Settings
Restrictions
Meetings
Muestra los ajustes de Secure Meeting que configur para los roles
especificados. Tambin muestra los vnculos que puede utilizar
para acceder a las pginas correspondientes de configuracin de
Secure Meeting.
Network Connect
Muestra los ajustes de Secure Meeting que configur para los roles
especificados. Tambin muestra los vnculos que puede utilizar
para acceder a las pginas de configuracin correspondientes de
Network Connect.
Bookmarks: All
Bookmarks: Web
Bookmarks: Files
(Windows)
87
88
Opcin
Descripcin
Bookmarks: Telnet
Bookmarks: Terminal
Services
Descripcin
Resource Profiles:
Telnet/SSH
Resource Profiles:
Terminal Services
89
90
Captulo 5
Perfiles de recursos
Un perfil de recursos contiene todas las directivas de recursos, asignaciones de roles
y los marcadores de usuario final requeridos para proporcionar el acceso a un
recurso individual. Los perfiles de recursos simplifican la configuracin de recursos
mediante la consolidacin de los ajustes correspondientes de un recurso individual
en una sola pgina en la consola de administracin.
El IVE cuenta con dos tipos de perfiles de recursos:
NOTA: Para los administradores que estn acostumbrados a usar una versin del
IVE previa a la 5.3, tenga en cuenta que puede seguir usando el rol IVE y el marco
de directivas de recursos para crear marcadores y directivas asociadas.
Recomendamos de todas maneras que use los perfiles de recursos, ya que estos
proporcionan una estructura de configuracin ms simple y unificada.
91
92
93
94
Definicin de recursos
Cuando se define un perfil de recursos, se debe especificar el recurso en particular
que desea configurar. El tipo de perfil que escoja depende del tipo de recurso que
desea configurar, tal como se describe en la tabla siguiente:
Tabla 4: Tipos de perfil de recursos e informacin de configuracin
Use este tipo de perfil
de recursos:
Aplicacin/pginas web
Exploracin de archivos
Servidores, recursos
compartidos y rutas de
archivo de Windows y
UNIX/NFS
Aplicaciones
cliente/servidor
Destino WSAM
Redes o servidores de
destino
95
Telnet/SSH
Terminal Services
NOTA: No se puede configurar aplicaciones mediante Network Connect usando los perfiles
de recursos, sino que debe usar roles y directivas de recursos. Para obtener ms informacin,
consulte Network Connect en la pgina 655.
Al definir recursos, se pueden usar las variables del IVE, como <user> para
relacionar dinmicamente los usuarios con los recursos correctos. Por ejemplo,
se puede especificar el siguiente recurso Web a fin de dirigir a los usuarios hacia
sus propias pginas de la Intranet:
http://yourcompany.intranet/<user>
El usuario final que coincida con el rol Ventas debera ver un nombre de marcador
Intranet for Sales, pero la aplicacin de la ACL web ser
http://intranet.ejemplo.com/ventas/*.
No se admite este tipo de configuracin.
96
Para los administradores que estn acostumbrados a usar una versin del IVE,
tenga en cuenta que las directivas automticas son directivas de recursos.
El IVE le permite clasificar y ordenar las directivas automticas junto con las
directivas de recursos estndar en las pginas Users > Resource Policies de
la consola de administracin. Sin embargo, el IVE no le permite tener acceso
a opciones de configuracin ms detalladas para las directivas automticas en
esta seccin de la consola de administracin. En su lugar, si desea cambiar la
configuracin de una directiva automtica, debe tener acceso a ella a travs
del perfil de recursos correspondiente.
Para los administradores que estn acostumbrados a usar una versin del
IVE previa a la 5.3, tenga en cuenta que tambin puede crear directivas de
recursos automticamente si habilita la opcin Auto-allow a nivel de roles.
Sin embargo, tenga en cuenta que nuestra recomendacin es que use las
directivas automticas, ya que se corresponden directamente con el recurso
que se est configurando en lugar de todos los recursos de un tipo en
particular. (Tambin puede preferir habilitar la opcin Auto-allow para una
caracterstica de nivel de rol y crear directivas automticas para los recursos
del mismo tipo. Al hacerlo, el IVE crear directivas para ambos y las muestra
en la pgina de directivas de recursos correspondiente de la consola de
administracin.)
97
Definicin de roles
En un perfil de recursos, se puede asignar roles de usuario al perfil. Por ejemplo,
se puede crear un perfil de recursos que especifique que los miembros del rol
Clientes tengan acceso al Centro de Asistencia Tcnica de su empresa y que los
miembros del rol Evaluadores no lo tengan. Al asignar roles de usuario a un perfil
de recursos, los roles heredan todas las directivas automticas y marcadores
definidos en el perfil de recursos.
Ya que el marco de perfiles de recursos no incluye opciones para crear roles,
debe crear los roles de usuario antes de asignarlos a los perfiles de recursos.
Sin embargo, el marco de perfiles de recursos incluye algunas de las opciones
de configuracin de roles de usuario. Por ejemplo, si asigna un rol de usuario a un
perfil de recursos web, pero no ha habilitado la reescritura web para el rol, el IVE
la habilita automticamente.
NOTA: Tenga en cuenta que puede asignar roles a un perfil de recursos mediante el
Definicin de marcadores
Cuando se crea un perfil de recursos, el IVE crea generalmente un marcador que
apunta al recurso principal del perfil1 (como la pgina principal de la Intranet de su
empresa). Otra opcin es crear marcadores adicionales que apuntan a diversos
sitios en el dominio del recurso principal (como las pginas de ventas y marketing
en la Intranet). Al crear los marcadores, puede asignarlos a roles de usuario para as
controlar los marcadores que ven los usuarios al iniciar sesin en la consola de
usuario final del IVE.
Por ejemplo, puede crear un perfil de recursos que controla el acceso a la intranet
de la empresa. En el perfil, puede especificar:
1. Los perfiles de recursos WSAM y JSAM no incluyen marcadores, ya que el IVE no puede iniciar las aplicaciones
especificadas en los perfiles de recursos.
98
Slo puede asignar marcadores a roles que ya haya asociado con el perfil de
recursos, no todos los roles definidos en el IVE. Para cambiar la lista de roles
asociados al perfil de recurso, utilice los parmetros de la ficha Roles.
Los marcadores simplemente controlan los vnculos que muestra el IVE a los
usuarios, no los recursos a los que los usuarios pueden obtener acceso. En el
ejemplo utilizado anteriormente, un miembro del rol de Sales podra no ver
un vnculo a la pgina de Intranet Engineering, pero puede acceder a ella
escribiendo http://intranet.com/engineering en la barra de direcciones del
explorador web. Asimismo, si elimina un marcador, los usuarios seguirn
teniendo acceso al recurso definido en el perfil.
99
100
Captulo 6
Directivas de recursos
Una directiva de recursos es una regla del sistema que especifica los recursos y las
acciones de una caracterstica de acceso en particular. Un recurso puede ser un
servidor o un archivo al que se puede tener acceso mediante un dispositivo IVE
y una accin es permitir o negar al recurso que lleve a cabo una funcin. Cada
caracterstica de acceso tiene uno o dos tipos de directiva, que determinan la
respuesta del IVE a una solicitud de usuario o la manera en que se habilita una
caracterstica de acceso (en el caso del Email Client). Tambin se pueden definir
reglas detalladas para una directiva de recursos, lo que le permite evaluar requisitos
adicionales para solicitudes especficas de los usuarios.
Se pueden crear los siguientes tipos de directivas de recursos con las pginas
Resource Policies del IVE:
101
102
Roles: Lista opcional de roles de usuario a los que se aplica esta directiva.
La configuracin predeterminada es aplicar la directiva a todos los roles.
Accin: La accin que debe efectuar el IVE cuando un usuario solicita el recurso
correspondiente de la lista Resource. Una accin puede especificar permitir o
negar un recurso o ejecutar una accin o no, como reescribir contenido web o
permitir conexiones socket de Java.
Reglas detalladas: Lista opcional de elementos que especifica los detalles del
recurso (como la URL especfica, ruta en el directorio, archivo o tipo de archivo)
a los que desea aplicar una accin distinta o para las que desea evaluar las
condiciones antes de aplicar la accin. Puede definir ms de una regla y
especificar el orden en que el IVE las evala. Para obtener ms informacin,
consulte Creacin de reglas detalladas para las directivas de recursos en la
pgina 108.
103
/intranet
/intranet/home.html
/intranet/elee/public/index.html
/intranet
/intranet/home.html
but NOT /intranet/elee/public/index.html
104
tcp
udp
icmp
IP: a.b.c.d
puerto[,puerto]*
105
106
107
1. Tenga en cuenta que tambin puede especificar la misma lista de recursos (como la de la ficha General) para una
regla detallada si el nico objetivo de la regla es aplicar condiciones a una solicitud de usuario.
108
Las reglas detalladas aaden flexibilidad para controlar el acceso a los recursos, ya
que le permiten aprovechar la informacin de recursos y permisos existente para
especificar requisitos distintos para usuarios distintos a los que se aplica la directiva
de recursos base.
b.
109
c.
110
Captulo 7
Servidores de autenticacin y
de directorios
Un servidor de autenticacin es una base de datos que almacena las credenciales
del usuario (nombre y contrasea) y, normalmente, informacin sobre el grupo.
Cuando un usuario inicia sesin en el IVE, debe especificar un territorio de
autenticacin que est asociado a un servidor de autenticacin. Si el usuario
cumple la directiva de autenticacin del territorio, el IVE reenviar las credenciales
del usuario al servidor de autenticacin asociado. El trabajo del servidor de
autenticacin es verificar que el usuario existe y comprobar que es quien dice ser.
Despus de verificar al usuario, el servidor de autenticacin enva la aprobacin al
IVE y, si el territorio tambin usa el servidor como servidor de directorios/atributos,
la informacin del grupo del usuario u otra informacin de atributos del usuario.
El IVE evala las reglas de asignacin de roles del territorio para determinar a
qu roles de usuario se puede asignar al usuario.
La plataforma Juniper Networks Instant Virtual Extranet admite los servidores
de autenticacin ms comunes, incluyendo dominios de Windows NT, Active
Directory, RADIUS, LDAP, NIS, RSA ACE/Server y eTrust SiteMinder, permitiendo
crear una o ms bases de datos locales de usuarios autenticados por el IVE. Para
obtener informacin general del servidor y de configuracin, consulte Servidores
de autenticacin y de directorios en la pgina 111.
Un servidor de directorios es una base de datos que almacena informacin del
usuario y, normalmente, del grupo. Puede configurar un territorio de autenticacin
de modo que utilice un servidor de directorios con el fin de recuperar informacin
del usuario o del grupo, que se utilizarn en las reglas de asignacin de roles y
directivas de recursos. Actualmente, el IVE admite servidores LDAP para este fin,
lo que quiere decir que puede usar un servidor LDAP para la autenticacin y la
autorizacin. Simplemente necesita definir una instancia de servidor y luego
aparecer el nombre de la instancia del servidor LDAP en las listas desplegables
Authentication y Directory/Attribute de la ficha General del territorio. Puede usar
el mismo servidor para cualquier nmero de territorios.
111
112
113
Slo puede crear una instancia de servidor eTrust Siteminder por IVE.
114
115
116
Le solicita al usuario que genere un nuevo PIN (modo Nuevo PIN) si inicia
sesin en el IVE por primera vez. (El usuario ve mensajes diferentes
dependiendo del mtodo que utilice para iniciar sesin. Si lo hace usando el
complemento SoftID, ve el mensaje de RSA para crear un nuevo PIN; de lo
contrario, ve el mensaje del IVE.)
Redirige al usuario a la pgina de inicio de sesin estndar del IVE (slo SoftID)
si el usuario intenta iniciar sesin en la pgina RSA SecurID Authentication en
un equipo que no tiene instalado el software SecurID.
Cuando un usuario pasa al modo Nuevo PIN o Siguiente token, tiene tres minutos
para introducir la informacin necesaria antes de que el IVE cancele la transaccin
y le notifique que debe volver a introducir las credenciales.
El IVE puede manejar un mximo de 200 transacciones de ACE/Server en cualquier
momento. Una transaccin slo dura el tiempo necesario para autenticarse en
ACE/Server. Por ejemplo, cuando un usuario inicia sesin en el IVE, la transaccin
ACE/Server se inicia cuando el usuario enva su solicitud de autenticacin y termina
una vez que ACE/Server ha finalizado el procesamiento de la solicitud. El usuario
puede mantener abierta la sesin del IVE, aunque se haya cerrado la transaccin
de ACE/Server.
117
El IVE admite las siguientes caractersticas de ACE/Server: Modo Nuevo PIN, modo
Siguiente token, encriptacin DES/SDI, encriptacin AES, compatibilidad con
ACE/Server esclavo, bloqueo de nombre y clsteres. El IVE tambin admite los
modos Nuevo PIN y Siguiente token de RSA SecurID a travs del protocolo RADIUS.
NOTA: Debido a las limitaciones de la biblioteca de ACE/Server de UNIX, puede
definir slo una configuracin de ACE/Server. Para obtener informacin sobre
cmo generar un archivo de configuracin de ACE/Agent para el IVE en el servidor
ACE, consulte Generacin de un archivo de configuracin de ACE/Agent en la
pgina 119.
Para crear una nueva instancia de servidor en el IVE, seleccione ACE Server
en la lista New y haga clic en New Server.
118
7. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
8. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener ms informacin, consulte
Definicin de directivas de autenticacin en la pgina 198.
NOTA: Para obtener ms informacin sobre la supervisin y eliminacin de
sesiones de usuario que iniciaron sesin actualmente a travs del servidor,
consulte Supervisin de usuarios activos en la pgina 848.
b.
c.
119
120
NOTA:
NOTA: Puede que advierta que el nombre del equipo se llen previamente con una
entrada en formato vcNNNNHHHHHHHH, donde, en un sistema IVS, NNNN es IVS ID
(suponiendo que tiene una licencia IVS) y HHHHHHHH es la representacin
hexadecimal de la direccin IP del IVE. Un nombre exclusivo, ya sea el
proporcionado de forma predeterminada o uno de su eleccin, puede identificar
ms fcilmente sus sistemas en Active Directory. En un sistema que no es IVS, los
primeros seis caracteres del nombre sern vc0000 porque no hay un IVS ID que
mostrar. Por ejemplo, el nombre podra ser vc0000a1018dF2 para un sistema
que no es IVS.
122
NOTA:
Seleccione Use LDAP to get Kerberos realm name si desea que el IVE
recupere el nombre del territorio de Kerberos desde el servidor Active
Directory usando las credenciales de administrador especificadas.
13. Haga clic en Test Configuration para verificar los ajustes de configuracin del
servidor Active Directory, como que exista el dominio especificado, que los
controladores especificados sean controladores de dominio de Active Directory,
que funcione el protocolo de autenticacin seleccionado, etc. (opcional)
14. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
15. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener ms informacin, consulte
Creacin de un territorio de autenticacin en la pgina 196.
NOTA:
124
Normalizacin de usuario de NT
Con el fin de admitir la autenticacin de varios dominios, el IVE usa las credenciales
de NT normalizadas al comunicarse con un controlador de dominio de Active
Directory o NT4 para la autenticacin. Las credenciales de NT normalizadas
incluyen el nombre del dominio y del usuario: domain\username.
Independientemente de la forma en que el usuario inicia sesin en el IVE, ya sea
slo con un nombre de usuario o con el formato domain\username, el IVE siempre
trata el nombre de usuario en formato domain\username.
Cuando un usuario intenta autenticarse usando slo su nombre de usuario,
el IVE siempre normaliza sus credenciales de NT como defaultdomain\username.
La autenticacin es correcta slo si es usuario es miembro del dominio
predeterminado.
Para un usuario que inicia sesin en el IVE usando el formato domain\username,
el IVE siempre intenta autenticar al usuario como miembro del dominio que ste
especifica. La autenticacin es correcta slo si el dominio especificado por el
usuario es un dominio de confianza o secundario del dominio predeterminado.
Si el usuario especifica un dominio que no es de confianza o no es vlido,
la autenticacin falla.
Dos variables, <NTUser> y <NTDomain>, permiten que se refiera de forma individual
a los valores de dominio y nombre de usuario de NT. El IVE llena estas dos variables
con la informacin de dominio y nombre de usuario de NT.
NOTA: Al usar reglas de asignacin de roles preexistentes o al escribir una nueva
para la autenticacin de Active Directory donde USER = someusername, el IVE
trata esta regla semnticamente como NTUser = someusername AND NTDomain =
defaultdomain. Esto permite que el IVE funcione a la perfeccin con las reglas de
Con respecto a las reglas de asignacin de roles, el IVE intenta la consulta de grupos
en el siguiente orden:
126
b.
c.
e.
Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
127
3. Si desea verificar los atributos del certificado en un servidor LDAP, use los
ajustes de la pgina Authentication > Auth. Servers para crear una instancia
de servidor LDAP. Tenga en cuenta que debe usar la seccin Finding user
entries en la pgina de configuracin de LDAP para recuperar los atributos
especficos del usuario que desea verificar mediante el certificado.
4. Use los ajustes de las fichas Users > User Realms > Nombre de territorio >
General o Administrators > Admin Realms > Nombre de territorio > General
para especificar los territorios que debe usar el servidor de certificados para
autenticar a los usuarios. (Tambin puede usar los ajustes de estas fichas para
especificar los territorios que debe usar un servidor LDAP para verificar los
atributos del certificado.)
5. Use los ajustes de la pgina Authentication > Authentication > Signing In
Policies para asociar los territorios configurados en el paso anterior con las URL
de inicio de sesin.
6. Si desea restringir el acceso de los usuarios a los territorios, roles o directivas de
recursos basndose en los atributos del certificado individual, use los ajustes
descritos en Especificacin de las restricciones de acceso para certificados en
la pgina 65.
128
DN base para usuario: El IVE genera un error si falla la bsqueda de nivel base
en el valor DN base.
DN base para grupos: El IVE genera un error si falla la bsqueda de nivel base
en el valor DN base.
10. Especifique la cantidad de tiempo que desea que el IVE espere los resultados de
la bsqueda de un servidor LDAP conectado.
11. Haga clic en Test Connection para verificar la conexin entre el dispositivo IVE
y los servidores LDAP especificados. (opcional)
12. Seleccione la casilla de verificacin Authentication required? si el IVE debe
autenticarse en el directorio LDAP para realizar una bsqueda o para cambiar
las contraseas usando la caracterstica de administracin de contraseas.
Luego, introduzca un DN y contrasea de administrador. Para obtener ms
informacin acerca de la administracin de contraseas, consulte Habilitacin
de la administracin de contraseas de LDAP en la pgina 133. Por ejemplo:
CN=Administrator,CN=Users,DC=eng,DC=Juniper,DC=com
14. El IVE admite los grupos dinmicos y estticos. (Tenga en cuenta que el IVE
slo admite grupos dinmicos con servidores LDAP). Para habilitar la consulta
de grupos, debe especificar cmo el IVE realiza consultas de grupos en el
servidor LDAP. En Determining group membership, especifique:
Query Attribute para especificar una consulta LDAP que devuelve los
miembros de un grupo dinmico. Por ejemplo:
memberURL
130
Search all nested groups. Con esta opcin, IVE busca primero en el
catlogo de servidores. Si el IVE no encuentra una coincidencia en el
catlogo, consulta LDAP para determinar si un miembro del grupo es
un subgrupo.
Simple bind para enviar las credenciales del usuario en modo transparente
(sin encriptado) a LDAP Directory Service.
16. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
17. Especifique los territorios que debe usar el servidor para autenticar y autorizar
a los administradores y usuarios. Para obtener ms informacin, consulte
Definicin de directivas de autenticacin en la pgina 198.
Si desea crear un marcador de archivo de Windows que se asigne al directorio
principal LDAP de un usuario, consulte Creacin de marcadores de Windows que
se asignan a servidores LDAP en la pgina 475.
132
Novell e-Directory
El IVE depende del servidor backend para localizar con exactitud la causa del error
cuando falla una operacin de cambio de contrasea. Sin embargo, aunque los
servidores LDAP pueden informar errores de forma precisa a los operadores
humanos, no siempre lo hacen al comunicarse de forma programtica con sistemas
como el IVE. Por lo tanto, puede que ocasionalmente los errores comunicados sean
genricos o crpticos.
Esta seccin incluye los siguientes temas con informacin sobre la caracterstica de
administracin de contraseas de LDAP:
134
Sun iPlanet
Novell eDirectory
Windows NT 4.0
Las siguientes secciones indican problemas especficos relacionados con los tipos
de servidores individuales.
Microsoft Active Directory
Sun iPlanet
Al seleccionar la opcin User must change password after reset en el servidor
iPlanet, tambin se debe restablecer la contrasea del usuario antes de que esta
funcin surta efecto. Esta es una limitacin de iPlanet.
General
El IVE slo muestra una advertencia sobre el vencimiento de la contrasea si sta se
programa para vencer en 14 das o menos. El IVE muestra el mensaje durante cada
intento de inicio de sesin en el IVE. El mensaje de advertencia contiene el nmero
de das, horas y minutos restantes que el usuario tiene para cambiar su contrasea
antes de que venza en el servidor. El valor predeterminado es 14 das; sin embargo,
puede cambiarlo mediante la pgina de configuracin de Administrators|Users >
Admin Realms|User Realms > Authorization > Password de la consola de
administracin.
Active Directory
iPlanet
Novell eDirectory
Genrico
Autenticar usuario
unicodePwd
userPassword
userPassword
userPassword
Permitir que el
usuario cambie la
contrasea si est
habilitado
Si passwordChange ==
ON
Si passwordAllowChange
== TRUE
136
Forzar el cambio de
contrasea en el
siguiente inicio de
sesin
Si pwdLastSet == 0
Si passwordMustChange
== ON
Si pwdMustChange ==
TRUE
Notificacin de
contrasea vencida
userAccountControl==
0x80000
Si la respuesta de enlace
incluye OID
Compruebe el valor de
fecha/hora en
2.16.840.1.113730.3.4.4
== 0
passwordExpirationTime
Notificacin de
vencimiento de
contrasea (en X
das/horas)
Si la respuesta de enlace
incluye control OID
Si now() passwordExpirationTime<
14 das
2.16.840.1.113730.3.4.5
(maxPwdAge se lee desde
(El IVE muestra una
(contiene fecha/hora)
los atributos del dominio)
advertencia si es menos de
(El
IVE
muestra
una
(El IVE muestra una
advertencia si es menos de advertencia si es menos de 14 das)
14 das)
14 das)
Impedir la
autenticacin si la
"cuenta est
inhabilitada o
bloqueada"
userAccountControl==
0x2 (Inhabilitada)
accountExpires
userAccountControl ==
0x10 (Bloqueada)
lockoutTime
Reconocer "historial
de contraseas"
El servidor lo indica en la
respuesta de enlace
El servidor lo indica en la
respuesta de enlace
El servidor lo indica en la
respuesta de enlace
Aplicar longitud de
contrasea mnima
Si se configura, el IVE
muestra un mensaje que
informa al usuario
minPwdLength
Si se configura, el IVE
muestra un mensaje que
informa al usuario
passwordMinLength
Si se configura, el IVE
muestra un mensaje que
informa al usuario
passwordMinimumLength
Active Directory
iPlanet
Impedir que el
usuario cambie las
contraseas
demasiado rpido
El servidor lo indica en la
Si passwordMinAge > 0,
respuesta de enlace
entonces si now() es
anterior que
passwordAllowChangeTime,
entonces se inhabilita
Novell eDirectory
Reconocer
"complejidad de
contraseas"
Genrico
El servidor lo indica en la
respuesta de enlace
Autenticar usuario
Cuenta inhabilitada
Cuenta vencida
138
b.
NOTA:
NOTA: Exija que las contraseas tengan al menos dos letras si tambin requieren
una mezcla de maysculas y minsculas.
f.
g.
139
b.
6. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Users y Admin Users.
NOTA: Despus de configurar las opciones de contrasea y su administracin,
es probable que deba especificar los territorios que debe usan el servidor para
autenticar y autorizar administradores y usuarios. Use la pgina Enable Password
Management option on the Administrators|Users > Admin Realms|User
Realms > Territorio > Authentication Policy > Password para especificar si el
territorio hereda o no los ajustes de administracin de contraseas de la instancia
de servidor de autenticacin local. Para obtener ms informacin sobre la
habilitacin de administracin de contraseas, consulte Especificacin de las
restricciones de acceso para contraseas en la pgina 66.
140
9. Haga clic en Save Changes. El registro del usuario se agrega a la base de datos
del IVE.
NOTA: La consola de administracin proporciona las ltimas estadsticas de acceso
141
142
3. Introduzca el Username del usuario que desea que administre las cuentas del
servidor de autenticacin seleccionado. No es necesario agregar a este usuario
como usuario local en el servidor.
NOTA: Tenga cuidado al introducir el nombre de usuario del administrador de
usuarios; debe ser idntico.
143
Para crear una nueva instancia de servidor en el IVE, seleccione NIS Server
en la lista New y haga clic en New Server.
144
Access-Request
Access-Accept
Access-Reject
Access-Challenge
145
Los usuarios deben usar sus token de respondedor ptico CASQUE para generar el
cdigo de paso correspondiente, introducirlo en el campo Response y hacer clic en
Sign In.
Figura 23: Pgina CASQUE Authentication Challenge/Response con reproductor
CASQUE
146
147
11. Introduzca el nmero de veces que el IVE intentar establecer una conexin
despus del primer intento fallido.
12. Seleccione la casilla de verificacin Users authenticate using tokens or
one-time passwords si no desea enviar la contrasea introducida por el
usuario a otras aplicaciones habilitadas para SSO. Por lo general, esta opcin se
selecciona si el usuario enva las contraseas de uso nico al IVE. Para obtener
ms informacin, consulte Informacin general de credenciales de inicios de
sesin mltiples en la pgina 226.
13. En la seccin Backup Server, introduzca un servidor RADIUS secundario para
que el IVE lo use si el servidor principal (definido en esta instancia) no se
encuentra disponible. Para el servidor secundario, introduzca el servidor:
a.
Nombre o direccin IP
b.
Puerto de autenticacin
c.
Secreto compartido
d. Puerto de contabilidad
14. Si desea realizar seguimiento de la actividad del usuario del IVE mediante esta
instancia del servidor RADIUS, introduzca la siguiente informacin en la
seccin Radius Accounting:
a.
servidor de contabilidad.
contabilidad.
b.
148
15. Seleccione la casilla de verificacin Use NC assigned IP Address for FRAMEDIP-ADDRESS attribute value in Radius Accounting para usar la direccin IP
devuelta del IVE para el atributo Framed-IP-Address.
Se graban dos direcciones IP: una antes de la autenticacin con el IVE y otra
devuelta por Network Connect despus de la autenticacin. Seleccione esta
opcin para usar la direccin IP de Network Connect para el atributo FramedIP-Address en lugar de la direccin IP autenticada previamente (original).
16. (opcional) Haga clic en New Radius Rule para agregar una regla de desafo
personalizado que determine la accin que se debe tomar para un paquete
entrante.
Cuando un usuario introduce su nombre de usuario y contrasea, la solicitud de
autorizacin inicial se enva al servidor. El servidor puede responder con un
paquete de desafo o de rechazo. En la ventana Add Custom Radius Challenge
Rule, seleccione el tipo de paquete (desafo o rechazo) y especifique la accin
que se debe tomar. Por ejemplo, puede mostrar una pgina de inicio de sesin
con un mensaje de error especfico para el usuario o enviar automticamente
un paquete ACCESS-REQUEST de vuelta al servidor.
Para crear una regla de desafo personalizado:
a.
b.
c.
Elija la accin que debe tomar, seleccionando uno de los siguientes botones
de radio:
show NEW PIN page: El usuario debe introducir un nuevo PIN para
su token
149
show user login page with error: Muestra la pgina de inicio de sesin
estndar con un mensaje de error incrustado. Esta opcin permite
pasar por alto la cadena de mensaje estndar enviada por el IVE y
muestra un mensaje de error personalizado al usuario. Introduzca el
mensaje personalizado en el cuadro de texto Error Message. No existe
un lmite mximo de caracteres para este mensaje.
150
JSAM
WSAM
Network Connect
El IVE tambin enva mensajes de detencin para todas las subsesiones activas. Los
mensajes de detencin para las subsesiones preceden a los mensajes de detencin
para la sesin de usuario.
.
NOTA: Si los usuarios inician sesin en un clster del IVE, los mensajes de
contabilidad de RADIUS pueden mostrar a los usuarios que inician sesin en
un nodo y cierran sesin en otro.
151
Las siguientes tres tablas describen los atributos que son comunes para los
mensajes de inicio y detencin, atributos que son exclusivos para iniciar mensajes
y atributos que son exclusivos para detenerlos.
Tabla 9: Atributos comunes para mensajes de inicio y detencin
Atributo
Descripcin
User-Name (1)
NAS-IP-Address (4)
NAS-Port (5)
Framed-IP-Address (8)
NAS-Identifier (32)
Acct-Status-Type (40)
Acct-Session-Id (44)
Acct-Multi-Session-Id (50)
Acct-Link-Count (51)
Descripcin
Acct-Authentic (45)
local.
Remote: para todo lo dems.
Descripcin
Acct-Session-Time (46)
Acct-Terminate-Cause (49)
usuario.
Admin Reset (6): se fuerza la salida del usuario de la pgina
Active Users.
152
Descripcin
Acct-Input-Octets
Acct-Output-Octets
Para distinguir entre una sesin de usuario y las subsesiones que contiene, examine
Acct-Session-Id y Acct-Multi-Session-Id. En una sesin de usuario, los dos atributos
son iguales. En una subsesin, Acct-Multi-Session-Id es la misma que la sesin de
usuario principal, y el IVE indica la subsesin usando uno de los siguientes sufijos
en Acct-Session-Id:
Descripcin
ARAP-Challenge-Response
ARAP-Features
ARAP-Password
ARAP-Security
ARAP-Security-Data
ARAP-Zone-Access
Access-Accept
153
154
Atributo
Descripcin
Access-Challenge
Access-Reject
Access-Request
Accounting-Request
Accounting-Response
Acct-Authentic
Acct-Delay-Time
Acct-Input-Gigawords
Indica la cantidad de veces que el contador Acct-InputOctets se ha ajustado a 2^32 durante el transcurso de
la prestacin de este servicio.
Acct-Input-Octets
Acct-Input-Packets
Acct-Interim-Interval
Acct-Link-Count
Acct-Multi-Session-Id
Acct-Output-Gigawords
Acct-Output-Octets
Acct-Output-Packets
Acct-Session-Id
Acct-Session-Time
Descripcin
Acct-Status-Type
Acct-Terminate-Cause
Acct-Tunnel-Connection
Acct-Tunnel-Packets-Lost
CHAP-Challenge
CHAP-Password
Callback-Id
Callback-Number
Called-Station-Id
Calling-Station-Id
Class
Configuration-Token
Connect-Info
EAP-Message
Filter-Id
Framed-AppleTalk-Link
Framed-AppleTalk-Network
Framed-AppleTalk-Zone
Framed-Compression
Framed-IP-Address
Framed-IP-Netmask
155
156
Atributo
Descripcin
Framed-IPv6-Pool
Framed-IPv6-Route
Framed-IPX-Network
Framed-MTU
Framed-Pool
Framed-Protocol
Framed-Route
Framed-Routing
Idle-Timeout
Keep-Alives
Login-IP-Host
Login-LAT-Group
Login-LAT-Node
Login-LAT-Port
Login-LAT-Service
Login-Service
Login-TCP-Port
MS-ARAP-Challenge
MS-ARAP-Password-Change-Reason
MS-Acct-Auth-Type
MS-Acct-EAP-Type
Descripcin
MS-BAP-Usage
MS-CHAP-CPW-1
MS-CHAP-CPW-2
MS-CHAP-Challenge
MS-CHAP-Domain
MS-CHAP-Error
MS-CHAP-LM-Enc-PW
MS-CHAP-MPPE-Keys
MS-CHAP-NT-Enc-PW
MS-CHAP-Response
MS-CHAP2-CPW
MS-CHAP2-Response
MS-CHAP2-Success
MS-Filter
MS-Link-Drop-Time-Limit
MS-Link-Utilization-Threshold
MS-MPPE-Encryption-Policy
MS-MPPE-Encryption-Types
MS-MPPE-Recv-Key
MS-MPPE-Send-Key
MS-New-ARAP-Password
157
158
Atributo
Descripcin
MS-Old-ARAP-Password
MS-Primary-DNS-Server
MS-Primary-NBNS-Server
MS-RAS-Vendor
MS-RAS-Version
MS-Secondary-DNS-Server
MS-Secondary-NBNS-Server
NAS-IP-Address
NAS-Identifier
NAS-Port
NAS-Port-Id
NAS-Port-Type
Password-Retry
Port-Limit
Prompt
Proxy-State
Reply-Message
Service-Type
Session-Timeout
State
Telephone-number
Descripcin
Termination-Action
Tunnel-Assignment-ID
Tunnel-Client-Auth-ID
Tunnel-Client-Endpoint
Tunnel-Link-Reject
Tunnel-Link-Start
Tunnel-Link-Stop
Tunnel-Medium-Type
Tunnel-Medium-Type
Tunnel-Password
Tunnel-Preference
Tunnel-Private-Group-ID
Tunnel-Reject
Tunnel-Server-Auth-ID
Tunnel-Server-Endpoint
Tunnel-Start
Tunnel-Stop
Tunnel-Type
User-Name
User-Password
159
Configuracin del IVE para que funcione con SiteMinder en la pgina 172
161
NOTA:
162
Puede elegir la versin de servidor eTrust SiteMinder que desea que sea
compatible cuando cree una instancia de servidor. Puede elegir la versin 5.5,
que admite las versiones 5.5 y 6.0, o puede elegir la versin 6.0, que slo
admite la versin 6.0. No existe diferencia en la funcionalidad de servidor
de autenticacin SiteMinder segn en la versin que seleccione. Esta opcin
controla la versin de Netegrity SDK que se debe usar. Se recomienda que
haga coincidir el modo de compatibilidad con la versin del servidor de
directivas.
NOTA:
163
164
Inicia sesin mediante la pgina de inicio de sesin estndar del IVE: El IVE
primero comprueba el nombre de usuario que devuelve el servidor de directivas
en su encabezado de respuesta OnAuthAccept. Si SiteMinder no define un
nombre de usuario, el IVE usa el nombre que el usuario introdujo durante el
inicio de sesin. En caso contrario, si ni SiteMinder ni el usuario proporcionan
un nombre de usuario porque el usuario se autentica usando un certificado
cliente, el IVE usa el valor UserDN configurado por el servidor de directivas.
Una vez que el IVE determina el nombre de usuario que usar, lo guarda en la
memoria cach de su sesin y hace referencia a ste cuando el usuario desea
obtener acceso a recursos adicionales (como se explica en Informacin general
sobre eTrust SiteMinder en la pgina 161).
Para devolver siempre el nombre de usuario correcto al IVE, debe configurar la
respuesta OnAuthAccept en el servidor de directivas SiteMinder, como se explica en
Creacin de un par de regla/respuesta para pasar nombres de usuario al IVE en la
pgina 170.
Para configurar SiteMinder para que funcione con el IVE, debe realizar los
siguientes procedimientos:
1. Configuracin del agente de SiteMinder en la pgina 166
2. Creacin de un esquema de autenticacin de SiteMinder para el IVE en la
pgina 167
165
EncryptAgentName=no
FCCCompatMode=no
166
Basic Template
NOTA:
Si selecciona X509 Client Cert Template o X509 Client Cert and Basic
Authentication, debe importar el certificado al IVE mediante la ficha
System > Certificates > Trusted Client CAs. Para obtener ms informacin,
consulte Uso de CA de cliente de confianza en la pgina 758.
167
NOTA: Al guardar los cambios, ive=1 desaparece del objetivo. Esto es normal.
El servidor de directivas incluye ive=1 en la URL completa del esquema de
autenticacin que enva al IVE, para que pueda verla en el campo Parameter de
la ficha Advanced.
168
Para obtener informacin sobre la configuracin del IVE para manejar varios
esquemas de autenticacin, consulte Configuracin del IVE para que
funcione con varios esquemas de autenticacin en la pgina 172.
169
170
171
172
Especifique una URL de inicio de sesin del IVE que coincida con la URL de
recurso protegido de SiteMinder en el servidor de directivas. Haga coincidir
parte de la ruta de la URL con el filtro de recursos de SiteMinder en la
configuracin del territorio de SiteMinder. Por ejemplo, puede especificar
*/ACE/ como URL de inicio de sesin del IVE para que coincida con una
URL de SiteMinder de XYZ/ACE, donde XYZ es el nombre de un territorio.
Seleccione el territorio del IVE que especific que debe usar el servidor de
directivas SiteMinder.
Una URL de inicio de sesin del IVE que coincida con la URL de recurso
protegido del servidor de directivas. Haga coincidir parte de la ruta de la
URL con el filtro de recursos de SiteMinder. Por ejemplo, puede definir las
siguientes URL:
https://employees.yourcompany.com/sales
https://employees.yourcompany.com/engineering
173
Seleccione el territorio del IVE que especific que debe usar el servidor de
directivas SiteMinder.
b.
c.
174
Descripcin
Name
Policy Server
Backup Server(s),
Failover Mode
Agent Name,
Secret
Compatible with
On logout, redirect to Especifique una URL a la que se redirigir a los usuarios cuando cierren
sesin en el IVE (opcional). Si deja este campo vaco, los usuarios vern
la pgina de inicio predeterminada del IVE.
Nota: El campo On logout, redirect to se incluye en la versin del
producto para compatibilidad con versiones anteriores, pero est
prevista su eliminacin. Si desea redirigir a los usuarios a una pgina
de inicio de sesin diferente cuando cierren sesin, se recomienda
encarecidamente usar la caracterstica de pginas de inicio de sesin
personalizables. Para obtener ms informacin, consulte el manual
Custom Sign-In Pages Solution Guide.
Protected Resource
175
Descripcin
Resource Action
176
Protocol
(Slo lectura) Indica que el IVE usa el protocolo HTTPS para enviar
cookies al explorador de Web del usuario.
Protocol
Elija HTTPS para enviar las cookies de forma segura si otros agentes
Web se configuran para aceptar cookies seguras o HTTP para enviar las
cookies de una forma no segura.
Descripcin
177
Descripcin
If Automatic Sign In fails, redirect to
Introduzca una URL alternativa para los usuarios que inician sesin
en el IVE mediante el mecanismo de inicio de sesin automtico que
se explica en Automatic Sign-In en la pgina 177. El IVE redirige a
los usuarios a la URL especificada si el IVE no realiza la autenticacin
y no se recibe una respuesta de redireccionamiento del servidor de
directivas SiteMinder. Si deja este campo vaco, se solicita a los
usuarios que vuelvan a iniciar sesin en el IVE.
Nota:
Los usuarios que inician sesin a travs de la pgina de inicio de
178
Descripcin
Authenticate using
HTML form post
179
Descripcin
Web Agent
Nombre del agente Web desde el cual el IVE obtendr las cookies de
SMSESSION. No se permite una direccin IP para este campo.
(Especificar la direccin IP como el agente Web evita que algunos
exploradores acepten cookies). En la URL de la pgina de inicio de
sesin del agente Web, ste aparece despus del protocolo. Por
ejemplo, en la URL que aparece en Authenticate using HTML form
post en la pgina 179, el agente Web es: webagent.juniper.net
Port
caracterstica.
Si habilita esta opcin y un usuario ya tiene una cookie de
180
Descripcin
Authorize requests
against SiteMinder
policy server
Seleccione esta opcin si desea usar las reglas del servidor de directivas
SiteMinder para autorizar las solicitudes del recurso Web del usuario. Si
selecciona esta opcin, asegrese de crear las reglas correspondientes
en SiteMinder que comiencen con el nombre del servidor, seguido de
una barra diagonal, como: "www.yahoo.com/", "www.yahoo.com/*" y
"www.yahoo.com/r/f1". Para obtener ms informacin, consulte la
documentacin proporcionada con el servidor SiteMinder.
Si utiliza una directiva de acceso slo con autorizacin, debe seleccionar
esta opcin e introducir valores para las tres siguientes opciones
(se describen a continuacin) para que funcione correctamente la
caracterstica de proxy inverso. Para obtener ms informacin sobre
las directivas de acceso slo con autorizacin, consulte Definicin de
directivas de acceso slo con autorizacin en la pgina 215.
If authorization fails,
redirect to
181
Descripcin
Resource for
insufficient
protection level
182
Descripcin
Poll Interval
Max. Connections
Max. Requests/
Connection
Idle Timeout
Authorize while
Authenticating
autorizacin y autenticacin.
Esta opcin no se admite con la opcin Authenticate using HTML
183
Descripcin
El valor introducido en este campo debe coincidir con el valor del puerto
de contabilidad introducido mediante la consola de administracin del
servidor de directivas. De forma predeterminada, este campo coincide
con el ajuste predeterminado 44441 del servidor de directivas.
Authentication Port
El valor introducido en este campo debe coincidir con el valor del puerto
de autenticacin introducido mediante la consola de administracin del
servidor de directivas. De forma predeterminada, este campo coincide
con el ajuste predeterminado 44442 del servidor de directivas.
Authorization Port
El valor introducido en este campo debe coincidir con el valor del puerto
de autorizacin introducido mediante la consola de administracin del
servidor de directivas. De forma predeterminada, este campo coincide
con el ajuste predeterminado 44443 del servidor de directivas.
Flush Cache
Se usa para borrar la memoria cach del recurso del IVE, que guarda
en memoria cach la informacin de autorizacin del recurso durante
10 minutos.
184
Para usar los atributos de usuario de SiteMinder para la asignacin de roles del IVE:
1. En la consola de administracin, elija Administrators > Admin Realms o
Users > User Realms.
2. En la ficha General de la pgina Authentication Realms correspondientee al
territorio del IVE que usa el servidor de directivas SiteMinder, elija Same as
Above en la lista Directory/Attribute. (Para obtener instrucciones, consulte
Creacin de un territorio de autenticacin en la pgina 196.)
NOTA: Si elige LDAP en la lista Directory/Attribute en lugar de Same as Above,
puede usar los atributos de SiteMinder y LDAP en las reglas de asignacin de roles.
3. En la ficha Role Mapping del IVE, cree una regla basada en los atributos de
usuario del IVE que hacen referencia a una cookie de atributo de usuario de
SiteMinder.
Por ejemplo, para hacer referencia a una cookie de atributo de usuario de
SiteMinder llamada department, agregue department a la lista de atributos de
usuario del IVE en la ficha Role Mapping del IVE. Luego, especifique un valor
para la cookie de atributo de usuario de SiteMinder, como sales. Para obtener
instrucciones, consulte Creacin de reglas de asignacin de roles en la
pgina 199.
Tambin puede usar la siguiente sintaxis para hacer referencia a una cookie de
atributo de usuario SiteMinder en una expresin personalizada para una regla
de asignacin de roles:
userAttr.<cookie-name>
Por ejemplo:
userAttr.department = ("sales" and "eng")
El proceso de actualizacin crea un nuevo territorio denominado eTrust-AutoLogin-Realm que se basa en el territorio existente, pero que configura el
servidor SiteMinder como su servidor de autenticacin.
185
186
Confirme que la hora de sistema del IVE est sincronizada con la hora del
sistema del servidor SiteMinder. Si las dos horas de sistema son muy
divergentes, los ajustes de tiempo de espera pueden funcionar de forma
incorrecta, rechazando sus intentos de iniciar sesin.
187
188
189
Las tareas principales que debe completar para admitir el IVE como la parte de
confianza con el perfil POST son:
de artefacto.
190
NOTA:
Puede usar el cdigo de estado 302 para indicar que el recurso solicitado
reside temporalmente en una URL diferente.
191
4. Haga clic en Save Changes. Si crea la instancia de servidor por primera vez,
aparecen las fichas Settings y Users.
La ficha Settings permite modificar cualquiera de los ajustes relativos a la
instancia de servidor SAML y el perfil de artefacto. La ficha Users indica los
usuarios vlidos del servidor.
193
194
Captulo 8
Territorios de autenticacin
Un territorio de autenticacin especifica las condiciones que los usuarios deben
cumplir para iniciar sesin en el IVE. Un territorio consiste en un grupo de recursos
de autenticacin, que incluye:
195
NOTA: Si el servidor LDAP est inactivo, la autenticacin del usuario falla. Puede
encontrar mensajes y advertencias en los archivos de registro de eventos. Con un
servidor de atributos inactivo, la autenticacin de usuario no falla, sino que la lista
de grupos o atributos para la asignacin de roles y evaluacin de directivas est
vaca.
196
b.
c.
Use la opcin Refresh interval para especificar la frecuencia con que desea
que el IVE debe llevar a cabo una evaluacin automtica de directivas a
todos los usuarios de territorios actualmente en sesin. Especifique los
minutos (de 5 a 1440).
b.
Seleccione Refresh roles para actualizar los roles de todos los usuarios de
este territorio. (Esta opcin no controla el mbito del botn Refresh Now.)
c.
197
Use el botn Refresh Now en ocasiones en que los usuarios no puedan verse
afectados.
9. Haga clic en Save Changes para crear el territorio en el IVE. Aparecen las fichas
General, Authentication Policy y Role Mapping del territorio de autenticacin.
10. Realice los siguientes pasos de configuracin:
a.
b.
198
Nombre de usuario
Atributo de usuario
Asociacin de grupo
Expresiones personalizadas
b.
Especificar a qu deben equivaler los valores, lo que puede incluir una lista
de nombres de usuario, valores de atributos de usuario de un servidor
RADIUS o LDAP, valores de certificado del lado cliente (estticos o
comparados con atributos de LDAP), grupos de LDAP o expresiones
personalizadas predefinidas.
200
Expresin 1: cacheCleanerStatus = 1
Segn estas expresiones, un usuario coincidira con esta regla si el Cache Cleaner
se estaba ejecutando en su sistema O (OR) si inici sesin en el IVE entre las 8:00
y las 5:00.
5. En Rule, especifique la condicin que desea evaluar, que corresponde al tipo de
regla que seleccione y consiste en:
a.
b.
Especificar a qu deben equivaler los valores, lo que puede incluir una lista
de nombres de usuario del IVE, valores de atributos de usuario de un
servidor RADIUS, SiteMinder o LDAP, valores de certificado del lado cliente
(estticos o valores de atributos de LDAP), grupos de LDAP o expresiones
personalizadas predefinidas.
Por ejemplo, puede escoger una cookie de atributos de usuario de
SiteMinder llamada department de la lista Attribute, elija is en la lista de
operadores e introduzca "sales" y "eng" en el cuadro de texto.
Tambin puede introducir una regla de expresin personalizada que se
refiera a la cookie de atributos de usuario de SiteMinder llamada
department:
userAttr.department = ("sales" and "eng")
202
b.
Seleccione Stop processing rules when this rule matches si desea que el
IVE deje de evaluar las reglas de asignacin de roles si el usuario cumple las
condiciones especificadas para esta reglas.
7. Haga clic en Save Changes para crear la regla en la ficha Role Mapping.
Una vez finalizada la creacin de las reglas:
Ordnelas segn la forma en que quiere que el IVE las evale. Esta tarea es
especialmente importante si desea detener el procesamiento de las reglas
de asignacin de roles una vez encontrada una coincidencia.
Tambin puede usar la ficha Groups para especificar grupos. Debe especificar
el Nombre completo totalmente calificado (FQDN) de un grupo, como
cn=Gerentesdecalidad, ou=HQ, ou=Juniper, o=com, c=US, pero puede
asignar una etiqueta para este grupo que aparece en la lista Groups. Tenga en
cuenta que slo puede acceder a esta ficha si accede al catlogo de servidores
de un servidor LDAP.
204
Figura 25: El atributo agregado al catlogo de servidores est disponible para la regla de
asignacin de roles
Figura 26: Catlogo de servidores > Ficha Groups: Agregar grupos de LDAP
206
Figura 27: Catlogo de servidores > Ficha Groups: Agregar grupos de Active Directory
Figura 28: Catlogo de servidores > Ficha Expressions: Agregar una expresin
personalizada
208
209
All realms: Muestra los ajustes seleccionados para todos los territorios
de usuarios.
210
Captulo 9
Los miembros del territorio Partners pueden iniciar sesin en el IVE con la
URL: partner1.yourcompany.com y partner2.yourcompany.com. Los usuarios que
inician sesin en la primera URL ven la pgina de inicio partners1, aquellos
que inician sesin en la segunda URL ven la pgina de inicio de sesin
partners2.
Los miembros del territorio Local (local) y Remote (remoto) pueden iniciar
sesin en el IVE con la URL: employees.yourcompany.com. Cuando lo hacen, ven
la pgina de inicio de sesin Employees.
211
Los miembros del territorio Admin Users pueden iniciar sesin en el IVE con
la URL: access.yourcompany.com/super. Cuando lo hacen, ven la pgina de
inicio de sesin Administrators.
NOTA: Si un usuario trata de iniciar sesin mientras hay otra sesin de usuario
activa con las mismas credenciales de inicio de sesin, el IVE muestra una pgina
de advertencia que muestra la direccin IP de la sesin existente y dos botones:
Continue y Cancel. Al hacer clic en el botn Cancel, el usuario termina el proceso
de inicio de sesin actual y es enviado nuevamente a la pgina Sign-in. Al hacer
clic en el botn Continue, el IVE crea la nueva sesin de usuario y finaliza la
sesin existente.
NOTA: Al activar mltiples URL de inicio de sesin, tenga en cuenta que en algunos
casos el IVE debe usar cookies en el equipo del usuario para determinar qu
URL de inicio de sesin y pgina de inicio de sesin correspondiente mostrar
al usuario. El IVE crea estas cookies cuando el usuario inicia sesin en el IVE.
(Cuando un usuario inicia sesin en el IVE, el IVE responde con una cookie que
incluye el territorio de inicio de sesin de la URL. Entonces el IVE adjunta esta
cookie a cada solicitud del IVE que el usuario hace). Generalmente, estas cookies
aseguran que el IVE muestre al usuario la URL y la pgina de inicio de sesin
correctas. Por ejemplo, si un usuario inicia sesin en el IVE con la URL
http://yourcompany.net/employees y luego su sesin caduca, el IVE usa
la cookie para determinar que debe mostrar la URL de inicio de sesin
http://yourcompany.net/employees y la pgina correspondiente al usuario cuando
solicita otro recurso del IVE.
No obstante, en casos aislados, es posible que la cookie del equipo del usuario no
coincida con el recurso al que se trata de tener acceso. El usuario puede iniciar
sesin en una URL y luego tratar de tener acceso a un recurso que est protegido
por una URL diferente. En este caso, el IVE muestra la URL de inicio de sesin y la
pgina de inicio de sesin correspondiente que el usuario utiliz recientemente.
Por ejemplo, un usuario puede iniciar sesin en el IVE con la URL de inicio de
sesin http://yourcompany.net/employees. A continuacin puede tratar de tener
acceso a un recurso del IVE mediante un vnculo en un servidor externo, como
https://yourcompany.net/partners/dana/term/winlaunchterm.cgi?host=<termsrvIP >.
Tambin puede tratar de abrir un marcador que haya creado durante otra sesin,
como
https://yourcompany.net/partners/,DanaInfo=.awxyBmszGr3xt1r5O3v.,SSO=U+.
En estos casos, el IVE mostrar la URL y la pgina de inicio de sesin
http://yourcompany.net/employees al usuario, en lugar de la URL o pgina de inicio
de sesin asociadas al vnculo externo o marcador guardado al que se est
tratando de tener acceso.
212
213
Para especificar que todas las URL de administrador deben usar la pgina
de inicio de sesin, introduzca */admin.
NOTA: Slo puede utilizar caracteres comodn (*) al comienzo de la parte del
7. (Slo URL del usuario) En el campo Meeting URL, seleccione la URL de reunin
que usted quiere asociar a esta directiva de inicio de sesin. El IVE aplica la URL
de reunin especificada a cualquier reunin creada por un usuario que inicia
sesin en esta URL de usuario.
8. En Authentication realm, especifique qu territorio se asigna a la directiva
y cmo los usuarios y administradores deben elegir entre los territorios.
Si selecciona:
User types the realm name: El IVE asigna la directiva de inicio de sesin
a todos los territorios de autenticacin, pero no proporciona una lista de
territorios entre los cuales el usuario o el administrador puedan elegir, sino
que el usuario o administrador deben introducir manualmente su nombre
de territorio en la pgina de inicio de sesin.
215
Con acceso slo con autorizacin, no hay SSO desde el IVE. Su infraestructura de
AAA de terceros controla el SSO.
216
Permitir exploracin de sitios Web SSL no fiables (Users > User Roles >
Nombre de rol > Web > Options > View advanced options)
Tiempo de espera de conexin de HTTP (Users > User Roles > Nombre
de rol > Web > Options > View advanced options)
Restricciones de IP de origen (Users > User Roles > Nombre de rol >
General > Restrictions)
Restricciones de exploracin (Users > User Roles > Nombre de rol >
General > Restrictions)
Si desea habilitar a los usuarios para iniciar sesin en las reuniones con
todos los nombres de host definidos en la URL de usuario asociada, use
el carcter comodn * en su definicin de URL de reunin. Por ejemplo,
podra asociar los siguientes host a la URL de usuario.
YourInternalServer.YourCompany.net
YourExternalServer.YourCompany.com
217
http://YourInternalServer.YourCompany.net/OnlineConference
http://YourExternalServer.YourCompany.com/OnlineConference
Si crea una URL de reunin que incluye el carcter comodn * y activa las
notificaciones de correo electrnico, el IVE crea la URL de reunin en el
correo electrnico de notificacin con el nombre de host especificado por
el usuario cuando inicia sesin en el IVE. Por ejemplo, un usuario podra
iniciar sesin en el IVE con la siguiente URL del ejemplo anterior:
http://YourInternalServer.YourCompany.net
Si slo desea habilitar a los usuarios para que inicien sesin en reuniones
con un subconjunto de los nombres de host definidos en la URL de usuario
asociada o si desea requerir que los usuarios utilicen una URL
completamente diferente para iniciar sesin en reuniones, no incluya el
carcter comodn en la definicin de la URL de reunin. En lugar de ello,
cree una definicin de URL de reunin especfica.
Por ejemplo, puede crear la siguiente definicin de URL de reunin y
asociarla a la URL de usuario del ejemplo anterior con el fin de especificar
que todas las reuniones contienen vnculos slo al servidor externo:
YourExternalServer.YourCompany.com/OnlineConference
218
Si indica las directivas en este orden en la pgina Sign-in Policies, el IVE nunca
evala ni utiliza la segunda directiva porque la primera URL abarca la segunda.
Aunque un administrador inicie sesin con la URL yourcompany.com/admin, el IVE
muestra la pgina de inicio de sesin del administrador predeterminada. Sin
embargo, si indica las directivas en el orden opuesto, el IVE muestra la pgina de
inicio de sesin de administrador personalizada a los administradores que tienen
acceso al IVE con la URL yourcompany.com/admin.
Tenga en cuenta que el IVE slo acepta caracteres comodines en la seccin de
nombre de host de la URL y compara las direcciones URL segn la ruta exacta.
Por ejemplo, puede definir dos directivas de inicio de sesin de administrador con
dos rutas de URL diferentes:
219
Pginas de inicio de sesin estndar: Estas pginas son creadas por Juniper
y se incluyen con todas las versiones del IVE. Puede modificar las pginas de
inicio de sesin estndar a travs de la ficha Authentication > Signing In >
Sign-in Pages de la consola de administracin. Para obtener ms informacin,
consulte Configuracin de las pginas de inicio de sesin estndares en la
pgina 221.
220
Puede modificar estas pginas o crear pginas nuevas que contengan texto,
logotipos, colores y texto de mensajes de error personalizados con los ajustes
de la ficha Authentication > Signing In > Sign-in Pages de la consola de
administracin.
Para crear o modificar una pgina de inicio de sesin estndar:
1. En la consola de administracin, elija Authentication > Signing In >
Sign-in Pages.
2. Si est:
3. (Slo pginas nuevas) En Page Type, especifique si sta es una pgina de acceso
de administrador o usuario o una pgina de reunin.
4. Introduzca un nombre para identificar la pgina.
5. En la seccin Custom text, revise el texto predeterminado utilizado para las
diversas etiquetas de pantalla que desee. Cuando agregue texto al campo
Instructions, tenga en cuenta que se puede formatear texto y agregar vnculos
a las siguientes etiquetas HTML: <i>, <b>, <br>, <font> y <a href>. Sin embargo,
el IVE no reescribe vnculos en la pgina de inicio de sesin (puesto que el
usuario an no se ha autenticado), de tal forma que slo debe dirigirse a sitios
externos. Los vnculos a los sitios situados detrs de un cortafuegos no
funcionarn.
NOTA: Si utiliza etiquetas HTML no admitidas en su mensaje personalizado, el IVE
puede mostrar la pgina de inicio de IVE del usuario final de forma incorrecta.
221
222
Captulo 10
223
224
225
Users > User Realms > Seleccionar territorio > Authentication Policy >
Password
Use configuraciones de la pgina Users > Resource Policies > Web >
Web proxy > Servers para especificar qu servidores Web desea proteger
con el proxy.
b.
Use configuraciones de la pgina Users > Resource Policies > Web >
Web proxy > Policies para especificar qu proxies desea usar y qu
servidores (arriba) desea que protejan los proxies. Puede especificar
recursos individuales en el servidor o el servidor entero.
Users > Resource Profiles > File Browsing Resource Profiles > [Perfil]
3. Si desea que los usuarios tengan acceso a servidores Web mediante un proxy,
configure el IVE para reconocer los servidores y proxies adecuados usando
configuraciones en las siguientes pginas de la consola de administracin:
228
a.
Use configuraciones de la pgina Users > Resource Policies > Web >
Web proxy > Servers para especificar qu servidores Web desea proteger
con el proxy.
b.
Use configuraciones de la pgina Users > Resource Policies > Web >
Web proxy > Policies para especificar qu proxies desea usar y qu
servidores (arriba) desea que protejan los proxies. Puede especificar
recursos individuales en el servidor o el servidor entero.
230
vaca. Quizs le interese hacer para poder asignar usuarios a roles que dependan
de una autenticacin correcta. Por ejemplo, la siguiente expresin asigna a
usuarios al rol MoreAccess si se hizo la autenticacin correcta en el servidor de
autenticacin secundario ACE server:
user@{ACE Server} != "" then assign role MoreAccess
Observe que se muestra Ace server entre llaves dado que el nombre del servidor
de autenticacin contiene espacios.
Web SSO, Terminal Services o Telnet/SSH: El IVE enva las credenciales que
especifica mediante la consola de administracin como <username> (que enva
las credenciales principales del usuario al recurso) o <username[2]> (que enva
las credenciales secundarias del usuario al recurso). O si el usuario ha
introducido un nombre de usuario y contrasea diferentes a travs de la
consola de usuario final, el IVE enva las credenciales especificadas por
el usuario.
b.
c.
232
e.
f.
b.
c.
NOTA:
Para obtener ms informacin sobre cmo el IVE usa autenticacin mltiple dentro
del proceso de autenticacin y autorizacin ms grande de IVE, consulte Vista
general de las directivas, reglas, restricciones y condiciones en la pgina 52.
Configuracin de SAML
El IVE le permite transmitir informacin de usuario y estado de sesin entre el IVE
y otro sistema de administracin de accesos fiable que admita (SAML). SAML
proporciona un mecanismo para que dos sistemas diferentes creen e intercambien
informacin de autenticacin y autorizacin usando un marco XML, minimizando
la necesidad de que los usuarios tengan que volver a introducir sus credenciales
cuando tienen acceso a mltiples aplicaciones o dominios1. El IVE admite SAML
versin 1.1.
Los intercambios de SAML dependen de una relacin fiable entre dos sistemas
o dominios. En los intercambios, un sistema acta como una autoridad SAML
(tambin llamada parte confirmadora o respondedor SAML) que confirma la
informacin sobre el usuario. El otro sistema acta como una parte receptora
(tambin llamada receptor SAML) que confa en la declaracin (tambin llamada
confirmacin) proporcionada por la autoridad SAML. Si elige confiar en la autoridad
SAML, la parte receptora autentica o autoriza al usuario basado en la informacin
proporcionada por la autoridad SAML.
El IVE admite dos contextos de caso de uso de SAML:
1. El Secure Access Markup Language es desarrollado por Security Services Technical Committee (SSTC) de la
organizacin de estndares OASIS. Para obtener informacin general tcnica de SAML, consulte el sitio Web de
OASIS: http://www.oasis-open.org/committees/download.php/5836/sstc-saml-tech-overview-1.1-draft-03.pdf
234
Configuracin de SAML
The IVE as the SAML receiver: El usuario inicia sesin en otro sistema en la red
primero, y el IVE es el receptor SAML, que confa en el otro sistema para
autenticacin y autorizacin del usuario.
Configuracin de SAML
235
NOTA:
236
Configuracin de SAML
237
238
b.
c.
b.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
239
Use the SAML SSO defined below: El IVE ejecuta una solicitud de inicio de
sesin nico (SSO) a la URL especificada usando los datos especificados en
la seccin SAML SSO details. El IVE hace la solicitud de SSO cuando un
usuario intenta tener acceso a un recurso de SAML especificad en la lista
de Resources.
NOTA: Si introduce una URL que comienza con HTTPS, debe instalar la CA raz del
servicio de confirmacin de usuarios en el IVE (como se explica en Configuracin
de certificados en la pgina 250).
Issuer: Introduzca una cadena nica que el IVE pueda usar para identificar
cuando genere confirmaciones (por lo general, su nombre de host).
240
NOTA: Si selecciona esta opcin, debe instalar CA raz del servicio de confirmacin
241
242
NOTA: Si configura el IVE para usar perfiles POST, debe instalar la CA raz del
servicio de confirmacin de usuarios en el IVE y determinar qu mtodo usa el
servicio de confirmacin de usuarios para aprobar el certificado (como se explica
en Configuracin de certificados en la pgina 250).
b.
c.
b.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
243
Use the SAML SSO defined below: El IVE ejecuta una solicitud de inicio de
sesin nico (SSO) a la URL especificada usando los datos especificados en
la seccin SAML SSO details. El IVE hace la solicitud de SSO cuando un
usuario intenta tener acceso a un recurso de SAML especificad en la lista
de Resources.
Issuer: Introduzca una cadena nica que el IVE pueda usar para identificar
cuando genere confirmaciones (por lo general, su nombre de host).
244
11. Cookie Domain: Introduzca una lista de dominios separados por coma a los
cuales enviar la cookie de SSO.
12. Haga clic en Save Changes.
13. En la pgina SAML SSO Policies, ordene las directivas en el orden en el que
desee que el IVE las evale. Tenga presente que una vez que el IVE compara el
recurso solicitado por el usuario con un recurso en una lista de Resource de la
directiva (o una regla detallada), realiza la accin especificada y detiene las
directivas de procesamiento.
245
b.
c.
246
a.
b.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Use the SAML Access Control checks defined below: El IVE ejecuta una
comprobacin de control de acceso a la URL especificada usando los datos
especificados en la seccin SAML Access Control Details.
SAML Web Service URL: Introduzca la URL del servidor SAML del sistema
de administracin de accesos. Por ejemplo, https://hostname/ws.
Issuer: Introduzca el nombre de host del emisor, que suele ser el nombre
de host del sistema de administracin de accesos.
NOTA: Debe introducir una cadena nica que el servicio Web de SAML Web utiliza
para identificarse en confirmaciones de autorizacin (como se explica en
Configuracin de un emisor en la pgina 250).
247
NOTA: Debe enviar un nombre de usuario o atributo que el servicio Web de SAML
reconocer (como se explica en Configuracin de la identidad de usuario en la
pgina 253).
NOTA: Si selecciona esta opcin, debe instalar el certificado del servidor Web de
IVE en el servidor Web del sistema de administracin de accesos y determinar
qu mtodo usa el servicio Web de SAML para aprobar el certificado (como se
explica en Configuracin de certificados en la pgina 250).
248
249
A continuacin se presenta una lista con los diferentes tipos de transacciones y URL
que debe configurar para cada cual:
Configuracin de un emisor
Antes de aceptar una declaracin de otro sistema, una entidad habilitada por SAML
debe confiar en el emisor de la declaracin. Puede controlar en qu emisores confa
un sistema especificando cadenas nicas de los emisores fiables durante la
configuracin del sistema. (Cuando enva una declaracin, un emisor se identifica a
s mismo al incluir su cadena nica en la declaracin. Las aplicaciones habilitadas
por SAML generalmente usan nombres de hosts para identificar emisores, pero el
estndar SAML permite que las aplicaciones usen cualquier cadena.) Si no configura
un sistema para reconocer una cadena nica de un emisor, el sistema no aceptar
esas declaraciones del emisor.
A continuacin se presenta una lista con los diferentes tipos de transacciones y
emisores que debe configurar para cada cual:
Configuracin de certificados
Dentro de las transacciones de SSL, el servidor debe presentar un certificado al
cliente y despus el cliente debe comprobar (como mnimo) que confa en la
autoridad de certificado que emiti el certificado del servidor antes de aceptar la
informacin. Puede configurar todas las transacciones de SAML de IVE para usar
SSL (HTTPS). Las siguientes secciones tienen una lista de los diferentes tipos de
transacciones y requisitos de certificados para cada una.
250
Sending artifacts over an SSL connection (HTTPS GET requests): Si opta por
enviar artefactos al sistema de administracin de accesos usando una conexin
de SSL, debe instalar el certificado de CA raz del sistema de administracin de
accesos en el IVE. (En una conexin de SSL, el iniciador debe confiar en el
sistema al cual se est conectando). Al instalar el certificado de CA del sistema
de administracin de accesos en el IVE, asegura que el IVE confiar en la CA
que emiti el certificado del sistema de administracin de accesos.) Puede
instalar la CA raz desde la pgina System > Configuration > Certificates >
Trusted Client CAs en la consola de administracin. Para obtener ms
informacin, consulte Uso de CA de cliente de confianza en la pgina 758.
Si no desea enviar artefactos a travs de una conexin SSL, no necesita instalar
ningn certificado adicional.
Para activar comunicaciones basadas en SSL desde el IVE para el sistema de
administracin de accesos, introduzca una URL que comience con HTTPS en
el campo SAML Assertion Consumer Service URL durante la configuracin
de IVE. Tambin puede necesitar activar SSL en el sistema de administracin
de accesos.
251
Sending Sending POST data over an SSL connection (HTTPS): Si elige enviar
declaraciones al sistema de administracin de accesos usando una conexin de
SSL, debe instalar el certificado de CA raz del sistema de administracin de
accesos en el IVE. (En una conexin de SSL, el iniciador debe confiar en el
sistema al cual se est conectando). Al instalar en el IVE el certificado del
sistema de administracin de accesos, asegura que el IVE confiar en la CA que
emiti el certificado del sistema de administracin de accesos.) Puede instalar
la CA raz desde la pgina System > Configuration > Certificates > Trusted
Client CAs en la consola de administracin. Para obtener ms informacin,
consulte Uso de CA de cliente de confianza en la pgina 758. Si no desea
enviar declaraciones post a travs de una conexin SSL, no necesita instalar
ningn certificado adicional.
Para activar comunicaciones basadas en SSL desde el IVE para el sistema de
administracin de accesos, introduzca una URL que comience con HTTPS en
el campo SAML Assertion Consumer Service URL durante la configuracin
de IVE. Tambin puede necesitar activar SSL en el sistema de administracin
de accesos.
252
253
254
Parte 3
255
256
Captulo 11
Host Checker
Host Checker es un agente del lado cliente que realiza comprobaciones de los
puntos finales en los hosts que se conectan al IVE. Puede invocar el Host Checker
antes de mostrar al usuario la pgina de inicio de sesin del IVE y cuando evale
una regla de asignacin de roles o una directiva de recursos.
El IVE y Host Checker cumplen con las normas emitidas por el subgrupo
Trusted Network Connect (TNC) de Trusted Computing Group. Para obtener
ms informacin acerca de IMV e IMC, visite www.trustedcomputinggroup.org.
257
El IVE puede buscar propiedades de los puntos finales en los hosts usando varios
tipos de reglas; por ejemplo, reglas que comprueban la presencia e instalan
proteccin contra malware; reglas predefinidas que buscan software antivirus,
cortafuegos, malware, spyware, sistemas operativos especficos, DLL de terceros,
puertos, procesos, archivos, valores de la clave de registro, el nombre del NetBIOS,
la direccin MAC o el certificado del equipo cliente.
258
Para aplicar las directivas de Host Checker cuando el usuario tenga acceso
por primera vez al IVE, implemente las directivas a nivel de territorio
usando las pginas Administrators > Admin Realms > Seleccionar
territorio > Authentication Policy > Host Checker o Users > User
Realms > Seleccionar territorio > Authentication Policy > Host Checker
de la consola de administracin.
260
Si existe ms de una sesin vlida del IVE desde el mismo sistema y se usa
Host Checker en esas sesiones, todas las sesiones finalizarn cuando un usuario se
desconecte de una de las sesiones. Para evitar esto, desactive Host Checker en las
sesiones que no lo necesitan.
262
264
5. Haga clic en Save Changes. El IVE habilita las siguientes directivas avanzadas
de deteccin de malware para la defensa de los puntos finales:
Si cuenta con licencias GINA y Whole Security, debe recordar que GINA se
ejecuta antes de que el usuario inicie sesin en Windows y que la descarga del
software Confidence Online de Whole Security ocurre despus de que el
usuario inicia sesin en Windows. Por lo tanto, Whole Security no realiza la
proteccin contra malware establecida hasta despus que Windows inicia
sesin. Si usa Network Connect, Host Checker, GINA y Whole Security,
pero el usuario final no est en modo de usuario cuando su sistema intenta
iniciar Host Checker, es posible que reciba mensajes de error. Asegrese de
que el sistema est configurado para iniciar GINA antes del inicio de sesin de
Windows y para iniciar Whole Security despus del inicio de sesin.
266
5. Especifique la forma en que Host Checker debe evaluar las distintas reglas
dentro de la directiva usando las instrucciones en Evaluacin de varias reglas
en una directiva nica de Host Checker en la pgina 284.
6. (Recomendado) Especifique las opciones de correccin para usuarios cuyos
equipos no cumplen con los requisitos especificados en la directiva.
Para obtener instrucciones, consulte Configuracin de la correccin general de
Host Checker en la pgina 305. (Si no crea instrucciones para lograr la
correccin y la directiva no se cumple, los usuarios no conocern los motivos
por los que no pueden tener acceso a sus recursos.)
7. Implemente la directiva en los niveles de directivas de territorio, rol o recurso
usando las opciones descritas en Configuracin de las restricciones de Host
Checker en la pgina 301.
267
Predefined: AntiVirus: Seleccione esta opcin para crear una regla que
busque el software antivirus que usted especifique y para especificar las
opciones de correccin. Consulte Configuracin de una regla de antivirus
predefinida con opciones de correccin en la pgina 269.
Predefined: Firewall: Seleccione esta opcin para crear una regla que
busque el software de cortafuegos que usted especifique y para especificar
las opciones de correccin. Consulte Configuracin de una regla de
cortafuegos predefinida con opciones de correccin en la pgina 272.
Predefined: Malware: Seleccione esta opcin para crear una regla que
busque el software de proteccin contra malware que usted especifique.
Predefined: Spyware: Seleccione esta opcin para crear una regla que
busque el software de proteccin contra spyware que usted especifique.
Consulte Configuracin de una regla predefinida de Spyware en la
pgina 273.
Predefined: OS Checks: Seleccione esta opcin para crear una regla que
busque sistemas operativos Windows y las versiones mnimas del paquete
de actualizacin que usted especifique. (Cualquier paquete de actualizacin
de versin igual o mayor a la que usted especifique cumplir con la
directiva.) Consulte
Para crear una regla de Host Checker usando reglas de comprobacin de sistemas
operativos predefinidas o reglas de malware predefinidas:
1. En la consola de administracin, seleccione Authentication > Endpoint
Security > Host Checker.
2. Cree una directiva nueva siguiendo las instrucciones que se encuentran en
Creacin y configuracin de nuevas directivas del lado cliente en la
pgina 267 o haga clic en la seccin Policies de la pgina de una directiva
existente.
3. En Rule Settings, elija una de las siguientes opciones y haga clic en Add:
268
Predefined Malware
Predefined OS Checks
7. En Optional, seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva de los puntos finales. Si esta
casilla de verificacin est seleccionada y ocurre un cambio en el estado de
cumplimiento de un punto final que ha iniciado sesin correctamente,
el IVE establecer la conexin nuevamente para reevaluar las asignaciones de
territorio o de roles.
NOTA: Si se elimina o detiene el servicio TNCC subyacente, el punto final puede
permanecer en la red, posiblemente sin cumplir con la directiva, hasta que se
actualice la siguiente directiva de Host Checker. Para obtener ms informacin
sobre TNCC, consulte La arquitectura TNC dentro de Host Checker en la
pgina 257.
269
270
la casilla de verificacin est activa (se puede hacer clic) si su producto admite
la accin.
Si su producto antivirus no est admitido, puede hacer clic en los encabezados
de las columnas de correccin para determinar qu proveedores y productos
estn admitidos.
10. Si su producto est admitido, seleccione la casilla de verificacin para todas las
acciones de correccin que desee aplicar.
11. En Optional, seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva de los puntos finales. Si esta
casilla de verificacin est seleccionada y ocurre un cambio en el estado de
cumplimiento de un punto final que ha iniciado sesin correctamente,
el IVE establecer la conexin nuevamente para reevaluar las asignaciones de
territorio o de roles.
NOTA: Si se elimina o detiene el servicio TNCC subyacente, el punto final puede
permanecer en la red, posiblemente sin cumplir con la directiva, hasta que se
actualice la siguiente directiva de Host Checker. Para obtener ms informacin
sobre TNCC, consulte La arquitectura TNC dentro de Host Checker en la
pgina 257.
271
12. Haga clic en Save Changes para guardar la regla de antivirus y aplicar la
correccin de antivirus.
13. De forma opcional, puede agregar reglas adicionales a la directiva, especificar
la forma en la que Host Checker evala las distintas reglas dentro de la directiva
y definir las opciones de correccin siguiendo las instrucciones en Creacin y
configuracin de nuevas directivas del lado cliente en la pgina 267.
272
273
274
Para configurar el IVE de modo que importe automticamente las listas actuales de
supervisin de la versin de la firma de virus y de supervisin de la versin de
administracin de parches desde el sitio de pruebas de Juniper:
1. Seleccione Authentication > Endpoint Security > Host Checker.
2. Haga clic en Virus signature version monitoring o en Patch Management Info
Monitoring.
3. Seleccione los datos Auto-update virus signatures list o Auto-update Patch
Management.
4. En Download path, deje la URL existente de los sitios de pruebas donde se
almacenan las listas actuales. Las URL predeterminadas son las rutas a los sitios
de prueba de Juniper Networks:
https://download.juniper.net/software/av/uac/epupdate_hist.xml
(para listas de firmas de virus de actualizacin automtica)
https://download.juniper.net/software/hc/patchdata/patchupdate.dat
275
276
permitir. Por ejemplo, si crea una directiva para Host Checker en Windows,
pero no crea una para Mac o Linux, los usuarios que inicien sesin en el IVE desde
un equipo Mac o Linux no cumplirn con la directiva de Host Checker y, por lo
tanto, no podrn tener acceso al territorio, rol o recurso al que est aplicando
Host Checker.
4. En Rule Settings, elija las opciones en las siguientes secciones y haga clic en
Add. Aparecer la pgina Add Custom Rule para el tipo de regla.
Custom: Remote IMV: Use este tipo de regla para configurar el software de
medicin de integridad que un cliente debe ejecutar para verificar un
aspecto especial de la integridad del cliente, como su sistema operativo,
el nivel de parche o la proteccin de virus.
3rd Party NHC Check (solo en Windows): Use este tipo de regla para
especificar la ubicacin de un DLL personalizado. Host Checker se
comunica con el DLL para realizar comprobaciones personalizadas del lado
cliente. Si el DLL devuelve un valor acertado al Host Checker, entonces el
IVE considera que la regla se cumpli. En la pgina de configuracin de
3rd Party NHC Check:
i.
ii.
277
Ports: Use este tipo de regla para controlar las conexiones de red que un
cliente puede generar durante una sesin. Este tipo de reglas asegura que
determinados puertos estn abiertos o cerrados en el equipo cliente antes
de que el usuario pueda tener acceso al IVE. En la pgina de configuracin
de Ports:
i.
ii.
iii. Seleccione Required para requerir que estos puertos estn abiertos en
el equipo cliente o Deny para requerir que estn cerrados.
iv. En Optional, seleccione Monitor this rule for change in result para
supervisar continuamente el cumplimiento de la directiva de los
puntos finales. Si esta casilla de verificacin est seleccionada y ocurre
un cambio en el estado de cumplimiento de un punto final que ha
iniciado sesin correctamente, el IVE establecer la conexin
nuevamente para reevaluar las asignaciones de territorio o de roles.
v.
Process: Use este tipo de regla para controlar el software que un cliente
puede generar durante una sesin. Este tipo de reglas asegura que
determinados procesos se estn ejecutando o no en el equipo cliente antes
de que el usuario pueda tener acceso a recursos protegidos por el IVE.
En la pgina de configuracin de Processes:
i.
ii.
NOTA: Para sistemas Linux, Macintosh y Solaris, el proceso que se est detectando
se debe iniciar usando una ruta absoluta.
278
iii. Seleccione Required para solicitar que este proceso se ejecute o Deny
para solicitar que este proceso no se ejecute.
iv. Especifique el valor de la suma de comprobacin MD5 de cada archivo
ejecutable para el que desee que se aplique la directiva (opcional).
Por ejemplo, un archivo ejecutable puede tener distintos valores de la
suma de comprobaciones MD5 en un equipo de escritorio, en un
porttil o en sistemas operativos diferentes. En un sistema que tenga
instalado OpenSSL, como muchos sistemas Macintosh, Linux y Solaris
que tienen instalado OpenSSL de forma predeterminada, puede
determinar la suma de comprobaciones MD5 usando este comando:
openssl md5 <processFilePath>
v.
File: Use este tipo de regla para asegurar que determinados archivos estn
presentes o no en el equipo cliente antes de que el usuario pueda tener
acceso al IVE. Tambin puede usar comprobaciones de archivos para
evaluar la antigedad y el contenido (a travs de las sumas de
comprobaciones MD5) de los archivos requeridos y permitir o denegar
acceso dependiendo de ello. En la pgina de configuracin de Files:
i.
ii.
279
v.
vii. Seleccione Monitor this rule for change in result para supervisar
continuamente el cumplimiento de la directiva en los puntos finales.
Si esta casilla de verificacin est seleccionada y ocurre un cambio en
el estado de cumplimiento de un punto final que ha iniciado sesin
correctamente, el IVE establecer la conexin nuevamente para
reevaluar las asignaciones de territorio o de roles.
viii. Haga clic en Save Changes.
Registry Setting (Solo en Windows): Use este tipo de regla para controlar
las imgenes, ajustes del sistema y ajustes de software del equipo
corporativo que debe tener un cliente para entrar al IVE. Este tipo de reglas
asegura que determinadas claves de registro estn configuradas en el
equipo cliente antes de que el usuario pueda tener acceso al IVE. Tambin
puede usar comprobaciones del registro para evaluar la antigedad de los
archivos requeridos y permitir o denegar acceso dependiendo de ello.
En la pgina de configuracin de Registry Settings:
i.
ii.
280
vii. En Optional, seleccione Monitor this rule for change in result para
supervisar continuamente el cumplimiento de la directiva de los
puntos finales. Si esta casilla de verificacin est seleccionada y ocurre
un cambio en el estado de cumplimiento de un punto final que ha
iniciado sesin correctamente, el IVE establecer la conexin
nuevamente para reevaluar las asignaciones de territorio o de roles.
Puede configurar las acciones de correccin de los ajustes de registro
con Host Checker. Si un cliente intenta iniciar sesin y el equipo cliente
no cumple con los requisitos especificados, Host Checker puede
intentar corregir las diferencias para permitir que el cliente inicie
la sesin.
viii. Seleccione la casilla de verificacin Set Registry value specified in
criteria.
ix. Haga clic en Save Changes.
NetBIOS (slo en Windows pero no incluye Windows Mobile): use este tipo
de regla para comprobar el nombre del NetBIOS del equipo cliente antes de
que el usuario pueda tener acceso al IVE. En la pgina de configuracin de
NetBIOS:
i.
ii.
281
iii. Seleccione Required para requerir que el nombre del NETBIOS del
equipo cliente coincida con los nombres que usted especifique,
o Deny para requerir el nombre no coincida con ninguno.
iv. Haga clic en Save Changes.
MAC Address (slo en Windows): Use este tipo de regla para comprobar las
direcciones MAC en el equipo cliente antes de que el usuario pueda tener
acceso al IVE. En la pgina de configuracin de MAC Address:
i.
ii.
iii. Seleccione Required para solicitar que una direccin MAC del equipo
cliente concuerde con las direcciones que usted especifique,
o seleccione Deny para solicitar que todas las direcciones no
concuerden. Un equipo cliente tendr al menos una direccin MAC
para cada conexin de red, tal como Ethernet, inalmbrica y VPN.
El requisito de esta regla se cumple si hay una concordancia entre
cualquiera de las direcciones especificadas y cualquiera de las
direcciones MAC del equipo cliente.
iv. Haga clic en Save Changes.
NOTA: Debido a que la direccin MAC puede cambiar en algunas tarjetas de red,
esta comprobacin no garantiza que un equipo cliente cumpla los requisitos de la
directiva de Host Checker.
282
ii.
Descripcin
Ejemplo
*.txt
app-?.exe
En una regla de Custom File para Windows, puede usar las siguientes variables de
entorno para especificar la ruta del directorio a un archivo:
Tabla 16: Variables de entorno para especificar una ruta del directorio en Windows
Variable de entorno
<%APPDATA%>
<%windir%>
C:\WINDOWS
<%ProgramFiles%>
C:\Program Files
<%CommonProgramFiles%>
<%USERPROFILE%>
<%HOMEDRIVE%>
C:
<%Temp%>
283
En una regla de Custom File para Macintosh, Linux y Solaris, puede usar las
siguientes variables de entorno para especificar la ruta del directorio a un archivo:
Tabla 17: Variables de entorno para especificar una ruta del directorio en Macintosh,
Linux y Solaris
Ejemplo del valor en Linux
y Solaris
Variable de entorno
<%java.home%>
/System/Library/Frameworks/JavaVM /local/local/java/j2sdk1.4.1_02/
.framework/ Versions/1.4.2/Home
jre
<%java.io.tmpdir%>
/tmp
/tmp
<%user.dir%>
/Users/admin
/home-shared/cknouse
<%user.home%>
/Users/admin
/home/cknouse
NOTA: Aunque las variables de entorno tienen el mismo formato que las directivas
284
All of the above rules: Seleccione esta opcin para especificar que el
equipo del usuario debe devolver un valor acertado para todas las reglas de
la directiva a fin de obtener acceso.
Any of the above rules: Seleccione esta opcin para especificar que el
equipo del usuario debe devolver un valor acertado para cualquiera de las
reglas de la directiva a fin de obtener acceso.
Custom: Seleccione esta opcin para personalizar las reglas que el equipo
del usuario debe cumplir para obtener acceso. Luego, cree la regla
personalizada usando las instrucciones del siguiente paso.
Use los operadores AND o && para requerir que dos reglas o grupos de
reglas devuelvan un valor acertado.
Use los operadores OR o || para requerir que alguna de dos reglas o grupos
de reglas devuelva un valor acertado.
285
286
b.
c.
b.
c.
f.
287
g.
b.
c.
288
289
ii.
iii. Presione las teclas ALT-F y luego la tecla S para guardar el archivo.
iv. Presione las teclas ALT-F y luego la tecla X para salir del editor.
v.
290
ii.
291
serial = $dir/serial
private_key = $dir/ca.key
default_days = 365
default_md = md5
policy = policy_any
email_in_dn = no
name_opt = ca_default
cert_opt = ca_default
copy_extensions = none
[ policy_any ]
countryName = supplied
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
viii. Escriba el siguiente comando para generar un CSR para el servidor IMV
remoto:
openssl req new key rimvs_key.pem out rimvs_csr.pem
292
5. En el servidor IMV remoto, escoja Programs > Juniper Networks > Remote
IMV Server > Remote IMV Server Configurator en el men Start.
6. En Client Info, haga clic en Add.
7. Configure el puerto que atender las solicitudes SOAP desde el IVE.
8. Introduzca la direccin IP del cliente, la cantidad de direcciones que se usarn
y el secreto compartido que usarn tanto el IVE como el servidor IMV remoto.
9. Si desea, cambie los ajustes de creacin de registros (el registro se genera en el
directorio de instalacin).
10. Busque el archivo PKCS#12 que gener en el sistema de archivos.
11. Especifique la contrasea asociada al certificado.
12. En la consola de administracin IVE, use la lengeta System > Configuration
> Certificates > Trusted Server CAs para importar el certificado CA de raz de
confianza de la CA que emiti el certificado para el servidor IMV remoto.
Si us OpenSSL para generar el certificado de servidor del Servidor IMV
remoto, ste es: demoCA\cacert.pem.
Si no us OpenSSL para generar este certificado, asegrese de que el archivo
que importe tiene el certificado CA (no el certificado de raz).
13. Haga clic en Import Trusted Server CA y busque el certificado de servidor que
us en el servidor IMV remoto.
14. Agregue el nuevo servidor IMV remoto en Especificacin del servidor IMV
remoto en la pgina 293.
293
b.
c.
4. En Remote IMV, haga clic en New IMV para especificar el IMV de terceros.
5. En la pgina New IMV:
a.
Cree una etiqueta para el IMV usando los campos Name y (opcionalmente)
Description.
b.
En el campo IMV Name, introduzca el nombre del IMV. Este nombre debe
coincidir con el nombre legible en la clave de registro conocida del IMV
en el servidor IMV remoto. Para obtener ms informacin acerca de
nombres legibles y la clave de registro conocida, visite
www.trustedcomputinggroup.org.
c.
294
b.
c.
6. Especifique la forma en que Host Checker debe evaluar las distintas reglas
dentro de la directiva usando las instrucciones en Evaluacin de varias reglas
en una directiva nica de Host Checker en la pgina 284.
7. (Recomendado) Especifique las opciones de correccin para usuarios cuyos
equipos no cumplen con los requisitos especificados en la directiva.
Para obtener instrucciones, consulte Configuracin de la correccin general de
Host Checker en la pgina 305.
8. Haga clic en Save Changes.
9. Implemente la directiva en los niveles de territorio o rol usando las opciones
descritas en Configuracin de las restricciones de Host Checker en la
pgina 301.
295
es equivalente a:
rule1 == Allow OR rule2 == Allow
296
3. Cargar el o los paquetes de Host Checker al IVE siguiendo las instrucciones que
se encuentran en Habilitacin de directivas personalizadas del lado del
servidor en la pgina 296. Puede cargar varios paquetes de directivas al IVE,
cada uno con un archivo MANIFEST.HCIF diferente.
NOTA: Despus de cargar un paquete de directivas de Host Checker al IVE,
no podr modificar los contenidos del paquete en el servidor. En cambio,
deber modificar el paquete en su sistema local y luego cargar la versin
modificada al IVE.
Host Checker crea tneles para todas las definiciones de tneles en todos los
archivos MANIFEST.HCIF, siempre y cuando las definiciones sean nicas. Para
ver la lista de definiciones de tneles de acceso de autenticacin previa para un
paquete de directivas, haga clic en el nombre del paquete de directivas bajo 3rd
Party Policy en la pgina Host Checker Configuration. El IVE muestra una lista
de las definiciones de tneles bajo Host Checker Preauth Access Tunnels en la
pgina 3rd Party Policy.
4. Implemente la directiva en los niveles de directivas de territorio, rol o recurso
usando las opciones descritas en Configuracin de las restricciones de Host
Checker en la pgina 301. Si desea verificar que el paquete se instal y se est
ejecutando en el equipo del cliente (y no si se cumple o no una directiva
especfica del paquete), puede usar el nombre que especific cuando carg el
paquete de directivas (por ejemplo, myPestPatrol). Para aplicar una directiva en
particular en el paquete, use la sintaxis <PackageName>.<PolicyName>.
Por ejemplo, para aplicar la directiva FileCheck en el paquete myPestPatrol,
use myPestPatrol.FileCheck. Para obtener instrucciones, consulte Configuracin
de las restricciones de Host Checker en la pgina 301.
Para permitir una directiva personalizada del Host Checker del lado del servidor:
1. En la consola de administracin, seleccione Authentication > Endpoint
Security > Host Checker.
2. En Policies, haga clic en New 3rd Party Policy.
3. Introduzca un nombre para identificar su archivo zip en el IVE.
4. Busque el directorio local donde se encuentra el archivo zip.
5. (Opcional) Especifique las instrucciones y acciones de correccin para usuarios
cuyos equipos no cumplen con los requisitos especificados en la directiva.
Para obtener instrucciones, consulte Configuracin de la correccin general de
Host Checker en la pgina 305.
Combinacin de varias reglas de medicin de integridad con expresiones personalizadas
297
6. Haga clic en Save Changes. El IVE agrega las directivas definidas en el archivo
zip a la lista de directivas de la pgina del Host Checker.
7. Implemente las directivas en los niveles de directivas de territorio, rol o recurso
usando las opciones descritas en Configuracin de las restricciones de Host
Checker en la pgina 301.
298
Rol: Cuando el IVE determina la lista de roles vlidos para las que puede
asignar un administrador o un usuario, evala las restricciones de cada rol para
determinar si requiere que el equipo del usuario se adhiera a determinadas
directivas de Host Checker. Si es as, y el equipo del usuario no sigue las
directivas de Host Checker especificadas, el IVE no asignar al usuario dichos
roles a menos que configure acciones correctivas para ayudar al usuario a
lograr que su equipo cumpla las directivas. Puede configurar la asignacin de
roles usando los ajustes de la pgina Users > User Realms > Seleccionar
territorio > Role Mapping. Puede configurar restricciones a nivel de rol en la
pgina Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Host Checker de la consola de administracin o en la pgina
Users > User Roles> Seleccionar rol > General > Restrictions >
Host Checker.
Puede especificar que el IVE evale las directivas del Host Checker slo cuando el
usuario intenta tener acceso por primera vez al territorio, rol o recurso al que hace
referencia la directiva del Host Checker. Como alternativa, puede especificar que el
IVE evale de forma peridica las directivas a travs de la sesin del usuario. Si elige
evaluar peridicamente las directivas del Host Checker, el IVE asigna de forma
dinmica los usuarios a los roles y les permite acceder a nuevos recursos en funcin
de la evaluacin ms reciente.
300
b.
c.
Desplcese hasta:
Escoja una de las siguientes opciones para todas las directivas disponibles o
para directivas individuales que aparecen en la columna Available Policies:
b.
c.
Desplcese hasta:
Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Host Checker
Users > User Roles > Seleccionar rol > General > Restrictions >
Host Checker
Allow all users: No requiere que el Host Checker est instalado para
que el usuario cumpla el requisito de acceso.
Desplcese hasta: Users > User Realms > Seleccionar territorio > Role
Mapping.
b.
c.
302
e.
En la seccin ...then assign these roles, seleccione los roles que el IVE
debe asignar a los usuarios cuando cumplan los requisitos especificados en
la expresin personalizada y luego haga clic en Add.
f.
Seleccione Stop processing rules when this rule matches si desea que
el IVE deje de evaluar las reglas de asignacin de roles si el usuario cumple
satisfactoriamente con los requisitos definidos en esta reglas.
Desplcese hasta: Users > Resource Policies > Seleccionar recurso >
Seleccionar directiva > Detailed Rules.
b.
Haga clic en New Rule o seleccione una regla existente desde la lista
Detailed Rules.
c.
303
Para cada directiva de Host Checker, puede configurar dos tipos de acciones de
correccin:
Puede habilitar estas acciones correctivas tanto en las directivas del lado cliente
como de lado del servidor. Para obtener instrucciones acerca de la configuracin,
consulte Creacin y configuracin de nuevas directivas del lado cliente en la
pgina 267 o Habilitacin de directivas personalizadas del lado del servidor en la
pgina 296.
Tomar las acciones apropiadas para hacer que su equipo cumpla con la
directiva y luego hacer clic en el botn Try Again en la pgina de
correccin. Host Checker comprueba nuevamente si el equipo del
usuario cumple con la directiva.
NOTA: Si no configura el IVE con al menos un territorio que permita acceso sin
aplicar una directiva de Host Checker, el usuario debe hacer que su equipo cumpla
con la directiva antes de iniciar sesin en el IVE.
304
305
3. Especifique las acciones de correccin que desee que Host Checker realice si el
equipo de un usuario no cumple con los requisitos de la directiva actual:
306
Delete Files: Escriba los nombres de los archivos que desee eliminar si el
equipo del usuario no cumple con los requisitos de la directiva. (No puede
usar caracteres comodn en el nombre del archivo.) Escriba un nombre de
archivo por lnea. Por ejemplo:
c:\temp\bad-file.txt
/temp/bad-file.txt
NOTA: Al enviar cadenas de motivos, revela a los usuarios las comprobaciones que
307
b.
c.
f.
b.
c.
308
e.
NOTA:
309
310
Figura 34: Host Checker crea un tnel desde un cliente a un servidor de directivas detrs
del IVE
<policy-server>:port
donde:
<DLLName> es el nombre del DLL de interfaz, como myPestPatrol.dll. Incluso si no
usa un DLL de interfaz, debe incluir un DLL falso como un archivo marcador de
posicin que tenga este nombre exacto.
<PolicyName> es el nombre de una directiva definida en el DLL, como myFileCheck.
Puede definir directivas mltiples usando la declaracin HCIF-Policy para cada
<policy-server>:port
donde:
<client-loopback> es una direccin de bucle invertido que comienza con 127.
y toma cualquiera de las siguientes formas:
mysygate.company.com:5500
O bien, puede usar un nombre de host para el cliente, como en este ejemplo:
HCIF-IVE-Tunnel: mysygate.company.com:3220
312
mysygate.company.com:5500
Debe incluir una lnea en blanco entre cada lnea del archivo MANIFEST.HCIF
y puede usar un punto y coma al comienzo de una lnea para indicar un
comentario. Por ejemplo:
HCIF-Main: myPestPatrol.dll
HCIF-Policy: myFileCheck
HCIF-Policy: myPortCheck
; Tunnel definitions
HCIF-IVE-Tunnel: 127.0.0.1:3220 mysygate.company.com:5500
HCIF-IVE-Tunnel: 127.1.1.1:3220 mysygate2.company.com:5500
HCIF-IVE-Tunnel: mysygate.company.com:3220 mysygate3.company.com:5500
NOTA: Si implementa un DLL de terceros del lado cliente o del lado del servidor,
recuerde lo siguiente:
Descomprima el paquete del DLL de terceros del lado del servidor y agregue
las definiciones de tneles al archivo MANIFEST.HCIF que contiene las
directivas para el DLL de terceros. (El DLL debe usar la misma direccin y
puerto <client-loopback> o el nombre del servidor que usted especifique en el
archivo MANIFEST.HCIF.)
314
NOTA: Si introduce un valor cero, Host Checker slo se ejecuta en el equipo cliente
cuando el usuario inicia sesin por primera vez en el IVE.
315
If y
316
NOTA: Debido a ciertas anomalas con JVM, es posible que Host Checker no se
instale y aparezca un mensaje de error. Si esto ocurre, haga clic en Try Again.
La instalacin siguiente debera ser satisfactoria.
NOTA: Para instalar Host Checker, los usuarios deben tener los privilegios
adecuados, como se describe en el manual Client-side Changes Guide en el
Customer Support Center de Juniper Networks. Si el usuario no cuenta con estos
privilegios, use el Servicio de instalador Juniper disponible en la pgina
Maintenance > System > Installers de la consola de administracin para omitir
este requisito.
317
Host Checker debe estar instalado para el usuario del dominio que GINA de
Network Connect usa para la conexin. De lo contrario, este usuario de
dominio no puede usar GINA para iniciar sesin si se requiere de Host Checker
318
Ponga el ejecutable en un repositorio seguro para que los usuarios con los
derechos de administrador apropiados puedan descargar e instalar la versin
correcta.
NOTA: Debido a que estas configuraciones son globales, el IVE escribe un archivo
de registro para todos los clientes que usan la caracterstica para la que usted
habilit la creacin de registros del lado cliente. Adems, el IVE no elimina los
registros del lado cliente. Los usuarios deben eliminar los registros de forma
manual desde sus clientes. Para obtener ms informacin acerca del lugar donde
IVE instala los archivos de registro, consulte el manual Client-side Changes Guide en
el Customer Support Center de Juniper Networks.
Para especificar los ajustes globales de la creacin de registro del lado cliente:
1. En la consola de administracin, seleccione System > Log/Monitoring >
Client Log > Settings.
2. Seleccione las caractersticas deseadas para las cuales el IVE escribe los
registros del lado cliente.
3. Haga clic en Save Changes para guardar estos ajustes de forma global.
NOTA: Para los sistemas IVE 5.x nuevos, todas las opciones estn inhabilitadas de
320
Elimina los datos y recursos del espacio de trabajo cuando finaliza la sesin.
Garantiza que ningn objeto del ayudante del explorador se quede enganchado
en un proceso de Internet Explorer antes de iniciarlo.
El IVE alberga el binario del Secure Virtual Workspace, que descarga el sistema
cliente desde el IVE cada vez que el usuario se conecta. Secure Virtual Workspace
crea un sistema de archivos virtuales y un registro virtual en el cliente.
Usted define y configura las aplicaciones que pueden ejecutarse dentro de Secure
Virtual Workspace. Por ejemplo, puede configurar los siguientes tipos de
configuraciones de aplicacin:
NOTA: Secure Virtual Workspace no funciona cuando Sametime 7.5 de IBM se est
322
Admite el uso de Secure Virtual Workspace junto con Host Checker, que se
iniciar automticamente dentro del espacio de trabajo seguro.
NOTA: No se han tomado precauciones para asegurar que no pueda configurar una
324
Printers: Seleccione esta opcin para permitir el acceso del usuario final a
las impresoras de red.
Network Share Access: Seleccione esta opcin para permitir el acceso del
usuario final a las unidades compartidas de red.
Desktop Persistence: Seleccione esta opcin para permitir que los usuarios
finales mantengan Secure Virtual Workspace a travs de las sesiones de los
clientes slo en los sistemas de archivo NTFS.
NOTA:
Si selecciona esta opcin, tenga en cuenta que si hay varios usuarios usando
la misma contrasea para encriptar su espacio de trabajo SVW en el mismo
host, podran tener acceso al almacenamiento de datos persistente protegido
por esa contrasea esttica. Recomendamos que los usuarios usen
contraseas fuertes cuando aseguren el almacenamiento de datos
persistentes en SVW en sistemas de usuarios mltiples.
326
Control panel: Seleccinela para permitir que el usuario final tenga acceso
al panel de control de Windows dentro de Secure Virtual Workspace.
Run menu: Seleccinela para permitir que el usuario final tenga acceso
al men de ejecucin de Windows dentro de Secure Virtual Workspace.
Task manager: Seleccinela para permitir que el usuario final tenga acceso
al Administrador de tareas (taskmgr.exe) y a los procesos del sistema de
Windows dentro de Secure Virtual Workspace.
NOTA:
328
330
Captulo 12
Cache Cleaner
Cache Cleaner corresponde a un agente del lado cliente de Windows que elimina
los datos residuales, como los archivos temporales o memorias cach de
aplicaciones, que quedan en el equipo del usuario despus de una sesin del IVE.
Por ejemplo, si un usuario inicia sesin en el IVE desde un equipo pblico con
Internet y abre un documento de Microsoft Word mediante un complemento del
explorador, Cache Cleaner elimina la copia temporal del archivo Word guardada en
la memoria cach del explorador (carpeta Windows) una vez que finaliza la sesin.
Al eliminar la copia, Cache Cleaner impide que los usuarios de otro equipo pblico
encuentren y abran el documento Word despus de que el usuario del IVE finaliza
la sesin.
Cache Cleaner tambin impide que los exploradores Web guarden de forma
permanente los nombres de usuario, contraseas y direcciones Web que los
usuarios introducen en los formularios Web. Al impedir que los exploradores
guarden indebidamente en su memoria cach esta informacin, Cache Cleaner
evita que la informacin confidencial del usuario se guarde en sistemas no fiables.
331
Specified files and folders: Si desea habilitar a sus usuarios para que puedan
acceder a aplicaciones cliente-servidor en sus sistemas locales,
es recomendable configurar Cache Cleaner para que borre los archivos y
carpetas temporales que crean las aplicaciones en los sistemas de los usuarios.
NOTA: Si configura Cache Cleaner para que elimine los archivos de un directorio,
Cache Cleaner borra todos los archivos, entre ellos los que el usuario ha guardado
explcitamente en el directorio y los que ya se encontraban ah antes de iniciarse
la sesin del IVE.
332
a.
b.
c.
f.
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\FormSuggest Passwords
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\FormSuggest Passwords\FormSuggest PW Ask
HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings\ DisablePasswordCaching
333
g.
b.
Especifique:
NOTA: Al especificar los archivos y las carpetas que desea borrar, tenga en cuenta
lo siguiente:
334
Cache Cleaner utiliza una cookie llamada DSPREAUTH para enviar el estado
del cliente al IVE. Si borra esta cookie del cliente del usuario, Cache Cleaner
no funciona correctamente. Para evitar problemas, no especifique directorios
de Internet Explorer, como <userhome>\Local Settings\Temporary Internet
Files\*, en la ruta del archivo o de la carpeta. Tenga en cuenta que Cache
Cleaner de todos modos borra todo el contenido de la memoria cach de
Internet Explorer del host del IVE y de los dems hosts especificados en el
cuadro Hostnames, sin importar los directorios que especifique en Files
and Folders.
En el caso del explorador Firefox, Cache Cleaner borra slo los directorios que
especifique en Files and Folders.
5. Haga clic en Save Changes para guardar estos ajustes de forma global.
Si existe ms de una sesin vlida del IVE en el mismo sistema, y se usa Cache
Cleaner en esas sesiones, todas las sesiones finalizarn cuando un usuario se
desconecte de una de las sesiones. Para evitar esto, desactive Cache Cleaner en las
sesiones que no lo necesitan.
Rol: Cuando el IVE determina la lista de roles vlidos a los que puede asignar
un administrador o un usuario, evala las restricciones de cada una de ellos
para determinar si requieren la ejecucin de Cache Cleaner en la estacin de
trabajo del usuario. Si es as, y el equipo del usuario ya est ejecutando Cache
Cleaner, el IVE no asigna el usuario a dicho rol. Puede controlar los roles que el
IVE asigna a un usuario mediante los ajustes de Users > User Realms >
Seleccionar territorio > Role Mapping. Seleccione una regla o crela, y
seleccione Custom Expressions. Puede configurar restricciones a nivel de
territorio en la pgina Users > User Roles > Rol > General > Restrictions >
Cache Cleaner de la consola de administracin.
335
Puede especificar que el IVE evale las directivas de Cache Cleaner slo cuando el
usuario intenta tener acceso por primera vez al territorio, rol o recurso al que hace
referencia la directiva del Cache Cleaner. Tambin puede usar los ajustes de la ficha
Authentication > Endpoint Security > Cache Cleaner a fin de especificar que el IVE
reevale de forma peridica las directivas de la sesin del usuario. Si opta por
evaluar peridicamente las directivas de Cache Cleaner, el IVE asigna de forma
dinmica los usuarios a los roles y le permite a los usuarios obtener acceso a
nuevos recursos basado en la evaluacin ms reciente.
336
337
338
a.
b.
b.
Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Cache Cleaner
Users > User Roles > Seleccionar rol > General > Restrictions >
Cache Cleaner
Seleccione Users > User Realms > Seleccionar territorio > Role
Mapping > Seleccionar o crear regla > Expresin personalizada.
b.
Seleccione Users > Resource Policies > Selecciona recurso > Seleccionar
directiva > Detailed Rules > Seleccionar o Crear regla > Campo de
condicin
b.
Si el IVE no puede instalar el control ActiveX debido a que el usuario no cuenta con
privilegios de administrador o de usuario avanzado, o debido a que ActiveX est
desactivado en el sistema del usuario, el IVE intenta instalar Cache Cleaner
mediante Java. El mtodo de Java requiere slo privilegios de usuario, pero Java
debe estar habilitado en el sistema del usuario.
NOTA: Si se est ejecutando Microsoft Vista en el sistema del usuario, ste debe
hacer clic en el enlace de configuracin que aparece durante el proceso de
instalacin para continuar instalando el cliente de configuracin y Cache Cleaner.
En todos los otros sistemas operativos Microsoft, el cliente de configuracin y
Cache Cleaner se instalan automticamente.
Si el IVE no puede usar el mtodo de Java debido a que Java est inhabilitado en el
sistema del usuario, muestra un mensaje de error que informa al usuario de que su
sistema no permite la instalacin de las aplicaciones ActiveX o Java, por lo que
algunas de las funciones de seguridad de acceso no se pueden ejecutar.
NOTA:
Para instalar Cache Cleaner, los usuarios deben contar con los privilegios
correspondientes descritos en el manual Secure Access Client-Side Changes
Guide en el Juniper Networks Customer Support Center. Si el usuario no
cuenta con privilegios, use el Servicio de instalador de Juniper disponible en la
pgina Maintenance > System > Installers de la consola de administracin
para omitir este requisito.
340
Para especificar los ajustes globales de la creacin de registro del lado cliente:
1. Seleccione System > Log/Monitoring > Client Logs > Settings en la consola
de administracin.
2. Seleccione las caractersticas deseadas para las cuales el IVE escribe los
registros del lado cliente.
3. Haga clic en Save Changes para guardar estos ajustes de forma global.
NOTA: Para los nuevos sistemas IVE de versin 5.x, todas las opciones estn
inhabilitadas de forma predeterminada. Si actualiza el IVE de una configuracin
versin 3.x, todas las opciones de registro estn habilitadas de forma
predeterminada.
341
342
Parte 4
Acceso remoto
Esta seccin contiene la siguiente informacin acerca de cmo configurar el acceso
a diversas aplicaciones, servidores y otros recursos mediante mecanismos de
acceso remoto:
343
344
Network Connect
WSAM
JSAM
La instalacin se realiza
mediante controles ActiveX
para Windows y applet de Java
para Mac.
La instalacin se realiza
mediante controles ActiveX,
entrega de Java e instaladores
independientes.
El aprovisionamiento necesita
un conjunto de direcciones IP
estticas para recursos de red
o un servidor DHCP presente
en la red.
El aprovisionamiento necesita
que se asegure una lista de
direcciones IP, aplicaciones de
Windows y hosts de destino.
Control de acceso dependiente
de las direcciones IP.
El aprovisionamiento necesita
una lista de hosts y puertos en
el nivel de grupo. Permite a los
usuarios la opcin de definir
aplicaciones cliente-servidor y
configuraciones de seguridad.
Privilegia el uso de nombres de
hosts por sobre direcciones IP.
Captulo 13
NOTA: El IVE permite hospedar applets de Java usando las plantillas de perfil de
recursos Web (descritas en estos temas) as como los perfiles de recursos de
Terminal Services. Para obtener instrucciones sobre cmo hospedar los applets de
Java mediante los perfiles de recursos de Terminal Services, consulte Definicin
de directivas automticas del applet de Java hospedado en la pgina 573.
345
b.
346
Por ejemplo, quizs le interese usar el IVE para que intermedie el trfico entre un
sistema IBM AS/400 de la red y los emuladores de terminal 5250 individuales de los
equipos de los usuarios. Para configurar el IVE para que intermedie este trfico,
obtenga el applet de Java del emulador de terminal 5250. Despus, podr cargar
este applet en el IVE y crear una pgina Web simple que haga referencia al applet.
Despus de crear la pgina Web con el IVE, el IVE crear un marcador
correspondiente al que los usuarios puede acceder mediante sus pginas
principales.
NOTA:
347
Cuando carga los applets de Java en el IVE, el IVE le solicita leer un contrato
legal antes de terminar de instalar los applets. Lea este contrato con
detencin; le obliga a asumir la responsabilidad absoluta respecto de la
validez, operacin y compatibilidad de los applets de Java que carg.
Puede cargar applets de Java en el IVE mediante los perfiles de recursos. Para
obtener instrucciones, consulte Definicin de perfiles de recursos: applets de
Java hospedados en la pgina 350.
348
Creacin de pginas HTML que hacen referencia a los applets de Java cargados
Cuando cargue un applet de Java en el IVE, debe crear una pgina Web simple que
haga referencia al applet. Los usuarios pueden acceder a esta pgina Web mediante
un marcador en sus pginas principales del IVE o desde servidores Web externos
(como se explica en Acceso a los marcadores de applet de Java en la pgina 349).
La pgina Web debe contener una definicin de pgina HTML simple que haga
referencia al applet de Java cargado. La pgina Web tambin puede contener
cualquier HTML y JavaScript adicional que elija. El IVE puede generar parte de la
pgina Web, incluyendo la definicin de pgina HTML y las referencias al applet de
Java. (Sin embargo, tenga en cuenta que el IVE no est al tanto de todos los
parmetros especficos del applet que requiere su applet, por lo tanto, debe buscar
y llenar estos parmetros usted mismo). Cuando el IVE genera este HTML, crea
marcadores para cualquier valor sin definir y le solicita que llene los valores
necesarios.
Puede crear estas pginas Web con los perfiles de recursos de carga de applet de
Java. Para obtener instrucciones, consulte Definicin de marcadores del applet de
Java hospedado en la pgina 352.
Bookmarks on the IVE end user console: Cuando crea una pgina Web
que hace referencia a los applets de Java cargados, el IVE crea un vnculo
correspondiente a la pgina Web y muestra ese vnculo en la seccin
Bookmarks de la consola del usuario final del IVE. Los usuarios que asignan
el rol correspondiente pueden hacer clic en el vnculo para obtener acceso al
applet de Java.
Links on external Web servers: Los usuarios pueden establecer vnculos con
los marcadores del applet de Java desde un servidor Web externo haciendo
clic en las URL correctas. Cuando el usuario introduce la URL de un marcador
(o hace clic en un vnculo externo que contiene la URL), el IVE le solicita al
usuario que introduzca su nombre de usuario y contrasea del IVE. Si se
autentica de forma correcta, el IVE le permite acceder al marcador. Puede crear
la URL en el marcador de applet de Java usando la sintaxis descrita en las
siguientes lneas:
https://IVE_hostname/dana/home/launchwebapplet.cgi?bmname=bookmark
Nombre
https://IVE_hostname/dana/home/launchwebapplet.cgi?id=<resourceID>&bmna
me=bookmarkName
349
Haga clic en New Applet para agregar un applet a esta lista. O bien,
seleccione un applet existente y haga clic en Replace (para reemplazar un
applet existente con uno nuevo) o Delete (para eliminar un applet del IVE).
NOTA:
350
El IVE slo permite que elimine applets que no se encuentran en uso por
un perfil de recursos Web o Terminal Services.
b.
c.
contengan applets y todos los recursos que los applets necesitan (slo para
applets nuevos y reemplazados).
d. Seleccione la casilla de verificacin Uncompress jar/cab file si el archivo
que seleccion es un archivo de almacenamiento que contiene un applet
(slo para applets nuevos y reemplazados).
e.
351
4. Haga clic en Generate HTML para crear una definicin de pgina HTML que
incluya referencias a sus applets de Java. A continuacin, llene todos los
atributos y parmetros requeridos usando las pautas de los siguientes temas:
352
Do not display the browser address bar: Seleccione esta opcin para
eliminar la barra de direcciones de la ventana del explorador. Esta
caracterstica fuerza todo el trfico web a travs del IVE impidiendo que
los usuarios del rol especificado escriban una nueva URL en la barra de
direcciones, lo que pasa por alto al IVE.
Do not display the browser toolbar: Seleccione esta opcin para eliminar
el men y la barra de herramientas del explorador. Esta caracterstica
elimina todos los mens, botones de exploracin y marcadores de la
ventana del explorador para que el usuario navegue slo a travs del IVE.
7. En Roles, especifique las funciones para las que desea mostrar el marcador
si configurar el marcador mediante las pginas de perfiles de recursos:
353
en cuenta que el IVE no est al tanto de todos los parmetros especficos que
requiere su applet; por lo tanto, debe buscar y llenar estos parmetros usted
mismo.
Los atributos que requiere el IVE son:
code: indica qu clase de archivo invocar en el applet de Java. Use este valor
354
archive: indica qu archivo de almacenamiento (es decir, archivo .jar, .cab o .zip)
Adems de los atributos requeridos que se indicaron con anterioridad, puede usar
los siguientes atributos opcionales al crear un marcador de applet de Java:
port: especifica, para las sesiones de terminal, el puerto al que debe conectarse
el IVE.
width and height: indica el tamao de la ventana del applet de Java. Ejemplo:
width="640" height="480"
355
Si encuentra una pgina Web que contiene un applet que desea usar, vaya al sitio de
demostracin y vea el origen en la pgina que ejecuta el applet de Java. Dentro del
origen, busque la etiqueta applet. Elija el atributo code en el origen y determine si
contiene algn parmetro especial que deba pasar al explorador. En la mayora de
los casos, debe copiar y pegar el atributo code y sus parmetros correspondientes
directamente en el campo HTML del marcador del IVE. Sin embargo, tenga en
cuenta que si el parmetro hace referencia a un recurso en el servidor Web local,
no podr copiar y pegar la referencia en el marcador del IVE porque el IVE no tiene
acceso a los otros recursos locales del servidor Web. Al copiar y pegar parmetros
de otro origen, siempre compruebe los valores de los parmetros.
356
Adems del mtodo descrito aqu, tambin puede usar los perfiles de recursos
de Terminal Services para hospedar las versiones de Java de los clientes Citrix
ICA en el IVE. Para obtener instrucciones, consulte Definicin de directivas
automticas del applet de Java hospedado en la pgina 573.
Para permitir que el cliente Citrix JICA 9.5 pueda usar caracterstica de carga de
applets de Java:
1. Importe los certificados de firma de cdigo como se explic en Uso de
certificados de firma de cdigo en la pgina 776.
2. Descargue JICAcomponents.zip desde la pgina de descargas citrix.com.
3. Cree un perfil de recursos de applet de Java mediante la pgina Users >
Resource Profiles > Web de la consola de administracin. Al definir el perfil
de recursos:
a.
b.
c.
357
358
359
360
Captulo 14
Plantillas de Citrix
El IVE admite varios mecanismos para la intermediacin de trfico entre un
servidor y cliente Citrix, incluido el proxy Juniper Networks Citrix Terminal
Services, JSAM, WSAM, Network Connect y las caractersticas de applets de
Java hospedados.
La plantilla Web de Citrix le permite configurar fcilmente el acceso a un servidor
Citrix mediante el proxy Juniper Networks Citrix Terminal Services, JSAM o WSAM.
La plantilla Web de Citrix es un perfil de recursos que controla el acceso a las
aplicaciones de Citrix y configura los ajustes de Citrix segn sea necesario. Las
plantillas Web de Citrix reducen considerablemente el tiempo de configuracin
agrupando los ajustes de configuracin en un solo lugar y llenando previamente
una variedad de ajustes de directivas de recursos para usted dependiendo del tipo
de configuracin de Citrix que seleccione.
Debe usar la plantilla Web de Citrix si ya tiene instalada la interfaz Web de Citrix
en su entorno o si usa un servidor Web para hospedar los archivos ICA. Consulte
Perfiles de recursos en la pgina 91.
Este tema contiene la siguiente informacin sobre las plantillas de Citrix:
361
362
Tabla 19: Acceso al servidor de interfaz Web de Citrix mediante plantillas de perfil de recursos web
Requisito
Terminal Services
JSAM
WSAM
Experiencia de usuario
Configuracin
de puertos
El IVE supervisa
automticamente todo el trfico
en el puerto 1494 si se desactiva
la fiablilidad de la sesin en el
servidor. El IVE supervisa el
puerto 2598 si se activa la
fiablilidad de la sesin. No es
necesario especificar los puertos
que desea supervisar ni las
aplicaciones que necesitan
intermediacin.
Privilegios de
administrador
Requiere privilegios
de administrador para
instalar WSAM.
Comparacin de los mecanismos de acceso del IVE para la configuracin de Citrix 363
Tabla 19: Acceso al servidor de interfaz Web de Citrix mediante plantillas de perfil de recursos web
Requisito
Terminal Services
JSAM
WSAM
Modificacin de
archivos de host
Ms informacin
Tabla 20: Acceso a servidores de interfaz Web no de Citrix mediante mecanismos de acceso estndar del IVE
Requisito
Terminal Services
JSAM
Experiencia de usuario
1. JSAM se inicia
El usuario inicia la aplicacin
automticamente cuando
publicada haciendo clic en el
el usuario inicia sesin en
marcador o icono de la seccin
el IVE o inicia manualmente
Terminal Services de la consola
JSAM.
de usuario final del IVE.
WSAM
1. WSAM se inicia
automticamente cuando
el usuario inicia sesin en
el IVE o inicia manualmente
WSAM.
Configuracin de
administrador
Privilegios de
administrador
Requiere privilegios de
Requiere privilegios de
administrador para ejecutar
administrador para instalar
JSAM debido a que se requieren WSAM.
modificaciones del archivo de
etc/hosts.
364
Ms informacin
Terminal Services en la
pgina 563
Java ICA Client with Web Interface (NFuse): Seleccione esta opcin
si implement la interfaz Web de Citrix para MPS (es decir, NFuse) para
entregar clientes Java ICA.
Java ICA Client without Web Interface (NFuse): Seleccione esta opcin
si implement un servidor Web genrico para entregar clientes Java ICA.
Non-Java ICA Client with Web Interface (NFuse): Seleccione esta opcin
si implement la interfaz Web de Citrix para MPS (es decir, NFuse) para
usar cualquiera de los diferentes clientes (Java, ActiveX, local).
365
Si selecciona Java ICA Client with o without Web Interface, el IVE crea
una directiva de recursos de Java ACL correspondiente que permite que los
applets Java se conecten con los servidores Metaframe especificados.
Si selecciona Non-Java ICA Client with Web Interface y luego ICA client
connects over WSAM o JSAM (abajo), el IVE crea una directiva de recursos
SAM correspondiente, que permite a los usuarios tener acceso a los
servidores a los servidores Metaframe especificados.
Si selecciona Non-Java ICA Client with Web Interface y luego ICA client
connects over CTS, el IVE crea directivas de recursos de Terminal Services
y Java correspondientes, que permite a los usuarios tener acceso a los
servidores a los servidores Metaframe especificados.
9. (Slo clientes Java ICA.) Si implement Citrix con un cliente Java ICA, seleccione
la casilla de verificacin Sign applets with uploaded code-signing
certificate(s) para volver a iniciar los recursos especificados con el certificado
cargado a travs de la pgina System > Configuration > Certificates >
Code-signing Certificates de la consola de administracin. (Para obtener
instrucciones, consulte Uso de certificados de firma de cdigo en la
pgina 776.)
Al seleccionar esta opcin, el IVE usa todos los valores allow que introduzca
en la directiva automtica de control de acceso Web del perfil de recursos para
crear automticamente una directiva de recursos de firma de cdigo
correspondiente. En esta directiva, el IVE usa los recursos Web especificados
para crear una lista de servidores de confianza.
10. (Slo clientes ICA no de Java) Si implement Citrix con un cliente ICA no de
Java con una interfaz Web, debe usar el proxy Juniper Networks Citrix Terminal
Services, Secure Application Manager o Network Connect para ofrecer trfico
seguro a los servidores Metaframe en lugar del motor de intermediacin de
contenido. Para ofrecer trfico seguro a travs de Network Connect, consulte
las instrucciones en Network Connect en la pgina 655.
366
Para ofrecer trfico seguro a travs del proxy Juniper Citrix Terminal Services o
de Secure Application Manager, seleccione una de las siguientes opciones en la
seccin ICA Client Access:
ICA client connects over CTS Client: Seleccione esta opcin para ofrecer
trfico seguro de Citrix a travs del cliente de Citrix Terminal Services (si
los usuarios utilizan clientes ActiveX) o el motor de reescritura Java (si los
usuarios utilizan clientes Java) del IVE. (Al seleccionar esta opcin, el IVE
habilita automticamente la opcin Terminal Services de la pgina Users >
User Roles > Seleccionar rol > General > Overview de la consola de
administracin.)
ICA client connects over WSAM: Seleccione esta opcin para ofrecer
trfico seguro mediante WSAM. (Al seleccionar esta opcin, el IVE habilita
automticamente la opcin Secure Application Manager de la pgina Users
> User Roles > Seleccionar rol > General > Overview de la consola de
administracin.)
ICA client connects over JSAM: Seleccione esta opcin para ofrecer trfico
seguro mediante JSAM. Luego, configure las siguientes opciones:
i.
367
ii.
(Al seleccionar la opcin ICA client connects over JSAM, el IVE habilita
automticamente la opcin Secure Application Manager en la pgina
Users > User Roles > Seleccionar rol > General > Overview de la consola
de administracin.)
NOTA: No se puede habilitar WSAM y JSAM para el mismo rol. Por lo tanto,
si intenta crear un perfil de recursos de Citrix que utilice uno de estos mecanismos
de acceso (por ejemplo, JSAM), y otro perfil asociado con el rol ya usa el otro
mecanismo de acceso (por ejemplo, WSAM), el IVE no habilita el nuevo
mecanismo de acceso (JSAM) para el rol. Tenga en cuenta adems que slo puede
usar WSAM o JSAM para configurar el acceso a una aplicacin de Citrix por rol
de usuario.
11. (Slo para clientes ICA no de Java con interfaz Web.) Si desea permitir a los
usuarios tener acceso a los recursos locales, como impresoras y unidades a
travs de las sesiones de su interfaz Web de Citrix, seleccione la casilla de
verificacin Configure access to local resources. Luego, seleccione las
siguientes opciones:
NOTA:
368
12. Seleccione la casilla de verificacin Autopolicy: Web Access Control para crear
una directiva que permita o deniegue a los usuarios el acceso a los recursos
especificados en el campo URL de la interfaz Web (NFuse). (De forma
predeterminada, el IVE crea automticamente una directiva que permita el
acceso a los recursos y a todos los subdirectorios.) Para obtener informacin
detallada, consulte Definicin de una directiva automtica de control de
acceso web en la pgina 395.
13. Si selecciona una de las opciones de interfaz Web anteriores, actualice la
directiva SSO creada por la plantilla de Citrix. Seleccione la casilla de
verificacin Autopolicy: Single Sign-on. (Las directivas automticas de inicio
de sesin nico configuran el IVE para que transmita automticamente datos
del IVE, como nombres de usuario y contraseas, a la aplicacin de Citrix. El
IVE agrega automticamente los valores usados con mayor frecuencia a la
directiva automtica de inicio de sesin nico segn la implementacin de
Citrix que elija.)
Al seleccionar inicio de sesin nico, las cookies WIClientInfo y WINGSession
se llenan previamente de forma automtica adems del recurso POST y la URL.
Para obtener informacin detallada, consulte Especificacin de opciones de
directiva automtica de SSO remoto en la pgina 400.
Tambin, si selecciona la opcin de interfaz no Web, puede crear
opcionalmente su propia directiva automtica de inicio de sesin nico gracias
a las instrucciones de Definicin de una directiva automtica de inicio de
sesin nico en la pgina 397.
14. Haga clic en Save and Continue.
15. Seleccione los roles de la ficha Roles a los que se aplica el perfil de recursos
de Citrix y haga clic en Add.
Los roles seleccionados heredan las directivas automticas y los marcadores
creados por el perfil de recursos de Citrix. Si an no est habilitada, el IVE
tambin habilita automticamente la opcin Web de la pgina Users > User
Roles > Seleccionar rol > General > Overview de la consola de administracin
y la opcin Allow Java Applets de la pgina Users > User Roles > Seleccionar
rol > Web > Options de la consola de administracin para todos los roles que
seleccione.
16. Haga clic en Save Changes.
17. (Opcional) En la ficha Bookmarks, modifique el marcador predeterminado
creado por el IVE o cree marcadores nuevos segn las instrucciones de
Definicin de un marcador web en la pgina 412. (De forma predeterminada,
el IVE crea un marcador en la URL de la interfaz Web (NFuse) definido en el
campo Web Interface (NFuse) URL y lo muestra a todos los usuarios asignados
al rol especificado en la ficha Roles.)
369
370
Captulo 15
371
b.
c.
correcta para que los usuarios puedan abrir y guardar documentos adjuntos de
correo electrnico de distinto tipo en iNotes. Por ejemplo, si la directiva de
almacenamiento en cach est configurada en Smart, los usuarios finales no
podrn guardar en el disco documentos adjuntos con la extensin .htm o .html.
10. Marque la casilla de verificacin Autopolicy: Web Compression para crear
una directiva que especifique los tipos de datos web que debe o no comprimir
el IVE.
a.
372
b.
c.
11. Marque la casilla de verificacin Autopolicy: Single Sign-On para pasar datos al
IVE tales como el nombre de usuario y la contrasea para la aplicacin Lotus
iNotes. Para crear la directiva automtica de inicio de sesin nico, siga las
instrucciones de Definicin de una directiva automtica de inicio de sesin
nico en la pgina 397.
12. Haga clic en Save and Continue.
13. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
Lotus iNotes y haga clic en Add.
Los roles seleccionados heredan las directivas automticas y los marcadores
creados por el perfil de recursos Lotus iNotes. Si an no se encuentra habilitada,
el IVE tambin habilita automticamente la opcin web en la pgina Users >
User Roles > Select Role > General > Overview de la consola de
administracin.
14. Haga clic en Save Changes.
15. (Opcional) En la ficha Bookmarks, modifique el marcador predeterminado
creado por el IVE o cree marcadores nuevos segn las instrucciones de
Definicin de un marcador web en la pgina 412.
373
374
Captulo 16
375
(OWA 2000 y OWA 2003.) Seleccione Allow caching on client para que los
exploradores web guarden en la mquina del usuario datos independientes
del usuario, tales como archivos Javascript y CSS.
La opcin Allow caching on client guarda el contenido que el servidor
backend de OWA generalmente almacena. Esta opcin mejora el
rendimiento ya que usa el contenido almacenado en cach en lugar
de obtenerlo del servidor la prxima vez que se muestra la pgina.
b.
(OWA 2000 y OWA 2003.) Seleccione Minimize caching on client para que
el IVE enve un encabezado cache-control:no-store o un encabezado cachecontrol:no-cache (no guardar contenido o volver a validar el contenido
guardado cada vez que se solicite) segn el explorador web del usuario
y el tipo de contenido. Esto es lo mismo que el almacenamiento en cach
inteligente.
c.
e.
f.
7. En Autopolicy: Web Access Control, cree una directiva que permita o niegue
el acceso de los usuarios al recurso Web (y todos sus subdirectorios) que se
muestran en el campo Resource.
376
a.
b.
c.
NOTA: Para permitir que los usuarios abran y guarden archivos adjuntos
de distintos tipos en OWA, se debe configurar la directiva correcta de
almacenamiento de recursos. Por ejemplo, si la directiva de almacenamiento
se configura en Smart, los usuarios finales no podrn guardar archivos .htm
o .html en el disco.
b.
c.
377
378
Captulo 17
379
b.
c.
7. En Autopolicy: Web Access Control, cree una directiva que permita o niegue
el acceso de los usuarios al recurso Web (y todos sus subdirectorios) que se
muestra en el cuadro Resource.
a.
b.
c.
8. (Opcional) Haga clic en Show ALL autopolicy types para crear otras directivas
automticas que perfeccionen el acceso al recurso. Luego, proceda a crear las
directivas automticas utilizando las instrucciones que aparecen en los
siguientes temas:
380
10. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.
Los roles seleccionados heredan las directivas automticas y los marcadores
creados por el perfil de recursos de Microsoft Sharepoint. En caso de no estar
habilitada, el IVE tambin habilita automticamente la opcin Web en la pgina
Users > User Roles > Seleccionar rol > General > Overview, de la consola de
administracin.
11. Haga clic en Save Changes.
12. (Opcional) En la ficha Bookmarks, modifique el marcador predeterminado
creado por el IVE o cree marcadores nuevos usando las instrucciones de
Definicin de un marcador web en la pgina 412.
381
382
Captulo 18
Reescritura web
La caracterstica de reescritura web del IVE le permite proporcionar intermediacin
de las URL web a travs del motor de intermediacin de contenido. Puede
proporcionar intermediacin de las URL en la World Wide Web o en la intranet
corporativa.
Esta seccin contiene la siguiente informacin acerca de la intermediacin de
contenido web:
383
SSO remoto
384
Cree directivas de recursos que permitan el acceso a los sitios web usando
los ajustes de la pgina Users > Resource Policies> Web > Web ACL de
la consola de administracin. Para obtener instrucciones, consulte
Definicin de directivas de recursos: acceso web en la pgina 424.
b.
c.
d. Crear marcadores para sus sitios web usando los ajustes de la pgina
Users > User Roles > Seleccionar rol > Web > Bookmarks de la consola
de administracin. Para obtener instrucciones, consulte Definicin de los
ajustes de rol: URL web en la pgina 415.
e.
Segn sea necesario, habilite las opciones generales web que corresponden
a los tipos de contenido web a los que est proporcionando intermediacin
(como Java) usando los ajustes de la pgina Users > User Roles >
Seleccionar rol > Web > Options de la consola de administracin. Para
obtener instrucciones, consulte Especificacin de opciones generales de
exploracin web en la pgina 418.
385
b.
386
Rewriting: Las directivas de reescritura especifican los recursos para los que el
IVE no debe proporcionar intermediacin, debe proporcionar intermediacin
en grado mnimo (segn se explica en Informacin general de proxy
passthrough en la pgina 389), o slo debe proporcionar intermediacin
selectivamente. Para obtener instrucciones acerca de la configuracin, consulte
Definicin de una directiva automtica de reescritura en la pgina 406
(recomendado) o Definicin de directivas de recursos: reescritura en la
pgina 443.
Web proxy: (Slo directivas de recursos) Las directivas de recursos proxy web
especifican los servidores proxy web para los cuales el IVE debe proporcionar
intermediacin de contenido. Tenga en cuenta que el IVE proporciona
intermediacin tanto a proxy de reenvo como a proxy inverso, pero slo
permite el inicio de sesin nico a proxy de confianza. Para obtener
instrucciones sobre la configuracin, consulte Definicin de directivas de
recursos: proxy web en la pgina 456.
387
Directiva Form POST: Este tipo de directiva de SSO remoto especifica la URL de
la pgina de inicio de sesin de una aplicacin en la cual desea registrar los
datos del IVE y los datos para registrar. Estos datos pueden incluir el nombre de
usuario y la contrasea primaria y secundaria del IVE del usuario (segn se
explica en Informacin general de credenciales de inicios de sesin mltiples
en la pgina 226), as como tambin datos de sistema almacenados por
variables de sistema (como se describe en Variables del sistema y ejemplos
en la pgina 1046). Tambin puede especificar si los usuarios pueden o no
modificar esta informacin.
388
NOTA: Use la caracterstica de SSO remoto para transferir datos a aplicaciones con
acciones POST estticas en sus formularios HTML. No es prctico usar SSO
remoto con aplicaciones que usan acciones URL POST que cambian con
frecuencia, vencimientos segn el tiempo o acciones POST que se generan en el
momento de la creacin del formulario.
389
390
Las URL de proxy passthrough deben ser nombres de host. Rutas de nombres
de host no son compatibles.
Crear directivas de recursos que permitan el acceso a los sitios web usando
los ajustes de la pgina Users > Resource Policies > Web > Web ACL de
la consola de administracin. Para obtener instrucciones, consulte
Definicin de directivas de recursos: acceso web en la pgina 424.
b.
c.
d. Crear marcadores para sus sitios web usando los ajustes de la pgina
Users > User Roles > Seleccionar rol > Web > Bookmarks de la consola
de administracin. Para obtener instrucciones, consulte Definicin de los
ajustes de rol: URL web en la pgina 415.
2. Si su directiva de recursos proxy passthrough habilita al IVE a recibir peticiones
de cliente a travs de un puerto del IVE, abra el trfico al puerto especificado en
su cortafuegos corporativo. O bien, si su directiva habilita peticiones a travs de
un nombre de host virtual:
a.
b.
391
c.
392
393
9. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.
Los roles seleccionados heredan las directivas automticas y los marcadores
creados por el perfil de recursos. Si an no est habilitado, el IVE habilita
automticamente la opcin Weben la pgina Users > User Roles >
Seleccionar rol > General > Overview de la consola de administracin para
todos los otros roles que seleccione.
10. Haga clic en Save Changes.
11. (Opcional) En la ficha Bookmarks, modifique el marcador predeterminado
creado por IVE o cree otros utilizando las instrucciones que aparecen en
Definicin de un marcador web en la pgina 412. (De forma predeterminada,
el IVE crea un marcador para la URL de base definida en el campo Base URL
y lo muestra a todos los usuarios asignados a los roles especificados en la
ficha Roles).
394
Ruta (optional): Al especificar una ruta para una URL de base, el IVE no permite
caracteres especiales. Si especifica una ruta, debe usar el delimitador /.
Por ejemplo: http://www.juniper.net/sales.
2. Si est disponible, haga clic en el botn Show ALL autopolicy types para que
aparezcan las opciones de configuracin de la directiva automtica.
3. En caso de no estar habilitado, seleccione la casilla de verificacin Autopolicy:
Web Access Control.
4. En el campo Resource, utilice el siguiente formato para especificar el servidor
web o la pgina HTML para la cual desea controlar el acceso:
[protocolo://]host[:puertos][/ruta]. Para obtener directrices detalladas, consulte
Definicin de recursos Web en la pgina 396.
5. En la lista Action, seleccione Allow para habilitar el acceso al recurso
especificado o Deny para bloquear el acceso al recurso especificado.
6. Haga clic en Add.
7. Haga clic en Save Changes.
395
IP: a.b.c.d
puerto[,puerto]*
396
Path (opcional): Al especificar una ruta para una directiva automtica de control
de acceso web, puede usar un carcter *, que significa que TODAS las rutas
coinciden. (El IVE no admite otros caracteres especiales.) Si especifica una ruta,
debe usar el delimitador /. Por ejemplo:
http://www.juniper.net/sales
http://www.juniper.net:80/*
https://www.juniper.net:443/intranet/*
2. Si est disponible, haga clic en el botn Show ALL autopolicy types para que
aparezcan las opciones de configuracin de la directiva automtica.
3. Seleccione la casilla de verificacin Autopolicy: Single Sign-On.
397
NOTA: La reescritura web slo admite NTLM v1. La exploracin de archivos admite
Remote SSO: Habilita al IVE para colocar los datos que especifica (incluidos
nombres de usuario, contraseas y datos de sistema almacenados por
variables del IVE) en aplicaciones web. Esta opcin tambin permite
especificar encabezados y cookies personalizados para colocar en
aplicaciones web. Para obtener instrucciones detalladas de configuracin,
consulte Especificacin de opciones de directiva automtica de SSO
remoto en la pgina 400.
398
399
NOTA: Si desea que el IVE coloque automticamente valores a una URL especfica
cuando un usuario final haga clic en un marcador del IVE, el recurso que
introduzca aqu debe coincidir exactamente con la URL que especifique en el
campo Base URL o Web Interface (NFuse) URL del perfil de recursos.
b.
c.
400
b.
401
2. Si est disponible, haga clic en el botn Show ALL autopolicy types para que
aparezcan las opciones de configuracin de la directiva automtica.
3. Seleccione la casilla de verificacin Autopolicy: Caching.
4. En el campo Resource, especifique los recursos a los cuales se aplica esta
directiva. Para obtener directrices detalladas, consulte Definicin de recursos
Web en la pgina 396.
5. Del campo Action, seleccione una de las opciones siguientes:
402
403
404
Allow socket access: Para permitir que los applets de Java se conecten
a los servidores (y opcionalmente a los puertos) de la lista Resource.
Deny socket access: Para impedir que los applets de Java se conecten a los
servidores (y opcionalmente a los puertos) de la lista Resource.
IP: a.b.c.d
405
puerto[,puerto]*
[puerto1][puerto2]
406
407
Use IVE port: Si selecciona esta opcin, especifique un puerto de IVE nico
en el rango 11000-11099. El IVE escucha las peticiones de cliente al
servidor de la aplicacin en el puerto especificado del IVE y reenva las
peticiones al puerto del servidor de la aplicacin especificado en el campo
Base URL.
NOTA:
Para hacer que Sharepoint funcione correctamente a travs del IVE, debe
seleccionar la casilla de verificacin Override automatic cookie handling en
Internet Explorer en Tools Internet options > Privacy > Advanced Privacy
Settings si se cumplen las siguientes condiciones:
Habilitar cookies persistentes mediante la pgina Users > User Roles >
Seleccionar rol > General > Session Options de la consola de
administracin.
408
8. Si selecciona:
ii.
Use IVE port, tambin debe abrir el trfico al puerto del IVE especificado
para el servidor de la aplicacin en el cortafuegos corporativo.
409
asignar una direccin de bucle invertido esttica o el IVE puede asignar una
direccin de bucle invertido dinmica (127.0.1.10, 127.0.1.11, 127.0.1.12)
para cada aplicacin. JSAM luego escucha en estas mltiples direcciones de
bucle invertido en el puerto especificado. Por ejemplo, cuando hay trfico en
127.0.1.12 en el puerto especificado, el IVE reenva el trfico al host de destino
app3.mycompany.com.
6. Seleccione Launch JSAM para iniciar JSAM automticamente cuando el IVE
encuentra la URL de base.
7. Haga clic en Add.
8. Haga clic en Save Application o en Save + New.
410
2. Si est disponible, haga clic en el botn Show ALL autopolicy types para que
aparezcan las opciones de configuracin de la directiva automtica.
3. Seleccione la casilla de verificacin Autopolicy: Web compression.
4. En el campo Resource, especifique los recursos a los cuales se aplica esta
directiva. Para obtener directrices detalladas, consulte Definicin de recursos
Web en la pgina 396.
5. Seleccione una de las siguientes opciones de la lista Action:
411
Slo puede asignar marcadores a roles que ya haya asociado con el perfil de
recursos, no todos los roles definidos en el IVE. Para cambiar la lista de roles
asociados al perfil de recurso, utilice los parmetros de la ficha Roles.
Los marcadores simplemente controlan los vnculos que muestra el IVE a los
usuarios, no los recursos a los que los usuarios pueden obtener acceso. En el
ejemplo utilizado anteriormente, un miembro del rol de Sales podra no ver
un vnculo a la pgina de Intranet Engineering, pero puede acceder a ella al
introducir http://intranet.com/engineering en la barra de direcciones del
explorador web.
Para obtener ms informacin sobre los marcadores del perfil de recursos, consulte
Definicin de marcadores en la pgina 98.
412
Dirjase a la pgina Users > Resource Profiles > Web > Seleccionar perfil
de recurso > Bookmarks en la consola de administracin.
b.
Dirjase a la pgina Users > User Roles > Seleccionar rol > Web >
Bookmarks en la consola de administracin.
b.
c.
En la lista Type, elija Pick a Web Resource Profile. (El IVE no muestra esta
opcin si no ha creado un perfil de recursos Web.)
f.
413
Do not display browser address bar: Seleccione esta opcin para eliminar
la barra de direcciones de la ventana del explorador. Esta caracterstica
fuerza todo el trfico web a travs del IVE impidiendo que los usuarios del
rol especificado escriban una nueva URL en la barra de direcciones, con lo
que se pasa por alto al IVE.
414
415
6. Haga clic en Save Changes o en Save + New para agregar otra opcin.
7. (Opcional) Para modificar las propiedades del marcador, haga clic en el vnculo
en la columna Resource de la pgina de roles. Luego, haga clic en el vnculo del
marcador en la pgina del perfil de recursos y actualice los ajustes del marcador
usando las instrucciones en Definicin de un marcador web en la pgina 412.
con versiones anteriores. Recomendamos que configure el acceso a las URL web y
los servidores mediante los perfiles de recursos, dado que proporcionan un
mtodo de configuracin ms simple y unificado. Para obtener ms informacin,
consulte Definicin de perfiles de recursos: Aplicaciones web personalizadas en
la pgina 392 y Definicin de los ajustes de rol: URL web en la pgina 415.
Use la ficha Bookmarks para crear marcadores que aparecen en la pgina
de bienvenida de usuarios asignados para este rol. Puede crear dos tipos
de marcadores a travs de esta pgina:
416
Only this URL para permitir que los usuarios accedan slo a la URL.
Everything under this URL para permitir que el usuario acceda a cualquier
ruta en la URL.
Do not display the menu and the toolbar para eliminar el men y la barra
de herramientas del explorador. Esta caracterstica elimina todos los
mens, botones de exploracin y marcadores de la ventana del explorador
para que el usuario navegue slo a travs del IVE.
8. Haga clic en Save Changes o Save + New para agregar otra opcin.
417
418
419
NOTA: Si una pgina web tiene referencias internas a archivos en una etiqueta
SCRIPT y estos archivos se hospedan en diferentes servidores HTTPS que tienen
certificados SSL que no son de confianza para el IVE, la pgina web no se muestra
correctamente. En estos casos, la opcin Warn users about the certificate
problems debe inhabilitarse.
420
Si habilita esta opcin, puede especificar las opciones que el IVE ofrece a los
usuarios cuando acceden a un sitio web que no es de confianza:
NOTA: Si opta por permitir que los usuarios accedan a sitios web que no son de
confianza sin ver una advertencia, el IVE registra un mensaje en el registro de
acceso del usuario cada vez que el usuario accede a un sitio que no es de
confianza. Adems, tenga en cuenta que si un usuario selecciona suprimir las
advertencias, tambin puede eliminar los ajustes persistentes de los sitios web
que no son de confianza mediante la opcin Delete Passwords de la ficha
System > Preferences > Advanced en la consola del usuario final.
8. Seleccione Rewrite file:// URLs para configurar al IVE para que reescriba las
URL file://, de modo que se enruten a travs de la CGI de exploracin de
archivos del IVE.
9. Seleccione Rewrite links in PDF files para configurar el IVE para reescribir los
hipervnculos en archivos PDF.
10. En HTTP Connection Timeout, acepte el valor predeterminado o ajuste la
duracin para indicarle al IVE cunto tiempo debe esperar una respuesta de
un servidor HTTP antes de cerrar la conexin. Use valores desde 30 hasta
1 800 segundos.
NOTA: Los valores de tiempo de espera de conexin ms altos pueden agotar los
recursos del IVE si las aplicaciones no cierran correctamente las conexiones o
demoran mucho tiempo en cerrarlas. A menos que una aplicacin requiera un
valor de tiempo de espera mayor, recomendamos aceptar el valor
predeterminado.
421
Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evala estas directivas que corresponden a la solicitud.
Actions: Cada uno de los tipos de directivas de recursos ejecuta una accin
especfica, ya sea permitir o denegar un recurso, as como realizar o no realizar
una accin, como reescribir un contenido, volver a firmar un applet o colocar
datos web. Tambin puede escribir reglas detalladas que impongan ms
condiciones a la peticin de un usuario. Consulte Escritura de una regla
detallada en la pgina 109.
El motor de la plataforma del IVE que evala las directivas de recursos requiere que
los recursos que aparecen en la lista de Resources de una directiva sigan un
formato cannico, como se explica en Especificacin de los recursos para una
directiva de recursos en la pgina 103.
Esta seccin esboza las consideraciones especiales que debe tener en cuenta al
especificar un recurso Web usando el formato cannico.
Formato cannico:
[protocolo://]host[:puertos][/ruta]
1. Si no configura las directivas de recursos de reescritura, el IVE contina el proceso de evaluacin usando las
directivas que se aplican a la solicitud del usuario.
422
IP: a.b.c.d
puerto[,puerto]*
[puerto1][puerto2]
423
Path (opcional): si falta la ruta, se supone un asterisco (*), lo que significa que
TODAS las rutas coinciden. Si se especifica una ruta, se requiere el delimitador
/. No se admiten otros caracteres especiales. Por ejemplo:
http://www.juniper.com:80/*
https://www.juniper.com:443/intranet/*
*.yahoo.com:80,443/*
%.danastreet.net:80/share/users/<username>/*
b.
424
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
b.
c.
426
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
NOTA:
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
428
b.
c.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
430
Seleccione Deny direct login for this resource si no desea que los usuarios
puedan acceder directamente a la URL.
b.
c.
b.
432
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
433
b.
c.
b.
434
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
435
436
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
zip
Cach
ppt
Almacenamiento en cach
inteligente
doc
Almacenamiento en cach
inteligente
xls
Almacenamiento en cach
inteligente
Almacenamiento en cach
inteligente
txt
Cach
html
Almacenamiento en cach
inteligente
zip
ppt
doc
Almacenamiento en cach
inteligente
Almacenamiento en cach
inteligente
xls
437
txt
html
b.
c.
438
b.
c.
b.
439
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Allow socket access: Para permitir que los applets de Java se conecten
a los servidores (y opcionalmente a los puertos) de la lista Resources.
Deny socket access: Para impedir que los applets de Java se conecten a los
servidores (y opcionalmente a los puertos) de la lista Resources.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
b.
Para ver un ejemplo de directiva de recursos Web, consulte las figuras que se
incluyen en Definicin de directivas de recursos: Informacin general en la
pgina 422.
440
b.
c.
b.
441
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Resign applets using applet certificate: Para permitir que los applets de
Java se conecten a los servidores (y opcionalmente a los puertos) de la lista
Resources.
Resign applets using default certificate: Para impedir que los applets de
Java se conecten a los servidores (y opcionalmente a los puertos) de la lista
Resources.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
442
b.
c.
443
b.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
1. Los nuevos dispositivos IVE incluyen una directiva de reescritura inicial que reescribe todo el contenido para
todos los roles.
444
NOTA: La opcin Dont rewrite content: Do not redirect to target Web server
permite a los usuarios descargar datos de recursos de red a travs del IVE,
pero omite el motor de reescritura del IVE en el proceso. Recomendamos usar
esta caracterstica slo al reescribir applets de Java firmados, no otros tipos de
contenido. Para otros tipos de contenido, como HTML y Javascript, use la opcin
Dont rewrite content: Redirect to target Web server para descargar un applet
a travs del IVE, habilitando, de este modo, las conexiones directas a recursos
de red.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
445
b.
c.
b.
446
NOTA:
Para hacer que Sharepoint funcione correctamente a travs del IVE, debe
seleccionar la casilla de verificacin Override automatic cookie handling en
Internet Explorer en Tools Internet options > Privacy > Advanced Privacy
Settings si se cumplen las siguientes condiciones:
Habilitar cookies persistentes mediante la pgina Users > User Roles >
Seleccionar rol > General > Session Options de la consola de
administracin.
Use IVE port: Si selecciona esta opcin, especifique un puerto de IVE nico
en el rango 11000-11099. El IVE escucha las peticiones de cliente al
servidor de la aplicacin en el puerto especificado del IVE y reenva las
peticiones al puerto del servidor de la aplicacin especificado en el
campo URL.
Rewrite XML: Si selecciona esta opcin, el IVE reescribe las URL incluidas
en el contenido XML. Si inhabilita esta opcin, el IVE transmite sin cambios
el contenido XML al servidor.
Rewrite external links: Si selecciona esta opcin, el IVE reescribe todas las
URL. Si inhabilita esta opcin, el IVE slo reescribe las URL que contienen
un nombre de host especificado en la directiva de proxy passthrough.
447
Block cookies from being sent to the browser: Si selecciona esta opcin,
el IVE bloquea las cookies destinadas al explorador del cliente. El IVE
almacena localmente las cookies y las enva a las aplicaciones cuando
se solicitan.
ii.
Use IVE port, abra el trfico al puerto del IVE especificado para el servidor
de la aplicacin en el cortafuegos corporativo.
448
b.
c.
b.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Definicin de directivas de recursos: reescritura
449
Allow Custom Headers: Seleccione esta opcin para evitar que el IVE
bloquee los encabezados a exploradores (clientes) y servidores backend.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
Class ID: Las pginas web generalmente usan un ID de clase para incluir un
control ActiveX. Un ID de clase es una cadena nica y constante que identifica
de forma inequvoca un control ActiveX.
Puede determinar el ID de clase de un objeto ActiveX que usa
Internet Explorer 6: Seleccione Tools > Internet Options, haga clic en
Settings y haga clic en View Objects. Seleccione el objeto ActiveX, haga clic
con el botn secundario y seleccione Properties. El ID del objeto ActiveX
se resalta.
450
Language: Las pginas web pueden usar HTML esttico o dinmico (usando
JavaScript) para incluir un control ActiveX. Cuando una pgina web usa HTML
esttico, el IVE puede reescribir los parmetros ActiveX especificados en el IVE
mientras proporciona intermediacin del trfico, dado que toda la informacin
requerida se transmite entre el explorador del usuario y el servidor web de la
aplicacin. Sin embargo, cuando una pgina web usa HTML dinmico para
incluir un control ActiveX, la pgina extrae frecuentemente informacin del
cliente y luego genera HTML para incluir el control ActiveX. Por lo tanto,
el IVE debe ejecutar un script en el explorador del usuario para obtener la
informacin que necesita para reescribir los parmetros ActiveX especificados.
Parameter name: Debe especificar el nombre del parmetro que desea que
el IVE reescriba. Puede encontrar los parmetros al buscar la etiqueta de
parmetros dentro de la etiqueta del objeto. Por ejemplo, puede encontrar
una pelcula flash incluida en una pgina mediante el siguiente cdigo:
<object classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000" > <param
name="movie" value="mymovie.swf" />
<param name="quality" value="high" />
</object>
b.
c.
b.
451
Rewrite URL and response (Static and dynamic HTML): El IVE reescribe
la URL especificada en el cliente, adems de la reescritura en el IVE. El IVE
tambin reescribe cualquier respuesta del servidor web que solicita la URL.
Tenga en cuenta que debe seleccionar esta opcin si la pgina web incluye
el control ActiveX que usa HTML dinmico.
452
ID de clase
Parmetro
Accin
238f6f83-b8b4-11cf-877100a024541ee3
ICAFile
OrgPlus OrgViewer
DCB98BE9-88EE-4AD0-9790- URL
2B169E8D5BBB
Quickplace
05D96F71-87C6-11D3-9BE400902742D6E0
GeneralURL
General_ServerName
FullURL
iNotes Discussion
5BDBA960-6534-11D3-97C700500422B550
2E687AA8-B276-4910-BBFB4E412F685379
ServerURL
WebPhotos LEAD
00120000-B1BA-11CE-ABC6F5B2E79D9E3F
BitmapDataPath
Shockwave Flash
D27CDB6E-AE6D-11cf-96B8444553540000
Src
Movie
3BFFE033-BF43-11d5-A27100A024A51325
General_URL
General_ServerName
333C7BC4-460F-11D0-BC040080C7055A83
DataURL
6BF52A52-394A-11D3-B15300C04F79FAA6
URL
FlowPartPlace
4A266B8B-2BB9-47db-9B0E6226AF6E46FC
URL
HTML Help
adb880a6-d8ff-11cf-937700aa003b7a11
Item1
MS Media Player
22d6f312-b0f6-11d0-94ab0080c74c7e95
FileName
333c7bc4-460f-11d0-bc040080c7055a83
DataURL
D801B381-B81D-47a7-8EC4EFC111666AC0
mailboxUrl
FlowPartPlace1
639325C9-76C7-4d6c-9B4A523BAA5B30A8
Url
5445be81-b796-11d2-b931002018654e2e
Path
94F40343-2CFD-42A1-A7744E7E48217AD4
94F40343-2CFD-42A1-A7744E7E48217AD4
HomeViewURL
453
ID de clase
Parmetro
Accin
5220cb21-c88d-11cf-b34700aa00a28331
LPKPath
Domino 7 beta 2
UploadControl
E008A543-CEFB-4559-912FC27C2B89F13B
General_URL
General_ServerName
General_URL
General_ServerName
iNotes
1E2941E3-8E63-11D4-9D5A00902742D6E0
ActiveCGM
F5D98C43-DB16-11CF-8ECA0000C0FD59C7
FileName
00130000-B1BA-11CE-ABC6F5B2E79D9E3F
00130000-B1BA-11CE-ABC6F5B2E79D9E3F
BitmapDataPath
454
a.
b.
c.
b.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
455
b.
c.
b.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
457
b.
c.
458
Para obtener una descripcin detallada del protocolo HTTP 1.1, consulte
Hyptertext Transfer Protocol -- HTTP 1.1 specification de World Wide Web
Consortium.
El IVE slo se comunica con servidores de red mediante el protocolo HTTP 1.1
si el cliente tambin se comunica mediante el protocolo HTTP 1.1. Si el cliente
usa el protocolo HTTP 1.0, el IVE se comunica con servidores backend
mediante el protocolo HTTP 1.0, sin tener en cuenta si el protocolo HTTP 1.1
est habilitado.
El IVE incluye una directiva predeterminada que inhabilita HTTP 1.1 para
todos los recursos. Si desea usar HTTP 1.1 para todos los recursos, redefina la
directiva *:*/* o cree una nueva directiva para habilitar el protocolo HTTP
1.1 y colquela al comienzo de la lista de directivas. Si elimina esta directiva
predeterminada (y cualquier otra directiva que inhabilite HTTP 1.1), el IVE usa
HTTP 1.0 para todos los recursos.
b.
c.
459
b.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
460
b.
c.
b.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Deny all Cross Domain Access: Para denegar el acceso a dominio cruzado
sin tener en cuenta si se usa o no el objeto XMLHttpRequest en la llamada.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
b.
c.
462
5. Seleccione Case sensitive matching for the Path and Query string
components in Web resources si desea solicitarle a los usuarios que
introduzcan una URL que distinga entre maysculas y minsculas para un
recurso. Por ejemplo, utilice esta opcin cuando traslade datos de un nombre
de usuario o una contrasea a una URL.
6. Haga clic en Save Changes.
463
464
Captulo 19
Reescritura de archivos
Un perfil de recurso de archivos controla el acceso a los recursos compartidos del
servidor de Windows o Unix. La siguiente seccin contiene informacin para
configurar las opciones de escritura de archivos:
465
466
9. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.
Las funciones seleccionadas heredan las directivas automticas y los
marcadores creados por el perfil de recursos. En caso de no estar habilitada,
el IVE tambin activa automticamente las opciones Files, Windows o Files,
UNIX/NFS en la pgina Users > User Roles > Seleccionar rol > General >
Overview de la consola de administracin para todos los roles que seleccione.
10. Haga clic en Save Changes.
11. (Opcional) En la ficha Bookmarks, modifique el marcador predeterminado
creado por IVE o cree otros utilizando las instrucciones que aparecen en
Definicin de un marcador de archivo en la pgina 471. (De forma
predeterminada, el IVE crea un marcador para el recurso definido en el campo
Windows o Unix y lo muestra a todos los usuarios asignados al rol especificado
en la ficha Roles.)
Recursos de Unix:
server[/path]
Se necesitan dos barras invertidas que precedan a los recursos de Windows que
no sean Nfs.
467
468
Read-only: Seleccione esta opcin para permitir que los usuarios vean pero
no editen el recurso especificado.
Para obtener una lista de los tipos de datos que IVE comprime, consulte Tipos
de datos admitidos en la pgina 1025.
6. Haga clic en Add.
469
ii.
470
Slo puede asignar marcadores a roles que ya haya asociado con el perfil de
recursos, no todos los roles definidos en el IVE. Para cambiar la lista de roles
asociados al perfil de recurso, utilice los parmetros de la ficha Roles.
Los marcadores simplemente controlan los vnculos que muestra el IVE a los
usuarios, no los recursos a los que los usuarios pueden obtener acceso. Por
ejemplo, si habilita el acceso a un directorio de Windows, pero no crea un
marcador para dicho directorio, los usuarios pueden acceder al directorio a
travs de Windows Explorer.
Para obtener ms informacin sobre los marcadores del perfil de recursos, consulte
Definicin de marcadores en la pgina 98.
Para configurar marcadores de perfil de recursos de archivos:
1. Si desea crear un marcador de perfil de recursos mediante la pgina de perfiles
de recursos estndar:
a.
Dirjase a la pgina Users > Resource Profiles > Files > Seleccionar perfil
de recurso > Bookmarks en la consola de administracin.
b.
Dirjase a la pgina Users > User Roles > Seleccionar rol > Files >
Windows Bookmarks|Unix Bookmarks en la consola de administracin.
b.
c.
En la lista Type, elija File Resource Profile. (El IVE no muestra esta opcin
si no ha creado un perfil de recurso de archivo.)
471
f.
472
NOTA:
474
4. Para Access, haga clic en Enable auto-allow access to this bookmark si desea
que el IVE cree automticamente una directiva de recurso para Windows
Access. Tenga en cuenta que esta funcionalidad se aplica slo a los marcadores
de rol y no a los marcadores creados por el usuario. Luego seleccione:
User can browse network file shares: En caso de estar habilitada, los
usuarios podrn ver y crear marcadores para los recursos en los recursos
de archivo compartidos de Windows que estn disponibles.
User can add bookmarks: En caso de estar habilitada, los usuarios podrn
ver y crear marcadores para los recursos en los recursos de archivo
compartidos de Windows que estn disponibles.
476
Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evala estas directivas que corresponden a la solicitud.
Actions: Cada uno de los tipos de directivas de recursos ejecuta una accin
especfica, ya sea permitir o denegar un recurso, as como realizar o no realizar
una accin, como permitir que un usuario escriba un directorio. Tambin puede
escribir reglas detalladas que impongan ms condiciones a la peticin de un
usuario. Consulte Escritura de una regla detallada en la pgina 109.
El motor IVE que evala las directivas de recursos necesita que el recurso
enumerado en una lista de directiva Resources siga un formato cannico.
La siguiente seccin contiene informacin sobre la escritura de directivas de
recursos para archivos UNIX/NFS:
Para escribir una directiva de recurso SSO para Windows en la pgina 479
Formato cannico:
\\servidor[\recurso compartido[\ruta]]
477
Si falta la ruta, se asume una barra inclinada (/), lo que significa que solamente
coinciden las carpetas del nivel superior-. Por ejemplo:
\\%.danastreet.net\share\<username>\*
\\*.juniper.com\dana\*
\\10.11.0.10\share\web\*
\\10.11.254.227\public\%.doc
b.
478
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
b.
479
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a los roles
de la lista Selected roles. Asegrese de agregar roles a esta lista desde la
lista Available roles.
Prompt for user credentials: El IVE acta como intermediario para para
compartir archivos al imponer una autenticacin en el IVE la primera vez
que un usuario intenta acceder a un recurso compartido. El usuario
introduce las credenciales y stas se almacenan en el IVE. Si las
credenciales fallan posteriormente, el IVE vuelve a solicitar al usuario sus
credenciales.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
480
b.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
481
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
NOTA: Esta opcin no se aplica a los nombres de host que incluyen comodines y
parmetros.
Use NTLM v1, NTLM v1 will be used for all NTLM negotiations:
Seleccione esta opcin para utilizar solamente NTLM V1 para la
autenticacin de recursos compartidos de archivos.
Use NTLM v2, NTLM v2 will be used for all NTLM negotiations:
Seleccione esta opcin para utilizar solamente NTLM V2 para la
autenticacin de recursos compartidos de archivos.
483
4. Para Access, haga clic en Enable auto-allow access to this bookmark si desea
que el IVE cree automticamente una directiva de recurso para UNIX/NFS.
Tenga en cuenta que esta funcionalidad se aplica slo a los marcadores de rol y
no a los marcadores creados por el usuario. Luego seleccione:
484
User can browse network file shares: En caso de estar habilitada, los
usuarios podrn ver y crear marcadores para los recursos en los recursos
de archivo compartidos disponibles de UNIX.
User can add bookmarks: En caso de estar habilitada, los usuarios podrn
ver y crear marcadores para los recursos en los recursos de archivo
compartidos disponibles de UNIX.
485
Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evala estas directivas que corresponden a la solicitud.
Actions: Cada uno de los tipos de directivas de recursos ejecuta una accin
especfica, ya sea permitir o denegar un recurso, as como realizar o no realizar
una accin, como permitir que un usuario escriba un directorio. Tambin puede
escribir reglas detalladas que impongan ms condiciones a la peticin de un
usuario. Consulte Escritura de una regla detallada en la pgina 109.
El motor IVE que evala las directivas de recursos necesita que el recurso
enumerado en una lista de directiva Resources siga un formato cannico.
La siguiente seccin contiene informacin sobre la escritura de directivas de
recursos para archivos UNIX/NFS:
Formato cannico:
servidor[/ruta]
486
Si falta la ruta, se asume una barra invertida (\), lo que significa que solamente
coinciden las carpetas del nivel superior. Por ejemplo:
%.danastreet.net/share/users/<username>/*
*.juniper.com/dana/*
10.11.0.10/web/*
10.11.254.227/public/%.txt
b.
487
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
488
b.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
489
NOTA: Esta opcin no se aplica a los nombres de host que incluyen comodines
y parmetros.
490
Captulo 20
491
492
a.
b.
c.
(Opcional) Configure las opciones a nivel de rol, por ejemplo, si el IVE debe
iniciar y actualizar automticamente WSAM con los ajustes de la pgina
Users > User Roles > SAM > Options de la consola de administracin.
Para obtener instrucciones, consulte Especificacin de opciones WSAM a
nivel de recurso en la pgina 510.
b.
493
494
NOTA: Si se est ejecutando Microsoft Vista en el sistema del usuario, ste debe
hacer clic en el vnculo de configuracin que aparece durante el proceso de
instalacin para continuar instalando el cliente de configuracin y WSAM.
En todos los dems sistemas operativos Microsoft, el cliente de configuracin
y WSAM se instalan automticamente.
NOTA: Para obtener informacin acerca de los directorios en los cuales se ejecutan
los mecanismos de entrega de WSAM, los archivos que stos instalan en el equipo
del usuario, las ubicaciones de archivo de registro, los derechos que los usuarios
deben tener para ejecutar cada uno de estos mecanismos de entrega y los ajustes
del explorador que los usuarios deben activar, consulte el manual Client-side
Changes Guide en Juniper Networks Customer Support Center.
El IVE entrega la informacin de rol y de cliente definida en el servidor al
equipo cliente de WSAM durante el inicio de WSAM. (Si las directivas de filtrado
cambian, el equipo cliente no refleja esos cambios hasta el prximo inicio de
sesin. Cualquier cambio a las reglas de control de acceso de servidor del IVE
surte efecto inmediatamente.)
3. El cliente WSAM instala un Layered Service Provider (LPS) o un controlador
de Interfaz de controlador de transporte (TDI) en el cliente para garantizar la
seguridad del trfico de la aplicacin. (Si el trfico se origina desde un sistema
Windows 98 o Windows Millennium, WSAM usa un mecanismo LSP. Si el
trfico se origina desde un sistema Windows 2000 o Windows XP, WSAM usa
un mecanismo TDI.) El icono de ventana de estado del WSAM aparece en la
bandeja del sistema. Los usuarios pueden hacer doble clic en este icono para
ver el estado de la sesin actual y una lista de las aplicaciones y hosts
especificados para WSAM para proporcionar intermediacin.
495
4. El usuario inicia una aplicacin o pide datos de un servidor que usted configur
a travs de WSAM. Cuando la aplicacin cliente o el proceso tratan de
conectarse al recurso, WSAM intercepta la peticin. WSAM intercepta las
llamadas de conexin TCP y UDP desde las aplicaciones y las consultas DNS
para los nombres de host de servidor de destino.
5. WSAM reenva el nombre de host de la aplicacin cliente o el servidor de
destino al IVE sobre SSL.
6. El IVE resuelve el nombre de host con el servidor DNS.
7. El IVE devuelve hasta 8 direcciones IP resueltas del host de destino al WSAM.
8. WSAM configura automticamente un canal de reenvo de puerto con una
direccin IP localhost previamente proporcionada.
NOTA:
Si usted activ la opcin Persistent Session en la ficha Users > User Roles >
Rol > General > Session Options, el IVE guarda en cach el nombre de
usuario y la contrasea en la cookie de sesin persistente despus de la
primera autenticacin exitosa. Esto genera un riesgo de seguridad potencial,
puesto que el iniciador de WSAM utiliza la informacin almacenada en la
cookie de sesin persistente para todos los intentos de inicio de sesin
posteriores durante la sesin existente aunque finalice la conexin WSAM.
Para obtener ms informacin sobre las sesiones persistentes, consulte
Especificacin de las opciones de sesin en la pgina 76.
496
Software
Versin
Compatible?
Norton AntiVirus
2003
Norton AntiVirus
2004
2004
8.0
McAfee
7.0
No
McAfee
8.0
Versin
Uso compartido de
Uso compartido de
archivos desactivado archivos activado
Norton AntiVirus
2003
Norton AntiVirus
2004
2004
No
2004
No
2.5
497
Cuando cree perfiles de recursos WSAM, tenga en cuenta que los perfiles de
recursos no contienen marcadores. Para tener acceso a las aplicaciones y
servidores que WSAM intermedia, los usuarios primero deben iniciar WSAM y
luego iniciar la aplicacin o servidor especificados con los mtodos estndar
(como el men Start de Windows o un icono de escritorio). Para obtener
informacin acerca del inicio automtico de WSAM cuando el usuario inicia
sesin en el IVE, consulte Especificacin de opciones WSAM a nivel de rol
en la pgina 506.
498
NOTA: Slo puede utilizar WSAM para configurar acceso a una aplicacin estndar
una vez por rol de usuario. Por ejemplo, puede activar una configuracin de
Microsoft Outlook y una configuracin de Lotus Notes para el rol Usuarios.
NOTA: El IVE admite varios mecanismos para intermediar trfico a las aplicaciones
499
6. En la seccin Autopolicy: SAM Access Control, cree una directiva que permita
o deniegue a los usuarios tener acceso al servidor que hospeda la aplicacin
especificada.
a.
b.
c.
Lista WSAM allowed servers: Esta lista contiene hosts a los cuales desea
que WSAM proporcione un trfico de cliente/servidor seguro entre el cliente
y el IVE.
501
NOTA: El IVE admite varios mecanismos para intermediar trfico a las aplicaciones
NOTA: Tenga en cuenta que con el fin de acceder a recursos compartidos usando
WSAM con NetBIOS, necesita especificar explcitamente el nombre de NetBIOS
del servidor (cadena alfanumrica de hasta 15 caracteres) en dos lugares: en la
pgina Add Server y en una directiva de recursos de SAM. (Actualmente los
comodines no son compatibles). Tambin puede activar la opcin Auto-allow
application servers de la ficha SAM > Options y luego el IVE crea
automticamente una directiva de recursos de SAM que permite acceder a
este servidor.
502
ii.
503
504
apache.exe
apache*
licadmin.exe
vni.exe
lmgrd.exe
TNSLSNR.EXE
ORACLE.EXE
Agntsrvc.exe
ONRSD.EXE
Pagntsrv.exe
ENCSVC.EXE
Agntsvc.exe
sqlplus.exe
sqlplusw.exe
EiSQLW.exe
Sqlservr.exe
Sqlmangr.exe
inetinfo.EXE
svchost.exe
LSASS.EXE
CSRSS.EXE
WINLOGON.EXE
SERVICES.EXE
spoolsv.exe
hostex32.exe
xstart.exe
idsd.exe
dsTermServ.exe
dsCitrixProxy.exe
dsNcService.exe
dsNetworkConnect.exe
505
506
Prompt for username and password for intranet sites: Si activa esta
opcin, el IVE requiere que los usuarios introduzcan sus credenciales de
inicio de sesin antes de conectarse a los sitios de su red interna. Esta
opcin cambia el ajuste de zona de intranet de Internet Explorer, de tal
manera que este programa solicita al usuario las credenciales de inicio de
sesin en red siempre que ste desea acceder a un sitio de intranet.
Session start script and Session end script: Si desea ejecutar un lote,
aplicacin o archivo de servicio Win32 cuando la sesin de WSAM
comienza o finaliza, introduzca el nombre y la ruta para el archivo. Por
ejemplo, si desea finalizar una aplicacin y luego reiniciarla, puede usar
PSKILL.exe (una utilidad de terceros que finaliza los procesos en los
sistemas locales o remotos).
NOTA: Si activa la opcin Session start script o Session end script, tenga en
cuenta lo siguiente:
507
Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evala estas directivas que corresponden a la solicitud. Las
directivas de recursos de SAM se aplican a las solicitudes de los usuarios
realizadas a travs de la versin JSAM o WSAM.
508
b.
Policy applies to ALL roles: Use esta opcin para aplicar esta directiva
a todos los usuarios.
Policy applies to SELECTED roles: Elija esta opcin para aplicar esta
directiva slo a los usuarios que estn asignados a roles en la lista
Selected roles. Asegrese de agregar funciones a esta lista desde la lista
Available roles.
Policy applies to all roles OTHER THAN those selected below: Elija esta
opcin para aplicar esta directiva a todos los usuarios excepto a aquellos a
quienes asigne a los roles en la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Allow socket access: Elija esta opcin para otorgar acceso a los servidores
de aplicaciones especificados en la lista Resources.
Deny socket access: Elija esta opcin para denegar acceso a los servidores
de aplicaciones especificados en la lista Resources.
Use Detailed Rules: Elija esta opcin para especificar una o ms reglas
detalladas para esta directiva. Para obtener ms informacin, consulte
Escritura de una regla detallada en la pgina 109.
509
510
Accin
-start
-stop
-signout
-version
-help
-noupgrade
-reboot
-u <username>
-p <password>
-loginscript file
-postscript file
-c <certificate name>
-u <URL>
-r <realm>
-verbose
La Tabla 36 incluye los posibles cdigos que el iniciador de WSAM devuelve al salir.
Tabla 36: Cdigos de retorno de la aplicacin
Cdigo
Descripcin
xito
Argumentos no vlidos
No se pudo conectar
511
Descripcin
Credenciales no vlidas
La instalacin fall
10
12
100
101
Para iniciar manualmente un script despus de que comienza una sesin de WSAM:
Para iniciar manualmente un script despus de que finaliza una sesin de WSAM:
NOTA:
Encierre con comillas las variables del sistema, las rutas de archivos y los
nombres de archivo
Por ejemplo:
-loginscript file %program files:%\Internet Explorer\IEXPLORER.EXE
512
:error_invalid_args
@echo invalid arguments
goto done
:error_connect
@echo could not connect
goto done
:error_credentials
@echo invalid credentials
goto done
:error_role
@echo invalid role
goto done
:error_preauth
@echo pre auth version checking
goto done
:error_install
@echo install failed
goto done
:error_reboot
@echo reboot required
goto done
513
:error_success
@echo Secure Application Manager has started
goto done
:done
Win32 API example
CHAR szCmd = SamLauncher.exe stop;
DWORD dwExitCode = 0;
STARTUPINFO si;
PROCESS_INFORMATION pi;
ZeroMemory(&si, sizeof(si));
si.cb = sizeof(si);
ZeroMemory(&pi, sizeof(pi));
if (!CreateProcess(NULL, szCmd, NULL, NULL, FALSE,
0, NULL, NULL, &si, &pi)) {
printf ("CreateProcess(%s) failed %d", szCmd, GetLastError());
return -1;
}
WaitForSingleObject(pi.hProcess, 20000);
GetExitCodeProcess(&pi.hProcess, &dwExitCode);
CloseHandle(pi.hProcess);
CloseHandle(pi.hThread);
printf(SamLauncher return %d\n, dwExitCode);
return 0;
NOTA: Si utiliza Windows Vista, abra la ventana de comandos como
administrador: El resultado estndar de SamLauncher.exe no aparece si
un usuario sin privilegios de administrador abre la ventana de comandos.
514
Recomendamos que use los perfiles de recursos para configurar JSAM (como
se describe antes). No obstante, si no desea usar los perfiles de recursos, puede
configurar JSAM con los ajustes de la directiva de rol y los recursos de las
siguientes pginas de la consola de administracin:
a.
b.
c.
b.
3. Si desea habilitar o inhabilitar los registros del lado cliente para JSAM, configure
las opciones correspondientes mediante la ficha System > Configuration >
Security > Client-side Logs de la consola de administracin. Para obtener
instrucciones, consulte Habilitacin de registros del lado cliente en la
pgina 841.
4. Si cuenta con varios dominios internos, como company-a.com and companyb.com, agregue dominios DNS al IVE mediante los ajustes de la pgina
System > Network > Overview de la consola de administracin, de tal forma
que nombres como app1.company-a.com y app2.company-b.com se resuelvan
correctamente.
515
516
1. Slo sistema operativo Windows 98: si la propiedad Close on Exit est desactivada en el cuadro DOS, que se
abre durante el proceso de inicio de JSAM (para ejecutar el proceso restore.bat), el cuadro DOS no se cierra
despus de que el archivo de lote ha terminado de ejecutarse. El usuario debe cerrar manualmente el cuadro
DOS antes de que el proceso de inicio de JSAM se pueda completar.
Informacin general de JSAM
517
518
Admitimos la mayora de las excepciones que admite Internet Explorer, con las
siguientes limitaciones:
519
para un nico puerto, el IVE asigna una direccin IP de bucle invertido nica a cada
aplicacin.
127.0.1.10, 127.0.1.11, 127.0.1.12,...
Permita que el IVE edite el archivo hosts en el sistema del cliente con
asignaciones IP de bucle invertido. El IVE hace una copia del archivo hosts
actual y luego crea un archivo hosts nuevo con las asignaciones IP de bucle
invertido. Cuando el usuario termina la sesin, el IVE borra el archivo hosts
nuevo y restaura el archivo hosts original.
Si el sistema cliente se apaga inesperadamente, el archivo hosts an dirige al
cliente a direcciones de bucle invertido para conexiones exteriores. Los ajustes
del archivo host se restablecen a su estado original cuando se reinicia el sistema
cliente.
Los usuarios deben tener los privilegios adecuados en sus equipos para que el
IVE edite el archivo hosts. Para obtener ms informacin, consulte Resolucin
de nombres de host como Localhost en la pgina 524.
520
521
522
523
Los usuarios de Linux (RedHat) deben iniciar el explorador que iniciar JSAM
como root.
Si los usuarios no tienen los privilegios adecuados en sus equipos, JSAM no puede
editar automticamente el archivo hosts, evitando la resolucin de nombre en
localhost.
Las alternativas para los usuarios que no tienen los privilegios adecuados son:
524
Los usuarios configuran una aplicacin cliente para usar la direccin localhost
asignada por el IVE donde generalmente especifican el nombre de host del
servidor de aplicaciones en la aplicacin cliente. Para obtener ms informacin,
consulte Determinacin de la direccin de bucle invertido asignada al IVE en
la pgina 522.
525
Los usuarios pueden iniciar el explorador que iniciar JSAM como root.
volver a iniciar JSAM en la misma sesin de usuario de Safari. Con el fin de volver
a iniciar JSAM, el usuario debe salir de Safari y luego volver a iniciar JSAM.
526
Con el fin de que esta caracterstica funcione con los usuarios remotos, los ajustes
de red del equipo del usuario deben resolver el nombre de los servidores Exchange
incorporados en el cliente Outlook como el equipo local (127.0.0.1, la direccin IP
localhost predeterminada). Recomendamos que configure el IVE para resolver
automticamente los nombres de host de servidor Exchange como localhost
actualizando temporalmente el archivo hosts en un equipo cliente a travs de la
opcin de asignacin de host automtica.
527
528
JSAM est configurado para usar Lotus Notes como una aplicacin estndar.
529
530
Estas instrucciones suponen que usted no est utilizando Citrix Web Interface
for Citrix Presentation Server (antes conocido como servidor NFuse). Para
obtener informacin acerca de servidores de presentacin, consulte
Compatibilidad con aplicaciones estndar: Citrix Web Interface for
MetaFrame (NFuse Classic) en la pgina 530.
531
Para especificar aplicaciones publicadas para que JSAM realice el reenvo de puerto:
1. Agregue la aplicacin personalizada a travs de JSAM mediante las
instrucciones que aparecen en Definicin de perfiles de recursos: JSAM en la
pgina 535. Cuando agregue la aplicacin personalizada, recuerde la siguiente
configuracin:
2. Si cuenta con varios dominios internos, como company-a.com and companyb.com, agregue dominios DNS al IVE mediante los ajustes de la pgina
System > Network > Overview de la consola de administracin, de tal forma
que nombres como app1.company-a.com y app2.company-b.com se resuelvan
correctamente.
3. Si el equipo de un usuario remoto est configurado para usar un proxy Web en
Internet Explorer, configure el equipo cliente para que evite el servidor proxy
cuando el usuario inicie aplicaciones que necesiten conectarse a Secure
Application Manager. Para obtener instrucciones, consulte Configuracin de un
equipo que se conecta al IVE a travs de un servidor Web proxy en la
pgina 519.
4. Habilite JSAM para asociar direcciones IP de bucle invertido con servidores de
aplicaciones en puertos especficos, ya sea habilitando JSAM para editar el
archivo hosts en los sistemas de sus usuarios (tal como se explica en
Resolucin de nombres de host como Localhost en la pgina 524) o mediante
la creacin de un DNS externo para enrutar el trfico de la aplicacin cliente al
applet de JSAM (como se explica en Configuracin de servidores DNS externos
y equipos de usuario en la pgina 525).
b.
c.
ii.
533
2. Especifique las aplicaciones para que JSAM realice reenvo de puerto agregando
una aplicacin personalizada a travs de JSAM. Utilice las instrucciones de la
seccin Definicin de perfiles de recursos: JSAM en la pgina 535. Cuando
agregue la aplicacin personalizada, recuerde la siguiente configuracin:
Server name: Para CSG, debe introducir el nombre DNS completo del
servidor de puerta de enlace segura de Citrix, no su direccin IP.
Server port: Para CSG, introduzca 443. Si tiene varios servidores de puerta
de enlace segura de Citrix, debe configurarlos todos en el mismo puerto.
Client port: Para CSG, introduzca 443. (Cree una entrada para el puerto 80
y otra para el puerto 443).
3. Si cuenta con varios dominios internos, como company-a.com and companyb.com, agregue dominios DNS al IVE mediante los ajustes de la pgina
System > Network > Overview de la consola de administracin, de tal forma
que nombres como app1.company-a.com y app2.company-b.com se resuelvan
correctamente.
4. Si el equipo de un usuario remoto est configurado para usar un proxy Web en
Internet Explorer, configure el equipo cliente para que evite el servidor proxy
cuando el usuario inicie aplicaciones que necesiten conectarse a Secure
Application Manager. Para obtener instrucciones, consulte Configuracin de un
equipo que se conecta al IVE a travs de un servidor Web proxy en la
pgina 519.
534
Observe adems que cuando usted habilita JSAM o WSAM a travs de directivas
automticas de reescritura para perfiles de recursos web, el IVE crea
automticamente directivas automticas de JSAM o WSAM para usted. Estas
directivas SAM slo se pueden ver a travs del perfil de recursos web apropiado,
no mediante las pginas de perfil de recursos SAM de la consola de
administracin. Para obtener ms informacin, consulte Definicin de una
directiva automtica de reescritura en la pgina 406.
535
ii.
NOTA: Para desactivar el cambio de registro realizado por JSAM y restaurar la copia
original del archivo etc/hosts, los usuarios deben desinstalar el cliente JSAM
536
537
ii.
Slo puede utilizar JSAM para configurar acceso a una aplicacin Lotus Notes
por rol de usuario.
NOTA:
538
ii.
NOTA: Slo puede utilizar JSAM para configurar acceso a una aplicacin Microsoft
NOTA:
NOTA:
Slo puede usar JSAM para configurar la exploracin del archivo NetBIOS una
vez por rol de usuario.
539
7. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.
Los roles seleccionados heredan la directiva automtica creada por el perfil de
recursos. Si an no est habilitado, el IVE habilita automticamente la opcin
SAM en la pgina Users > User Roles > Seleccionar rol > General >
Overview de la consola de administracin para todos los otros roles que
seleccione.
8. Haga clic en Save Changes.
540
4. Elija:
NOTA:
Custom application
i.
ii.
541
NOTA: Para desactivar el cambio de registro realizado por JSAM y restaurar la copia
original del archivo etc/hosts, los usuarios deben desinstalar el cliente JSAM
542
b.
c.
543
User can add applications: Si esta opcin est activada, los usuarios
pueden agregar aplicaciones. Para que los usuarios agreguen aplicaciones,
necesitan saber el nombre DNS del servidor de aplicaciones y los puertos
de cliente/servidor.
Cuando activa esta opcin, los usuarios pueden configurar el reenvo de
puerto a cualquier host de su empresa. Antes de proporcionar a los
usuarios la capacidad de agregar aplicaciones, verifique que esta
caracterstica es coherente con sus prcticas de seguridad. Si un usuario
agrega una aplicacin, la aplicacin permanece disponible para el usuario
aunque despus desactive la caracterstica.
Esta caracterstica es til si usted activa aplicaciones que requieren JSAM, pero
no quiere que los usuarios ejecuten JSAM innecesariamente. Sin embargo, esta
caracterstica requiere que los usuarios tengan acceso a la URL a travs de la pgina
de inicio de IVE. Si los usuarios introducen la URL en el campo Address del
explorador, el IVE no atender la solicitud.
NOTA: El IVE ofrece estrecha integracin con Citrix. Si especifica a Citrix como una
b.
c.
545
b.
Policy applies to ALL roles: Use esta opcin para aplicar esta directiva
a todos los usuarios.
Policy applies to SELECTED roles: Elija esta opcin para aplicar esta
directiva slo a los usuarios que estn asignados a roles en la lista
Selected roles. Asegrese de agregar funciones a esta lista desde la lista
Available roles.
Policy applies to all roles OTHER THAN those selected below: Elija esta
opcin para aplicar esta directiva a todos los usuarios excepto a aquellos a
quienes asigne a los roles en la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Launch JSAM for this URL: El IVE descarga Java Secure Application
Manager al cliente y luego sirve la URL solicitada.
Don't Launch JSAM for this URL: El IVE no descarga Java Secure
Application Manager al cliente para la URL solicitada. Esta opcin es til si
desea desactivar temporalmente el inicio automtico de JSAM para las URL
especificadas.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
546
Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evala estas directivas que corresponden a la solicitud. Las
directivas de recursos de SAM se aplican a las solicitudes de los usuarios
realizadas a travs de la versin JSAM o WSAM.
b.
547
Policy applies to ALL roles: Use esta opcin para aplicar esta directiva
a todos los usuarios.
Policy applies to SELECTED roles: Elija esta opcin para aplicar esta
directiva slo a los usuarios que estn asignados a roles en la lista Selected
roles. Asegrese de agregar funciones a esta lista desde la lista Available
roles.
Policy applies to all roles OTHER THAN those selected below: Elija esta
opcin para aplicar esta directiva a todos los usuarios excepto a aquellos a
quienes asigne a los roles en la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Allow socket access: Elija esta opcin para otorgar acceso a los servidores
de aplicaciones especificados en la lista Resources.
Deny socket access: Elija esta opcin para denegar acceso a los servidores
de aplicaciones especificados en la lista Resources.
Use Detailed Rules: Elija esta opcin para especificar una o ms reglas
detalladas para esta directiva. Para obtener ms informacin, consulte
Escritura de una regla detallada en la pgina 109.
549
550
Captulo 21
Telnet/SSH
La opcin Telnet/SSH permite que los usuarios se conecten a host de servidores
internos de modo transparente usando los protocolos de Telnet o que se
comuniquen sobre una sesin encriptada de Secure Shell (SSH) mediante una
emulacin de sesin de terminal basada en Web. Esta caracterstica admite las
siguientes aplicaciones y protocolos:
551
b.
c.
Crear marcadores para sus servidores de Telnet y SSH usando los ajustes de
la pgina Users > User Roles > Seleccionar rol > Telnet/SSH > Access
de la consola de administracin.
552
a.
(Opcional) Permitir que los usuarios creen sus propias conexiones a las
sesiones de Telnet y SSH usando los ajustes de la pgina Users > User
Roles > Seleccionar rol > Telnet/SSH > Options de la consola de
administracin.
b.
(Opcional) Permitir que el IVE haga coincidir las direcciones IP con los
nombres de host y inhabilite la opcin de marcadores con permiso
automtico usando los ajustes de la pgina Users > Resource Policies >
Telnet/SSH > Options de la consola de administracin.
Slo puede asignar marcadores a roles que ya haya asociado con el perfil de
recursos, no todos los roles definidos en el IVE. Para cambiar la lista de roles
asociados al perfil de recurso, utilice los parmetros de la ficha Roles.
Los marcadores simplemente controlan los vnculos que muestra el IVE a los
usuarios, no los recursos a los que los usuarios pueden obtener acceso. Por
ejemplo, si habilita el acceso a un servidor de Telnet mediante un perfil de
recursos, pero no crea un marcador correspondiente en ese servidor, aun as
el usuario puede obtener acceso al servidor introducindolo en el campo
Address de la pgina principal de IVE.
Para obtener ms informacin sobre los marcadores del perfil de recursos, consulte
Definicin de marcadores en la pgina 98.
Para asociar marcadores con los perfiles de recursos de Telnet/SSH:
1. Si desea crear un marcador de perfil de recursos mediante la pgina de perfiles
de recursos estndar:
554
a.
b.
Dirjase a la pgina Users > User Roles > Seleccionar rol > Telnet/SSH >
Sessions en la consola de administracin.
b.
c.
En la lista Type, elija Telnet/SSH Resource Profile. (El IVE no muestra esta
opcin si no ha creado un perfil de recursos de Telnet/SSH.)
f.
556
557
NOTA:
Usar la pgina principal del IVE: Los usuarios pueden introducir el servidor
y el puerto al que quieren obtener acceso en el campo Address de la pgina
principal del IVE. Los formatos vlidos para la URL son:
Telnet://host:port
SSH://host:port
558
Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evala estas directivas que corresponden a la solicitud.
559
El motor del IVE que evala las directivas de recursos requiere que los recursos que
aparecen en una lista Resources de la directiva sigan un formato cannico, como se
explica en Especificacin de los recursos para una directiva de recursos en la
pgina 103.
Esta seccin contiene la siguiente informacin sobre la definicin de las directivas
de recursos de Telnet/SSH:
b.
560
Policy applies to ALL roles: Use este campo para aplicar esta directiva
a todos los usuarios.
Policy applies to SELECTED roles: Use este campo para aplicar esta
directiva slo a los usuarios que estn asignados a funciones en la lista
Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Policy applies to all roles OTHER THAN those selected below: Use este
campo para aplicar esta directiva a todos los usuarios excepto aquellos a
quienes asigne a las funciones en la lista Selected roles. Asegrese de
agregar funciones a esta lista desde la lista Available roles.
Allow access: Use este campo para otorgar acceso a los servidores
especificados en la lista Resources.
Deny access: Use este campo para denegar el acceso a los servidores
especificados en la lista Resources.
Use Detailed Rules: Use este campo para especificar una o ms reglas
detalladas para esta directiva. Consulte Escritura de una regla detallada
en la pgina 109 en la pgina 220 para obtener ms informacin.
561
562
Captulo 22
Terminal Services
Use la caracterstica Terminal Services para habilitar sesiones de emulacin
de terminal en servidores de terminal Windows, NFuse de Citrix o MetaFrame
de Citrix.
Este tema contiene la siguiente informacin sobre Terminal Services:
563
b.
c.
564
(Opcional) Habilite a los usuarios para que definan sus propias sesiones de
los servicios de terminal, especifique los dispositivos locales a los que los
usuarios se pueden conectar y establezca opciones de visualizacin y
rendimiento usando los ajustes de la pgina Users > User Roles >
Seleccionar rol > Terminal Services > Options de la consola de
administracin. Para obtener instrucciones, consulte Especificacin de las
opciones generales de Terminal Services en la pgina 612. Si elige
habilitar a los usuarios para que definan sus propias sesiones de servicios
de terminal, tambin deber crear las directivas de recursos o los perfiles
de recursos correspondientes que permitan el acceso a los recursos
especificados, como se explic anteriormente en este tema.
b.
c.
3. (Slo en Citrix) Especifique dnde el IVE debe obtener el cliente Citrix para
cargarlo a los sistemas de los usuarios a travs de los ajustes de la pgina
Users > User Roles > Seleccionar rol > Terminal Services > Options de la
consola de administracin. Para obtener instrucciones, consulte Especificacin
de las opciones generales de Terminal Services en la pgina 612.
Adicionalmente, si especifica que el IVE debe obtener un cliente Citrix desde un
sitio Web externo, debe:
a.
b.
565
Direcciones URL desde otros sitios Web: En la mayora de los casos, los
usuarios tienen acceso a los marcadores de la sesin directamente desde la
consola del usuario final del IVE. Si no desea requerir a los usuarios que inicien
sesin en la consola de usuario final del IVE para tener acceso a los enlaces de
los servicios de terminal, puede crear direcciones URL en otros sitios Web que
apunten a los marcadores de sesin que ya ha creado en el IVE. O bien, puede
crear direcciones URL que incluyan todos los parmetros que desea pasar al
programa Terminal Services, como los parmetros del host, de los puertos y de
la ventana del terminal.
566
Barra de navegacin del IVE: Adems de permitir a los usuarios enlazar con
vnculos de los servicios de terminal a travs de marcadores y direcciones URL,
tambin puede habilitarlos para que tengan acceso a estos recursos a travs de
la barra de navegacin del IVE en los sistemas Windows. Los usuarios pueden
obtener acceso a los servidores Citrix MetaFrame o NFuse introduciendo
ica://hostname en la casilla de navegacin. O bien, los usuarios pueden obtener
acceso a los servicios de terminal de Microsoft o a las sesiones de escritorio
introduciendo rdp://hostname en la casilla de navegacin.
567
NOTA:
568
b.
c.
b.
c.
b.
c.
Users > User Roles > Seleccionar rol > Terminal Services > Sessions
569
570
Al crear alguno de estos tipos de perfiles de recursos, tenga en cuenta que tambin
puede crear marcadores de sesin de servicios de terminal. Un marcador de sesin
de servicios de terminal define la informacin del servidor de terminal a la que los
usuarios se pueden conectar y (opcionalmente) define las aplicaciones que ellos
pueden usar en el servidor de terminal. Cuando cree un perfil de recursos a un
servidor de terminal Windows o Citrix usando un archivo ICA predeterminado,
el IVE crea automticamente un marcador de sesin que enlaza al host que usted
especifica en el perfil de recursos. El IVE le permite modificar este marcador de
sesin y crear marcadores de sesin adicionales en el mismo host. Los marcadores
de sesin que usted define aparecen en el panel Terminal Services de la consola del
usuario final para los usuarios que asignan al rol correspondiente.
Puede crear marcadores mltiples para el mismo recurso de servicios de terminal
para proporcionar un acceso fcil a diversas aplicaciones. Por ejemplo, el servidor
definido en su perfil de recursos puede proporcionar acceso a diversas aplicaciones
(como Siebel y Outlook). Para proporcionar un acceso ms fcil a estas
aplicaciones, puede crear marcadores de perfiles de recursos para cada una.
O bien, puede usar marcadores mltiples para configurar el inicio de sesin nico
en una aplicacin pero no en otra.
NOTA: Al configurar marcadores de sesin, tenga en cuenta que:
Slo puede asignar marcadores de sesin a roles que ya haya asociado con el
perfil de recursos, no a todas los roles definidos en el IVE. Para cambiar la lista
de roles asociados al perfil de recursos, utilice los parmetros de la ficha Roles.
Para obtener ms informacin sobre los marcadores del perfil de recursos, consulte
Definicin de marcadores en la pgina 98.
571
572
573
Haga clic en New Applet para agregar un applet a esta lista. O bien,
seleccione un applet existente y haga clic en Replace (para reemplazar un
applet existente con uno nuevo) o Delete (para eliminar un applet del IVE).
NOTA:
El IVE slo permite que elimine applets que no se encuentran en uso por un
perfil de recursos Web o de servicios de terminal.
c.
Busque el applet que desea cargar en el IVE. Puede cargar applets (archivos
.jar o .cab) o archivos de almacenamiento (archivos .zip, .jar y .tar) que
contengan applets y todos los recursos que los applets necesitan. (Esto se
aplica slo para applets nuevos o reemplazados.)
574
4. Cree una definicin de pgina HTML en la casilla HTML que incluya referencias
para sus applets de Java. El tamao mximo del archivo HTML que se puede
especificar es 25k. A continuacin, llene todos los atributos y parmetros
requeridos usando las pautas de las siguientes secciones:
5. Seleccione Use this Java applet as a fallback mechanism para usar este applet
slo cuando el cliente Windows no pueda iniciar. O bien, seleccione Always use
this Java applet para usar este applet sin importar si el cliente Windows inicia
o no.
6. Haga clic en Save Changes.
575
576
577
Tenga en cuenta tambin que para restaurar el archivo hosts a su estado original
despus de ejecutar la ventana de servicios de terminal, el usuario debe cerrar
adecuadamente su aplicacin. De lo contrario, es posible que otras aplicaciones
que usan el archivo hosts (como JSAM y Host Checker) no funcionen
adecuadamente. El usuario tambin puede restaurar su archivo hosts a su estado
original al reiniciando el sistema o cambiando el nombre al archivo hosts de
respaldo (hosts_ive.bak).
4. Seleccione color de 8-bit, 15-bit, 16-bit, 24-bit o de 32-bit desde la lista Color
Depth si desea cambiar la profundidad del color de los datos de la sesin de
terminal. (De forma predeterminada, el IVE configura la profundidad del color
en 8 bits.)
5. Haga clic en Save Changes.
578
Introduzca el nombre alias del servidor (slo para servidores que ejecutan
Windows 2008 y posteriores) en la casilla Alias name.
Definicin de perfiles de recursos: Windows Terminal Services
579
580
Para definir los recursos locales a los que los usuarios pueden tener acceso:
1. Cree un marcador de servicios de terminal o edite un marcador existente
siguiendo las instrucciones en Definicin de un marcador para un perfil de
servicios de terminal de Windows en la pgina 575.
2. Desplcese al rea Connect Devices de la pgina de configuracin de los
marcadores.
3. Seleccione Connect local drives para conectar la unidad local del usuario con
el servidor de terminal, permitindole al usuario copiar la informacin desde el
servidor de terminal a sus directorios locales del cliente.
4. Seleccione Connect local printers para conectar las impresoras locales del
usuario con el servidor de terminal, permitindole al usuario imprimir
informacin desde el servidor de terminal en su impresora local.
5. Seleccione Connect COM Ports para conectar los puertos COM del usuario
al servidor de terminal, permitiendo la comunicacin entre el servidor de
terminal y los dispositivos en sus puertos serie.
6. Seleccione Allow Clipboard Sharing para permitir que los contenidos del
portapapeles se compartan entre el equipo host del usuario y el servidor de
terminal. Debido a limitaciones en las versiones del cliente RDP anteriores
a la 6.0, al desmarcar la opcin Allow Clipboard Sharing se inhabilitarn
automticamente las opciones Connect local drives, Connect local printers
y Connect COM Ports.
7. Seleccione Connect smart cards para permitir que los usuarios usen tarjetas
inteligentes para autenticar sus sesiones de escritorio remoto.
NOTA: Las tarjetas inteligentes son compatibles con Remote Desktop Protocol de
Microsoft versin 5.1 y posteriores.
NOTA: Las opciones de sonido son compatibles con Remote Desktop Protocol de
Microsoft versin 5.1 y posteriores.
581
Para definir los ajustes de visualizacin para las sesiones de los usuarios:
1. Cree un marcador de servicios de terminal o edite un marcador existente
siguiendo las instrucciones en Definicin de un marcador para un perfil de
servicios de terminal de Windows en la pgina 575.
2. Desplcese al rea Display Settings de la pgina de configuracin de los
marcadores.
3. Seleccione Desktop background para mostrar un fondo con papel tapiz a los
usuarios. Si no selecciona esta opcin, el fondo estar vaco.
4. Seleccione Show contents of window while dragging para mostrar los
contenidos de la ventana Explorer de Windows mientras el usuario mueve las
ventanas en los escritorios.
5. Seleccione Menu and window animation para animar el movimiento de
ventanas, mens y listas.
6. Seleccione Themes para permitir que los usuarios agreguen temas de Windows
en sus ventanas del servidor de terminal.
7. Seleccione Bitmap Caching para mejorar el rendimiento al minimizar la
cantidad de informacin de pantalla que se transmite por una conexin.
8. Seleccione Font Smoothing (RDP 6.0 onwards) para suavizar el texto y hacerlo
ms fcil de leer. Esta opcin slo funciona en equipos con Windows Vista que
ejecuten clientes RDP de versin 6.0 o posterior.
9. Seleccione Desktop Composition (RDP 6.0 onwards) para permitir la
composicin del escritorio. Con la composicin del escritorio, las ventanas
individuales no aparecen directamente en la pantalla. En cambio, las imgenes
se redirigen a la memoria de vdeo, la que luego las enva en una imagen de
escritorio y las presenta en la pantalla.
10. Haga clic en Save Changes.
582
583
11. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.
Los roles seleccionados heredan la directiva automtica y los marcadores de
sesin creados por el perfil de recursos. En caso de no estar habilitada, el IVE
tambin activa automticamente la opcin Terminal Services en la pgina
Users > User Roles > Seleccionar rol > General > Overview de la consola de
administracin para todos los roles que seleccione.
12. Haga clic en Save Changes.
13. (Opcional) En la ficha Bookmarks, modifique el marcador de sesin
predeterminado creado por el IVE o cree marcadores nuevos siguiendo las
instrucciones de Definicin de un marcador para un perfil de servicios de
terminal de Windows en la pgina 575. (De forma predeterminada, el IVE crea
un marcador en el servidor definido en la casilla Host y lo muestra a todos los
usuarios asignados al rol especificado en la ficha Roles.)
5. Transmita las credenciales del usuario del IVE al servidor del terminal para que
los usuarios puedan iniciar sesin en el servidor del terminal sin tener que
introducir las credenciales de forma manual. Puede hacer esto usando las
opciones de configuracin en el rea Session de la pgina de configuracin de
los marcadores. Consulte Definicin de las opciones de SSO para la sesin de
servicios de terminal de Citrix en la pgina 587.
6. Otorgue a los usuarios acceso a aplicaciones especficas en el servidor del
terminal usando las opciones de configuracin en el rea Start Application de la
pgina de configuracin de los marcadores. Adems, puede usar los ajustes en
esta seccin para definir las opciones de inicio automtico y de fiablilidad de la
sesin. Consulte Definicin de ajustes de aplicacin, inicio automtico y
fiablilidad de la sesin para la sesin de servicios de terminal de Citrix en la
pgina 588.
7. Otorgue a los usuarios acceso a los recursos locales como impresoras y
unidades a travs de la sesin del terminal usando las opciones de
configuracin de la seccin Connect Devices de la pgina de configuracin de
los marcadores. Consulte Definicin de las conexiones de dispositivo para la
sesin de servicios de terminal de Citrix en la pgina 590.
8. Especifique los roles para los que desea mostrar el marcador de sesin si
configurar el marcador de sesin mediante las pginas de perfiles de recursos,
en Roles:
585
586
4. Seleccione color de 8-bit, 15-bit, 16-bit, 24-bit o de 32-bit desde la lista Color
Depth si desea cambiar la profundidad del color de los datos de la sesin de
terminal. (De forma predeterminada, el IVE configura la profundidad del color
en 8 bits.)
NOTA: Cuando configure un marcador de sesin de Citrix, tenga en cuenta que
el ajuste que escoja aqu y el ajuste del escritorio local del usuario afectarn a la
profundidad del color de la pantalla del cliente. Si estos ajustes no coinciden,
el usuario ver la profundidad de color ms baja de las dos posibles durante la
sesin. Por ejemplo, si selecciona color de 16-bit durante la configuracin del IVE,
pero el escritorio local del usuario est configurado en 8 bits, el usuario ver con
profundidad de color de 8 bits durante su sesin.
587
User Roles > Seleccionar rol > Terminal Services > Options en la consola de
administracin e introduzca la direccin URL en la casilla Download from URL.
Visite el sitio Web de Citrix para conocer la ubicacin del ltimo archivo del cliente
Program Neighborhood cab.
Cuando seleccione la opcin Use domain credentials, tambin debe habilitar
la SSO a travs del archivo de ajustes del usuario (appsrv.ini). Si el usuario
ya ha iniciado sesin correctamente en el servidor MetaFrame usando las
credenciales de dominio en el cach, este ajuste ya debera estar habilitado.
De lo contrario, usted o el usuario deben:
a.
b.
588
Introduzca el nombre alias del servidor en el campo Alias Name (slo para
servidores que ejecutan Windows 2008 y posteriores).
4. En la casilla Path to application, especifique dnde residen los archivos
ejecutables de la aplicacin en el servidor de terminal (visible slo cuando
desmarca Launch seamless window). Por ejemplo, puede introducir el
siguiente directorio para la aplicacin Microsoft Word:
C:\Program Files\Microsoft Office\Office10\WinWord.exe
589
Para definir los recursos locales a los que los usuarios pueden tener acceso:
1. Cree un marcador de servicios de terminal o edite un marcador existente
siguiendo las instrucciones en Definicin de un marcador para un perfil Citrix
usando los ajustes de ICA predeterminados en la pgina 584 o Definicin de
un marcador para un perfil de servicios de terminal de Windows en la
pgina 575.
2. Desplcese al rea Connect Devices de la pgina de configuracin de los
marcadores.
3. Seleccione Connect local drives si desea conectar la unidad local del usuario
con el servidor de terminal, permitindole al usuario copiar la informacin
desde el servidor de terminal a sus directorios locales del cliente.
4. Seleccione Connect local printers si desea conectar las impresoras locales
del usuario con el servidor de terminal, permitindole al usuario imprimir
informacin desde el servidor de terminal en su impresora local.
5. Seleccione Connect COM Ports si desea conectar los puertos COM del usuario
al servidor de terminal, permitiendo la comunicacin entre el servidor de
terminal y los dispositivos en sus puertos serie.
NOTA: Cuando habilita recursos locales a travs del servidor de terminal,
cada usuario slo puede tener acceso a sus propios recursos locales. Por ejemplo,
el usuario 1 no puede ver los directorios locales del usuario 2.
590
Para crear un perfil de recursos de Citrix que use un archivo ICA personalizado:
1. Seleccione la pgina Users > Resource Profiles > Terminal Services en la
consola de administracin.
2. Haga clic en New Profile. O bien, seleccione un perfil existente desde la lista.
3. Seleccione Citrix using custom ICA file en la lista Type.
4. Especifique en la casilla ICA File el archivo ICA que contiene los parmetros de
la sesin que desea usar. Tenga en cuenta que puede descargar y personalizar
los siguientes archivos ICA desde el IVE:
El archivo ICA que viene con el IVE: Para personalizar este archivo,
haga clic en el enlace Open, guarde el archivo en su equipo local,
personalice el archivo segn lo necesite y vuelva a cargarlo al IVE usando
la opcin Browse. Si personaliza este archivo, debe volver incluir los
siguientes parmetros en l default.ica: <CITRIX_CLIENT_NAME>, <APPDATA>
y <TARGET_SERVER>.
591
NOTA:
Antes de cargar el archivo ICA, debe probarlo para confirmar que inicia la
sesin Citrix correctamente. Para realizar la prueba, cree un archivo ICA
y acceda directamente a l. Si el archivo muestra la sesin de Citrix
correctamente, entonces debe funcionar a travs del IVE.
Cuando utilice tecnologa de reescritura Java para pasar los applets de JICA de
Citrix a travs del IVE, debe configurar el parmetro proxyType en el archivo
ICA como None (incluso si un proxy del lado cliente est configurado en el
navegador).
b.
c.
Elija Allow para permitir el acceso a los recursos especificados o Deny para
bloquear el recurso especificado de la lista Action.
592
9. En la casilla Roles, seleccione los roles a las que se aplica el perfil de recursos
y haga clic en Add.
Los roles seleccionados heredan la directiva automtica y los marcadores de
sesin creados por el perfil de recursos. En caso de no estar habilitada, el IVE
tambin habilita automticamente la opcin Terminal Services en la pgina
Users > User Roles > Seleccionar rol > General > Overview de la consola de
administracin para todos los roles que seleccione.
10. Haga clic en Save Changes.
11. (Opcional) En la ficha Bookmarks, modifique el marcador de sesin
predeterminado creado por el IVE o cree marcadores nuevos siguiendo las
instrucciones de Definicin de un marcador para un perfil Citrix usando un
archivo ICA personalizado en la pgina 593. (De forma predeterminada, el IVE
crea un marcador en el servidor definido en el archivo ICA personalizado y lo
muestra a todos los usuarios asignados al rol especificado en la ficha Roles.)
593
3. Transmita las credenciales del usuario del IVE al servidor del terminal para que
los usuarios puedan iniciar sesin en el servidor del terminal sin tener que
introducir las credenciales de forma manual. Puede hacer esto mediante las
opciones de configuracin en el rea Session de la pgina de configuracin de
los marcadores. Consulte Definicin de las opciones de SSO para la sesin de
servicios de terminal de Citrix en la pgina 587.
4. Inicie automticamente este marcador de sesin de servicios de terminal
cuando un usuario inicie sesin en el IVE al seleccionar la casilla de verificacin
Auto-launch. Cuando selecciona esta opcin, el IVE inicia la aplicacin de
servicios de terminal en una ventana separada cuando el usuario inicia sesin
en el IVE.
5. En Roles, especifique los roles a los que desea mostrar los marcadores
de sesin:
594
NOTA: Aunque el texto puro es compatible, recomendamos que siempre use SSL
para evitar problemas de seguridad.
b.
c.
Elija Allow para permitir el acceso a los recursos especificados o Deny para
bloquear el recurso especificado de la lista Action.
595
11. En la ficha Roles, seleccione los roles a los que se aplica el perfil de recursos
y haga clic en Add.
Los roles seleccionados heredan la directiva automtica y los marcadores de
sesin creados por el perfil de recursos. En caso de no estar habilitada, el IVE
tambin habilita automticamente la opcin Terminal Services en la pgina
Users > User Roles > Seleccionar rol > General > Overview de la consola
de administracin para todas los roles que seleccione.
12. Haga clic en Save Changes.
13. (Opcional) En la casilla Bookmarks, modifique el marcador de sesin
predeterminado creado por el IVE o cree marcadores nuevos siguiendo las
instrucciones de Definicin de un marcador para las aplicaciones de la lista del
perfil de Citrix en la pgina 596.
596
a.
b.
b.
597
c.
Connect local drives: Conecte la unidad local del usuario con el servidor
de terminal, permitindole al usuario copiar la informacin desde el
servidor de terminal a sus directorios locales del cliente.
Seleccione Connect COM Ports: Conecte los puertos COM del usuario al
servidor de terminal, permitiendo la comunicacin entre el servidor de
terminal y los dispositivos en sus puertos serie.
7. En Roles, especifique los roles a los que desea mostrar los marcadores
de sesin:
598
Tambin puede habilitar a los usuarios para que creen sus propios marcadores de
sesin en la pgina de inicio de IVE y navegar a los servidores de terminal usando la
barra de navegacin del IVE. O bien, puede crear enlaces desde sitios externos a los
marcadores de servicios de terminal.
599
600
Citrix using custom ICA file: Habilita una sesin de servicios de terminal
en un servidor MetaFrame de Citrix o un servidor NFuse que rige una
granja de servidores Citrix. Cuando selecciona esta opcin, el IVE usa los
parmetros de sesin definidos en el archivo ICA personalizado
especificado y elimina los elementos de configuracin de Session
Reliability, Start Application y Connect Devices de la pgina actual.
NOTA: Debido a que el IVE no admite el reenvo de puertos UDP, debe usar
el protocolo TCP/IP+HTTP para navegar y especificar el puerto del servidor
MetaFrame de Citrix o NFuse y la direccin IP para habilitar la conexin entre
el IVE y la granja de servidores Citrix.
601
602
3. Seleccione una opcin desde la lista desplegable Screen Size si desea cambiar
el tamao de la ventana de los servicios de terminal en la estacin de trabajo
del usuario. (De forma predeterminada, el IVE establece el tamao de la
ventana en pantalla completa.)
NOTA: Si selecciona la opcin Full Screen y se conecta a un servidor de terminal
de Windows, el IVE debe modificar el archivo Full Screen del usuario para
mostrar el nombre de host correcto en la ventana de servicios de terminal. Si el
usuario no tiene los derechos correspondientes para modificar el archivo hosts,
el IVE mostrar la direccin de bucle invertido en su lugar.
Tenga en cuenta tambin que para restaurar el archivo hosts a su estado original
despus de ejecutar la ventana de servicios de terminal, el usuario debe cerrar
adecuadamente su aplicacin. De lo contrario, es posible que otras aplicaciones
que usan el archivo hosts (como JSAM y Host Checker) no funcionen
adecuadamente. El usuario tambin puede restaurar su archivo hosts a su estado
original reiniciando el sistema o cambiando el nombre del archivo de hosts de
respaldo (hosts_ive.bak).
4. Seleccione color de 8 bits, 15 bits, 16 bits, 24 bits, o 32 bits desde la lista Color
Depth si desea cambiar la profundidad del color de los datos de sesin de
terminal. (De forma predeterminada, el IVE configura la profundidad del color
en 8 bits.)
NOTA: Cuando configure un marcador de sesin de Citrix, tenga en cuenta que
el ajuste que escoja aqu y el ajuste del escritorio local del usuario afectarn a la
profundidad del color de la pantalla del cliente. Si estos ajustes no coinciden,
el usuario ver la profundidad de color ms baja de las dos posibles durante la
sesin. Por ejemplo, si elige color de 16 bits durante la configuracin del IVE,
pero el escritorio local del usuario est configurado en 8 bits, el usuario ver con
profundidad de color de 8 bits durante su sesin.
603
b.
604
605
Para definir los recursos locales a los que los usuarios pueden tener acceso:
1. Cree un marcador de sesin de servicios de terminal o edite un marcador de
sesin existente siguiendo las instrucciones en Creacin de marcadores de
sesin de servicios de terminal avanzados en la pgina 600.
2. Desplcese a la seccin Connect Devices de la pgina de configuracin de los
marcadores.
NOTA: Si especifica Citrix using custom ICA file en la seccin de configuracin
Session Type, el elemento de configuracin Connect Devices no estar
disponible.
3. Seleccione Connect local drives para conectar la unidad local del usuario con
el servidor de terminal, permitiendo al usuario copiar la informacin desde el
servidor de terminal a sus directorios locales del cliente.
4. Seleccione Connect local printers para conectar las impresoras locales
del usuario con el servidor de terminal, permitindole al usuario imprimir
informacin desde el servidor de terminal en su impresora local.
5. Seleccione Connect COM Ports para conectar los puertos COM del usuario
al servidor de terminal, permitiendo la comunicacin entre el servidor de
terminal y los dispositivos en sus puertos serie.
606
NOTA: Las opciones para tarjetas inteligentes y sonido son compatibles con
Remote Desktop Protocol de Microsoft versin 5.1 y posteriores.
Para definir los ajustes de visualizacin para las sesiones de los usuarios:
1. Cree un marcador de sesin de servicios de terminal o edite un marcador de
sesin existente siguiendo las instrucciones en Creacin de marcadores de
sesin de servicios de terminal avanzados en la pgina 600.
2. Desplcese a la seccin Display Settings de la pgina de configuracin de los
marcadores.
3. Seleccione Desktop background si desea mostrar un fondo con papel tapiz
a los usuarios. Si no selecciona esta opcin, el fondo estar vaco.
4. Seleccione Show contents of window while dragging si desea mostrar los
contenidos de la ventana Explorer de Windows mientras el usuario mueve las
ventanas en los escritorios.
607
Direccin URL que incluye todos los parmetros necesarios: Cree una
direccin URL que incluya todos los parmetros que desea transmitir al
programa de servicios de terminal, como los parmetros del host, del puerto
y de la ventana de terminal. Al crear la direccin URL, use la siguiente sintaxis:
https://<IVE>/dana/term/winlaunchterm.cgi?<param1>=<value1>&<param2>=<
value2>
Cuando cree la direccin URL, puede usar los nombres de parmetro que
distinguen maysculas de minsculas descritos en la Tabla 37. Si desea incluir
ms de un parmetro en el marcador de sesin, nalos en una cadena usando
el smbolo &. Por ejemplo:
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=yourtermserver.yourdo
main.com&type=Windows&clientPort=1094&serverPort=3389&user=john&passw
ord=abc123&screenSize=fullScreen
608
NOTA: Cuando use el IVE para almacenar los marcadores de sesin de Terminal
Services, debe:
Habilitar la opcin User can add sessions en la pgina Users > User Roles >
Seleccionar rol > Terminal Services > Options. Si no selecciona esta opcin,
los usuarios no podrn enlazar a los marcadores de sesin de Terminal
Services desde sitios externos.
Cree una directiva que evite que el IVE reescriba el enlace y la pgina que
contiene el enlace usando los ajustes de la pgina Users > Resource
Policies > Web > Rewriting > Selective Rewriting de la consola de
administracin. Para obtener instrucciones, consulte Creacin de una
directiva de recursos de reescritura selectiva en la pgina 443.
Tabla 37: Nombres de parmetros de marcadores de sesin de servicios de terminal que no distinguen maysculas
de minsculas
Nombre de
parmetro
Ejemplo
host
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer
type
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer&type=Windows
clientPort
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer&clientPort=1094
serverPort
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer&serverPort=3389
user
609
Tabla 37: Nombres de parmetros de marcadores de sesin de servicios de terminal que no distinguen maysculas
de minsculas (continuacin)
Nombre de
parmetro
Ejemplo
password
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer&user=jDoe&password=<password>
bmname
screenSize
El tamao de la ventana de
servicios de terminal. Valores
posibles:
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer&screenSize=fullScreen
fullScreen
800x600
1024x768
1280x1024
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
La profundidad de color de la
mServer&colorDepth=32
ventana de servicios de terminal,
expresado en bits. Valores posibles:
8
15
16
24
32
startApp
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer&startApp=C:\Program Files\Microsoft
Office\Office10\WinWord.exe
startDir
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer&startapp=C:\temp
connectDrives
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
Especifica si el usuario puede
conectar su unidad local al servidor mServer&connectDrives=Yes
de terminal. Valores posibles:
Yes
No
connectPrinters
610
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer&connectPrinters=Yes
Tabla 37: Nombres de parmetros de marcadores de sesin de servicios de terminal que no distinguen maysculas
de minsculas (continuacin)
Nombre de
parmetro
connectComPorts
Ejemplo
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer&connectComPorts=Yes
Yes
No
allowclipboard
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer&allowclipboard=Yes
Yes
No
desktopbackground
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer&desktopbackground=Yes
Yes
No
showDragContents
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer&showDragContents=Yes
Yes
No
showMenuAnimation
Especifica si se animar el
movimiento de las ventanas,
mens y listas. Valores posibles:
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer&showMenuAnimation=Yes
Yes
No
themes
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer&themes=Yes
Yes
No
bitmapcaching
Especifica si se mejorar el
rendimiento al minimizar la
cantidad de informacin de
pantalla que se debe transmitir en
una conexin. Valores posibles:
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer&bitmapcaching=Yes
Yes
No
611
Tabla 37: Nombres de parmetros de marcadores de sesin de servicios de terminal que no distinguen maysculas
de minsculas (continuacin)
Nombre de
parmetro
fontsmoothing
Ejemplo
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
Especifica si se suavizar el texto
para facilitar la lectura. Esta opcin mServer&fontsmoothing=Yes
slo funciona en equipos con
Windows Vista que ejecuten
clientes RDP de versin 6.0 o
posterior. Valores posibles:
Yes
No
desktopcomposition
Especifica si se permitir la
composicin del escritorio.
Valores posibles:
https://YourIVE.com/dana/term/winlaunchterm.cgi?host=YourTer
mServer&desktopcomposition=Yes
Yes
No
612
Downloaded from the Citrix web site: El IVE instala la ltima versin del
cliente ICA desde el sitio Web de Citrix:
http://download2.citrix.com/files/en/products/client/ica/current/wficac.cab
Downloaded from the IVE: Use el botn Browse para navegar al cliente
ICA en su red local. Cuando carga el cliente, el IVE lo usa como el
predeterminado y lo descarga a los sistemas de los usuarios cuando sea
necesario. Tambin debe especificar el nmero de versin exacto del
cliente ICA.
Downloaded from a URL: El IVE instala el cliente ICA que usted elige
desde el sitio Web especificado. Tambin debe especificar el nmero de
versin exacto del cliente ICA.
NOTA:
Si elige descargar un cliente ICA desde el sitio Web o direccin URL de Citrix,
el IVE asegura la transaccin descargada al procesar la direccin URL a travs
del Motor de intermediacin de contenido del IVE. Por lo tanto, debe
seleccionar un sitio al que pueda tener acceso el IVE y que est habilitado para
los usuarios dentro de este rol.
613
Users can connect drives: Permite que los usuarios creen marcadores que
conectan sus unidades locales con el servidor de terminal, permitindole al
usuario copiar la informacin desde el servidor de terminal a sus
directorios locales de cliente.
User can connect printers: Permite que los usuarios creen marcadores
que conectan sus impresoras locales con el servidor de terminal,
permitindole al usuario imprimir la informacin desde el servidor
de terminal en su impresora local.
User can connect COM Ports: Permite que los usuarios creen marcadores
que conecten sus puertos COM con el servidor de terminal, permitiendo la
comunicacin entre el servidor de terminal y los dispositivos en sus
puertos serie.
NOTA:
614
User can connect smart cards: Permita a los usuarios utilizar lectores de
tarjetas inteligentes conectadas a su sistema para autenticar su sesin de
escritorio remoto.
User can connect sound devices: Permita a los usuarios redirigir el audio
desde la sesin de escritorio remoto a su sistema local.
NOTA: Las tarjetas inteligentes que redirigen audio son compatibles con Remote
Desktop Protocol de Microsoft versin 5.1 y posteriores.
b.
c.
f.
615
Roles: Una directiva de recursos debe especificar los roles a los que se aplica.
Cuando un usuario realiza una solicitud, el IVE determina las directivas que se
aplican al rol y evala estas directivas que corresponden a la solicitud.
El motor de la plataforma del IVE que evala las directivas de recursos requiere que
los recursos que aparecen en la lista de Resources de una directiva sigan un
formato cannico, como se explica en Especificacin de los recursos para una
directiva de recursos en la pgina 103.
Para escribir una directiva de recursos de Terminal Services:
1. En la consola de administracin, elija Users > Resource Policies > Terminal
Services > Access.
2. En la pgina Terminal Services Policies, haga clic en New Policy.
3. En la pgina New Policy, introduzca:
a.
b.
616
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Use Detailed Rules: Para especificar una o ms reglas detalladas para esta
directiva. Para obtener ms informacin, consulte Escritura de una regla
detallada en la pgina 109.
617
618
Captulo 23
Secure Meeting
Secure Meeting permite a los usuarios del IVE programar y realizar de forma segura
reuniones en lnea entre ellos y otros que no usen el IVE. Durante las reuniones, los
usuarios pueden compartir sus escritorios y aplicaciones con otros a travs de una
conexin segura, permitiendo a todos los participantes de la reunin compartir
instantneamente datos electrnicos en pantalla. Los asistentes a las reuniones
tambin pueden colaborar de forma segura controlando desde una ubicacin
remota el escritorio de otro usuario y a travs de un chat de texto mediante una
ventana de aplicacin aparte que no interfiere con la presentacin.
Esta seccin incluye la siguiente informacin sobre Secure Meeting:
Use los ajustes de la pgina Users > User Roles > Seleccionar rol >
General para habilitar Secure Meeting a nivel de rol. Para obtener
instrucciones, consulte Definicin de los ajustes de rol: Secure Meeting
en la pgina 633.
Use los ajustes de la pgina Users > User Roles > Seleccionar rol >
Meetings > Options para configurar las restricciones de reuniones a nivel
de rol. Para obtener instrucciones, consulte Definicin de los ajustes de
rol: Secure Meeting en la pgina 633.
3. Especifique los servidores de autenticacin a los que pueden tener acceso los
creadores de la reunin y en los que pueden buscar mediante los ajustes de las
siguientes pginas de la consola de administracin:
620
Use los ajustes de la pgina Users > User Roles > Seleccionar rol >
Meetings > Auth Servers para especificar los servidores de autenticacin
a los que pueden tener acceso los creadores de la reunin y en los que
pueden buscar. Para obtener instrucciones, consulte Especificacin de los
servidores a los que pueden acceder los creadores de reuniones en la
pgina 638.
Use los ajustes de la pgina Authentication > Signing In > Sign-in Pages
para personalizar las pginas que ven los asistentes a la reunin al iniciar
sesin en una reunin.
5. Configure los ajustes de la reunin a nivel de sistema, entre ellos los tiempos de
espera de sesin, la informacin de servidor SMTP, los ajustes de huso horario y
los de profundidad de color mediante las opciones de la pgina System >
Configuration > Secure Meeting de la consola de administracin. Para
obtener instrucciones, consulte Configuracin de los ajustes de reunin a nivel
de sistema en la pgina 640.
6. Si desea habilitar el registro del lado cliente, use los ajustes de las siguientes
pginas de la consola de administracin:
Use los ajustes de la pgina System > Log/Monitoring > Client Logs >
Settings de la consola de administracin para habilitar el registro del lado
cliente. Debe habilitar esta opcin para generar registros para los usuarios
finales del IVE y para los asistentes a la reunin. Para obtener
instrucciones, consulte Habilitacin de registros del lado cliente en la
pgina 841.
Use los ajustes de la pgina Users > User Roles > Seleccionar rol >
General > Session Options de la consola de administracin para que los
asistentes a la reunin puedan cargar sus archivos de registro directamente
en el IVE, en lugar de tener que empaquetarlos y envirselos por correo
electrnico. Para obtener instrucciones, consulte Configuracin de los
ajustes de reunin a nivel de sistema en la pgina 640.
Use los ajustes de la pgina System > Log/Monitoring > Uploaded Logs
de la consola de administracin para ver los registros que los usuarios
envan al IVE. Para obtener instrucciones, consulte Visualizacin de
registros cargados del lado cliente en la pgina 844.
NOTA: Secure Meeting instala los archivos del cliente en diferentes directorios del
sistema operativo y privilegios. Para obtener ms informacin, consulte el manual
Client-side Changes Guide en el Juniper Networks Customer Support Center.
621
Programacin de reuniones
Todas las reuniones en lnea de Secure Meeting debe programarlas un usuario del
IVE. El creador de la reunin especifica los detalles de la reunin, como nombre de
la reunin, descripcin, hora de inicio, fecha de inicio, frecuencia, duracin,
contrasea y una lista de invitados.
Los creadores de reuniones pueden usar las siguientes aplicaciones para
programarlas:
622
la consola de usuario final del IVE para participar en una reunin, Secure Meeting
clasifica al usuario como invitado ajeno al IVE. Para obtener ms informacin,
consulte Entrar en una reunin en la pgina 626.
NOTA: La ficha Appointment tiene una casilla de verificacin con la etiqueta This
624
6. Outlook enva correos electrnicos de invitacin a los invitados que usan texto
y el enlace de URL de la reunin construido por el complemento de Secure
Meeting para Outlook. Adems, Outlook agrega la reunin a los calendarios de
Outlook de los invitados a la reunin. Este elemento del calendario incluye toda
la informacin estndar registrada por Outlook, adems de la ficha adicional
Secure Meeting, que contiene la informacin especificada por el creador de la
reunin en la ficha Secure Meeting. Tenga en cuenta que el IVE no enva un
correo electrnico adicional mediante el servidor SMTP. Para obtener ms
informacin, consulte Envo de correos electrnicos de notificacin en la
pgina 625.
NOTA: El complemento de Secure Meeting para Outlook slo es compatible con
equipos con Windows Outlook 2000, 2002 2003. No admite Outlook 2007 ni
posteriores.
7. Para eliminar una reunin, haga clic en Delete Meeting from Server en la ficha
Secure Meeting. La reunin no se elimina haciendo clic en Delete del
formulario de Outlook.
Si los usuarios programan reuniones a travs de la consola de usuario final del IVE,
debe habilitar un servidor SMTP en la pgina Users > Resource Policies >
Meetings de la consola de administracin para poder enviar correos electrnicos de
notificacin a los invitados. Al hacerlo, Secure Meeting obtiene direcciones de
correo electrnico de las siguientes fuentes:
Use el enlace que aparece en la pgina Meetings (slo invitados del IVE).
Para obtener la URL de una reunin, su creador puede buscar en la pgina Join
Meeting. Tambin, si elige el uso de la URL predeterminada de la reunin, cualquier
invitado a la reunin puede determinar la URL correcta introduciendo los valores
correspondientes en la siguiente URL:
https://<YourIVE>/meeting/<MeetingID>
626
Donde:
Cuando un invitado decide entrar en una reunin, Secure Meeting descarga o inicia
un cliente de Windows o un applet de Java en el sistema del invitado. Este
componente del lado cliente contiene un visor de reuniones, herramientas de
presentacin y una aplicacin de mensajes de texto. Una vez que Secure Meeting
inicia el cliente de Windows o el applet de Java en el escritorio del usuario, ste se
convierte en un asistente a la reunin y puede comenzar a participar de ella.
NOTA: Al configurar Secure Meeting, tenga en cuenta que:
628
Si usted o el creador de la reunin opta por ocultar los nombres de los asistentes,
los usuarios de Secure Meeting slo podrn ver sus propios nombres y los del
director y presentador de la reunin. Para obtener ms informacin, consulte
Direccin de reuniones en la pgina 629 y Presentacin de reuniones en la
pgina 630.
La funcionalidad del chat de Secure Meeting slo admite usuarios que usen
codificacin en el mismo idioma (segn los ajustes del explorador Web) en una sola
reunin. El uso de una codificacin diferente ocasionar la generacin de texto
incomprensible. Las invitaciones a la reunin se envan segn el ajuste de idioma
del explorador Web del creador al crear o guardar las reuniones.
Direccin de reuniones
El director de la reunin corresponde a un usuario del IVE que se encarga de iniciar
la reunin. Secure Meeting le otorga al director las siguientes responsabilidades y
capacidades que le ayudarn a realizar eficazmente su reunin:
Presentacin de reuniones
Una vez que el presentador comienza a compartir, se abre automticamente un
visor de reuniones en todos los escritorios de los asistentes a la reunin y muestra
las aplicaciones compartidas del presentador1. Secure Meeting otorga al
presentador las siguientes capacidades que le ayudarn a realizar una presentacin
eficaz a los dems usuarios:
1. Secure Meeting no puede mostrar el contenido del escritorio del presentador de la reunin si ste est
bloqueado.
630
1. El creador de la reunin puede cambiar los ajustes predeterminados para una reunin instantnea o de apoyo
volviendo a la pgina Meeting Details despus de crear la reunin.
Informacin general de Secure Meeting 631
Donde:
633
634
Password must have one or more digits: Seleccione esta opcin para que
las contraseas deban tener al menos un dgito.
Password must have one or more letters: Seleccione esta opcin para que
las contraseas deban tener al menos una letra.
635
Do not allow hiding of attendee names: Seleccione esta opcin para que
aparezcan siempre los nombres de los asistentes a la reunin.
Hide attendee names: Seleccione esta opcin para que se oculten siempre
los nombres de los asistentes a la reunin. Tenga en cuenta que, al
seleccionar esta opcin, Secure Meeting igual revela los nombres del
director y presentador de la reunin a otros asistentes a ella.
636
Disable remote control (more secure): Seleccione esta opcin para limitar
el control del escritorio y de las aplicaciones del presentador de la reunin
exclusivamente al presentador.
12. En Secure Chat, indique si desea o no permitir a los usuarios chatear durante
sus reuniones:
Allow secure chat (more functional): Seleccione esta opcin para habilitar
el chat en las reuniones que crean los usuarios asignados a este rol.
Disable secure chat (more secure): Seleccione esta opcin para inhabilitar
el chat en las reuniones que crean los usuarios asignados a este rol.
NOTA: Si cambia este ajuste durante el curso de una reunin (es decir, despus de
que algn usuario haya entrado en la reunin), Secure Meeting no aplica el ajuste
modificado a la reunin en curso.
13. (slo reuniones estndar) En Secure Meeting for Outlook, seleccione la casilla
de verificacin Allow users to download Secure Meeting for Outlook Plugin si
desea permitir que los usuarios programen reuniones seguras a travs de
Microsoft Outlook (como se explica en Programacin de reuniones en la
pgina 622).
14. En Meeting Policy Settings, indique si desea o no restringir los recursos usados
por los usuarios de Secure Meeting:
NOTA: El IVE tambin limita el nmero de reuniones a las que los usuarios pueden
asistir. Un usuario individual slo puede asistir a una reunin a la vez por equipo y
no puede asistir a ms de 10 reuniones consecutivas en un perodo de 3 minutos.
Estos lmites se suman a los de la reunin y del usuario definidos por la licencia
Secure Meeting.
15. Haga clic en Save Changes. El IVE agrega un enlace Meeting a las pginas
principales de puertas de enlace seguro de los usuarios en el rol especificado.
637
Ingeniera: 25 reuniones
Administracin: 50 reuniones
Si Joe asigna todos estos roles (en el orden en que aparecen), e intenta programar
una reunin, Secure Meeting primero comprueba si se lleg al lmite de reunin
programado para Ingeniera. Si es as, Secure Meeting comprueba el cupo de la
reunin de Administracin. Si se lleg al lmite, Secure Meeting comprueba el lmite
para el rol Ventas. Slo una vez que se llega al lmite de estos roles, Secure Meeting
muestra un mensaje a Joe dicindole que se alcanz el lmite de reuniones
programado y que no puede crear una reunin. No se puede limitar el nmero de
reuniones ni de usuarios en reunin a nivel de territorio.
Especificacin de los servidores a los que pueden acceder los creadores de reuniones
Puede especificar los servidores de autenticacin a los que pueden acceder los
creadores de la reunin y en que pueden buscar si desean invitar a otros usuarios
del IVE a las reuniones. Al especificar los servidores, puede seleccionar cualquiera
de los servidores de autenticacin que habilit a travs de la pgina
Authentication > Auth. Servers de la consola de administracin.
Al habilitar creadores de reuniones, Secure Meeting les muestra las siguientes fichas
en el cuadro de dilogo Add Invitees:
638
NOTA: Si habilita un servidor LDAP, tenga en cuenta que se debe poder buscar en
l. Tambin tenga en cuenta que puede usar las opciones de la ficha
Authentication > Auth. Servers > Seleccionar servidor LDAP > Meetings para
especificar los atributos LDAP individuales que debe mostrar Secure Meeting a los
creadores de la reunin cuando realizan bsquedas en una base de datos LDAP.
Para obtener ms informacin, consulte Especificacin de los servidores a los
que pueden acceder los creadores de reuniones en la pgina 638.
Para especificar los servidores de autenticacin a los que pueden tener acceso los
usuarios y en que pueden buscar al programar una reunin:
1. En la consola de administracin, elija Users > User Roles.
2. Seleccione un rol.
3. Si no ha habilitado ya Secure Meeting, en la ficha General > Overview,
seleccione la casilla de verificacin Meetings y haga clic en Save Changes.
4. Haga clic en la ficha Meetings > Auth Servers.
639
Idle Timeout: Use este campo para especificar los minutos que la sesin
de una reunin puede permanecer inactiva antes de finalizar.
Max. Session Length: Use este campo para especificar los minutos que la
sesin de una reunin puede permanecer abierta antes de finalizar.
sesin del IVE. Por ejemplo, puede introducir los valores menores de duracin de
la sesin en la pgina Users > User Roles > Seleccionar rol > General >
Session Options de la consola de administracin. Si el usuario alcanza uno de los
valores a nivel de rol antes de entrar en la reunin, debe volver a iniciar la sesin
del IVE para poder tener acceso a la reunin a travs de la consola de usuario final
del IVE. Sin embargo, estos valores a nivel de rol no se aplicarn si el usuario los
alcanza despus de entrar en la reunin en cuestin. Puede seguir asistiendo a la
reunin sin interrupciones hasta que llegue a los lmites a nivel de directiva
especificados aqu.
640
3. En la seccin Upload logs, seleccione Enable Upload Logs para permitir a los
usuarios ajenos al IVE cargar registros de la reunin.
NOTA: Si selecciona la opcin Upload Logs, tambin debe usar los ajustes de la
pgina System > Log/Monitoring > Client Logs > Settings de la consola de
administracin para habilitar el registro del lado cliente. Para obtener
instrucciones, consulte Habilitacin de registros del lado cliente en la
pgina 841.
NOTA: El cambio de este token afecta slo a los usuarios que no han creado
reuniones. Los usuarios que ya han creado MySecureMeetings conservan sus
ajustes de token existentes.
Para ver una lista de las direcciones URL de MySecureMeeting que los usuarios
ya han creado, consulte System > Status > Meeting Schedule. Elija
MySecureMeeting URLs en el men desplegable View.
5. En la seccin Email meeting notifications, seleccione Enabled para habilitar
un servidor de correo electrnico SMTP. Despus:
641
NOTA: Si habilita un servidor SMTP para usar con Secure Meeting, tambin debe
NOTA: Cuando un usuario inicia sesin en IVE, Secure Meeting determina su huso
horario ejecutando un componente de ActiveX llamado Captador de huso
horario (Timezone Grabber) en su equipo.
642
Consulte el PDF Secure Meeting Error Messages: El PDF Secure Meeting Error
Messages en el Juniper Networks Customer Support Center enumera los errores
que puede detectar cuando configura o usa Secure Meeting y explica cmo
manejarlos.
Problemas conocidos
Iniciar Secure Meeting usando un cliente Java
Cuando use el cliente Java para iniciar una Secure Meeting, si el usuario hace clic No
en la advertencia de certificado presentada por la JVM, el cliente de la reunin no se
inicia, pero al usuario le aparece como si el applet todava se estuviera cargando.
Creacin de clsteres
Las reuniones Secure Meeting en curso se suspenden si se crea un clster durante
la reunin.
644
System > Status > Overview: Use esta pgina para ver el uso de la capacidad
del sistema en un dispositivo IVE. Para obtener instrucciones, consulte
Esquemas XML de los grficos del panel de la administracin central en la
pgina 718.
System > Status > Meeting Schedule: Use esta pgina para ver qu usuarios
estn actualmente en una reunin y expulsarlos si es necesario. Para obtener
instrucciones, consulte Programacin de reuniones en la pgina 622.
646
Captulo 24
Email Client
El tipo de correo electrnico que le proporcione el IVE depende de qu
caractersticas opcionales contemple la licencia respectiva:
Opcin Secure Email Client: Si tiene la opcin Secure Email Client, el IVE
admite el protocolo de acceso a mensajes en Internet (IMAP4), el protocolo de
oficina postal (POP3) y el protocolo simple de transferencia de correo (SMTP).
647
Los usuarios que necesiten acceso remoto al correo electrnico normalmente estn
en una de estas dos categoras:
clientes IMAP
clientes POP
649
Cuando se trabaja con clientes Outlook Express o Netscape en modo IMAP, ocurre
lo siguiente con la administracin de carpetas:
Arrastren los mensajes que desean borrar a la carpeta Deleted Items que
se encuentra debajo de Local Folders (estas son carpetas
predeterminadas). Esta carpeta se sincroniza con la carpeta Deleted Items
del servidor Exchange, lo que permite recuperar los mensajes borrados
posteriormente.
b.
Adems, los mensajes enviados pasan a la carpeta Sent (u otra definida por el
usuario). Si el usuario desea que los mensajes enviados aparezcan en la carpeta
Sent Items del servidor Microsoft Exchange, debe arrastrarlos manualmente
desde la carpeta Netscape Sent a la carpeta Sent Items.
1. El cliente Outlook 2000 solo admite una configuracin del servidor de correo, que en este caso sera el modo
MAPI nativo, con objeto de impedir que se utilice el mismo cliente para tener acceso remoto. El cliente
Outlook 2002 admite configuraciones de servidor MAPI e IMAP simultneas pero no admite acceso IMAP
cuando la cuenta MAPI est fuera de lnea, lo que impide a los usuarios externos recuperar correo electrnico.
650
651
652
653
654
Captulo 25
Network Connect
La opcin Network Connect otorga acceso remoto seguro de nivel de red basado en
SSL a todos los recursos de aplicacin de la empresa con el IVE por el puerto 443.
La opcin de acceso a Network Connect proporciona experiencia de usuario de VPN
sin clientes, que sirve como mecanismo de acceso remoto adicional a recursos
corporativos con un dispositivo IVE. Esta caracterstica admite todos los modos de
acceso por Internet, como acceso telefnico, banda ancha y LAN, desde el equipo
cliente y funciona en cada proxy y cortafuegos que permita trfico SSL.
Cuando el usuario inicia Network Connect, ste transmite todo el trfico desde o
hacia el cliente por un tnel Network Connect seguro. (Consulte la Figura 40 en la
pgina 657.) La nica excepcin corresponde al trfico iniciado por otras
caractersticas activadas por el IVE, como la exploracin Web, exploracin de
archivos y Telnet/SSH. Si no desea habilitar otras caractersticas del IVE para
determinados usuarios, cree un rol de usuario para el cual slo est habilitada la
opcin Network Connect y compruebe que los usuarios asignados a este rol no
estn tambin asignados a otros roles que hayan habilitado otras caractersticas
del IVE.
Al ejecutarse Network Connect, el equipo cliente se convierte en un nodo de la LAN
remota (corporativa) y se vuelve invisible en la red LAN local del usuario; el
dispositivo IVE sirve como puerta de enlace del sistema de nombres de dominio
(DNS) para el cliente y no reconoce la LAN local del usuario. No obstante, los
usuarios pueden definir las rutas estticas de sus PC para seguir accediendo a la
LAN local a la vez que se conecta simultneamente con la LAN remota. Debido a
que el trfico de PC pasa por el tnel de Network Connect hasta sus recursos
corporativos internos, debe comprobar que los dems hosts situados dentro de la
red local del usuario no se puedan conectar con el PC que ejecuta Network Connect.
655
Puede asegurarse de que la LAN remota del usuario no se pueda conectar con
recursos corporativos internos negando el acceso de usuario a la subred local
(configurada en la ficha Users > User Roles > Seleccionar rol > Network
Connect). Si no permite el acceso a una subred local, un dispositivo IVE finalizar
las sesiones de Network Connect iniciadas por clientes con rutas estticas definidas.
Tambin puede exigirles a los clientes que ejecuten soluciones de seguridad de
punto final, como un cortafuegos personal, antes de iniciar una sesin de acceso
remoto de nivel de red. Host Checker, que realiza comprobaciones de seguridad de
punto final en hosts que se conectan con un dispositivo IVE, puede verificar si los
clientes usan un software de seguridad de punto final. Para obtener ms
informacin, consulte Host Checker en la pgina 257.
NOTA: Network Connect agrega una entrada de archivo hosts para admitir el
siguiente caso:
656
657
b.
c.
NOTA: Debe habilitar Network Connect para un rol determinado si desea que un
usuario asignado a dicho rol pueda usar GINA durante el acceso a Windows.
658
4. Especifique una direccin IP para el proceso del lado del servidor Network
Connect para usarse en todas las sesiones de usuario de Network Connect de la
pgina System > Network > Network Connect de la consola de
administracin. Para obtener detalles, consulte Aprovisionamiento de la red
para Network Connect en la pgina 668.
5. Compruebe que est disponible una versin apropiada de Network Connect
para los clientes remotos que sigan las instrucciones de Descarga de los
instaladores de aplicaciones en la pgina 724.
6. Si desea habilitar o inhabilitar el acceso del lado cliente para Network Connect,
configure las opciones correctas de la ficha System > Configuration >
Security > Client-side Logs de la consola de administracin. Para obtener
instrucciones, consulte Habilitacin de registros del lado cliente en la
pgina 841.
NOTA: Para instalar Network Connect, los usuarios deben contar con los privilegios
Permita iExplorer.exe.
659
b.
Si el equipo cliente cuenta con una versin anterior del software Network
Connect, actualice los componentes de Network Connect de acuerdo con la
versin ms reciente e instale la versin ms reciente de UI del IVE.
NOTA: Para obtener informacin sobre applets Java vlidos, archivos y registros
de instalacin, y directorios de sistemas operativos en que se pueda ejecutar
mecanismos de entrega, consulte la Client-side Changes Guide (Gua de cambios
del lado cliente) del Juniper Networks Customer Support Center.
3. Una vez instalado, el agente Network Connect enva una peticin al dispositivo
IVE para que inicialice una conexin con una direccin IP del conjunto de
direcciones IP previamente proporcionado (definido en las directivas de
recursos de perfiles de conexin de Network Connect aplicables al rol del
usuario).
4. El icono de la bandeja del sistema Network Connect se comienza a ejecutar en
un cliente Windows o en Dock en un cliente Mac.
5. El dispositivo IVE asigna una direccin IP (a partir de una directiva de recursos
de perfiles de conexin de Network Connect) y asigna una IP nica al servicio
de Network Connect que se ejecuta en el cliente.
6. El servicio de Network Connect del lado cliente usa la direccin IP asignada
para comunicarse con el proceso de Network Connect que se ejecuta en el
dispositivo IVE.
7. Despus de asignar una direccin IP al cliente, el IVE abre un canal directo de
comunicacin entre el cliente y todos los recursos de la empresa a los que
permite acceso la directiva de recursos del usuario. El servidor de aplicaciones
internas ve la IP de origen con la direccin IP del cliente.
Figura 41: Comunicacin de cliente o servidor de Network Connect
661
El agente Network Connect del lado cliente se comunica con el dispositivo IVE, que,
a su vez, enva peticiones del cliente a los recursos de la empresa.
NOTA: Si usa Host Checker para validar la presencia de los componentes de
seguridad del lado cliente segn las directivas que defini en el IVE, y el cliente no
puede cumplir todas las directivas de seguridad en cualquier punto durante una
sesin de Network Connect, Host Checker finaliza la sesin.
User signs in to
IVE via Network
Connect
Is GINA enabled on
the users IVE role?
No
GINA automatic
sign-in
service installed
Yes
No
Network Connect
installed without
GINA capability
662
No
Yes
GINA installation
completed and
user asked
whether or not to
reboot at this time
El proceso de instalacin de GINA se lleva a cabo una vez y requiere que el usuario
reinicie el sistema para poder habilitar la capacidad de inicio de sesin GINA.
A partir de dicha sesin, GINA avisa al usuario si se debe iniciar o no Network
Connect en cada inicio de sesin de Windows. Cuando el usuario inicia sesin
en Network Connect, a menos que se especifique lo contrario, GINA pasa las
credenciales de inicio de sesin de Windows del usuario al IVE para una
autenticacin antes de establecer el tnel de Network Connect.
La Figura 43 ilustra los pasos generales del proceso de establecimiento de un tnel
de GINA automatizado.
Figura 43: Proceso de inicio de sesin automatizado de GINA
Windows
credentials
presented to IVE
for authentication
User launches
Windows on client
User connected
to network
Yes
No
User signs in to
Windows using
cached credentials, no
GINA sign-in
displayed, and no
network connectivity
established
Yes
Yes
GINA
Yes
sign-in appears.
Does user want to
launch Network
Connect?
No
User signs in to
Windows using
cached credentials
and connected to
LAN only
No
Yes
Is user signed in to
Windows NT domain?
No
Attempt user
credential
verification three
times only.
If unable to
authenticate,
display error
message and
connect to LAN
Cuando un usuario inicia sesin en el IVE a travs de GINA Juniper, si la versin del
cliente de Network Connect presente en el equipo del usuario coincide con la del
IVE, GINA Juniper establece una conexin Network Connect con el IVE. Si las
versiones de Network Connect no coinciden, GINA Juniper no establece una
conexin de Network Connect con el IVE. Antes de la versin 5.4, GINA Juniper
muestra una advertencia de discrepancia de versiones y permite a los usuarios
iniciar sesin en el escritorio de Windows con sus credenciales en cach. Con la
versin 5.4 y posterior, GINA Juniper permite a los usuarios iniciar sesin en el
escritorio de Windows mediante sus credenciales en cach; luego, inicia un cliente
red independiente. Los usuarios inician sesin en el IVE, y el cliente de Network
Connect correspondiente se descarga automticamente en el equipo del usuario
y se inicia.
Si usa Host Checker para validar la presencia de los componentes de seguridad
del lado cliente (autorizacin previa), Host Checker se inicia despus de Network
Connect. A veces, esto se denomina comprobacin en modo de sistema. Host
Checker existe tras una validacin satisfactoria y se reinicia posteriormente una
vez que el usuario inicia sesin en su escritorio (llamado modo de usuario).
663
664
665
666
667
Compatible?
Cisco
Nortel
NS Remote
Intel
Checkpoint
Si desea instalar Network Connect en un cliente que presente una aplicacin cliente
de VPN incompatible, debe desinstalar la aplicacin incompatible antes de instalar
o iniciar Network Connect en el cliente.
668
669
En el caso de los clientes remotos que usan un servidor proxy para acceder a
Internet, todas las peticiones HTTP generadas por el explorador y destinadas al
IVE (como el trfico de transporte de NCP) pasan por un proxy explcito o por
un archivo PAC al que accede el cliente remoto. Debido a la presencia de un
proxy explcito o a que un acceso a un archivo PAC ya se proporcion en el lado
cliente, el cliente configura el proxy local temporal antes de intentar establecer
una sesin.
En el caso de los clientes remotos que usan un proxy para acceder a recursos
corporativos en una red corporativa, pero que an pueden conectarse
directamente a Internet sin un proxy, Network Connect identifica los ajustes del
proxy en el cliente aunque no se pueda acceder al servidor proxy hasta que
Network Connect establezca una conexin. Una vez que establece una
conexin, Network Connect crea el proxy local temporal.
670
Si los usuarios emiten una peticin para unirse a un grupo de multicast, el IVE enva
un mensaje IGMP join al enrutador o conmutador de multicast local en nombre del
cliente. Adems, el IVE guarda las consultas de peticiones de grupos de IGMP en la
cach para que cada vez que un enrutador de multicast de la red pida informacin
al IVE sobre el grupo de IGMP, ste le responda con el conjunto actual de peticiones
de usuario y grupo de multicast. Si un enrutador o conmutador no recibe una
respuesta del IVE, la informacin del grupo de multicast para el IVE se elimina
de la tabla de reenvo del enrutador o conmutador.
NOTA: Network Connect admite secuencias multimedia de hasta 2 MB por
segundo en un solo tnel.
Disable Split Tunneling: Todo el trfico de la red que proviene del cliente
pasa por el tnel de Network Connect. Cuando Network Connect establece
correctamente una conexin con el IVE, ste elimina todas las rutas locales
predefinidas (cliente) de subred y entre hosts que puedan causar divisin
de encapsulamiento. Si se hacen cambios a la ruta del cliente durante una
sesin activa de Network Connect, el IVE finaliza la sesin.
Enable Split Tunneling with route change monitor: Una vez iniciada una
sesin de Network Connect, si se realizan cambios en las combinaciones
de direccin IP/mscara de red dirigidas al trfico a travs de Network
Connect en la tabla de rutas del cliente, se finaliza la sesin. Esta opcin
retiene el acceso a los recursos locales, como las impresoras.
672
Require NC to start when logging into Windows: Una vez que se instala
GINA, esta opcin inicia automticamente la funcin de inicio de sesin de
Network Connect en todo inicio de sesin de usuario de Windows.
NOTA: Debe habilitar Network Connect para un rol determinado si desea que
un usuario asignado a dicho rol pueda usar GINA durante el acceso a Windows.
NOTA:
El cliente debe ser un miembro del mismo dominio que el servidor remoto
para que NC pueda copiar los scripts de inicio y trmino. Si el servidor no
conoce las credenciales del cliente, la copia de scripts se interrumpe, y NC
no le pide al usuario introducir nombre de usuario y contrasea.
Windows slo admite scripts con la extensin .bat, .cmd o .exe. Para ejecutar
un script .vbs, el usuario debe contar con un archivo de lote para invocar el
script .vbs.
El cliente de Network Connect hace una copia del script de trmino una vez
configurado el tnel y guarda el script en un directorio temporal a fin de
asegurar que, si se interrumpe la conexin de red, se pueda seguir usando
el script de trmino para finalizar la sesin de Network Connect.
b.
b.
674
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
Allow access: Seleccione esta opcin para otorgar acceso a los recursos
especificados en la lista Resources.
Deny access: Seleccione esta opcin para denegar el acceso a los recursos
especificados en la lista Resources.
Use Detailed Rules: Seleccione esta opcin para definir las normas de
directivas de recursos que ponen restricciones adicionales a los recursos
especificados. Para obtener ms informacin, consulte Escritura de una
regla detallada en la pgina 109.
675
b.
676
a.b.c.d
a.b.c.d-e.f.g.h
a.b.c.d-f.g.h
a.b.c.d-g.h
a.b.c.d-h
a.b.c.d/mscara
Por ejemplo, para asignar todas las direcciones del rango entre 172.20.0.0 y
172.20.3.255, especifique 172.20.0.0-3.255. Para asignar todas las direcciones
de una clase C, especifique 10.20.30.0/24.
NOTA: No olvide especificar un nmero suficiente de direcciones IP del conjunto
para todos los puntos finales de su despliegue. Una vez que todas las direcciones
del conjunto estn asignadas a puntos finales, los puntos finales adicionales no
pueden obtener una direccin IP virtual, y se bloquea su acceso a los recursos
protegidos. El IVE guarda un mensaje en el registro de eventos si una direccin IP
no se puede asignar a un punto final.
NOTA:
677
b.
UDP port: Proporcione el puerto de IVE a travs del cual piensa dirigir
el trfico de la conexin de UDP. El nmero de puerto predeterminado
es 4500.
678
c.
679
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
b.
c.
680
9. Seleccione la opcin Auto-allow IP's in DNS/WINS settings (only for splittunnel enabled mode) si desea crear una norma de permiso para el servidor
DNS. Por ejemplo, si cuenta con directivas definidas para permitir peticiones de
direccin IP 10.0.0.0, pero su servidor DNS tiene una direccin de
172.125.125.125, las peticiones del servidor DNS se eliminarn. Si selecciona
esta opcin, el dispositivo crea una norma que permita las peticiones de DNS.
10. En la seccin DNS search order, seleccione el orden de bsqueda de servidor
DNS slo si se habilita la divisin de encapsulamiento:
Automatic (URL for PAC file on another server): Especifica la URL del
servidor en el cual reside el archivo PAC y la frecuencia (en minutos) con
que Network Connect solicita al servidor una versin actualizada del
archivo PAC. Puede configurar Network Connect para que busque archivos
PAC actualizados con una frecuencia de hasta 1 minuto. El perodo de
actualizacin predeterminado es de 5 minutos. Si especifica un valor de
0 minutos, Network Connect nunca solicita al servidor un archivo PAC.
El archivo PAC debe residir en un servidor Web, no en el PC local.
NOTA: Network Connect limita el tamao de los archivos PAC internos (del lado
servidor) a 30 K.
681
b.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
682
Allow access: Seleccione esta opcin para otorgar acceso a los recursos
especificados en la lista Resources.
Use Detailed Rules (available after you click Save Changes): Seleccione
esta opcin para definir las normas de directivas de recursos que ponen
restricciones adicionales a los recursos especificados. Para obtener ms
informacin, consulte Escritura de una regla detallada en la pgina 109.
Host Checker y Cache Cleaner estn configurados, y verifican los equipos de los
usuarios despus del inicio de sesin del IVE e inician las sesiones de Network
Connect.
Todos los usuarios requieren acceso a tres servidores de gran capacidad en las
oficinas centrales corporativas con los siguientes atributos:
683
b.
c.
b.
c.
684
Los anchos de banda garantizado y mximo se definen a nivel de rol. Este lmite
se aplica a todos los usuarios del rol y asegura que todos ellos reciban al menos la
cantidad garantizada de ancho de banda, pero no ms que la cantidad mxima
configurada. Cuando los usuarios se asignan a mltiples roles, se usa el lmite
mayor. Si no se define un ancho de banda garantizado a un rol, los usuarios en
dicho rol an pueden iniciar sesin, pero no tienen garantizado ningn ancho de
banda. Es decir, su ancho de banda garantizado se configura en cero.
La administracin de ancho de banda tambin se aplica al IVS. El administrador
configura el total de ancho de banda garantizado para cada IVS y configura los
lmites para los roles dentro de cada IVS. La suma de los totales de ancho de banda
para cada IVS debe ser menor o igual que el ancho de banda mximo del
dispositivo. La suma de todos los anchos de banda mximos de Network Connect
de todos los IVS debe ser menor o igual que el ancho de banda mximo del IVE.
Recuerde configurar el ancho de banda para el IVE (System > Network >
Overview) y el IVS (System > Virtual Systems > root).
Bajo
Limitado al 50%
Medio
Limitado al 75%
Alto
Limitado al 90%
Mximo
Limitado al 100%
Por ejemplo, los usuarios asignados a un nivel de privilegio bajo pueden iniciar
Network Connect si el total actual de uso de ancho de banda de Network Connect
es menor que el 50% del ancho de banda mximo configurado de Network
Connect del IVE. Los usuarios asignados al nivel de privilegio mximo pueden
iniciar Network Connect en cualquier momento, siempre que haya disponible algn
ancho de banda de IVE.
685
Cuando un usuario intenta iniciar una conexin de Network Connect, la suma del
ancho de banda garantizado de todas las conexiones abiertas de Network Connect
se divide por el total de ancho de banda configurado de Network Connect de IVE.
Si el valor resultante es menor que el nivel de privilegio configurado de este usuario;
luego, se establece la conexin de Network Connect del usuario. De lo contrario,
se deniega la peticin de conexin de Network Connect. Por ejemplo, si el privilegio
del usuario es del 75% y el consumo actual calculado es del 70%, se establece la
conexin de Network Connect del usuario. Si el consumo actual calculado es del
80%, se deniega la peticin de conexin de Network Connect del usuario, y ste
recibe un cdigo de error 23791.
686
A NC
connection
request is
received
Yes
NC bandwidth
management
is enabled
Yes
Is the user
allowed per
privilege?
No
No
Yes
No
Is there enough
bandwidth left to allow
the user the
guaranteed minimum
bandwidth?
Create NC tunnel
687
El porcentaje actual del ancho de banda usado se calcula y compara con los
niveles de privilegio de la directiva de administracin de ancho de banda
de los roles asignados.
Rol 2
Rol 3
100 mbps
200 mbps
100 mbps
500 mbps
400 mbps
400 mbps
Nivel de privilegio
Medio
Alto
Mximo
La directiva del rol 2 cuenta con un ancho de banda mnimo garantizado mayor
que el rol 3; por lo tanto, gana el rol 2. El usuario recibe un ancho de banda
mnimo garantizado de 200 mbps y un ancho de banda mximo garantizado
de 400 mbps.
Sin embargo, si el total actual de ancho de banda usado es del 92%, slo el
privilegio del rol 3 permite al usuario configurar el tnel de NC; por lo tanto, se usa
la directiva de administracin de ancho de banda del rol 3. As, el usuario cuenta
con un ancho de banda mnimo garantizado de 100 mbps y un ancho de banda
mximo garantizado de 400 mbps.
Limitaciones
La administracin del ancho de banda puede no funcionar correctamente en las
siguientes condiciones:
688
b.
NOTA: El ancho de banda mximo debe ser menor o igual que el valor mximo
calculado para el dispositivo.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles de
la lista Selected roles. Asegrese de agregar roles a esta lista desde la lista
Available roles.
689
Especificacin de filtros IP
Puede especificar filtros IP para que el IVE los aplique a los conjuntos IP de Network
Connect en la ficha System > Network > Network Connect de la consola de
administracin. Un conjunto IP corresponde a un rango especfico de direcciones IP
disponibles para peticiones de Network Connect (que se explica en Network
Connect en la pgina 655).
690
b.
c.
b.
c.
691
b.
c.
ii.
b.
c.
10. Guarde los ajustes regionales y de GINA en el archivo config.ini del usuario.
11. Inicie el NCService.
12. Cree un acceso directo al programa.
13. Cree las claves de registro de desinstalacin.
14. Inicie la interfaz de usuario de Network Connect.
692
b.
Configuracin regional
ii.
Desinstale el controlador.
b.
c.
693
dsNcAdmin.dll
b.
dsNcDiag.dll
c.
versioninfo.ini
694
Accin
-version
-help
-r <territorio>
-c <certificate name>
-d <DSID>
-signout
-stop
Por ejemplo, puede distribuir una aplicacin de inicio de sesin simple a sus
usuarios finales. La aplicacin puede capturar el nombre de usuario y contrasea
del usuario final, el recurso de IVE al que intentan llegar y el territorio al cual estn
asignados.
La Tabla 42 incluye los posibles cdigos de retorno que nclauncher regresa al salir.
Tabla 42: Cdigos de retorno de nclauncher
696
Cdigo
Descripcin
-1
Argumentos no vlidos.
10
12
nc.windows.app.23792
Si el usuario final encuentra este error (o nc.windows.app.1023), no se podr
conectar al IVE.
Revise los elementos del equipo cliente y del IVE.
En el cliente
Uno o ms de los terceros clientes del equipo de su usuario final pueden tener
defectos o estar interrumpiendo la conexin. Deber revisar sus clientes,
o pedirle al usuario que lo haga, como clientes de VPN, antivirus, cortafuegos
personales, spyware y otros tipos de clientes de seguridad de punto final.
La carpeta \Documents and Settings del equipo del usuario final puede estar
encriptada. Network Connect no puede instalarse en un directorio encriptado.
En el IVE
<user_home>/.juniper_networks/ncLinuxApp.jar
<user_home>/.juniper_networks/network_connect/*.*
698
Parte 5
Administracin de sistema
Esta seccin contiene la siguiente informacin acerca de la administracin del
sistema IVE:
699
700
Captulo 26
Puertos de enlace
Puertos SFP
Puertos de administracin
VLAN
Caractersticas de clsteres
Aceleracin de SSL
Instaladores de WSAM
Licencia: Disponibilidad de la administracin del sistema 701
702
Puertos de enlace
De forma predeterminada y slo en el SA 6000, el IVE usa enlaces de varios puertos
para proporcionar proteccin en caso de errores. El enlace describe una tecnologa
en la que se agregan dos puertos fsicos a un grupo lgico. Al enlazar dos puertos en
el IVE se aumentan las capacidades de conmutacin por error al cambiar
automticamente el trfico hacia el puerto secundario cuando el puerto primario
presenta errores.
El dispositivo SA 6000 enlaza puertos de la siguiente forma:
703
Utilice los ajustes que aparecen en esta ficha para configurar los ajustes generales
de la red. El rea Status muestra el estado de slo lectura de los siguientes
elementos:
704
4. En Windows Networking:
5. En Bandwidth Management:
705
Para modificar los ajustes de la red para el puerto interno (interfaz de LAN):
1. En la consola de administracin, elija System > Network > Internal Port >
Settings.
NOTA: La mayora de los campos de esta pgina se rellenan previamente con los
ajustes especificados durante la instalacin del IVE.
706
4. En el campo ARP Ping Timeout, especifique cunto tiempo debe esperar el IVE
respuestas a las peticiones del protocolo de resolucin de direcciones (ARP)
antes de que se agote el tiempo de espera. Los dispositivos IVE en clster
envan peticiones de ARP1 a las puertas de enlace de otros dispositivos IVE para
determinar si se comunican correctamente entre s.
NOTA: Si no est ejecutando el IVE en un entorno de clsteres, el IVE no usa este
ajuste. Si sus sistemas IVE estn en clster, el intervalo de tiempo de espera que
especifica est sincronizado en todo el clster. En clsteres de mltiples sitios,
puede dar prioridad a estos ajustes para los nodos individuales del clster,
utilizando las opciones de la pgina System > Clustering. Sin embargo, debe
tener precaucin cuando cambie estos ajustes en clsteres activos/pasivos, porque
el IVE tambin utiliza los ajustes del ARP Ping Timeout que estn en la ficha
Internal como temporizador de la conmutacin por error para la VIP.
707
NOTA: La mayora de los campos de esta pgina se rellenan previamente con los
ajustes especificados durante la instalacin del IVE.
708
5. En el campo ARP Ping Timeout, especifique cunto tiempo debe esperar el IVE
respuestas a las peticiones del protocolo de resolucin de direcciones (ARP)
antes de que se agote el tiempo de espera. Los dispositivos IVE en clster
envan peticiones de ARP1 a las puertas de enlace de otros dispositivos IVE para
determinar si se comunican correctamente entre s.
NOTA: Si no est ejecutando el IVE en un entorno de clsteres, el IVE no usa este
ajuste. Si sus sistemas IVE estn en clster, el intervalo de tiempo de espera que
especifica est sincronizado en todo el clster. En clsteres de mltiples sitios,
puede dar prioridad a estos ajustes para los nodos individuales del clster,
utilizando las opciones de la pgina System > Clustering. Sin embargo, debe
tener precaucin cuando cambie estos ajustes en clsteres activos/pasivos, porque
el IVE tambin utiliza los ajustes del ARP Ping Timeout que estn en la ficha
Management Port como temporizador de la conmutacin por error para la VIP.
6. En el campo ARP Ping Timeout, especifique cunto tiempo debe esperar el IVE
respuestas a las peticiones del protocolo de resolucin de direcciones (ARP)
antes de que se agote el tiempo de espera.
7. En el campo MTU, especifique una unidad de transmisin mxima para la
interfaz interna del IVE.
NOTA: Utilice los ajustes predeterminados de MTU (1500), a menos que deba
cambiar los ajustes para la resolucin de problemas.
Configuracin de VLAN
El IVE permite crear VLAN para la empresa. Las VLAN son ampliamente utilizadas
en los sistemas virtuales, como se describe en Configuracin de una red de rea
local virtual (VLAN) en la pgina 932. Tambin puede crear una VLAN para usarla
en un entorno en el que haya implementado un IVE para que todos los usuarios
finales de su empresa puedan usarlo (tambin se requiere una licencia IVS para este
escenario).
La VLAN permite aprovechar el etiquetado VLAN, mediante el cual el IVE etiqueta el
trfico con IDs de VLAN 802.1Q antes de transmitir el trfico a travs del backend.
La infraestructura utiliza la etiqueta VLAN para dirigir los paquetes a sus
VLAN/subredes correctas.
El trfico que proviene a travs del front-end, es decir, el trfico entrante, no tiene
etiquetas VLAN. El IVE la etiqueta a un mensaje despus de su llegada a travs de
uno de los puertos del IVE.
Cada VLAN se asigna a un ID de VLAN, que forma parte de una etiqueta compatible
con la norma IEEE 802.1Q que se agrega a cada trama Ethernet saliente. El ID de
VLAN identifica de forma exclusiva a todo el trfico entrante. Este etiquetado
permite que el sistema dirija todo el trfico a la VLAN correcta y que aplique las
directivas respectivas a ese trfico.
1. El IVE realiza dos peticiones ARP, una a la puerta de enlace en el puerto interno y otra a la puerta de enlace en el
puerto externo, cuando trata de establecer comunicaciones en el clster.
Configuracin de los ajustes de la red
709
710
Port Name. Debe ser nico en todos los puertos de VLAN que define en el
sistema o el clster.
Cuando crea un nuevo puerto de VLAN, el sistema crea dos rutas estticas de forma
predeterminada:
711
712
6. Haga clic en Save Changes. La pgina Virtual Ports vuelve a la ficha de puertos
virtuales. Si es necesario, vuelva a seleccionar Entire cluster en la lista
desplegable Settings for y repita los dos ltimos pasos de este procedimiento.
Para obtener ms informacin acerca del uso de los puertos virtuales en los
clsteres, consulte Implementacin de dos nodos en un clster activo/pasivo en la
pgina 877.
713
714
Como consecuencia, necesita configurar rutas estticas a esos puertos. Los puertos
aparecen en el men de puertos desplegable como puerto 2 y puerto 3. Para
obtener ms informacin acerca de la configuracin de rutas estticas, consulte
Configuracin de las rutas estticas para el trfico de red en la pgina 714.
Para especificar rutas estticas para el trfico de red:
1. En la consola de administracin, elija System > Network > Routes.
2. Seleccione una tabla de rutas de destino desde el men desplegable View route
table for:.
3. Haga clic en New Route.
4. Introduzca la informacin necesaria.
5. Haga clic en Add to [destination] route table.
Las tablas de rutas de destino pueden estar disponibles para el puerto interno,
el puerto externo, el puerto de administracin, el puerto 2 y el puerto 3, segn
la plataforma de hardware que est configurando, o para cada VLAN que haya
definido.
Static entries: Puede agregar una entrada de ARP esttica al cach asociado
con la direccin IP y MAC. El IVE almacena entradas estticas durante los
reinicios y vuelve a reactivarlos despus de los reinicios. Las entradas estticas
siempre estn presentes en el IVE.
Dynamic entries: La red aprende las entradas ARP dinmicas durante el uso
y la interaccin normal con otros dispositivos de red. El IVE guarda en cach las
entradas dinmicas por hasta 20 minutos y las elimina durante un reinicio
o cuando se eliminan de manera manual.
Puede ver y eliminar las entradas estticas y dinmicas desde el cach ARP, as
como tambin agregar entradas estticas. Si tiene un clster de IVE, tenga en
cuenta de que la informacin del cach ARP es especfica para el nodo. El IVE slo
sincroniza la informacin del cach ARP en clsteres que no son de mltiples sitios.
715
Para especificar los nombres de host para que el IVE resuelva de manera local:
1. En la consola de administracin, seleccione la ficha System > Network >
Hosts.
2. Introduzca una direccin IP, una lista delimitada por comas de los nombres de
host que resuelven a la direccin IP, un comentario de 200 palabras o menos
(opcional) y haga clic en Add.
Especificacin de filtros IP
Puede especificar filtros IP para que el IVE los aplique a los conjuntos IP de Network
Connect en la ficha System > Network > Network Connect. Un conjunto IP
corresponde a un rango especfico de direcciones IP disponibles para peticiones de
Network Connect (como se explica en Network Connect en la pgina 655). Para
obtener instrucciones acerca de la configuracin, consulte Especificacin de filtros
IP en la pgina 690.
716
Panel del sistema: La caracterstica del panel del sistema muestra grficos
y alarmas sobre la capacidad del sistema que le permiten supervisar el sistema
fcilmente. Puede obtener acceso al panel del sistema en la pgina System >
Status de la consola de administracin.
<step>: Intervalo durante el cual el sistema recopil los puntos de datos para el
grfico, en segundos. Por ejemplo, la siguiente entrada XML indica que el
sistema recopila datos cada minuto. <step>60</step>
718
<data>: Contiene una lista de subelementos <row> que incluyen los datos
peridicos recopilados para cada entrada. Cada elemento de <row> contiene un
subelemento <t> que incluye la hora en que el sistema recopil los datos y los
subelementos <v> de cada dato. Por ejemplo, una fila dentro del grfico
720
Shut down: Apaga el IVE, para lo que necesita presionar el botn de reinicio en
el dispositivo para reiniciar el servidor. Cuando el IVE es miembro de un clster,
este control apaga todos los miembros de un clster, para lo que necesita
presionar el botn de reinicio en todos los dispositivos del clster para reiniciar
el clster. Tenga en cuenta que la alimentacin del equipo contina despus de
apagar el servidor.
Test Connectivity: Enva un ping ICMP desde el IVE a todos los servidores que
el IVE est configurado para usar e informar de su conectividad. El estado de
cada servidor se informa en Server Connectivity Results.
Show auto-allow: Copie los marcadores de roles para las directivas de control
de acceso correspondientes cuando se usen directivas de recurso.
722
Only this URL: Esta opcin restringe los marcadores que se van a agregar
a la directiva de control de acceso a la direccin URL principal. Por
ejemplo, la direccin URL http://www.company.com se agregara a la
directiva de control de acceso.
Everything under this URL: Esta opcin permite que los marcadores
a otras rutas bajo la direccin URL principal se agreguen a la directiva de
control de acceso. Si define sitios web adicionales por rol, quizs le interese
incluirlos en la directiva de control de acceso. Por ejemplo, las siguientes
direcciones URL se agregan cuando selecciona esta opcin:
http://www.company.com/sales
http://www.company.com/engineering
8. Utilice las opciones en External User Records Management para eliminar del
IVE los registros de usuarios anteriores. Esta caracterstica es til cuando el
rendimiento del sistema se ve afectado debido a una gran cantidad de registros
de usuarios. Recomendamos encarecidamente que consulte al soporte tcnico
de Juniper Networks antes de utilizar esta caracterstica.
Delete Records Now: Haga clic en este botn para comprobar si se excedi
el lmite de los registros persistentes del usuario. Si es as, elimine el
nmero de registros del usuario especificado en la opcin anterior.
Enable automatic deletion of user records during new user logins: Cada
vez que se va a crear el registro nuevo de un usuario, compruebe si se va
a exceder el lmite de los registros persistentes de un usuario. Si es as,
elimine los registros antes de crear el nuevo registro del usuario.
Poner el ejecutable en un repositorio seguro para que los usuarios con los
derechos de administrador apropiados puedan descargar e instalar la versin
correcta.
724
Los sistemas cliente de sus usuarios finales deben contener un Java Runtime
Engine (JRE) vlido y habilitado o un control ActiveX de IVE actual. Si los
sistemas cliente no contienen ninguno de estos componentes de software, los
usuarios finales no podrn conectarse a la puerta de enlace.
Host Checker: Este instalador (HCInst.exe) instala Host Checker en los sistemas
de los usuarios. Host Checker es un agente del lado cliente que realiza
verificaciones de seguridad de punto final en los hosts que se conectan al IVE.
1. La licencia bsica de IVE le permite crear 5 cuentas de usuario locales, permite que 2 usuarios inicien sesin
simultneamente y proporciona capacidades bsicas de exploracin de archivos UNIX/NFS, Windows y web.
Configuracin de licencias, seguridad y NCP
727
Receive Juniper
Networks
Secure Access
license keys
Enter Juniper
Networks Secure
Access license keys
in Secure Access
administrator Web
console
728
Claves de licencia del usuario de IVE: La clave de licencia del usuario del IVE
le permite actuar como host de todos los usuarios que especifique el cdigo de
la clave de licencia. Las claves de licencia de usuario del IVE son aditivas, lo que
significa que puede ampliar el nmero de usuarios que pueden obtener acceso
al IVE simplemente adquiriendo una clave de licencia de usuario adicional
y agregndola a su configuracin. Por ejemplo, si adquiere inicialmente una
licencia SA4000-ADD-100U y luego adquiere otra licencia SA4000-ADD-100U
en el futuro, su IVE podra alojar hasta 200 usuarios.
NOTA: Cuando se alcanza el lmite de licencias de usuario, todo usuario nuevo que
inicie sesin experimentar una reduccin en la velocidad del proceso de inicio de
sesin. No resultan afectadas las sesiones de usuarios existentes.
Claves de licencia de clster del IVE: IVE las claves de licencia de clster
habilitan el comportamiento de clsteres entre los IVE. Puede adquirir claves de
licencia de clster del IVE junto con las claves de licencia de usuario del IVE,
pero el nmero de usuarios que puede obtener acceso a los IVE del clster est
restringido al nmero mximo de usuarios que permite la clave de licencia de
clster del IVE. Al igual que las claves de licencia de usuario del IVE, las claves
de licencia de clster del IVE son aditivas; es decir, puede aumentar el nmero
de los usuarios que pueden obtener acceso al clster adquiriendo claves de
licencia adicionales en el futuro. Por ejemplo, si adquiere inicialmente una
licencia de clster SA4000-CL-100U y luego adquiere otra licencia de clster
SA4000-CL-100U en el futuro, su IVE podra alojar hasta 200 usuarios. Sin
embargo, si adquiere una clave de licencia de usuario SA4000-ADD-100U IVE
adicional, en lugar de una clave de licencia de clster adicional, a pesar de
poder alojar hasta 200 usuarios a travs de las claves de licencia de usuario,
todava puede alojar slo 100 usuarios en el clster de los IVE. Para obtener
ms informacin sobre los IVE en clster, consulte Creacin de clsteres en la
pgina 869.
NOTA: Todos los nodos de un clster deben tener la misma clave de licencia que el
IVE del clster primario para que el clster pueda funcionar. No se puede agregar
una licencia ADD y una CL en el mismo equipo al mismo tiempo. Para que un
nodo pueda integrarse a un clster, deber agregar una licencia CL al nodo.
729
Utilice la ficha System > Configuration > Licensing para introducir las claves de
licencia para su sitio, ver sus fechas de vencimiento y eliminarlas (si es necesario).
NOTA: Asegrese de leer el acuerdo de licencia, al que se puede obtener acceso
desde la ficha Licensing, antes de ejecutar su clave de licencia. El acuerdo de
licencia disponible en la ficha Licensing es el mismo texto que se muestra en la
consola serie durante la configuracin inicial.
730
NOTA: La opcin Generate Replacement License for RMA Device est diseada
para alojar slo escenarios de reemplazo de hardware RMA. No se puede utilizar
para reemplazar una clave de licencia creada por error (por ejemplo, con un
cdigo de autorizacin para crear una clave de licencia para un IVE distinto al IVE
para el que se adquiri la licencia originalmente).
Si desea crear claves de licencia para IVE mltiples al mismo tiempo, haga
clic en Generate License Keys for Multiple SSL VPN Devices y siga el
procedimiento en pantalla para crear el archivo Excel necesario para
generar sus claves de licencia.
731
1-408-745-9500 (internacional)
732
Si desea crear claves de licencia para IVE mltiples al mismo tiempo, haga
clic en Generate License Keys for Multiple SSL VPN Devices y siga el
procedimiento de la pantalla para crear el archivo Excel necesario para
generar sus claves de licencia.
733
8. Revise la informacin para asegurarse de que todo est correcto y luego haga
clic en Generate License.
Aparece la pgina Generate License SSL VPN, que muestra un resumen de sus
claves de licencia, incluido un vnculo que muestra los detalles de sus nuevas
claves de licencia.
9. Haga clic en Download/Email y especifique el formato del archivo y el mtodo
de la entrega que desea utilizar para obtener sus nuevas claves de licencia.
Despus de descargar o recibir sus actualizaciones de claves de licencia por correo
electrnico:
1. En la consola de administracin, seleccione System > Configuration >
Licensing.
2. Haga clic en el vnculo license agreement. Lea el acuerdo de licencia y, si est
de acuerdo con los trminos, contine al siguiente paso.
3. Introduzca las claves de licencia y haga clic en Save Changes.
734
SA4000-ICE
SA4000-ICE-CL
SA6000-ICE
SA6000-ICE-CL
Allowed SSL and TLS Version: Especifique los requisitos de encriptacin para
los usuarios de IVE. El IVE cumple con estos ajustes para todo el trfico del
servidor web, incluido oNCP y Secure Email Client, y todos los tipos de clientes,
incluido Pocket PC e iMode. (El IVE requiere de forma predeterminada SSL
versin 3 y TLS.) Puede solicitar que los usuarios que posean exploradores
anteriores que utilizan SSL versin 2 actualicen sus exploradores o que cambien
los ajustes del IVE para permitir SSL versin 2, SSL versin 3 y TLS.
735
Include IVE session cookie in URL: Mozilla 1.6 y Safari no pueden pasar
cookies a la mquina virtual de Java, con lo que los usuarios no pueden ejecutar
applets JSAM ni Java. Para admitir estos exploradores, el IVE puede incluir las
cookies de la sesin del usuario en la direccin URL que inicia JSAM o un applet
de Java. De forma predeterminada, esta opcin est habilitada, pero si le
preocupa la exposicin de los cookies en la direccin URL, puede inhabilitar
esta caracterstica.
Last Login options: Muestra el da y la hora del ltimo inicio de sesin del
usuario en el sistema. Para los usuarios, esta informacin aparece en su pgina
de marcadores. Para los administradores, esta informacin aparece en la
pgina System Status Overview.
736
Lockout period: Especifique los minutos que desea que el IVE bloquee la
direccin IP.
NOTA: Las opciones de bloqueo no estn disponibles para los sistemas IVS. Todas
las dems opciones de seguridad estn disponibles para los sistemas IVS.
737
738
NOTA: Si est utilizando Network Connect para proporcionar acceso del cliente,
recomendamos que acte con precaucin cuando emplee la opcin Auto-select
Disabled, porque los clientes Mac y Linux no se pueden conectar utilizando el
protocolo NCP tradicional. Si desactiva la caracterstica de seleccin automtica de
oNCP o NCP y se produce una conmutacin por error de UDP a oNCP o NCP, el
IVE desconecta a los clientes de Macintosh y Linux debido a que el IVE conmuta
errneamente UDP a NCP (en lugar de oNCP), que no admite a estos usuarios.
739
trfico syslog
capturas SNMP
consultas SNMP
trfico NTP
NOTA: Si aplica una licencia IVS, no puede utilizar el puerto de administracin para
740
Informacin relacionada
742
NOTA:
744
Captulo 27
Certificados
Un IVE usa PKI para proteger los datos que enva a los clientes a travs de Internet.
PKI (infraestructura de claves pblicas) es un mtodo de seguridad que usa claves
pblicas y privadas para encriptar y desencriptar informacin. Estas claves se
habilitan y almacenan mediante certificados digitales. Un certificado digital es un
archivo electrnico encriptado emitido que establece las credenciales de un
servidor Web o de un usuario para las transacciones cliente-servidor.
Un IVE usa los siguientes tipos de certificados digitales para establecer las
credenciales y proteger las transacciones de sesiones del IVE:
749
En una configuracin bsica del IVE, los nicos certificados necesarios son un
certificado de dispositivo y un certificado de firma de cdigo. El dispositivo IVE
puede usar un certificado de firma de cdigo nico para volver a firmar todos los
applets de Java y un certificado de dispositivo nico para intermediar todas las otras
interacciones basadas en PKI. No obstante, si los certificados bsicos no satisfacen
sus necesidades, puede instalar varios certificados de dispositivo y de applet en un
dispositivo IVE o usar certificados de CA de confianza para validar usuarios.
NOTA: El IVE puede verificar los certificados que usa SHA2 como la sntesis del
mensaje.
750
Esta seccin contiene las siguientes instrucciones para trabajar con certificados de
dispositivos:
752
Request renewal based on the CSR previously submitted to the CA: Este
proceso de renovacin de un certificado es menos seguro porque la CA genera
un certificado que usa la clave privada existente.
754
756
Usuarios internos: Use los ajustes de la ficha System > Network >
Internal Port > Virtual Ports para crear puertos virtuales para usuarios
como empleados que inician sesin en el IVE desde dentro de su red
interna. Para obtener instrucciones, consulte Configuracin de puertos
virtuales en la pgina 711.
Usuarios externos: Use los ajustes de la ficha System > Network >
Port 1 > Virtual Ports para crear puertos virtuales para usuarios como
clientes y socios que inician sesin en el IVE desde fuera de su red interna.
Para obtener instrucciones, consulte Configuracin de puertos virtuales
en la pgina 711.
Asociar todos los nombres de host con un certificado comodn nico: Con
este mtodo, usa un certificado comodn nico para validar a todos los
usuarios, sin importar el nombre de host que usen para iniciar sesin en el IVE.
Un certificado comodn incluye un elemento variable en el nombre de dominio,
lo que hace posible que los usuarios inicien sesin en varios host para asignar
el mismo dominio. Por ejemplo, si crea un certificado comodn para
*.yourcompany.com, el IVE usa el mismo certificado para autenticar usuarios
que inician sesin en employees.yourcompany.com que para autenticar a los
usuarios que inician sesin en partners.yourcompany.com.
Asociar cada nombre de host con su propio certificado: Con este mtodo,
asocia nombres de host distintos con certificados diferentes. Sin embargo,
dado que el IVE no conoce el nombre de host que usa el usuario final para
iniciar sesin en el IVE, debe crear un puerto virtual para cada nombre de host
y luego asociar los certificados con los puertos virtuales. Un puerto virtual activa
un alias de IP en un puerto fsico. Por ejemplo, puede optar por crear dos
puertos virtuales en un dispositivo nico, asignando el primer puerto virtual a la
direccin IP 10.10.10.1 (sales.yourcompany.com) y el segundo puerto virtual
a la direccin IP 10.10.10.2 (partners.yourcompany.com). Puede asociar cada
uno de estos puertos virtuales con su propio certificado, asegurndose de que
el IVE autentica usuarios diferentes mediante certificados diferentes.
758
759
NOTA:
Si tiene una sola licencia de usuario del IVE estndar, slo puede importar un
certificado de CA al IVE.
760
Use OCSP: Especifica que el IVE debe usar el mtodo de OCSP, validando el
certificado cliente en tiempo real, segn sea necesario. Despus de
seleccionar esta opcin, puede especificar opciones para OCSP segn se
describe en Especificacin de las restricciones del certificado del lado
cliente en la pgina 765.
Use CRLs: Especifica que el IVE no debe usar la CRL para validar el
certificado cliente. Despus de seleccionar esta opcin, puede especificar
opciones para OCSP segn se describe en Especificacin de las opciones
de CDP en la pgina 769.
Use OCSP with CRL fallback: Especifica que el IVE debe usar el mtodo
de validacin de OCSP cuando sea posible, pero intentar validar los
certificados cliente usando la CRL si el mtodo OCSP falla (por ejemplo,
si el vnculo al respondedor OCSP falla). Despus de seleccionar esta
opcin, puede especificar opciones para OCSP segn se describe en
Especificacin de las restricciones del certificado del lado cliente en la
pgina 765 y para CDP segn se describe en Especificacin de las
opciones de CDP en la pgina 769.
761
8. Use uno de los siguientes mtodos para especificar cmo el IVE debe usar el
certificado para autenticar usuarios o autorizar el acceso a los recursos:
Use una directiva de Host Checker para autorizar que equipos individuales
accedan a los recursos como se explica en Especificacin de requisitos
personalizados usando reglas personalizadas en la pgina 276.
762
Use OCSP: Especifica que el IVE debe usar el mtodo de OCSP, validando el
certificado cliente en tiempo real, segn sea necesario. Despus de
seleccionar esta opcin, puede especificar opciones para OCSP segn se
describe en Especificacin de las restricciones del certificado del lado
cliente en la pgina 765.
Use CRLs: Especifica que el IVE no debe usar la CRL para validar el
certificado cliente. Despus de seleccionar esta opcin, puede especificar
opciones para OCSP segn se describe en Especificacin de las opciones
de CDP en la pgina 769.
Use OCSP with CRL fallback: Especifica que el IVE debe usar el mtodo de
validacin de OCSP cuando sea posible, pero intenta validar los certificados
cliente usando la CRL si el mtodo OCSP falla (por ejemplo, si el vnculo al
respondedor OCSP falla). Despus de seleccionar esta opcin, puede
especificar opciones para OCSP segn se describe en Especificacin de las
restricciones del certificado del lado cliente en la pgina 765 y para CDP
segn se describe en Especificacin de las opciones de CDP en la
pgina 769.
6. Habilite la opcin Verify Trusted Client CA si desea que el IVE valide la CRL
desde la que se emiti el certificado.
7. Habilite la opcin Verify for Client Authentication? si desea que el IVE confe
en este certificado al autenticar certificados cliente. Si agreg este certificado
para fines no relacionados con la autenticacin (como la verificacin de firma
de SAML o la validacin del certificado del equipo), inhabilite esta opcin,
indicando que el IVE no debe confiar en el certificado cliente emitido por
esta CA.
8. Haga clic en Save.
Despus de haber importado manualmente el certificado de CA, puede
especificar los atributos del certificado de CA como se describe en
Especificacin de atributos para el certificado de CA de cliente de confianza
en la pgina 763.
9. Use uno de los siguientes mtodos para especificar cmo el IVE debe usar el
certificado para autenticar usuarios o autorizar el acceso a los recursos:
Use una directiva de Host Checker para autorizar que equipos individuales
accedan a los recursos como se explica en Especificacin de requisitos
personalizados usando reglas personalizadas en la pgina 276.
763
b.
5. En CRL checking for client certificates, vea los detalles de las CRL que estn
habilitadas para este certificado:
764
Last Updated: Indica la ltima vez que el IVE descarg una CRL del punto
de distribucin de la CRL especificado. Tambin contiene un vnculo para
guardar la versin actual de la CRL del IVE.
Use OCSP: Especifica que el IVE debe usar el mtodo de OCSP, validando el
certificado cliente en tiempo real, segn sea necesario. Despus de
seleccionar esta opcin, puede especificar opciones para OCSP segn se
describe en Especificacin de las restricciones del certificado del lado
cliente en la pgina 765.
Use CRLs: Especifica que el IVE no debe usar la CRL para validar el
certificado cliente. Despus de seleccionar esta opcin, puede especificar
opciones para OCSP segn se describe en Especificacin de las opciones
de CDP en la pgina 769.
Use OCSP with CRL fallback: Especifica que el IVE debe usar el mtodo de
validacin de OCSP cuando sea posible, pero intenta validar los certificados
cliente usando la CRL si el mtodo OCSP falla (por ejemplo, si el vnculo al
respondedor OCSP falla). Despus de seleccionar esta opcin, puede
especificar opciones para OCSP segn se describe en Especificacin de las
restricciones del certificado del lado cliente en la pgina 765 y para CDP
segn se describe en Especificacin de las opciones de CDP en la
pgina 769.
7. Habilite la opcin Verify Trusted Client CA para indicar al IVE que valide la CA
de cliente de confianza.
8. Haga clic en Save Changes.
765
Administrators > Admin Roles > Seleccionar rol > General >
Restrictions > Certificate
Users > User Realms > Seleccionar territorio > Role Mapping >
Seleccionar|Crear regla > Custom Expression
Users > User Roles > Seleccionar rol > General > Restrictions >
Certificate
766
El IVE admite todos los atributos de nombre completo X.509 (DN) (como
C, CN, L, O, OU).
Defina slo un valor para cada atributo. Si especifica varios valores, puede
que el certificado del lado cliente no se autentique correctamente con el
certificado de CA.
NOTA: Con una licencia de usuario, no puede instalar una cadena con certificados
emitidos por distintas CA. La CA que firma el certificado de nivel inferior en la
cadena tambin debe firmar todos los otros certificados en la cadena.
767
Habilitacin de CRL
Una lista de revocacin de certificados (CRL) es un mecanismo para cancelar un
certificado del lado cliente. Como el nombre indica, una CRL es una lista de
certificados revocados publicada por una CA o un emisor de CRL delegado. El IVE
admite las CRL base, que incluyen todos los certificados revocados de la empresa en
una sola lista unificada.
El IVE sabe qu CRL debe usar al comprobar el certificado del cliente. (Al emitir un
certificado, la CA incluye la informacin de la CRL para el certificado en el
certificado en s.) Para asegurarse de que se recibe la informacin de CRL ms
actualizada, el IVE se comunica peridicamente con un punto de distribucin de
CRL para obtener una lista actualizada de los certificados revocados. Un punto de
distribucin de CRL (CDP) es una ubicacin en el servidor del directorio LDAP
o servidor Web donde una CA publica las CRL. El IVE descarga informacin de la
CRL desde el CDP en el intervalo especificado en la CRL, en el intervalo que
especifique durante la configuracin de CRL y cuando elija descargar manualmente
la CRL. El IVE tambin admite las particin de CRL. La particin de CRL permite
verificar partes de una CRL muy grande sin tener que gastar tiempo ni ancho de
banda necesarios para acceder y validar una CRL muy grande o la recopilacin de
CRL grandes. La particin de CRL slo se habilita en el IVE cuando usa el mtodo
Specify the CDP(s) in the client certificates (descrito a continuacin). En este
caso, el IVE valida al usuario verificando slo la CRL especificada en el certificado
cliente.
Aunque las CA incluyen informacin de CRL en certificados del lado cliente, no
siempre incluyen informacin de CDP. Una CA puede usar cualquiera de los
siguientes mtodos para notificar al IVE de la ubicacin de CDP de un certificado.
768
NOTA: Si elige este mtodo, el usuario recibe un error la primera vez que intenta
iniciar sesin en el IVE porque no hay informacin de CRL disponible. Una vez
que el IVE reconoce el certificado cliente y extrae la ubicacin de CRL, puede
comenzar a descargar la CRL y validar posteriormente el certificado del usuario.
Para iniciar sesin correctamente en el IVE, el usuario debe volver a conectarse
despus de unos segundos.
El IVE slo admite las CRL que estn en formato PEM o DER y que estn
firmadas por la CA para la que se aplican las revocaciones.
769
CDP(s) specified in the Trusted Client CA: Cuando selecciona esta opcin,
el IVE comprueba al atributo de punto de distribucin de CRL en el
certificado y muestra los URI de los CDP que encuentra en la pgina CRL
Checking Options. Si el certificado de CA no incluye toda la informacin
necesaria para obtener acceso al CDP, especifique la informacin requerida
adicional:
770
NOTA: Si elige descargar CDP usando un mtodo y luego selecciona otro, el IVE
elimina cualquier CDP del disco que se haya descargado usando el mtodo
anterior.
Cuando opte por verificar un certificado intermedio, asegrese de que las CRL
estn disponibles para todos los certificados de CA sobre el certificado
intermedio en la cadena; cuando verifica un certificado de CA, el IVE tambin
verifica todas las CA emisoras sobre el certificado en la cadena.
8. Haga clic en Save Changes. El IVE descarga la CRL usando el mtodo que
especific (si corresponde) y muestra los detalles de comprobacin de CRL
(descritos en la siguiente seccin).
9. Haga clic en Update Now en la pgina Trusted Client CA para descargar
manualmente la CRL del CDP (opcional).
Habilitacin de OCSP
El Online Certification Status Protocol (OCSP) ofrece la capacidad de verificar los
certificados cliente en tiempo real. Usando OCSP, el IVE pasa a ser cliente de un
respondedor OCSP y reenva las solicitudes de validacin a los usuarios, basndose
en los certificados cliente. El respondedor OCSP mantiene un almacn de CRL
publicadas por la CA y una lista actualizada de certificados cliente vlidos y no
vlidos. Una vez que el respondedor OCSP recibe una solicitud de validacin del IVE
771
(que por lo general es una transmisin HTTP o HTTPS), el respondedor OCSP valida
el estado del certificado usando su propia base de datos de autenticacin o llama al
respondedor OCSP que emiti originalmente el certificado para validar la solicitud.
Despus de formular una respuesta, el respondedor OCSP devuelve la respuesta
firmada al IVE y el certificado original se aprueba o rechaza, dependiendo de si el
respondedor OCSP valida o no el certificado.
Esta seccin contiene las siguientes instrucciones de OCSP:
772
773
NOTA: Todas las CA raz de confianza para los certificados Web instalados en
Internet Explorer 6.0 y Windows XP Service Pack 2 estn preinstaladas en el
dispositivo IVE.
Por lo tanto, siempre que un usuario visite un sitio Web habilitado por SSL, el
dispositivo IVE verifica que:
El valor Subject CN del certificado del sitio Web coincide con el nombre de host
real de la URL a la que se accedi. (Tenga en cuenta que el dispositivo IVE
permite que el valor Subject CN contenga comodines en el formato:
*.company.com.)
774
NOTA:
JavaSoft Certificate: El IVE usa este certificado para firmar applets que se
ejecutan en SUN JVM. Tenga en cuenta que slo se admiten certificados de
JavaSoft emitidos por Verisign y Thawte.
Netscape, Firefox y Safari: Estos exploradores slo admiten SUN JVM, lo que
quiere decir que el IVE debe volver a firmar los applets usando el certificado de
JavaSoft.
cdigo para cada IVS. Debe dirigirse a cada sistema IVS, usando el men
desplegable del sistema IVS en el encabezado de la consola de administracin,
luego importar el certificado de firma de cdigo para cada IVS en la pgina System
> Configuration > Certificates > Code-signing Certificates.
Esta seccin contiene la siguiente informacin sobre certificados de firma de
cdigo:
Resumen de tareas: configurar el IVE para que firme o vuelva a firmar los
applets en la pgina 778
777
Resumen de tareas: configurar el IVE para que firme o vuelva a firmar los applets
Para configurar el IVE para que vuelva a firmar los applets usando los certificados
de firma de cdigo, debe:
1. Instalar los certificados de firma de cdigo de Java mediante la pgina System
> Configuration > Certificates > Code-Signing Certificates de la consola de
administracin. Para obtener instrucciones, consulte Importacin de un
certificado de firma de cdigo en la pgina 778.
2. Siga uno de estos pasos:
Cree directivas de firma de cdigo que especifiquen los applets que el IVE
debe volver a firmar mediante la pgina Users > Resource Policies >
Web > Java > Code Signing de la consola de administracin o la pgina
Users > Resource Profiles > Web Application Resource Profiles >
Perfil. Las directivas deben especificar los nombres de host desde los que
se originan los applets. Para obtener instrucciones, consulte Escritura de
una directiva de recursos de firma de cdigo Java en la pgina 441.
Cargue sus propios applets de Java en el IVE y configure el IVE para que los
firme o los vuelva a firmar, como se explica en Plantillas de applets de
Java hospedados en la pgina 345.
5. Use los ajustes de las siguientes fichas para especificar los recursos que el
certificado del applet firm o volvi a firmar:
Users > Resource Policies > Web > Java > Code Signing
Users > Resource Policies > Web > Java > Applets
779
780
Captulo 28
Configuracin de envos
782
JuniperAccessLog-gen-nodo1-Raz-20090109-1545.gz
JuniperEventsLog-gen-nodo1-Raz-20090109-1545.gz
JuniperAdminLog-gen-nodo1-Raz-20090109-1545.gz
JuniperConf-gen-nodo1-Raz-20090109-1545.gz
JuniperUserAccounts-gen-nodo2-Raz-20090109-1542
783
6. Defina una hora especfica cuando desea que el IVE realice el archivado de
datos o elija que se lleve a cabo cada hora, lo que produce veinticuatro archivos
con marcas de hora nicos.
784
Creacin de copias de seguridad locales de los archivos de configuracin del IVE 785
NOTA:
4. Haga clic en Restore. El IVE debe reiniciarse para que los cambios se hagan
efectivos. Despus de reiniciar el IVE, debe iniciar sesin nuevamente en l
para obtener acceso a la consola de administracin.
Para guardar una copia de seguridad local de sus archivos de configuracin de IVS:
1. En la consola de administracin, elija Maintenance > Archiving > Local
Backups.
2. Haga clic en Save IVS.
La copia de seguridad resultante contiene:
Perfiles IVS
Sistema IVS
Autenticacin IVS
Administradores IVS
Usuarios IVS
Mantenimiento de IVS
3. Al restaurar, si desea incluir ajustes de red IVS, seleccione IVS Profile Network
Settings y luego haga clic en Restore.
Al seleccionar IVS Profile Network Settings puede importar referencias a
puertos VLAN y puertos virtuales en los perfiles IVS importados. Para obtener
ms informacin acerca de la importacin y exportacin de IVS, consulte
Realizacin de la exportacin y la importacin de los archivos
de configuracin del IVS en la pgina 959.
786
El IVE tambin le permite importar y exportar todas las cuentas de usuarios locales
que haya definido para cualquier servidor de autenticacin local.
NOTA:
Para exportar o importar registros del lado cliente, exporte o importe los
archivos de configuracin del usuario y del sistema.
787
Configuraciones de red
Licencias
Ajustes SNMP
788
Territorios de autenticacin
Roles
Acceso a la red
789
Cuentas de usuario
Configuraciones de reuniones
790
Perfiles IVS
Sistema IVS
Autenticacin IVS
Administradores IVS
Usuarios IVS
Mantenimiento de IVS
791
NOTA: Slo puede exportar e importar archivos de instancia XML entre IVE que
792
NOTA: Es posible que estas listas no muestren todos los ajustes disponibles. Para
obtener una lista completa de ajustes compatibles, consulte la pgina XML
Import/Export y la pgina Push Config en la consola de administracin.
793
La instancia XML
Despus de la exportacin, el archivo de instancia le muestra el estado actual de la
configuracin del IVE. La instancia XML se basa en un esquema XML. El esquema
es un archivo separado que define los metadatos y que sirve como modelo
o plantilla para el archivo de instancia. Si llegara a usar el archivo de esquema, slo
ser para propsitos de referencia.
Los datos del archivo de instancia se basan en las selecciones que hace la ficha XML
Import/Export en la consola de administracin cuando realiza la operacin de
exportacin.
Los archivos de instancia generalmente terminan con la extensin de archivo .xml.
794
A pesar de las ventajas potenciales de usar un editor de XML, puede realizar una
buena edicin de sus datos de configuracin usando un editor de texto simple.
Elementos de instancia
Un elemento es una unidad XML discreta que define un objeto del IVE o parte de un
objeto. El elemento suele constar de un par de etiquetas que pueden o no estar
alrededor de datos de cadena. Las etiquetas estn delimitadas por corchetes
angulares (< >). Puede encontrar varios ejemplos de etiquetas en los temas
siguientes.
Cada etiqueta corresponde a uno de los siguientes tipos:
795
<change-password-at-signin>false</changepassword-at-signin>
</user>
</users>
</local>
<name>Administrators</name>
</auth-server>
Para hacer cambios en los datos de la cadena que aparecen entre las etiquetas de
inicio y de final. Por ejemplo, en el ejemplo anterior puede agregar o cambiar los
siguientes elementos:
<name>Administrators</name>
<fullname>Platform Administrator</fullname>
<username>admin</username>
<password-cleartext>password</password-cleartext>
<change-password-at-signin>false</change-password-at-signin>
El ejemplo anterior muestra los datos del elemento Password como datos
encriptados, indicando que no puede cambiar el valor de la contrasea. De forma
predeterminada, la operacin e exportacin de XML proporciona contraseas
encriptadas con un password-encrypted. Puede modificar la contrasea si cambia el
elemento a password-cleartext. Si modifica la contrasea en el archivo de instancia,
el valor contrasea ser visible hasta que se vuelva a importar al IVE. Despus de
importado, IVE encripta la contrasea.
Si escribe contraseas para usuarios nuevos en formato cleartext, las contraseas
sern visibles en el archivo de instancia, por lo que quizs debera plantearse
ajustar la opcin Change Password at Next Login con el valor true.
NOTA:
796
Espacios de nombres
Los espacios de nombres le permiten usar en su cdigo las mismas palabras
o etiquetas de contexto o vocabularios XML diferentes. Si agrega calificadores de
nombres de espacios como prefijos a los elementos permite que un archivo de
instancia incluya referencias a distintos objetos que se originan en diferentes
vocabularios de XML y que comparten el mismo nombre. Si no agrega el prefijo
a los elementos con calificadores de espacios de nombres, el espacio de nombre
XML ser el predeterminado y se har referencia a los nombres de tipos de
elementos en ese espacio de nombre sin un prefijo.
Una declaracin de espacio de nombre se ve de la siguiente forma:
<configuration xmlns="http://xml.juniper.net/ive-sa/6.2R1"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
Secuencia de elementos
Debe evitar cambiar la secuencia de elementos en el archivo de instancia en la
medida de lo posible. Aunque el esquema no aplica la secuencia en todos los casos,
no tiene ninguna ventaja cambiar el orden en el que los elementos aparecen en el
archivo de instancia exportado y, en algunos casos, podra invalidar un documento
de instancia al cambiar la secuencia de los elementos.
En la Figura 45 las casillas representan tipos de objetos del IVE y las flechas
representan relaciones de dependencia entre los tipos de objetos. Las flechas
apuntan desde los objetos dependientes a los otros.
797
Si agrega una directiva, debe poder asignarla a un rol. Si no hay un rol en el IVE
de destino, deber agregar una en el archivo de instancia.
798
Enabled
Limit to subnet
Disabled
799
Para tener acceso al archivo .xsd, introduzca a la siguiente direccin URL, ya sea
directamente o a travs de un script:
https://<IP-or-hostname>/dana-na/xml/config.xsd
donde IP-or-hostname es la direccin IP del IVE o el nombre del host. Con este
mtodo, no ser necesario que inicie sesin en el IVE.
NOTA: Esta caracterstica puede cambiar en el futuro. Est alerta de esto si usa
scripts para tener acceso al archivo comprimido en zip mediante la direccin URL.
Los elementos que podran cambiar son:
La direccin URL.
El nombre de archivo.
800
Documente los cambios en los objetos del IVE que desea modificar.
Haga una lista de datos de atributos especficos para los objetos que
agregar o actualizar.
Haga una lista con las pginas o fichas de la consola de administracin que
correspondan a los objetos y atributos que desea cambiar.
Tome una imagen instantnea binaria del sistema o realice una copia de
seguridad binaria de la configuracin antes de realizar la importacin.
801
802
Un perfil de recursos importado est asociado a un rol. Ese rol est asociado a
un marcador pero el marcador no se encuentra en el perfil de recursos.
Una directiva de recursos hija importada necesita un perfil padre en los datos
de configuracin. La directiva de recursos hija se elimina (no se importa).
Una directiva de recursos hija contiene una regla detallada que no existe en el
perfil de recursos padre. El proceso de validacin de la importacin presentar
un error, al igual que el proceso de importacin de XML.
Las directivas del Host Checker deben contener slo tipos de reglas vlidas
para esa plataforma. Por ejemplo, no puede tener reglas AV predefinidas
para plataformas Macintosh o Linux.
Puede importar una licencia slo al mismo sistema. No puede importar una
licencia desde un IVE distinto (se registrar un error).
803
Las asociaciones de rol se exportan pero los datos de rol individuales no.
804
Hora y fecha del sistema: Exporta la zona horaria del servidor y los ajustes
del protocolo de hora de la red (NTP).
Si importa una licencia despus de eliminar una licencia temporal del IVE, la
licencia importada no se tendr en cuenta debido a que an podra reactivar
la licencia eliminada y la operacin de importacin intenta mantener
cualquier dato actual en el IVE.
805
806
En Sign-in URLs, elija ALL sign-in URLs para exportar todas las
direcciones URL de inicio de sesin o elija SELECTED sign-in URLs para
especificar qu direcciones URL de inicio de sesin exportar.
En Sign-in Pages, seleccione ALL Pages para exportar todas las pginas de
inicio de sesin, SELECTED pages para especificar qu pginas de inicio de
sesin exportar u ONLY pages used by URLs selected above para exportar
slo esas pginas que son vlidas para las direcciones URL de inicio de
sesin seleccionadas arriba.
Seleccione ALL policies para exportar todas las directivas del Host Checker
o elija SELECTED policies para especificar qu directivas del Host Checker
se exportarn. Los archivos de paquete JEDI estn encriptados. Las
directivas de terceros se exportan como la directiva principal ms el
paquete JEDI y las subdirectivas. No puede separar estos paquetes para
exportarlos.
Seleccione Remote IMV para exportar todos los ajustes de los servidores
IMV y las reglas IMV remotas.
Seleccione ESAP para exportar todos los ajustes ESAP. Los paquetes ESAP
estn encriptados cuando se exportan.
escoja ALL resource realms para exportar todos los territorios dentro de
ese grupo.
Escoja ALL roles para exportar todos los roles dentro de ese grupo.
807
Escoja ALL resource profiles para exportar todos los perfiles de recursos
dentro de ese grupo.
Escoja From ALL local auth servers para exportar todas las cuentas de
usuario locales desde todos los servidores de autenticacin locales.
808
Auth Servers
809
810
<configuration xmlns="http://xml.juniper.net/ive-sa/6.2R1"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<authentication>
<auth-servers>
<auth-server>
<local>
<users>
<user>
<username>user1</username>
<fullname>User1</fullname>
<password-cleartext>password1
</password-cleartext>
<one-time-use>false</one-time-use>
<enabled>true</enabled>
<change-password-at-signin>true
</change-password-at-signin>
</user>
<user>
<username>user2</username>
<fullname>User2</fullname>
<password-cleartext>password2
</password-cleartext>
<one-time-use>false</one-time-use>
<enabled>true</enabled>
<change-password-at-signin>true
</change-password-at-signin>
</user>
<name>System Local</name>
</auth-server>
</auth-servers>
</authentication>
</configuration>
811
5. En el archivo exportado policy.xml, busque y reemplace rewrite-url-responsestatic-dynamic con el valor de accin de, por ejemplo, rewrite-url-static-dynamic.
NOTA: El siguiente ejemplo muestra slo un fragmento del archivo policy.xml real.
812
<activex-param>
<classid>5BDBA960-6534-11D3-97C7-00500422B550</classid>
<description>iNotes Discussion </description>
<params>
<param>
<parameter>FullUrl</parameter>
<!-- Change the following data -->
<action>rewrite-url-response-static-dynamic</action>
</param>
</params>
</activex-param>
La instancia XML que desea importar debe contener el mismo grupo de nodos
que el clster original. La firma usada para sincronizar el clster cuando los
nodos se rehabilitan se deriva de las direcciones IP de los nodos del clster, por
lo que los nodos restantes no pueden reintegrarse al clster si la configuracin
importada ofrece una firma diferente.
Cuando realice una operacin de importacin en un clster, todos los nodos del
clster se deben habilitar y ejecutar. Si intenta importar una configuracin en
un clster en el que un nodo no se est ejecutando, la operacin de
importacin puede detenerse o los resultados de importacin pueden ser
impredecibles.
813
</object3>
</object2>
</object1>
Los siguientes son los atributos de operacin admitidos:
814
Si fusiona una lista de objetos con una lista existente de objetos en el almacn de
configuracin, se podran obtener resultados inesperados en la lista de objetos
fusionada. Durante una operacin de fusin, no se mantiene el orden de los objetos
en la lista nueva. Si importa una lista de objetos y desea mantener el orden de la
lista nueva, debe usar el atributo de operacin replace. Tambin puede usar las
opciones insert before o insert after para asegurarse de producir la jerarqua que
desea.
Los atributos de operacin se aplican a los elementos de forma recurrente, a menos
que tambin se definan nuevos operadores dentro de los elementos ms bajos. Hay
limitaciones en el operador legal que se puede usar en elementos hijos sin conflicto
con el operador padre. La Tabla 44 muestra las relaciones del operador legal entre
los elementos padre e hijo.
Tabla 44: Relaciones de atributos de operacin legal
Hijo >
Padre V
Create
Merge
Replace
Delete
Insert
before
Insert
before
Rename
Ninguno
OK
OK
OK
OK
OK
OK
OK
Create
OK
OK
Error
Error
OK
OK
Error
Merge
OK
OK
OK
OK
OK
OK
OK
Replace
Error
OK
OK
Error
OK
OK
Error
Delete
Error
OK
Error
OK
Error
Error
Error
Insert
before
OK
OK
OK
OK
OK
OK
OK
Insert
after
OK
OK
OK
OK
OK
OK
OK
Rename
OK
OK
OK
OK
OK
OK
OK
815
816
Si el IVE de destino o de origen tiene una licencia IVS, debe enviar todos los
ajustes de configuracin. No puede seleccionar qu ajustes enviar.
El IVE de origen enva datos slo a travs del puerto interno o el Puerto de
administracin (en SA 6000 de Juniper Networks, si est configurado). El IVE de
destino puede recibir datos a travs de los puertos interno, externo o de
administracin (en SA 6000 de Juniper Networks, si est configurado).
Para que Push Configuration funcione, la cuenta del administrador del IVE de origen
debe iniciar sesin en el IVE de destino sin interaccin humana. Por ejemplo, no
puede tener credenciales dinmicas o roles mltiples que no estn fusionados, ya
que ambos requieren interaccin manual.
Antes de usar Push Configuration, debe configurar su las siguientes condiciones
especficas de su sistema:
817
818
4. Para crear un nuevo IVE de destino, haga clic en New Target. En la pgina New
Target:
a.
b.
c.
b.
Configuraciones de red
Licencias
Certificados
Ajustes SNMP
819
a todos los IVE de destino con esta opcin. Se reescriben todos los marcadores
y las preferencias ya configuradas en el IVE de destino.
NOTA: No se puede copiar ajustes de red a otro IVE usando la caracterstica Push
Configuration. Puede usar la caracterstica XML Import/Export para exportar
ajustes de red seleccionados y luego para importar esos ajustes a otro IVE. Para
obtener ms informacin, consulte Importacin y exportacin de archivos de
configuracin XML en la pgina 791.
6. Haga clic en Push Configuration para copiar los ajustes seleccionados a los IVE
de destino. El IVE muestra el estado de envo en la ficha Results.
NOTA: Cuando haga clic en Push Configuration, no podr detener el proceso ni
cambiar el IVE de destino hasta que finalice el proceso de configuracin de envo
completamente.
820
821
<meeting_type>support</meeting_type>
<invitees>
<invitee><![CDATA[gary (System Local) Conductor]]></invitee>
...
</invitees>
<attendees>
<attendee>
<name><![CDATA[gary]]></name>
<join_time>04:11 PM</join_time>
<duration>50 minutes </duration>
</attendee>
...
</attendees>
</meeting>
...
</meetings>
822
Captulo 29
Registro y supervisin
El IVE proporciona capacidades de registro y supervisin para ayudarle a realizar un
seguimiento de los eventos y actividades del usuario. Este captulo describe las
diversas caractersticas de registro y supervisin incluidas con el IVE.
Esta seccin contiene la siguiente informacin acerca de las caractersticas de
registro y supervisin:
Registro de sensores
823
Events log: Este archivo de registro contiene una variedad de eventos del
sistema, como tiempos de espera de sesin (incluyendo tiempos de espera de
sesin de duracin mxima y de inactividad), errores y advertencias del
sistema, solicitudes de comprobacin de conectividad del servidor
y notificaciones de reinicio de servicio del IVE. (El proceso de guardin del IVE
revisa peridicamente el servidor del IVE y se reinicia si el IVE no responde.)
824
Cuando uno de los registros alcanza el tamao mximo del archivo de registro
configurado (200 MB de forma predeterminada), los datos actuales se sustituyen
por un archivo de registro de la copia de seguridad. Entonces se crea un archivo
nuevo y vaco para todos los mensajes de registro subsiguientes (nuevos). Con el
visualizador de registros, el administrador puede ver los 5000 mensajes de registro
ms recientes (lmite de visualizacin del visualizador). Si el archivo de registro
actual contiene menos de 5000 mensajes de registro, se muestran los mensajes
ms antiguos del archivo de registro de la copia de seguridad, hasta completar los
5000 mensajes de registro. Esto hace que los archivos de registro aparezcan como
uno, aunque se hayan almacenado por separado, de acuerdo con el tamao
mximo del archivo de registro configurado.
NOTA: Cuando decide guardar los mensajes de registro o usar la funcin de
archivado del FTP en la pgina Maintenance > Archiving, el archivo de registro
de la copia de seguridad se adjunta al archivo de registro actual, y luego se
descarga como un solo archivo de registro. Si los archivos de registro no se
archivan ni guardan para el momento en que se vuelvan a sustituir, se perdern
los mensajes de registro ms antiguos (guardados en el archivo de registro de la
copia de seguridad).
Critical (severity level 10): Cuando el IVE no puede responder a las solicitudes
del usuario o del administrador o pierde la funcionalidad en la mayora de los
subsistemas, escribe un evento crtico en el registro.
825
NOTA: Al igual que con los filtros de registro personalizados, los filtros de registro
dinmicos slo cambian la vista actual del registro, no los datos que el IVE guarda.
Aunque los filtros rpidos actan como agentes de filtro temporales, el IVE le da la
posibilidad de guardar las cadenas de consultas temporales como filtros
personalizados nuevos.
826
Para todos los otros tipos de servidores de autenticacin, puede ver y eliminar
sesiones de usuario activas siguiendo estas instrucciones.
Para ver o eliminar una sesin de usuario activa:
1. En la consola de administracin, elija Authentication > Auth. Servers.
2. Haga clic en el vnculo correspondiente en la lista
Authentication/Authorization Servers.
3. Seleccione la ficha Users.
4. Realice alguna de las siguientes tareas:
827
Para obtener informacin sobre las capacidades de registro y supervisin del IVE,
consulte Registro y supervisin en la pgina 823.
828
NOTA: Para guardar todos los archivos de registro (Events Log, User Access Log,
Admin Access Log y Sensors Log) haga clic en Save All Logs y el IVE le solicitar
una ubicacin en la que guardar los archivos de registro en un archivo
comprimido. Puede acceder al botn Save All Logs desde cualquiera de las fichas
de registro correspondientes.
6. Haga clic en Clear Log para borrar el registro local y el archivo log.old.
NOTA: Cuando borra el registro local, los eventos grabados por el servidor syslog
no se ven afectados. Los eventos posteriores se graban en un nuevo archivo de
registro local.
829
b.
c.
En la seccin Start Date, haga clic en Earliest Date para escribir todos
los registros de la primera fecha disponible almacenada en el archivo
de registro. O bien, introduzca manualmente una fecha de inicio.
En la seccin End Date, haga clic en Latest Date para escribir todos los
registros hasta la ltima fecha disponible almacenada en el archivo de
registro. O bien, introduzca manualmente una fecha de trmino.
830
b.
c.
NOTA: Asegrese de que el servidor syslog acepte mensajes con los siguientes
ajustes: facility = LOG_USER y level = LOG_INFO.
831
832
a.
En la seccin Start Date, haga clic en Earliest Date para escribir todos los
registros de la primera fecha disponible almacenada en el archivo de
registro. O bien, introduzca manualmente una fecha de inicio.
b.
En la seccin End Date, haga clic en Latest Date para escribir todos los
registros hasta la ltima fecha disponible almacenada en el archivo de
registro. O bien, introduzca manualmente una fecha de trmino.
c.
7. Use una de las opciones de la seccin Export Format para controlar el formato
de los datos en el registro:
Para supervisar las estadsticas vitales del sistema del IVE, como el uso de
CPU, cargue el archivo MIB UC-Davis en la aplicacin del administrador de
SNMP. Puede obtener el archivo MIB de:
http://net-snmp.sourceforge.net/docs/mibs/UCD-SNMP-MIB.txt.
833
NOTA:
Check Frequency
Log Capacity
Users
Memory
Swap Memory
Disk
Meeting Users
CPU
834
835
b.
c.
836
Objeto
Descripcin
logFullPercent
signedInWebUsers
signedInMailUsers
blockedIP
authServerName
productName
productVersion
fileName
meetingUserCount
iveCpuUtil
iveMemoryUtil
Descripcin
iveConcurrentUsers
clusterConcurrentUsers
iveTotalHits
iveFileHits
iveWebHits
iveAppletHits
ivetermHits
iveSAMHits
iveNCHits
meetingHits
meetingCount
logName
iveSwapUtil
diskFullPercent
blockedIPList
ipEntry
837
Descripcin
IPEntry
ipIndex
ipValue
logID
logType
logDescription
ivsName
ocspResponderURL
fanDescription
psDescription
raidDescription
NOTA: Las opciones para enviar capturas de SNMP para eventos graves y crticos
se inhabilitan de forma predeterminada por motivos de seguridad.
838
Objeto
Descripcin
iveLogNearlyFull
iveLogFull
iveMaxConcurrentUsersSignedIn
Descripcin
iveTooManyFailedLoginAttempts
externalAuthServerUnreachable
iveStart
iveShutdown
iveReboot
archiveServerUnreachable
archiveServerLoginFailed
archiveFileTransferFailed
meetingUserLimit
iveRestart
meetingLimit
iveDiskNearlyFull
iveDiskFull
logMessageTrap
839
840
Objeto
Descripcin
memUtilNotify
cpuUtilNotify
swapUtilNotify
iveMaxConcurrentUsersVirtualSystem
ocspResponderUnreachable
iveFanNotify
ivePowerSupplyNotify
iveRaidNotify
iveNetExternalInterfaceDownTrap
(nicEvent)
iveNetInternalInterfaceDownTrap
(nicEvent)
iveClusterDisableNodeTrap
(clusterName,nodeList)
iveClusterChangedVIPTrap(vipType,
currentVIP, newVIP)
iveNetManagementInterfaceDownTrap
(nicEvent)
iveClusterDelete(nodeName)
La pgina Statistics muestra esa informacin de los ltimos siete das. El IVE
escribe esa informacin en el registro del sistema una vez a la semana. Tenga en
cuenta que al actualizar el IVE se borran todas las estadsticas. Sin embargo, si
configura el sistema para que registre las estadsticas por hora, las estadsticas
antiguas an estarn disponibles en el archivo de registro despus de una
actualizacin.
Para ver las estadsticas del sistema:
1. En la consola de administracin, elija System > Log/Monitoring > Statistics.
2. Desplcese por la pgina para ver las cuatro categoras de datos.
Cada administrador de IVS tiene derecho a habilitar el registro del lado cliente
para los roles asociados con los roles de usuario del sistema del IVS.
842
b.
NOTA: Para los sistemas IVE 5.x nuevos, todas las opciones estn inhabilitadas de
Puede usar la columna Log Node de la ficha System > Log/Monitoring >
Client Logs > Uploaded Logs para ver la ubicacin de los archivos de registro
existentes recopilados por los nodos del clster. Esto es especfico para una
configuracin de clster y no se aplica a una sola implementacin del IVE.
Puede ver las entradas de registro cargadas en todos los nodos de un clster.
Puede guardar y descomprimir los archivos de registro cargados de los nodos
respectivos en el clster en que el usuario carg los registros.
843
844
Hits Per Second: Este grfico muestra el nmero de coincidencias que procesa
actualmente el IVE. En entornos de clster, puede elegir un IVE de la lista
desplegable para determinar los datos de qu nodo aparecern en el grfico. El
grfico incluye cuatro lneas: nmero de coincidencias, nmero de
coincidencias Web, nmero de coincidencias de archivo y nmero de
coincidencias de cliente/servidor.
845
Throughput: Este grfico muestra la cantidad de datos (en KB) que se estn
procesando en ese momento. En entornos de clster, puede elegir un IVE de la
lista desplegable para determinar los datos de qu nodo aparecern en el
grfico. El grfico incluye cuatro lneas: entrada externa, salida externa,
entrada interna, salida interna.
Tambin puede usar la ventana Page Settings para configurar qu grficos muestra
el IVE en el panel y el perodo de tiempo que el IVE realiza seguimiento.
Para descargar los datos del grfico en un archivo XML:
1. En la consola de administracin, elija System > Status > Overview.
2. Haga clic en el vnculo Download que corresponda al grfico que desea
descargar.
3. Haga clic en Save, especifique el directorio en que desea guardar el archivo
XML y haga clic en Save.
Especificacin del rango de tiempo y los datos que aparecen en los grficos
Tambin puede especificar el rango de tiempo y otros datos para que aparezcan en
los grficos.
Para especificar el rango de tiempo y los datos que aparecen en los grficos:
1. En la consola de administracin, elija System > Status > Overview.
2. Haga clic en Page Settings.
3. Seleccione qu grficos de uso desea mostrar.
4. Seleccione el rango de tiempo que desea representar en los grficos. Los
intervalos del grfico varan de una hora a un ao.
5. Indique la frecuencia con que desea actualizar los grficos.
6. Haga clic en Save Changes.
846
3. Use los ajustes del cuadro de dilogo Graph Settings para editar el color de
fondo, los colores de la lnea del grfico, el color del texto, el color de la lnea
y el grosor de la lnea que aparecen en el grfico.
4. Haga clic en Save Changes.
847
NOTA:
Los usuarios que no pertenecen al IVE y que iniciaron sesin en una reunin
segura aparecen en la lista como miembros del rol Secure Meeting User
Role.
El IVE muestra N/A en las columnas Realm y Role para los usuarios que no
pertenecen al IVE y que iniciaron sesin en el IVE para asistir a Secure
Meeting.
848
Para forzar el cierre de sesin de todos los usuarios finales que tengan
una sesin iniciada, haga clic en Delete All Sessions.
850
Attendee Roles: Muestra los roles de los asistentes que iniciaron sesin en
la reunin, el nmero de asistentes que inici sesin en cada rol y el lmite
de asistentes a la reunin para cada rol. Tenga en cuenta que los asistentes
que no pertenecen al IVE aparecen debajo del rol de usuario del creador de
la reunin. Para obtener informacin sobre cmo se asignan los asistentes
a los roles y cmo configurar los lmites por rol, consulte Definicin de los
ajustes de rol: Secure Meeting en la pgina 633.
3. Haga clic en el vnculo Details debajo de una reunin para ver informacin
sobre la reunin y unirse a sta (opcional).
4. Elija MySecureMeeting URLs en el men desplegable View para ver las URL
personales que hayan creado sus usuarios.
5. Haga clic en el icono de eliminacin en la columna derecha para cancelar una
reunin o eliminar MySecure Meeting URL (opcional).
NOTA: La cancelacin de una reunin la elimina permanentemente del IVE. No se
puede restaurar una reunin despus de cancelarla.
851
852
Captulo 30
Resolucin de problemas
El IVE proporciona varias utilidades de resolucin de problemas que le permiten
supervisar el estado del sistema, incluyendo los clsteres, si es que los usa. Esta
seccin proporciona una vista general de varias tareas de resolucin de problemas
que estn disponibles usando el IVE:
Grabacin de sesiones
851
852
Autenticacin previa: Entre los eventos del IVE que se capturan no se incluir
ningn otro evento relacionado con el sistema. Los eventos simplemente se
usan como un mecanismo de filtro para reducir la cantidad de registros
y resaltar el problema.
Asignacin de roles: Entre los eventos del IVE que se capturan no se incluir
ningn otro evento relacionado con el sistema. Los eventos simplemente se
usan como un mecanismo de filtro para reducir la cantidad de registros
y resaltar el problema.
Directivas de recursos: Entre los eventos del IVE que se capturan no se incluir
ningn otro evento relacionado con el sistema. Los eventos simplemente se
usan como un mecanismo de filtro para reducir la cantidad de registros y
resaltar el problema.
Especifique los tipos de directivas que desea registrar usando las casillas de
verificacin de la seccin Events to Log.
Por ejemplo, si desea probar si un usuario puede tener acceso al sitio Web de
Yahoo, escriba http://www.yahoo.com en el campo Resource, seleccione
Web en la lista desplegable y seleccione la casilla de verificacin Access en la
seccin Events to Log.
8. Despus de ejecutar la simulacin, elija Save Log As para guardar los resultados
de la simulacin en un archivo de texto.
854
Quizs usted considera que John debe ser miembro de ambos roles, pero cuando
inicia sesin en el IVE l no puede tener acceso a la navegacin de archivos o a la
funcionalidad de Secure Meeting habilitada en el rol Human Resources Staff.
Cuando activa el seguimiento de directivas para determinar las razones por las que
John no puede tener acceso a todas las funcionalidades esperadas, es posible que
vea entradas del registro similares a las que se muestran en la Figura 46.
NOTA: Los registros del acceso de los usuarios slo se comunican para las
directivas que estn seleccionadas bajo Events to Log.
Figura 46: Maintenance > Troubleshooting > User Session > Policy Tracing> Policy Trace
File
Esta entrada muestra que el IVE no asign a Joe al rol Human Resource Staff
porque no es miembro del grupo humanresources en el servidor LDAP.
Use esta ficha si sus usuarios tienen problemas para obtener acceso a las
funcionalidades que esperan usar en sus roles. Los eventos registrados en el archivo
de seguimiento de directivas le pueden ayudar a diagnosticar estos problemas.
Para crear un archivo de seguimiento de directivas:
1. En la consola de administracin, elija Maintenance > Troubleshooting >
User Sessions > Policy Tracing.
2. En el campo User, escriba las credenciales de IVE del usuario al que desea
hacer seguimiento. Tenga en cuenta que puede usar un carcter comodn (*) en
lugar de un nombre de usuario. Por ejemplo, si sus usuarios inician sesin en
un servidor annimo, puede usar el carcter comodn (*) ya que usted no
conoce el nombre de usuario interno que el IVE asignar al usuario.
Grabacin de sesiones
Cuando un sitio Web no se vea correctamente a travs del IVE, la ficha
Maintenance > Troubleshooting > User Sessions > Session Recording le
permitir grabar un archivo de seguimiento que muestre las acciones de un usuario.
Adems, puede usar esta ficha para conectarse a travs del IVE a una aplicacin de
cliente/servidor que no se comporta segn lo esperado.
Cuando comience a grabar un archivo de seguimiento, el IVE desconecta al usuario
especificado y luego comienza a grabar todas las acciones del usuario despus de
que ste inicia sesin nuevamente y se autentica. Tenga en cuenta que despus de
que el usuario se autentica, el IVE le notifica que sus acciones se estn grabando.
Para grabar un archivo de seguimiento:
1. En la consola de administracin, elija Maintenance > Troubleshooting >
User Sessions > Session Recording.
2. Escriba las credenciales del usuario cuya sesin desea grabar.
3. Seleccione la casilla de verificacin Web (DSRecord) para grabar la sesin Web
del usuario y luego seleccione la casilla de verificacin Ignore browser cache si
desea pasar por alto las copias presentes en el cache del sitio Web que presenta
el problema. Si no selecciona estas casillas, el IVE no las graba como parte del
archivo de seguimiento (opcional).
856
Grabacin de sesiones
b.
Haga clic en los vnculos JCP o NCP Client-Side Log para descargar el
archivo de seguimiento de la aplicacin cliente/servidor.
857
NOTA:
Para tomar una imagen instantnea del estado del sistema IVE:
1. En la consola de administracin, elija Maintenance > Troubleshooting >
System Snapshot.
2. Seleccione la casilla de verificacin Include system config para incluir la
informacin de configuracin del sistema en la imagen instantnea (opcional).
3. Seleccione la casilla de verificacin Include debug log para incluir el archivo de
registro creado a travs de la ficha Debug Log en la imagen instantnea de su
sistema. Para obtener ms informacin, consulte Creacin de registros de
depuracin en la pgina 863.
4. Haga clic en Take Snapshot para tomar una imagen instantnea de forma
manual inmediatamente.
5. Para tomar una imagen instantnea de forma automtica en intervalos
regulares:
a.
b.
c.
858
e.
3. Si est usando una licencia IVS, puede seleccionar tambin un puerto de VLAN
para rastrar los encabezados de paquetes la intranet de un suscriptor. Para
obtener ms informacin, consulte Resolucin de problemas de las VLAN en
la pgina 962.
4. Desactive la opcin de Promiscuous mode para rastrear slo los paquetes
correspondientes al IVE.
5. Cree un filtro personalizado usando las expresiones de filtro TCPDump
(opcional). Esta opcin proporciona la capacidad de filtrar los paquetes de red
detectados para que el archivo de volcado resultante contenga slo la
informacin que usted necesita. Consulte la Tabla 47 ms adelante para ver los
ejemplos.
6. Haga clic en Start Sniffing.
7. Haga clic en Stop Sniffing para detener el proceso de deteccin y crear un
archivo encriptado.
8. Haga clic en Download para descargar el archivo a un equipo de la red.
9. Enve en un correo electrnico el archivo a Soporte tcnico de Juniper Networks
para su revisin.
Tabla 47: Ejemplos de expresiones de filtro TCPDump
Ejemplo
Resultado
tcp port 80
port 80
ip
tcp
dst #.#.#.#
src #.#.#.#
Para obtener ms informacin acerca de las expresiones de filtro de TCPDump, visite este sitio
Web: http://www.tcpdump.org/tcpdump_man.html
Para obtener ms informacin acerca del uso de TCP Dump, consulte Creacin de
archivos de volcado TCP en la pgina 859.
860
Ping
Use el comando ping para verificar que el IVE se puede conectar a otros sistemas de
la red. En caso de que exista un error en la red entre los nodos locales y remotos, no
recibir una respuesta desde el dispositivo al que ejecut el comando ping. En ese
caso, pngase en contacto con el administrador de la LAN para obtener ayuda.
El comando ping enva paquetes a un servidor y devuelve su respuesta, que
generalmente es un conjunto de estadsticas como la direccin IP del servidor de
destino, el tiempo que se tard en enviar los paquetes y en recibir la respuesta
y otros datos. Puede ejecutar el comando ping en direcciones unicast o multicast
y debe incluir el nombre del servidor de destino en la solicitud.
Traceroute
Use el comando traceroute para descubrir la ruta que sigue un paquete desde el IVE
a otro host. Traceroute enva un paquete a un servidor de destino y recibe una
respuesta ICMP TIME_EXCEEDED desde cada puerta de enlace a lo largo de su ruta.
Las respuestas TIME_EXCEEDED y otros datos se registran y se muestran en el
resultado, indicando la ruta de la ida y vuelta del paquete.
Para ejecutar un comando UNIX para probar la conectividad de red del IVE:
1. En la consola de administracin, elija Maintenance > Troubleshooting >
Tools > Commands.
2. Desde la lista Command, seleccione el comando que desea ejecutar.
3. En el campo Target Server, escriba la direccin IP del servidor de destino.
861
4. Si est utilizando una licencia IVS, puede seleccionar un puerto de la VLAN para
probar la conectividad con la intranet de un suscriptor. Para obtener ms
informacin, consulte Resolucin de problemas de las VLAN en la
pgina 962.
5. Introduzca otros argumentos u opciones.
6. Haga clic en OK para ejecutar el comando.
NSlookup
Use NSlookup para obtener informacin detallada acerca del servidor de nombres
en la red. Puede enviar una consulta acerca de distintos tipos de informacin, como
la direccin IP del servidor, la direccin IP del alias, el registro del inicio de la
autoridad, el registro del intercambio de correo, la informacin del usuario, la
informacin de los servicios conocidos, adems de informacin de otro tipo.
Para ejecutar NSLookup para probar la conectividad del servidor de nombres:
1. En la consola de administracin, elija Maintenance > Troubleshooting >
Tools > Commands.
2. En la lista Command, elija NSLookup.
3. Seleccione Query Type en el men desplegable.
4. Introduzca la consulta, que consiste en un nombre de host, una direccin IP
y otra informacin, dependiendo del tipo de consulta que elija.
5. Introduzca el nombre del servidor DNS o la direccin IP.
6. Si est utilizando una licencia IVS, puede seleccionar un puerto de la VLAN para
probar la conectividad con la intranet de un suscriptor. Para obtener ms
informacin, consulte Resolucin de problemas de las VLAN en la
pgina 962.
7. Introduzca otras opciones.
8. Haga clic en OK para ejecutar el comando.
862
863
7. Haga clic en Take snapshot para crear un archivo que contenga el registro de
depuracin.
8. Haga clic en Download.
9. Adjunte en un mensaje de correo electrnico el archivo de la imagen
instantnea y envelo a Soporte de Juniper Networks.
864
del clster deben poder comunicarse a travs del puerto UDP 6543.
4. Seleccione la casilla de verificacin Enable group communication monitoring
para iniciar la herramienta de supervisin.
5. Haga clic en Save Changes.
865
866
867
868
Captulo 31
Creacin de clsteres
Puede adquirir una licencia de creacin de clsteres para implementar dos o ms
dispositivos con Secure Access o Secure Access FIPS como un clster. Estos
dispositivos admiten configuraciones activo/pasivo o activo/activo a travs de una
LAN para proporcionar alta disponibilidad y mayor escalabilidad, adems de
capacidades de equilibrio de carga.
Un clster de un IVE se define especificando tres datos:
869
870
5. En la pgina System > Clustering > Status, agregue los nombres y las
direcciones IP de los futuros IVE del clster al IVE primario. Para obtener
instrucciones, consulte Integracin en un clster existente en la pgina 874.
6. En la pgina System > Clustering > Join Cluster, agregue al clster los IVE
adicionales segn sea necesario. Para obtener ms instrucciones, consulte
Adicin de un IVE a un clster a travs de su consola de administracin en la
pgina 875 o, en el caso de un IVE preconfigurado o con la configuracin de
fbrica, Integracin de un IVE en un clster a travs de su consola serie en la
pgina 894.
7. Si est ejecutando Network Connect en un clster de varios sitios donde los
nodos residen en subredes diferentes:
a.
b.
c.
871
La ficha Create slo aparece en un IVE que no tiene una clave de licencia para
clsteres. Slo podr crear un clster si ha introducido una clave de licencia
para clsteres.
Todos los nodos de un clster deben tener la misma clave de licencia que el
IVE del clster primario para que el clster pueda funcionar. No se puede
agregar una licencia ADD y una CL en el mismo equipo al mismo tiempo. Para
que un nodo pueda integrarse en un clster, deber agregar una licencia CL al
nodo.
872
una red del proveedor de servicios que opera con una licencia IVS, consulte
Creacin de clsteres en un IVE virtualizado en la pgina 946.
873
Los ajustes especficos para el nodo existente se eliminan cuando un nodo IVE
se integra en un clster. Entre estas configuraciones se incluyen la direccin
de la interfaz de red, las tablas de rutas, los puertos virtuales, el cach ARP, la
interfaz VLAN, las configuraciones SNMP, etc. El administrador debe
reconfigurar de forma manual estos ajustes para el nuevo nodo que se integra.
Usted no podr usar la caracterstica de configuracin de sistema Import
(importar) para importar estas configuraciones y ajustes en un nodo IVE que
se ha integrado al clster. Consulte Importacin de un archivo de
configuracin del sistema en la pgina 788.
874
b.
c.
f.
Repita este procedimiento para cada IVE que desee agregar al clster.
b.
875
c.
876
Para incluir los ajustes especficos correctos en el nodo al que se acaba de integrar:
1. Agregue el nodo al clster.
2. Desde cualquiera de los nodos existentes en el clster, configure de forma
manual los ajustes especficos para el nodo recientemente agregado.
3. Integre el nodo al clster.
Cuando el nodo se integre en el clster, recibir los ajustes especficos
recientemente configurados en el clster para ese nodo.
NOTA: Los ajustes especficos para el nodo se deben configurar de forma manual,
ya que las opciones de importacin binaria no son tiles. La nica opcin de
importacin binaria a un clster recomendada es Import everything except
network settings and licences (importar todo excepto las configuraciones de red
y las licencias) desde la pgina Maintenance > Import/Export > Configuration
que reestablece la configuracin en todo el clster (directivas de inicio de sesin,
territorios, roles, recursos, etc.) desde un archivo binario de respaldo. Debido
a que esta opcin omite las configuraciones especficas para el nodo, usted deber
ejecutar el paso 2 como un paso manual para agregar al nodo recientemente
integrado el conjunto de ajustes especficos para el nodo correctos.
Es posible que deba conmutar en caso de error la VIP del clster a otro nodo de
forma manual. Puede realizar esta conmutacin manual usando el botn Fail-Over
VIP (conmutar VIP en caso de error) en la pgina Clustering Status (estado de los
clsteres). Consulte Conmutacin de la VIP a otro nodo en caso de error en la
pgina 878.
La Figura 49 en la pgina 878 ilustra la configuracin de un clster IVE
activo/pasivo usando dos IVE que tienen los puertos externos habilitados. Tenga en
cuenta que este modo no aumenta el rendimiento o la capacidad del usuario, pero
proporciona redundancia para controlar fallos inesperados del sistema.
Las solicitudes del usuario se dirigen a la VIP del clster, que a su vez los enruta al
equipo que est activo en ese momento.
Figura 49: Par de clsteres activo/pasivo
878
Admite IPsec
El clster del IVE no realiza por s mismo ninguna operacin de conmutacin por
error o de equilibrio de carga de forma automtica, pero s sincroniza los datos de
estado (datos de sistema, usuario y registro) entre los miembros del clster. Cuando
un IVE desconectado vuelve a estar en lnea, el equilibrador de carga ajusta la carga
nuevamente para distribuirla entre los miembros activos. Este modo proporciona
mayor rendimiento y prestaciones durante la carga mxima, pero no aumenta la
capacidad de ampliacin ms all del nmero total de usuarios con licencia.
NOTA: El IVE sincroniza los datos de estado de todos los nodos si agrega o elimina
la entrada del host usando las pginas Network Settings. Si agrega o elimina la
entrada del host usando la ficha Clustering para un miembro del clster, los datos
de estado slo afectarn al nodo y el IVE no sincronizar los datos en todo el
clster.
El IVE almacena una pgina en HTML que proporciona el estado de los servicios
para cada IVE en un clster. Los equilibradores de carga externos pueden revisar
este recurso para determinar cmo distribuir la carga de forma eficiente entre todos
los nodos del clster.
Para realizar la comprobacin de estado capa 7 en un nodo:
est activo.
500: Este valor muestra que ocurri un error y que los IVE del clster
dejaron de reenviar las solicitudes de usuario al nodo.
880
Configuraciones de red
User session: Este estado es temporal y dinmico. Los datos de sesin del
usuario son:
882
Synchronize last access time for user sessions: Esta opcin le permite
transmitir la informacin de acceso del usuario dentro del clster. Si esta
opcin es el nico elemento de sincronizacin entre los nodos del clster,
puede reducir significativamente el impacto de la CPU entre los IVE del clster.
NOTA:
Si las configuraciones entre los nodos del clster son distintas debido
a cambios hechos en un nodo cuando otro estaba inhabilitado o no
disponible, el IVE se encarga de volver a fusionar las configuraciones de forma
automtica para 16 actualizaciones como mximo. Si necesita realizar ms de
esa cantidad de actualizaciones permitidas, deber intervenir y refusionar las
configuraciones de forma manual. En algunos casos, el IVE podra ser incapaz
de refusionar las configuraciones si no hay informacin de configuracin
comn entre dos nodos para crear comunicacin entre ellos.
Por ejemplo, un clster de dos nodos que se desconectan debido a un corte en
la red. Si la direccin IP de la red interna de uno de los nodos cambia durante
la separacin, las dos partes no podrn volver a unirse incluso despus de
rehabilitar la red. En ese caso, deber refusionar de forma manual las
configuraciones.
NOTA: Para ejecutar un clster de dos unidades en modo activo/pasivo, los IVE
deben residir en la misma subred.
NOTA:
884
886
b.
b.
b.
NOTA: Al inhabilitar slo el nodo pasivo se habilitar el nodo activo para que
contine prestando servicio a los usuarios.
b.
b.
Eliminacin de un clster
Si elimina un clster, todos los nodos comenzarn a ejecutarse como sistemas IVE
independientes.
Para eliminar un clster:
1. Desde la consola de administracin de un miembro activo del clster,
seleccione la pgina System > Clustering > Cluster Status page.
2. Seleccione la casilla de verificacin junto a cada nodo del clster que desee
eliminar.
888
Descripcin
Etiquetas de informacin
de estado
Botn Disable (inhabilitar) Haga clic en este botn para inhabilitar un nodo dentro del clster. El
nodo mantiene conciencia del clster, pero no participa en las
sincronizaciones de estado ni recibe solicitudes de usuarios a menos
que los miembros inicien sesin directamente en el nodo.
Botn Remove (eliminar)
Haga clic en este botn para eliminar del clster el o los nodos
seleccionados. Cuando los haya eliminado, el nodo se ejecutar en
modo independiente.
Haga clic en este botn para conmutar la VIP en caso de error a otro
nodo en el clster activo/pasivo. Slo est disponible si el clster
est configurado como activo/pasivo.
Descripcin
Columna Internal Address Muestra la direccin IP interna del miembro del clster usando la
(direccin interna)
notacin Classless Inter Domain Routing (CIDR).
Columna External Address Muestra la direccin IP externa del miembro del clster usando la
(direccin externa)
notacin CIDR. Tenga en cuenta que esta columna slo muestra la
direccin IP externa del lder del clster a menos que usted
especifique una direccin diferente para el nodo en la pgina de
configuraciones de red individual, a la que puede acceder haciendo
clic en su nombre en la columna Member Name. Si cambia la
direccin IP externa en la pgina Network > Network Settings, el
cambio afectar a todos los nodos del clster.
Columna Status
890
Supervisin de clsteres
Puede supervisar los clsteres usando las herramientas de registro estndar que
proporciona el IVE. En particular, puede usar varias capturas SNMP especficas del
clster para supervisar los eventos que ocurren en los nodos de su clster, como:
892
Valor
Significado
0x000001
0x000002
0x000004
0x000008
0x00002000
0x000100
0x000200
0x00020000
0x00040000
0x00080000
0x000800
0x001000
0x002000
IVE est sincronizando su estado con otro IVE que se est integrando.
0x004000
0x008000
0x010000
0x020000
0x040000
Significado
0x080000
0x100000
0x200000
0x30004
conectado a l.
La puerta de enlace de int0 est fuera de alcance para ejecuciones de
0x38004
conectado a l.
La puerta de enlace de int0 est fuera de alcance para ejecuciones de
894
El nombre del equipo que desea agregar (en este ejemplo, el nombre del
equipo es ive-2)
Al hacer clic en System > Clustering > Cluster Status > Add Cluster
Member, el miembro activo del clster verifica la contrasea del clster, y que
el nombre y direccin IP del nuevo equipo concuerde con lo que especific en
la consola de administracin. Si las credenciales son vlidas, el miembro activo
copia todos sus datos de estado al nuevo miembro del clster, incluyendo la
clave de licencia, el certificado y los datos de usuario y de sistema.
Figura 53: Consola serie: Especificacin de un nuevo miembro del clster
896
898
Captulo 32
Conceda acceso de lectura a las pginas Users > User Roles a los
administradores de ayuda tcnica para que puedan comprender qu
marcadores, recursos compartidos y aplicaciones estn disponibles para los
roles de cada usuario. Otorgue tambin acceso a las pginas Resource Policy
o Resource Profile para que puedan ver las directivas que impidan el acceso de
los usuarios a sus marcadores, recursos compartidos y aplicaciones.
899
900
NOTA: Para crear cuentas de administracin particulares, debe agregar los usuarios
Haga clic en New Role para crear un rol de administrador nuevo con los
ajustes predeterminados.
902
903
6. Bajo Delegate as read-only roles, seleccione los roles de usuario que desea
permitir que el administrador vea, pero sin que pueda administrarlos.
NOTA: Si especifica acceso de escritura y slo lectura para una caracterstica, el IVE
904
905
906
907
Read All: Especifica que los que comparten el rol de administrador pueden
ver, pero no modificar, todas las directivas de recursos.
b.
c.
908
Read All: Especifica que los que comparten el rol de administrador pueden
ver, pero no modificar, todos los perfiles de recursos.
b.
c.
Bajo Access Profiles, seleccione el perfil de recursos para el que desea que
haya un nivel de acceso personalizado y haga clic en Add.
909
3. Modifique los ajustes en las fichas Session Options y UI Options segn las
instrucciones que aparecen en Administracin de los ajustes y opciones
generales de los roles en la pgina 910 y haga clic en Save Changes. Estas se
convierten en las opciones predeterminadas de los nuevos roles de
administrador delegado.
910
Max. Session Length: Especifica los minutos que una sesin activa de
administrador puede permanecer as antes de que se termine. El mnimo
son seis minutos. El lmite mximo para una sesin de administrador son
sesenta minutos, tras lo cual el IVE termina la sesin y registra el suceso en
el registro de sistema.
911
Para obtener informacin sobre los entornos en los que se admiten los
mens jerrquicos, consulte la pgina Supported Platforms Guide del sitio
Juniper Networks Customer Support Center.
Para personalizar la pgina de bienvenida del IVE para los usuarios de roles:
1. En la consola de administracin, seleccione Administrators > Admin Roles >
Seleccionar rol.
2. Seleccione la casilla de verificacin UI Options en la ficha General > Overview
para habilitar los ajustes para el rol.
3. Elija General > UI Options para personalizar los ajustes para el rol.
4. En la seccin Header, especifique un archivo de imagen con el logotipo
personalizado para el encabezado y un color de encabezado diferente.
5. En la seccin Navigation Menus, indique si desea mostrar los mens de
navegacin jerrquica. Las opciones son:
912
Disabled: El IVE inhabilita los mens jerrquicos para todos los que
comparten el rol.
7. Haga clic en Save Changes. Los cambios surten efecto de inmediato, pero
puede ser necesario actualizar las sesiones de explorador del usuario actual
para verlos. O haga clic en Restore Factory Defaults para restablecer la
apariencia de la consola de administracin segn los ajustes predeterminados.
913
914
Captulo 33
Sistema IVS
El sistema IVS (Instant Virtual System) da a los proveedores de servicio
administrado (MSP) la oportunidad de ofrecer servicios de acceso remoto seguro,
recuperacin ante desastres y extranet administrada a pequeas y medianas
empresas (PYMES) de manera rentable. Para cumplir esta oportunidad, los MSP
pueden entregar soluciones de seguridad administradas desde el equipo que est
situado en las instalaciones de la empresa suscriptora (basado en un enrutador
fronterizo de las instalaciones del cliente) o dentro de la red del MSP (basado en
un enrutador fronterizo portador o basado en la red). Las soluciones de seguridad
administradas basadas en la red centralizan el equipo de puerta de enlace de
seguridad en la red del MSP. Un IVE virtualizado permite que el MSP proporcione
servicios de VPN SSL basados en red administrados a clientes mltiples desde
el mismo equipo. Es posible que el modelo de negocios bsico funcione de la
siguiente manera:
915
Debe tener una licencia IVS para crear sistemas IVS. (Tenga en cuenta de que
las licencias IVS no estn disponibles para los dispositivos SA 700 o SA 2000.)
Debe tener una licencia IVS y una licencia Network Connect para proporcionar
soporte DHCP centralizado a sus suscriptores.
Implementacin de un IVS
Para cada empresa suscriptora, el IVE virtualizado proporciona un portal seguro
para que los usuarios finales de la empresa (socios, clientes o empleados mviles)
obtengan acceso a sus recursos internos. Los servidores de autenticacin que
residen en las instalaciones del suscriptor o en la red del MSP autentican los
usuarios finales que inician sesin en el IVS. Una vez autenticados, los usuarios
finales establecen sesiones seguras a travs del IVS a los servidores back-end
de su empresa respectiva.
916
917
918
Implementacin de un IVS
NOTA: Las instrucciones para configurar el sistema IVS y el sistema raz estn
dirigidas al administrador raz. Cuando en estas secciones se utiliza el pronombre
usted, se refiere al administrador raz. Si una persona con un rol distinto al de
administracin raz puede realizar una tarea, el texto hace una referencia clara
al rol en la descripcin de la tarea.
Implementacin de un IVS
919
Puertos virtuales
Puertos de VLAN
Menos entradas de DNS: Slo necesita una entrada de DNS en todos los
sistemas IVS alojados en un IVE nico.
920
www.msp.com/companyA/sales
www.msp.com/companyA/finance
www.msp.com/companyA/hr
Por ejemplo, suponga que los puertos de su IVE estn asignados a nombres de DNS
especficos de la siguiente manera:
MSP-internal/companyA
MSP-external/companyA
MSP-vlan10/companyA
MSP-virtualx/companyA
Un usuario final o administrador puede iniciar sesin slo a un IVS desde una
interfaz de navegador determinada. Si trata de iniciar sesin en otro IVS desde
una nueva ventana del navegador en la misma interfaz, se rechaza el intento
de inicio de sesin. Debe crear una nueva instancia de navegador para iniciar
sesin a sistemas IVS mltiples.
922
Si varios IVS comparten el mismo puerto virtual para el inicio de sesin, los
ajustes de seguridad de cada IVS (se permite la versin SSL/TLS o intensidad de
la encriptacin) pueden asociarse al puerto virtual. Una vez que los ajustes de
seguridad de un IVS estn asociados con el puerto virtual, estos ajustes son
eficaces para los inicios de sesin (es decir, sesiones de SSL) en ese puerto
virtual. Para garantizar la seleccin/asociacin determinista de los ajustes de
seguridad a los puertos virtuales, los IVS que comparten el mismo puerto virtual
para iniciar sesin deben tener los mismos ajustes de seguridad.
Si hay un IVS que est configurado para tener diferentes ajustes de seguridad
relativos al sistema raz, los ajustes de seguridad del sistema raz surten efecto
para iniciar sesin en el IVS a travs del prefijo de direccin URL de inicio de
sesin, mientras que los ajustes de seguridad del IVS surten efecto para iniciar
sesin en el IVS a travs del inicio de sesin en puertos virtuales. En el caso de
un IVS con encriptacin intensa (como AES) en un IVE con un sistema raz que
tenga ajustes de encriptacin ms dbil, se produce la siguiente situacin:
Se produce un error al iniciar sesin en el IVS a travs del inicio de sesin en
puertos virtuales desde un navegador IE6, porque los ajustes de seguridad
vigente para la sesin de SSL son AES, no admitidos por IE6. Sin embargo,
si el mismo usuario inicia sesin en el mismo IVS desde el mismo navegador
IE6 a travs del prefijo de direccin URL de inicio de sesin puede realizarse de
manera correcta si los ajustes de seguridad del navegador son compatibles con
los ajustes de seguridad ms dbil del sistema raz.
El DNS externo debe asignar estas direcciones URL a direcciones IP nicas, que
deben corresponder a direcciones IP o alias alojados en el IVE, normalmente un
puerto virtual definido ya sea en el puerto interno como en el externo.
Para resumir el inicio de sesin, los usuarios de IVS pueden iniciar sesin en:
Los usuarios del sistema raz tambin pueden iniciar sesin directamente por
medio de la interfaz interna o la interfaz externa. Para ver ms informacin acerca
del inicio de sesin, consulte Configuracin de directivas de inicio de sesin en la
pgina 214 y Configuracin las pginas de inicio de sesin en la pgina 220.
direccin IP asignada a una VLAN. Cuando se inicia sesin sobre una interfaz de
VLAN, el sistema elige el certificado para dispositivos que ya est asignado al IVS.
Si no hay un certificado que est asociado al IVS, el sistema asigna el certificado
desde la parte superior de la lista de certificados para dispositivos del IVE. Esta
lista se puede reordenar cuando se agrega o elimina un certificado, con lo que es
posible que surja un certificado inesperado durante la configuracin. Una vez que
un IVS est en estado de produccin, esto no debe significa un problema, porque
la VIP del IVS se asigna a un certificado especfico.
Navegacin al IVS
Slo los administradores raz pueden navegar a un IVS desde el sistema raz. En el
IVE virtualizado, la navegacin de la consola de administracin para el sistema raz
incluye un men desplegable adicional que enumera los sistemas IVS configurados,
en todos los encabezados de pgina. Puede navegar a un IVS y administrarlo si
selecciona un IVS en el men desplegable. Los administradores de IVS deben iniciar
sesin directamente al IVS a travs de una pgina de inicio de sesin administrativo
estndar.
El administrador raz crea la cuenta de administrador de IVS inicial. Un
administrador de IVS puede crear cuentas adicionales de administrador de IVS,
utilizando el procedimiento estndar para crear cuentas de administrador, como se
describe en Creacin y configuracin de roles de administrador en la pgina 900.
Creado por:
Suscriptor:
Nmero de cuenta:
Comentario:
924
IVS del suscriptor (System > Virtual Systems > New Virtual System)
Nombre (suscriptor):
Descripcin:
Administrador
Nombre de usuario:
Contrasea (de al menos
6 caracteres):
Propiedades
Mximo de usuarios
simultneos:
VLAN predeterminada:
Puertos virtuales
seleccionados:
(interfaz interna)
Puertos virtuales
seleccionados:
(interfaz externa)
Conjunto de IP de
Network Connect:
Rutas estticas (System > Network > Routes > New Routes)
Red/IP de destino:
Mscara de red:
Puerta de enlace:
Interfaz:
Mtrica:
925
Ajustes de DNS (Subscriber IVS > System > Network > Overview)
Nombre de host:
DNS principal:
DNS secundario:
Dominios de DNS:
WINS:
926
Aprovisionamiento de un IVS
En esta seccin se describen las tareas que forma parte del aprovisionamiento
de un IVS, que incluyen:
928
929
930
931
932
El etiquetado VLAN proporciona la separacin del trfico que el IVE transmite sobre
el backend, destinado a las intranets suscriptoras. El trfico que proviene a travs
del front-end, es decir, el trfico entrante, no tiene etiquetas VLAN. El IVS agrega la
etiqueta a un mensaje despus de su llegada a travs de uno de los puertos del IVE.
Cada VLAN se asigna a un ID de VLAN, que forma parte de una etiqueta compatible
con la norma IEEE 802.1Q que se agrega a cada trama Ethernet saliente. El ID de la
VLAN slo identifica cada suscriptor y todo el trfico del suscriptor. Este etiquetado
permite que el sistema dirija todo el trfico a la VLAN correcta y que aplique las
directivas respectivas a ese trfico.
El punto terminal de la VLAN es cualquier dispositivo en el que se identifique el
trfico etiquetado de VLAN, se le quite la etiqueta de VLAN y se reenve al tnel
correcto al backend. El punto terminal de la VLAN puede ser un enrutador CE,
un enrutador CPE, el switch L2, un cortafuegos u otro dispositivo capaz de realizar
el enrutamiento de la VLAN.
Debe definir un puerto de VLAN para cada VLAN. El administrador raz asigna el ID
de la VLAN especfica al definir el puerto de la VLAN.
Para cada VLAN que configure, el IVE virtualizado proporciona una interfaz nica
y lgica de VLAN, o un puerto, en la interfaz interna. No existe relacin entre la
direccin IP del puerto interno y la direccin IP de cualquier puerto de VLAN.
Cada puerto de VLAN tiene su propia tabla de rutas.
Cada definicin de puerto de VLAN consta de:
Port Name. El nombre del puerto tiene que ser exclusivo en todos los puertos
de la VLAN que define en el IVE virtualizado o en clster.
933
934
935
12. Por ejemplo, si desea agregar rutas estticas a servicios compartidos, debe
llevar a cabo uno de los siguientes pasos:
Haga clic en Add to [VLAN] route table, donde [VLAN] es el nombre de una
VLAN disponible, para agregar la ruta a una VLAN seleccionada. Esta accin
agrega la ruta esttica a la tabla de rutas de la VLAN de una empresa
suscriptora en particular y excluye el acceso desde todas las dems VLAN,
incluso desde los usuarios de la red del MSP.
Haga clic en Add to all VLAN route tables para agregar la ruta a todas las
VLAN definidas en el sistema. Por ejemplo, seleccione esta opcin si el
administrador raz desea compartir algunos servicios entre todos los
usuarios finales de todas las empresas suscriptoras.
NOTA: Tambin puede utilizar rutas estticas si desea configurar los servicios
compartidos en la red del MSP. Para conseguir esto:
936
En un IVS, slo puede importar CA de cliente fiable y CA de servidor fiable, tal como
se describe en Uso de CA de cliente de confianza en la pgina 758 y en Uso de
CA del servidor de confianza en la pgina 774.
NOTA: No puede compartir certificados entre los sistemas IVS. Debe tener una IP
y un certificado nicos para cada IVS.
Slo puede configurar el IVS raz para volver a firmar los applets/controles del IVE
en la consola de administracin. Las consolas de administracin para los sistemas
IVS suscriptores no muestran la opcin de firma nueva. Debe tomar nota de la
siguiente informacin:
Todos los usuarios finales raz y suscriptores ven los mismos applets/controles:
o bien todos los controles Juniper predeterminados, o bien todos los controles
firmados por el IVS raz.
Si no desea que los sistemas IVS suscriptores vean los controles firmados por el
certificado del IVS raz, no debe volver a firmar los controles. Si vuelve a firmar
los controles, los sistemas IVS suscriptores obtienen acceso a ellos.
Configuracin inicial de IVS mediante una copia del sistema raz o de otro IVS
en la pgina 940
El perfil de IVS define el IVS suscriptor y todos los elementos necesarios para
alcanzar la intranet del suscriptor, como los ajustes de DNS y los servidores de
autenticacin.
937
938
Seleccione una VLAN en la lista Available y haga clic en Add -> para
mover el nombre de la VLAN a la lista Selected VLANs. Puede agregar
varias VLAN a un IVS. Puede seleccionar el puerto interno como una VLAN
incluso si agreg otras VLAN a la lista Selected VLANs. A diferencia de otras
interfaces de VLAN, puede agregar el puerto interno a varios perfiles de
IVS. Si no defini una VLAN, debe seleccionar la interfaz interna.
b.
c.
939
Configuracin inicial de IVS mediante una copia del sistema raz o de otro IVS
Cuando crea un perfil de IVS nuevo, tiene la opcin de copiar la configuracin de
un sistema raz o un IVS existente para inicializar el IVS nuevo. El IVS resultante
combina la informacin que especifica en el perfil de IVS nuevo junto con la
configuracin copiada del sistema raz o del IVS existente. Los ajustes del perfil
de IVS sobrescriben los ajustes copiados.
Tenga en cuenta que la copia es una operacin nica, y no existe una relacin
continuada entre el origen de la copia y el destino de sta. Los cambios posteriores
de la configuracin del origen de la copia no se reflejan en el destino de la copia,
ni viceversa.
Advertencias
Despus de realizar una copia de la configuracin de un IVS, es necesario realizar
una reconfiguracin manual en el destino.
Cuando copia desde un IVS existente, debe comprobar todos los perfiles
de conexin NC y reconfigurarlos, segn sea necesario, para satisfacer los
requisitos del rango de IP de NC en el perfil de IVS.
La operacin de copia puede producir que se llene el IVS de destino con ajustes
que no sean adecuados. Cuando se configura un IVS copiando la configuracin
del sistema raz o de otro IVS, se copia toda la configuracin del origen al destino,
incluidas las ACL, directivas de recursos, perfiles de recursos, archivos PAC y ms,
que frecuentemente hacen referencia a los servidores de backend especficos por
nombre, direccin URL o direccin IP. En el caso comn, estos recursos suelen ser
especficos de la intranet de la empresa o departamento (es decir, privados para un
IVS en particular) y no se deben exponer a los usuarios finales de otros IVS.
Es responsabilidad del administrador raz revisar manualmente toda la
configuracin del IVS de destino y eliminar las referencias a cualquier recurso
de la red backend y direcciones IP que no se aplican al IVS de destino.
940
o bien
https://10.9.0.1/admin
941
Este ejemplo supone que asign la direccin IP 10.9.0.1 como un puerto virtual
para el inicio de sesin. El formato depende de si defini o no una entrada
de DNS para el nombre de host de inicio de sesin. Cuando inicie sesin,
el administrador puede introducir el nombre de host o la direccin IP que
defini como el puerto virtual para el inicio de sesin. Si el administrador
inicia sesin desde el interior de la red, debe utilizar la direccin IP que
configur para iniciar sesin sobre el puerto interno. Si el administrador inicia
sesin desde el exterior de la red, debe utiliza la direccin IP que configur para
iniciar sesin sobre el puerto externo.
3. Presione Enter.
4. Introduzca el nombre de usuario del administrador de IVS.
5. Introduzca la contrasea de IVS.
6. Haga clic en el botn Sign in.
Suponiendo que las credenciales sean vlidas, aparece la pgina System Status
para el IVS.
Cuando el administrador raz o el administrador de IVS salga del IVS, el dispositivo
interrumpe la conexin inmediatamente.
942
944
Reglas de enrutamiento
Se incorporaron varias reglas en el sistema para habilitar el enrutamiento correcto
del trfico a las intranets suscriptoras adecuadas. Por ejemplo, existen reglas para
asignar:
NOTA:
No existen reglas explcitas que controlen el flujo del trfico entre las redes
del MSP o del suscriptor y los usuarios finales. El trfico que llega al IVE sobre
el backend tiene definida una direccin IP de destino en la direccin IP
configurada de una de las interfaces de red, ya sea la interfaz externa,
la interfaz de VLAN o una interfaz del tnel de Network Connect.
Una aplicacin del IVE maneja automticamente el procesamiento.
945
946
IP de origen del puerto virtual: Dado un usuario final que se asigna a un rol
en particular, y una conexin backend desde cualquier nodo a nombre de ese
usuario final, la IP de origen de la conexin backend es la misma que la IP
de origen del puerto virtual configurado para el rol del usuario final.
NOTA: Cuando utiliza Network Connect, siempre debe definir puertos virtuales
para cada puerto de VLAN que cree. Si defini un conjunto de direcciones IP de
Network Connect y se est ejecutando en el modo de clster activo/pasivo, debe
configurar los enrutadores para que dirijan el trfico a uno de los puertos virtuales
de la VLAN como la puerta de enlace de salto siguiente. De lo contrario, es posible
que las sesiones de Network Connect no se recuperen correctamente de una
conmutacin por error.
947
948
949
(en lugar de hacerlo slo desde el Network Connect que se ejecuta en la red del
MSP), debe configurar un servidor DNS en el IVS.
Para que los clientes puedan establecer sesiones de Network Connect a un IVS,
es necesario establecer ajustes de DNS para el IVS. De lo contrario, la sesin de
Network Connect no se inicializa correctamente y aparece un mensaje de error.
950
1. Los usuarios finales inician sesin a travs de una conexin a Internet, con una
direccin IP del conjunto de direcciones IP de Network Connect, para alcanzar
el servidor DNS en la red del MSP.
2. El administrador raz especifica una ruta esttica en la tabla de rutas del
servidor DNS para que apunte a una direccin IP del conjunto de direcciones
IP de Network Connect. La empresa suscriptora debe definir el conjunto de
direcciones IP de Network Connect en su intranet.
3. El servidor DNS reside en la red del MSP y sirve a todos los usuarios finales
de todas las empresas suscriptoras.
4. La tabla de rutas del servidor DNS contiene una ruta esttica en el conjunto
de direcciones IP de Network Connect y la direccin IP de la puerta de enlace
de salto siguiente.
5. La interfaz interna del dispositivo IVE es la direccin de la puerta de enlace
de salto siguiente del servidor DNS.
6. Los enrutadores CPE de los suscriptores realizan el enrutamiento adecuado
del trfico a las intranets de las empresas suscriptoras.
951
7. Cada empresa suscriptora que intenta que sus usuarios pasen a travs de los
servidores de aplicaciones o servidores DNS del MSP debe definir un conjunto
de direcciones IP de Network Connect correspondiente.
Como aparece en la Figura 61, el administrador de IVS puede configurar el
enrutador CPE del suscriptor con una ruta esttica a la direccin IP del usuario final,
teniendo la puerta de enlace de salto siguiente establecida en la direccin IP del
enrutador CE correspondiente en la red del MSP.
NOTA: De manera alternativa, el suscriptor puede configurar una ruta
predeterminada en el enrutador CPE para apuntar al enrutador CE del MSP como
la puerta de enlace de salto siguiente. En este caso, no necesita agregar rutas
estticas individuales a las direcciones del conjunto de IP de Network Connect.
Figura 61: Ajuste de una ruta esttica en una direccin IP de usuario final de Network
Connect en el enrutador CPE
1. Los usuarios finales inician sesin a travs de una conexin a Internet con una
direccin IP acordada por el MSP y la empresa suscriptora.
2. Especifique una ruta esttica en la tabla de rutas del enrutador CPE de la
empresa suscriptora para que apunte a las direcciones IP de inicio de sesin del
usuario final.
3. Tambin debe especificar la puerta de enlace de salto siguiente en la tabla de
rutas del enrutador CPE.
4. Utilice la direccin IP del enrutador CE del MSP como la IP de salto siguiente
en la tabla de rutas del enrutador CPE.
5. El enrutador CPE reside en la intranet de la empresa suscriptora. Con esta
configuracin, cada empresa suscriptora debe especificar la ruta esttica a su
propia direccin de inicio de sesin del usuario final y debe especificar la IP del
enrutador CE del MSP como la puerta de enlace de salto siguiente en la tabla de
rutas de CPE.
952
6. Una vez que el punto terminal de la VLAN del MSP (en este ejemplo, un
enrutador CE) determina la intranet suscriptora prevista, el punto terminal
dirige el trfico al enrutador CPE adecuado, que enva el trfico al recurso
correspondiente en la intranet suscriptora.
Como aparece en la Figura 62, puede configurar una ruta esttica en el enrutador
CE para que apunte a la direccin IP del usuario final, teniendo la puerta de enlace
de salto siguiente establecida en la direccin IP del puerto de VLAN del suscriptor.
NOTA:
Figura 62: Ajuste de una ruta esttica en una direccin IP de usuario final de Network
Connect en el enrutador CE
1. Los usuarios finales inician sesin a travs de una conexin a Internet con una
direccin IP acordada por el MSP y la empresa suscriptora.
2. Especifique una ruta esttica en la tabla de rutas del punto terminal de la VLAN
del MSP (en este ejemplo, un enrutador CE) para que apunte a las direcciones
IP de inicio de sesin del usuario final para cada empresa suscriptora.
3. Tambin debe especificar la puerta de enlace de salto siguiente en la tabla
de rutas del enrutador CE.
4. En la tabla de rutas de CE, especifique todas las direcciones IP de inicio de
sesin del usuario final como rutas estticas, y todas las direcciones IP del
puerto de VLAN correspondientes como se definen en el IVE virtualizado.
953
954
Puede configurar la misma direccin IP del servidor DHCP para los roles
de Network Connect en varios sistemas IVS.
955
Autenticacin local
Servidor LDAP
Servidor RADIUS
Active Directory/Windows NT
Servidor annimo
Servidor de certificados
Autenticacin local
Servidor LDAP
Servidor NIS
Servidor ACE
Servidor RADIUS
Active Directory/Windows NT
Servidor annimo
Servidor SiteMinder
Servidor de certificados
956
957
958
Slo puede importar/exportar todos los sistemas IVS en una sola operacin.
No puede importar/exportar la configuracin de un sistema IVS individual.
Perfiles IVS
Administradores IVS
Usuarios IVS
960
5. Para importar los ajustes de la red al perfil de IVS, como los puertos de VLAN
y los puertos virtuales, seleccione la casilla de verificacin Import IVS Profile
Network Settings.
NOTA:
No se importan los ajustes de la red en s, sino slo las referencias a los ajustes
de la red. Los ajustes de la red se importan/exportan solamente cuando se
importan/exportan los ajustes del sistema raz.
961
Simulacin de directivas
Grabacin de sesiones
Funcionalmente, estas utilidades son iguales a las capacidades del IVE estndar.
La diferencia clave tiene que ver con el contexto. Si inicia una de estas tres
utilidades en el contexto del sistema raz, obtendr resultados de usuarios,
directivas y sesiones en el sistema raz o desde la red del MSP. Si inicia las utilidades
en el contexto de un IVS suscriptor, obtendr resultados de usuarios, directivas
y sesiones en el IVS o en la intranet suscriptora. Para obtener ms informacin
acerca de las sesiones de usuario, el seguimiento de las directivas y el registro
de las sesiones, consulte Resolucin de problemas en la pgina 851.
Los comandos TCPDump, Ping, Traceroute, NSLookup y ARP estn especialmente
preparados para su uso en sistemas IVE virtualizados. Puede iniciar estos comandos
en los puertos interno y externo, as como en los puertos de VLAN seleccionados,
una buena opcin para resolver los problemas del trfico de una VLAN suscriptora.
La funcionalidad bsica de los comandos no cambia, excepto para la capacidad de
especificar un puerto de VLAN.
Caso de uso de la resolucin de las reglas del enrutamiento de directivas para IVS
Este caso de uso ilustra cmo se realiza el enrutamiento de directivas en
una implementacin de MSP. La primera parte del caso de uso detalla dos
configuraciones de la empresa suscrita y cmo los usuarios finales obtienen acceso
a sus redes de empresa suscriptora respectiva. La segunda parte del caso de uso
describe lo que pasa cuando crea una VLAN en la red del MSP para proporcionar
servicios compartidos a los usuarios finales de las empresas suscriptoras.
La empresa 1 y la empresa 2 son empresas alojadas en la red del MSP. La Tabla 50
muestra las VLAN, los ID de la VLAN, las interfaces y los roles definidos para cada
empresa. La empresa 1 tiene dos VLAN definidas, una para ventas y la otra para
recursos humanos. Cada empresa tiene un rol asociado definido para cada VLAN.
El administrador raz crea cada una de las VLAN, a las que asigna una ID de VLAN
exclusiva, y para las que indica un puerto determinado. En este caso, el
administrador raz cre las cuatro VLAN en la interfaz interna.
Tabla 50: Implementaciones en las redes de empresas suscritas y del MSP
Empresa 1
Empresa 2
VLAN
ID de la
VLAN
Interfaz
Rol
Ventas
int0.1
VENTAS
RRHH
int0.2
RRHH
Empleado
int0.3
EMPLEADO
Socio
int0.4
SOCIO
NOTA:
Las etiquetas de los puertos han cambiado. El nombre del puerto eth0
(puerto interno) ahora se llama int0 y eth1 (puerto externo) ahora es ext0.
Slo puede ver los nombres de los dispositivos de la tabla de rutas (como
int0.1) en la consola serie. Puede ver la tabla de rutas seleccionando el
elemento de men 1, luego el elemento de men 2 en la consola serie.
964
NOTA: Las VLAN del IVS no estn vinculadas de manera explcita a las intranets
suscriptoras mediante la configuracin en el IVE. La asociacin de una VLAN a una
intranet suscriptora se consigue asignando las interfaces de la VLAN a tneles
privados en la intranet suscriptora dentro de la estructura del enrutador CE->CPE.
Para obtener ms informacin, consulte el anlisis sobre las rutas estticas en
Adicin de rutas estticas a la tabla de rutas de VLAN en la pgina 935.
En la Figura 63, los usuarios finales de Network Connect obtienen sus direcciones
IP de origen desde los conjuntos de direcciones IP de Network Connect
configurados que el administrador defini para el IVS. Adems, en la figura, los
usuarios que no son de Network Connect an pueden obtener acceso a territorios
especificados segn sus roles y segn las direcciones IP de origen (origen de VIP)
basadas en roles que define como puertos virtuales en la VLAN.
La siguiente lista describe cada elemento marcado con una etiqueta numerada en la
Figura 63.
1. Los usuarios finales de Network Connect obtienen direcciones IP desde los
conjuntos de IP de Network Connect. El trfico desde estos usuarios se enruta
a travs de la VLAN suscriptora adecuada, que se define en el puerto interno.
2. Los usuarios finales que no son de Network Connect obtienen direcciones IP
desde los conjuntos de IP virtuales (VIP). El trfico desde estos usuarios se
origina a travs de la VLAN suscriptora adecuada.
superpuestas. Como los roles estn definidos para VLAN diferentes, los ID de
la VLAN proporcionan la separacin que les permite superponerse sin el riesgo
de que se mezcle el trfico.
966
Puerta de enlace
Puerto de salida
0.0.0.0
Puerta de enlace
predeterminada en la
VLAN1
int0.1
10.10.0.0/16
0.0.0.0
int0.1
Puerta de enlace
Puerto de salida
0.0.0.0
Puerta de enlace
predeterminada en la
VLAN2
int0.2
10.10.0.0/16
0.0.0.0
int0.2
Puerta de enlace
Puerto de salida
0.0.0.0
Puerta de enlace
predeterminada en la
VLAN3
int0.3
10.10.0.0/16
0.0.0.0
int0.3
Puerta de enlace
Puerto de salida
0.0.0.0
Puerta de enlace
predeterminada en la
VLAN4
int0.4
10.10.0.0/16
0.0.0.0
int0.4
968
Una vez que configure rutas para admitir a los usuarios que tienen acceso a los
servicios compartidos de la red del MSP y para admitir a los usuarios que tambin
tienen acceso a los servicios restringidos de la red del MSP, las tablas de rutas de la
VLAN aparecen de la siguiente manera:
Tabla 55: Tabla de rutas de la VLAN1
IP de destino
Puerta de enlace
Puerto de salida
0.0.0.0
Puerta de enlace
predeterminada en la
VLAN1
int0.1
10.64.0.0
Enrutador en la VLAN5
int0.5
Puerta de enlace
Puerto de salida
0.0.0.0
Puerta de enlace
predeterminada en la
VLAN2
int0.2
10.64.0.0
Enrutador en la VLAN5
int0.5
Puerta de enlace
Puerto de salida
0.0.0.0
Puerta de enlace
predeterminada en la
VLAN3
int0.1
10.64.0.0
Enrutador en la VLAN5
int0.5
10.65.0.0
Enrutador en la VLAN5
int0.5
Puerta de enlace
Puerto de salida
0.0.0.0
Puerta de enlace
predeterminada en la
VLAN4
int0.2
10.64.0.0
Enrutador en la VLAN5
int0.5
10.65.0.0
Enrutador en la VLAN5
int0.5
NOTA: Si la red del MSP est conectada al puerto sin etiqueta (interno) las entradas
de ruta son similares, pero el puerto de salida slo es int0.
Configuracin del acceso a las aplicaciones Web y a la navegacin Web para cada
suscriptor
Es posible que el administrador de IVS desee configurar directivas especficas
de la navegacin Web para los usuarios finales del IVS.
Para configurar el acceso a la navegacin Web, el administrador de IVS debe
configurar las siguientes pginas:
970
Solucin n. 1
Para configurar el acceso a un servidor compartido, suponiendo que existen dos
sistemas IVS para dos suscriptores:
1. Agregue el puerto interno a la lista de VLAN seleccionadas del IVS1.
2. Agregue el puerto interno a la lista de VLAN seleccionadas del IVS2. Para
obtener instrucciones sobre cmo agregar puertos al campo de la VLAN
seleccionada del sistema IVS, consulte Aprovisionamiento de un IVS en la
pgina 927.
3. Edite la tabla de rutas del puerto interno y configure una ruta esttica que
apunte al servidor compartido, con la interfaz interna como el puerto de salida.
Solucin n. 2
Para configurar el acceso a un servidor compartido, suponiendo que existen dos
sistemas IVS para dos suscriptores:
1. Agregue la VLAN1 a la lista de VLAN seleccionadas del IVS1 y establzcala
como la VLAN predeterminada.
2. Agregue la VLAN2 a la lista de VLAN seleccionadas del IVS2 y establzcala
como la VLAN predeterminada. Para obtener instrucciones sobre cmo agregar
VLAN al campo de la VLAN seleccionada del sistema IVS, consulte
Aprovisionamiento de un IVS en la pgina 927.
3. Edite las tablas de rutas para la VLAN1 y la VLAN2 y configure una ruta esttica
en cada una que apunte al servidor compartido, con la interfaz interna como el
puerto de salida.
974
Captulo 34
NOTA: Un sensor IDP puede enviar registros solamente a un dispositivo IVE. Sin
embargo, un dispositivo IVE puede recibir registros desde ms de un sensor IDP.
975
El sensor IDP se ubica detrs del IVE en su red interna y supervisa el trfico que
fluye del IVE a la LAN. Cualquier evento anormal detectado por el sensor IDP se
comunica al IVE, que se configura para tomar medidas apropiadas segn el nivel
de gravedad de los eventos informados. El sensor IDP realiza funciones de
generacin de informes, adems de cualquier creacin de registros normal para
la cual est configurado.
NOTA: Puede utilizar un sensor IDP en un clster de IVE, si el clster est
configurado con una direccin IP virtual (VIP).
Escenarios de implementacin
Los dos escenarios de implementacin ms comunes son los siguientes:
Uso del IVE por parte del cliente para acceso empresarial extendido e IDP para
la seguridad de todo el trfico del permetro, entre otros, el trfico desde el IVE.
Este escenario se ilustra en la Figura 65, en la cual el IVE se implementa en la
DMZ o en la LAN y el sensor IDP se implementa en lnea detrs del cortafuegos
y delante de la LAN.
976
Internet
IVE
Mensaje de ataque
IDP
LAN
Internet
IVE
Mensaje de ataque
IDP
LAN
Pgina Sensor Event policies: Defina la directiva en esta pgina para generar
una respuesta automtica ante usuarios que realicen ataques.
977
Port: El puerto TCP del sensor IDP que el IVE escucha cuando recibe
los mensajes de alerta de ataque de la aplicacin y los recursos.
NOTA: El nombre de host, puerto TCP y contrasea nica deben estar configurados
b.
979
980
Haga clic en Events para editar un evento existente o crear un nuevo tipo
de evento y agregarlo a las opciones en la lista desplegable Events:
i.
ii.
Para buscar todos los ataques de nivel de gravedad crtico o mayor para
el trfico HTTP, introduzca la siguiente expresin:
idp.severity >= 4 AND idp.attackStr = *HTTP*
981
Replace users role with this one: Especifica que el rol aplicado a este
perfil de usuario debe cambiar al rol seleccionado en la lista desplegable
asociada. Este nuevo rol permanece asignado al perfil de usuario hasta
que finaliza la sesin y permite asignar un usuario a un rol controlado
especfico de su eleccin, basndose en eventos IDP especficos. Por
ejemplo, si el usuario realiza ataques, se podra asignar al usuario un rol
restringido, que limite su acceso y sus actividades.
Policy applies to ALL roles: Para aplicar esta directiva a todos los usuarios.
Policy applies to SELECTED roles: Para aplicar esta directiva slo a los
usuarios asignados a roles de la lista Selected roles. Asegrese de agregar
roles a esta lista desde la lista Available roles.
Policy applies to all roles OTHER THAN those selected below: Para
aplicar esta directiva a todos los usuarios excepto a los asignados a roles
de la lista Selected roles. Asegrese de agregar roles a esta lista desde la
lista Available roles.
982
983
984
Parte 6
Servicios de sistema
Esta seccin contiene la siguiente informacin acerca de los servicios del
sistema IVE:
985
986
Captulo 35
1 bit de parada
988
NOTA: Si est ejecutando una mquina Secure Access FIPS y desea retroactivar un
entorno de seguridad anterior, consulte las instrucciones en Recuperacin de un
entorno de seguridad archivado en la pgina 1020.
989
Despus de hacer clic en Reboot Now en la pgina Maintenance > System >
Platform, la pantalla muestra el estado de retroactivacin del servidor y, una vez
concluida, se le pedir que presione la tecla Return (Enter) para modificar la
configuracin de sistema, tras lo cual volver a las opciones iniciales de
configuracin. Cuando termine de introducir los datos, simplemente cierre
la ventana de la utilidad.
NOTA: Si espera ms de 5 segundos para introducir su opcin, se cargar
automticamente la configuracin actual del sistema. Si desea iniciar nuevamente
el proceso, tendr que regresar a la consola de administracin y hacer clic en
Reboot Now. Despus de realizar una retroactivacin de sistema, la opcin de
retroactivacin no estar disponible hasta que vuelva a actualizar el paquete de
servicio IVE OS.
991
que reciba errores de IVE. Antes de iniciar los servicios, el IVE supervisa el puerto
de red durante un mximo de 120 segundos. IVE verifica el estado de la conexin
y realiza un ARPing en la puerta de enlace predeterminada. Si existe algn
problema, IVE mostrar despus de 5 segundos un mensaje en la consola serie
que comienza con NIC:...... Si la conexin se recupera dentro de 120 segundos,
el proceso de inicio continuar. Si la conexin no se recupera, aparecer el
siguiente mensaje:
Internal NIC: ................[Down code=0x1]
0x1 significa que la NIC comunica que la interfaz est apagada (por ejemplo,
992
Create admin username and password: Permite crear una nueva cuenta de
superadministrador.
Create a Super Admin session: Permite crear una sesin de recuperacin para
la consola de administracin, incluso si ha configurado el dispositivo IVE para
bloquear el acceso a todos los administradores. Al seleccionar esta opcin,
el dispositivo genera un token temporal vlido durante 3 minutos. Introduzca
la siguiente URL en una ventana del navegador:
https://<ive-host>/dana-na/auth/recover.cgi
System Snapshot: Permite tomar una instantnea del sistema sin usar la
consola de administracin. Al escoger esta opcin, IVE toma la instantnea
inmediatamente. Puede enviar el archivo de la instantnea mediante SCP
a un sistema remoto. El sistema solicita el puerto del servidor de destino,
ID de usuario, contrasea y la ruta de destino hacia el directorio remoto.
Replace Administrator Card Set (Secure Access FIPS only): Permite crear
tarjetas de administrador adicionales para un entorno de seguridad. Para
obtener informacin detallada, consulte la siguiente seccin.
994
Captulo 36
995
996
Grficos de uso del sistema: Puede elegir qu grficos de uso del sistema
muestra el IVE en la pgina de apertura de la consola de administracin usando
los ajustes de la pgina System > Status > Overview. Tambin puede usar los
ajustes de esta pgina para perfeccionar la apariencia y los datos de cada uno
de los grficos. Para obtener instrucciones, consulte Visualizacin del estado
general en la pgina 845.
997
998
Captulo 37
Hardware estndar
El chasis de SA 6000 presenta los siguientes componentes de hardware:
LED de estado: La parte frontal del chasis del SA 6000 tiene los siguientes LED:
TEMP (rojo): Cuando el LED parpadea significa que uno de los ventiladores
fall o que no est bien colocado en su puerto, o bien, que fall uno de los
ventiladores y es necesario reemplazarlo. Cuando el LED no parpadea
significa que se detect una alta temperatura interna que podra hacer que
el sistema fallara si no se soluciona.
PS FAIL (rojo): Indica que una de las fuentes elctricas est defectuosa,
se desconect o tiene un fallo absoluto.
Port 0 1000 y Port 1 1000 (verde): Indica que el enlace de las interfaces
INT 0 (interna) o INT 1 (externa) de Ethernet tiene velocidad de conexin
Gigabit Ethernet.
Port 0 100 y Port 1 100 (verde): Indica que el enlace de las interfaces INT 0
(interna) o INT 1 (externa) de Ethernet tiene velocidad de conexin
100BaseT Ethernet.
NOTA: Si estn activos los LED del Port 0 1000 y del Port 0 100 (interno), o bien,
del Port 1 1000 y del Port 1 100 (externo), la velocidad del enlace para esa interfaz
es 10BaseT.
1000
Hardware estndar
Puerto 2 y 3 SFP LINK (verde): Indica que est habilitado el puerto 2 o 3 SFP.
NOTA: Los mdulos de disco duro del SA 6000 son intercambiables en caliente.
Debe asegurarse de que el IVE haya terminado de iniciarse y que est
funcionando correctamente antes de desinstalar, reemplazar o actualizar algn
mdulo de disco duro. Una vez que inserta un nuevo mdulo de disco duro, debe
esperar hasta que finalice completamente el proceso de rplica RAID, que tarda
aproximadamente 40 minutos, antes de reiniciar o apagar el IVE.
1001
1002
Captulo 38
Hardware estndar
El chasis de SA 4500/6500 presenta los siguientes componentes de hardware:
Hardware estndar
1003
LEDs de estado: Hay tres LEDs que indican el estado del dispositivo, y estn
situados en el lado izquierdo del panel frontal:
Alimentacin
Fallo
Color
Estado
Descripcin
POWER
Verde
Apagado
Estable
FAULT
1004
Hardware estndar
Amarillo Apagado
Rojo
Intermitente
Apagado
Intermitente
lento
Intermitente
rpido
Falla el ventilador
Fijo
Fallo trmico
LEDs de los puertos de Ethernet: Los LED de los puertos de Ethernet muestran
el estado de cada puerto de Ethernet.
Color y estado
Descripcin
Link/Activity
Verde
Enlace
Verde intermitente
Actividad
Apagado
10 Mbps
Verde
100 Mbps
Amarillo
1 Gbps
Link Speed
Discos duros: El SA 6500 se suministra con un disco duro, pero puede agregar
un segundo disco duro opcional al chasis del SA 6500 para proporcionar
redundancia a los componentes y ayudar a minimizar el tiempo de inactividad
del IVE. Cuando se instala un segundo disco duro (redundante), ste mantiene
una copia exacta de la informacin de la configuracin y de la imagen del
software que hay en el disco duro de trabajo. Por lo tanto, si el disco duro
de trabajo falla, el disco duro redundante asume inmediatamente la
responsabilidad de todas las funciones del IVE. Esta funcin se conoce como
el proceso de rplica de matriz redundante de discos independientes (RAID).
NOTA: Los mdulos de disco duro del SA 6500 son intercambiables en caliente.
Debe asegurarse de que el IVE haya terminado de iniciarse y que est
funcionando correctamente antes de desinstalar, reemplazar o actualizar algn
mdulo de disco duro. Despus de insertar un nuevo mdulo de disco duro,
debe esperar hasta que finalice por completo el proceso de rplica RAID
(aproximadamente 40 minutos) antes de reiniciar o apagar el IVE.
1005
1006
1007
Instalacin de un IOM
Para instalar un IOM:
1. Desenchufe el cable de alimentacin.
2. Alinee el IOM con un puerto vaco en la parte frontal del chasis.
3. Deslice con cuidado el IOM hacia adentro, hasta que se ajuste firmemente en
el dispositivo.
4. Apriete los tornillos de cada lado de la placa frontal del IOM.
5. Inserte los cables correspondientes en los conectores para los cables del IOM.
6. De ser necesario, ordene los cables para prevenir que se salgan o que se
produzcan puntos de tensin:
Extraccin de un IOM
Para extraer un IOM:
1. Desenchufe el cable de alimentacin.
2. Desconecte los cables del IOM.
3. De ser necesario, ordene los cables para evitar que se salgan o que se
produzcan puntos de tensin.
4. Suelte los tornillos de apriete manual de cada lado de la placa frontal IOM.
5. Tome los tornillos y tire para sacar el IOM.
Si va a instalar un IOM en la ranura vaca, instale una placa frontal de IOM plana
en la ranura para mantener un flujo de aire apropiado.
1008
1009
1010
Captulo 39
1011
Clave del entorno de seguridad: Una clave del entorno de seguridad es una
clave encriptada Triple DES exclusiva que protege las claves de todas las
aplicaciones situadas dentro de un entorno de seguridad. Como requieren los
estndares federales de procesamiento de informacin, esta clave no se puede
importar a un entorno de seguridad, sino que se debe crear directamente desde
un mdulo criptogrfico. En un entorno de clsteres, todos los mdulos
situados dentro del entorno de seguridad comparten la misma clave del
entorno de seguridad. (Para obtener ms informacin, consulte
Implementacin de un clster en un entorno Secure Access FIPS en la
pgina 1015.)
Datos encriptados: Entre los datos del host encriptados en un entorno Secure
Access FIPS se encuentran las claves y otros datos requeridos para compartir
informacin de forma segura.
1012
Agregar otro equipo con Secure Access FIPS a un clster. Para obtener ms
informacin, consulte Implementacin de un clster en un entorno Secure
Access FIPS en la pgina 1015.
1013
Como regla general, cualquier operacin de Secure Access FIPS que deba ejecutar
a travs de la consola serie del IVE requiere una tarjeta de administrador.
NOTA: Cada vez que cambie el entorno de seguridad deber decidir qu har con
las tarjetas de administrador existentes. Las opciones son:
1014
1015
1016
Nombre de clster
Mscara de red
NOTA: Despus de que inicialice los miembros de un clster Secure Access FIPS
con el mismo entorno de seguridad, puede inhabilitar y volver a habilitar el clster
a travs de la consola de administracin. Cuando todos los miembros del clster
sean parte del mismo entorno de seguridad, ya no ser necesario usar la consola
serie.
1017
ii.
Con la pregunta Are you sure you want to delete your existing Security
World (including server certificates) (y/n)? se le solicitar que confirme
esa opcin. Si elige continuar, introduzca y y presione Enter.
ii.
1018
1019
Para reemplazar todas las tarjetas de administrador o para crear una cantidad
mayor de tarjetas para un entorno de seguridad:
1. Siga los pasos para crear un entorno de seguridad, como se describi en
Creacin de un entorno de seguridad en un IVE independiente IVE en la
pgina 1018.
2. Elija Replace Administrator Card Set en la lista de tareas de configuracin.
3. Introduzca la frase de seguridad para el entorno de seguridad.
4. Cuando se le indique, inserte en la ranura correspondiente, y con los contactos
hacia arriba, una tarjeta inteligente sin formatear o una tarjeta de
administrador que tenga datos que pueda sobrescribir de forma segura.
5. Introduzca la informacin adicional para la inicializacin que se le solicita.
6. Repita los pasos 4 y 5 para todas las tarjetas que desee crear.
7. Guarde al menos una tarjeta de administrador en una ubicacin segura.
1020
1. Inserte en la ranura del lector de tarjeta inteligente y con los contactos hacia
arriba, una tarjeta de administrador que se haya inicializado previamente con
el entorno de seguridad importado.
2. Cambie el conmutador de modo del mdulo criptogrfico a I (modo de
inicializacin).
3. Acceda a la consola serie del IVE y reinicie el IVE. Para obtener ms
informacin, consulte Conexin a la consola serie de un dispositivo IVE en la
pgina 987.
4. Vuelva a poner el conmutador de modo del mdulo criptogrfico en O (modo
operativo) cuando se le indique.
1021
1022
Captulo 40
Compresin
El IVE mejora el rendimiento mediante la compresin de tipos comunes de datos
web y de archivo como pginas HTML, documentos de Word e imgenes. Esta
seccin contiene la siguiente informacin acerca de la compresin:
Ejecucin de la compresin
El IVE determina si debe comprimir los datos a los que tienen acceso los usuarios
segn el siguiente procedimiento:
1. El IVE verifica que los datos a los que se ha accedido son de un tipo
comprimible. El IVE admite la compresin de muchos tipos de datos comunes
como pginas HTML y documentos de Word. Para obtener una lista completa,
consulte Tipos de datos admitidos en la pgina 1025.
2. Si el usuario tendr acceso a datos web, el IVE verifica que el explorador admita
la compresin del tipo de datos seleccionado.
El IVE determina la compatibilidad de la compresin de acuerdo con el agente
de usuario del explorador y el encabezado accept-encoding. El IVE admite la
compresin de todos los tipos de datos web estndar si determina que el
agente de usuario es compatible con Mozilla 5, Internet Explorer 5, o Internet
Explorer 6. El IVE admite slo la compresin de datos HTML si determina que
el agente de usuario del explorador es compatible solamente con Mozilla 4.
1023
1024
Ejecucin de la compresin
text/plain (.txt)
text/ascii (.txt)*
text/css (.css)
text/rtf (.rtf)
text/javascript (.js)
text/xml (.xml)*
application/x-javascript (.js)
application/msword (.doc)
application/ms-word (.doc)*
application/vnd.ms-word (.doc)*
application/msexcel (.xls)*
application/ms-excel (.xls)*
application/x-excel (.xls)*
application/vnd.ms-excel (.xls)*
application/ms-powerpoint (.ppt)*
application/vnd.ms-powerpoint (.ppt)*
Tambin tenga en cuenta que el IVE no comprime archivos que carga en el IVE,
sino slo aquellos que descarga del IVE.
Adems, el IVE admite la compresin de los siguientes tipos de archivos del IVE:
application/x-javascript (.js)
text/javascript (.js)
text/css (.css)
application/perl (.cgi)
Tipos de datos admitidos
1025
Mtodos alternativos:
1026
Captulo 41
Ingls (EEUU)
Chino (simplificado)
Chino (tradicional)
Francs
Alemn
Japons
Coreano
Espaol
NOTA: Juniper Networks traduce la consola de usuario final del IVE y los sistemas
1027
Codificacin de archivos
La codificacin de caracteres es una asignacin de los caracteres y smbolos usados
en el lenguaje escrito a un formato binario usado por los equipos. La codificacin
de caracteres afecta a la manera en que se almacenan y transmiten los datos.
La opcin de codificacin de Users > Resource Policies > Files > Encoding le
permite especificar qu codificacin se debe usar cuando se comunica con archivos
compartidos de Windows y NFS. La opcin de codificacin no afecta al idioma en
que trabaja el usuario final.
Para especificar la codificacin de internacionalizacin del trfico del IVE:
1. En la consola de administracin, elija Users > Resource Policies > Files >
Encoding.
2. Seleccione la opcin correspondiente:
Japons (Shift-JIS)
Coreano
1028
1029
1030
Captulo 42
Dispositivo Pocket PC: El IVE muestra pginas HTML con tablas, imgenes,
JavaScript y marcos, pero no procesa Java. Dependiendo de las caractersticas
que habilite a travs de la consola de administracin, el usuario final puede
tener acceso a Mobile Notes, explorar la Web, conectarse a marcadores Web,
acceder a inicio de sesin nico a otras aplicaciones y editar sus preferencias
(como borrar la cach y editar la contrasea del IVE/LDAP).
1031
1032
Users > User Roles > Rol > General > Restrictions
Resource Policies > Web > Access > Web ACL> Directiva >
Detailed Rules
Users > Resource Profiles > Web Application Resource Profiles >
Perfil > Bookmarks
Users > User Roles > Rol > Web > Bookmarks
Resource Policies > Web > Access > Web ACL > Directiva >
General
1033
1034
Smart Phone HTML Basic: El IVE muestra las pginas de pantalla pequea
compatibles con HTML. Este modo no admite cookies ni el procesamiento
de tablas, grficos, componentes de ActiveX, JavaScript, Java, cadena de VB
o marcos. (La nica diferencia entre esta opcin y la opcin de Compact
HTML es la interfaz de usuario.) Ideal para exploradores de Opera en
Symbian.
NOTA: El IVE vuelve a escribir los hipervnculos con el fin de incluir la ID de sesin
en la URL en vez de usar cookies.
4. Especifique el orden en que desea que el IVE evale a los agentes de usuarios.
El IVE aplica la primera norma de la lista que coincida con el sistema del
usuario. Por ejemplo, puede crear las siguientes asignaciones de cadena
de agente de usuario o de tipo de HTML en el siguiente orden:
a.
b.
1035
S-IMAP/S-POP y S-SMTP
1036
Habilitacin de Activesync
Gracias a Activesync, puede sincronizar datos entre un equipo de escritorio con
Windows y dispositivos de mano. El IVE se puede usar como proxy inverso que
permita a los usuarios sincronizar sus datos sin instalar una aplicacin cliente
adicional, como WSAM, en sus dispositivos de mano. Para obtener ms
informacin sobre el IVE como proxy inverso, consulte Definicin de directivas
de acceso slo con autorizacin en la pgina 215.
Tenga en cuenta lo siguiente:
Si el IVE se usa para OWA y Activesync, los nombres de host para el acceso
de OWA y Activesync deben ser diferentes
Para configurar el IVE como proxy inverso para su uso con Activesync:
1. En la consola de administracin, elija Authentication > Signing In >
Sign-in Policies.
2. Para crear una nueva directiva de acceso slo con autorizacin, haga clic en
New URL y seleccione authorization only access. Tambin puede editar una
directiva existente haciendo clic en una URL en la columna Virtual Hostname.
3. En el campo Virtual Hostname, introduzca el nombre que se asigna a la
direccin IP del IVE. El nombre debe ser nico entre todos los nombres de
hosts virtuales usados en el modo del nombre de host del proxy pass-through.
El nombre de host se usa para acceder al servidor de intercambio introducido
en el campo Backend URL. No incluya el protocolo (por ejemplo, http:) en
este campo.
Por ejemplo, si el nombre de host virtual es myapp.ivehostname.com y la URL
backend es http://www.xyz.com:8080/, una peticin a
https://myapp.ivehostname.com/test1 a travs del IVE se convierte en una
peticin a http://www.xyz.com:8080/test1. La respuesta de la peticin
convertida se enva al explorador Web original que hizo la peticin.
4. En el campo Backend URL, introduzca la URL para el servidor de intercambio.
Debe especificar el protocolo, nombre de host y puerto del servidor.
Por ejemplo, http://www.mydomain.com:8080/*.
Si las peticiones coinciden con el nombre de host del campo Virtual
Hostname, la peticin se transforma en la URL especificada en el campo
Backend URL. El cliente es dirigido a la URL backend sin saberlo.
Habilitacin de Activesync
1037
Tiempo de espera de conexin de HTTP (Users > User Roles > Nombre
de rol > Web > Options > View advanced options)
Permitir exploracin de sitios Web SSL no fiables (Users > User Roles >
Nombre de rol > Web > Options > View advanced options)
Restricciones de IP de origen (Users > User Roles > Nombre de rol >
General > Restrictions)
Restricciones de exploracin (Users > User Roles > Nombre de rol >
General > Restrictions)
1038
Habilitacin de Activesync
Parte 7
Informacin complementaria
Esta seccin contiene los siguientes temas complementarios:
Client-side Changes Guide: describe los cambios que producen en el equipo los
componentes de Juniper Installer Service, Host Checker, Cache Cleaner, Secure
Meeting, WSAM, JSAM, Network Connect, GINA, Windows Terminal Services
y Citrix Terminal Services. Los cambios descritos en este documento incluyen
nombres y ubicaciones de archivos que estos componentes instalan, los
cambios que efectan en el registro y los archivos que permanecen tras realizar
desinstalacin. El documento tambin muestra los privilegios que deben tener
los usuarios para instalar las distintas versiones de los componentes del lado
cliente del IVE.
IVE Content Intermediation Engine Best Practices: muestra los tipos de contenido
que admite IVE a travs de su motor de intermediacin de contenido, como
HTML, JavaScript, VBScript y Java. El documento tambin incluye pautas sobre
cmo crear pginas web y aplicaciones que el motor de intermediacin de
contenido sea capaz de reescribir.
Network Connect and WSAM Error Messages: muestra los mensajes de error que
los usuarios finales pueden encontrar durante una sesin de Network Connect
o WSAM. El documento incluye, adems, el identificador nico de cada error,
su causa y la accin correspondiente que debera realizar el usuario.
Secure Access 6000 Field Replaceable Units Guide: describe cmo extraer
e instalar discos duros, unidades de energa y ventiladores en un chasis
de Secure Access 6000. Existen versiones traducidas de este documento.
Secure Access Quick Start Guide: describe cmo configurar los dispositivos
Secure Access 700, Secure Access 2000, Secure Access 4000, Secure Access
FIPS 4000, Secure Access 6000 y Secure Access FIPS 6000. Las instrucciones
de configuracin incluyen cmo instalar el hardware en la red, inicializar el
software IVE mediante la consola serie y acceder a la consola de
administracin. Existen versiones traducidas de este documento.
1039
Secure Meeting Error Messages: muestra los mensajes de error que los
administradores de IVE podran ver mientras configuran Secure Meeting,
los mensajes de error que los usuarios finales de IVE podran ver mientras
crean una reunin y los mensajes de error que los usuarios cliente de la reunin
podran ver mientras asisten a una reunin. El documento incluye, adems,
el identificador nico de cada error, su causa y la accin correspondiente que
debera realizar el usuario.
1040
Apndice A
Expresiones personalizadas
El IVE permite escribir expresiones personalizadas que se evalan en las reglas de
asignacin de roles, las directivas de recursos y las consultas de registro de filtros.
Una expresin personalizada es una combinacin de variables que el IVE evala
como un objeto booleano verdadero, falso o de error. Las expresiones
personalizadas permiten administrar mejor el control de acceso a los recursos al
proporcionar un medio para especificar instrucciones complejas para la evaluacin
de directivas y consultas de registro.
Puede escribir expresiones personalizadas en los siguientes formatos. Tenga en
cuenta que los elementos de estos formatos se describen con mayor detalle en la
tabla que aparece a continuacin:
1041
isEmpty (variable)
isUnknown (variable)
(CustomExpr)
NOT CustomExpr
! CustomExpr
CustomExpr OR CustomExpr
CustomExpr || CustomExpr
1042
Expresiones personalizadas
\{
\}
\hh
Ejemplos:
userAttr.{Tree Frog} = 'kermit'
userAttr.{Tree\20Frog} = 'kermit'
Notas:
No existe lmite para el nmero de comillas que puede usar en el
variables userAttr.*.
Debe usar comillas de llaves slo al escribir expresiones
personalizadas.
comparisonOperator
!=
<
<=
>
>=
Expresiones personalizadas
1043
de minsculas.
Las cadenas pueden tener comillas simples o dobles. Una cadena con
1044
Expresiones personalizadas
isEmpty
isUnknown
NOT, !
OR, ||
AND, &&
es el operador lgico AND o &&, que son equivalentes. Los operadores NOT,
AND y OR se evalan desde la precedencia mayor a la menor en este orden: NOT
(desde la derecha), AND (desde la izquierda), OR (desde la izquierda).
CustomExpr
Expresiones personalizadas
1045
Variables y funciones de DN
Puede comparar un nombre completo (DN) con otro DN o con una cadena,
pero el IVE omite los comodines, espacios en blanco y maysculas o minsculas.
Sin embargo, tenga presente que el IVE toma en consideracin el orden de las
claves de DN.
Cuando el IVE compara una expresin con un DN o una cadena, convierte la
cadena en un nombre completo antes de evaluar la expresin. Si el IVE no
puede convertir la cadena debido a una mala sintaxis, se produce un error
en la comparacin. Las variables de DN son:
userDN
certDN
certIssuerDN
1046
Descripcin
Ejemplos
authMethod
cacheCleanerStatus
cacheCleanerStatus = 1
Disponible en:
1: si est en funcionamiento
cacheCleanerStatus = 0
0: si no lo est
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
Disponible en:
C: pas
description: descripcin
configuracin LDAP
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
campos de parmetros de SSO
configuracin LDAP
certAttr.altName.email =
"joe@company.com"
certAttr.altName.dirNameText =
certAttr.altName.ipAddress =
10.10.83.2
URI
UPN
ipAddress
registeredId
1047
Descripcin
Ejemplos
certAttr.serialNumber
certAttr.SerialNumber =
Disponible en:
userAttr.certSerial
certDN
Disponible en:
certDN = 'cn=John
Harding,ou=eng,c=Company'
certDN = userAttr.x509SubjectName
certDN = ('cn=John
certDN.<subject-attr>
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
Harding,ou=eng,c=Company' or
'cn=Julia Yount,ou=eng,c=Company')
certDN.OU = 'company'
certDN.E = 'joe@company.com'
certDN.ST = 'CA'
certDNText
Disponible en:
reglas de asignacin de roles
certDNText = 'cn=John
Harding,ou=eng,c=Company'
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
certIssuerDN = 'cn=John
DN de sujeto del emisor del certificado del
Harding,ou=eng,c=Company'
cliente. Esta variable funciona como un atributo
de DN estndar como CertDN. Los comodines
certIssuerDN = userAttr.x509Issuer
no se permiten.
certIssuerDN = ('ou=eng,c=Company'
or 'ou=operations,c=Company')
Disponible en:
reglas de asignacin de roles
certIssuerDN.OU = 'company'
certIssuerDNText = 'cn=John
Harding,ou=eng,c=Company'
certIssuerDN.ST = 'CA'
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
campos de parmetros de SSO
1048
Descripcin
defaultNTDomain
Disponible en:
reglas de asignacin de roles
Ejemplos
Disponible en:
reglas de asignacin de roles
group.silverPartner
Ejemplos de combinacin:
Disponible en:
group.goldPartner or
group.employees and time.month = 9
groups
group.preferredPartner
groups=('sales managers')
Disponible en:
loginHost = 10.10.10.10
loginTime = (8:00am)
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
campos de parmetros de SSO
configuracin LDAP
loginTime
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
campos de parmetros de SSO
1049
Descripcin
Ejemplos
loginTime.day
loginTime.day = 3
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
loginTime.dayOfYear
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
campos de parmetros de SSO
loginURL = */admin
URL de la pgina a la que el usuario obtuvo
acceso para iniciar sesin en el IVE. El IVE
obtiene este valor de la columna Administrator
URLs|User URLs en la pgina Authentication
> Signing In > Sign-in Policies de la consola
de administracin.
configuracin LDAP
networkIf
Disponible en:
ntdomain = jnpr
Disponible en:
reglas de asignacin de roles
campos de parmetros de SSO
1050
Descripcin
Ejemplos
ntuser
ntuser = jdoe
Disponible en:
reglas de asignacin de roles
campos de parmetros de SSO
Disponible en:
Disponible en:
Disponible en:
reglas de directivas de recursos
campos de parmetros de SSO
sourceIP
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
campos de parmetros de SSO
Realm = ('GoldPartners' or
'SilverPartners')
sourceIP = 192.168.10.20
sourceIP = 192.168.1.0/24 and
networkIf internal
sourceIP = 10.11.0.0/16
es lo mismo que:
sourceIP =
192.168.10.0/255.255.255.0
sourceIP=userAttr.sourceip
time
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
Ejemplos de combinacin:
Permitir que los gerentes ejecutivos
y sus asistentes tengan acceso de
lunes a viernes:
userAttr.employeeType = ('*manager*'
or '*assistant*') and
group.executiveStaff and
time = (Mon to Fri)
Variables del sistema y ejemplos
1051
Descripcin
Ejemplos
time.day
loginTime.day = 3
loginTime.dayOfWeek = (0 OR 6)
time.dayOfYear = 100
time.year = 2005
user = 'steve'
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
Disponible en:
reglas de asignacin de roles
loginTime.dayOfWeek = (1 to 5)
loginTime.dayOfWeek = 5
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
Disponible en:
reglas de asignacin de roles
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
campos de parmetros de SSO
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
campos de parmetros de SSO
1052
user = 'domain\\steve'
Descripcin
Ejemplos
userAgent
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
campos de parmetros de SSO
Disponible en:
reglas de asignacin de roles
userAttr.building = ('HQ*' or
Atributos de usuario recuperados de un
'MtView[1-3]')
servidor de autenticacin o de directorio LDAP,
RADIUS o SiteMinder.
userAttr.dept = ('sales' and 'eng')
userAttr.dept = ('eng' or 'it' or
'custsupport')
userAttr.division = 'sales'
userAttr.employeeType != 'contractor'
userAttr.salaryGrade > 10
userAttr.salesConfirmed >=
userAttr.salesQuota
Ejemplos negativos:
userAttr.company != "Acme Inc" or not
group.contractors
Ejemplos de combinacin:
Permitir que los gerentes ejecutivos
y sus asistentes tengan acceso de
lunes a viernes:
userAttr.employeeType = ('*manager*'
or '*assistant*') and
group.executiveStaff and
time = (Mon to Fri)
Disponible en:
reglas de directivas de recursos
userDN = 'cn=John
Harding,ou=eng,c=Company'
userDN = certDN
1053
Descripcin
Ejemplos
userDN.<user-attr>
userDNText
Disponible en:
userDNText = 'cn=John
Harding,ou=eng,c=Company'
Disponible en:
reglas de asignacin de roles
reglas de directivas de recursos
campos de parmetros de SSO
1054
NOTA: Puede usar la variable de sustitucin <USER> en las ACL de pginas Web,
telnet, archivos, SAM. No puede usar la variable en ACL de Network Connect.
Esta seccin contiene la siguiente informacin sobre las variables del sistema en
territorios, roles y directivas de recursos:
\\Srv1\Sales
\\Srv2\Marketing
Ahora supongamos que el directorio LDAP del usuario contiene un segundo atributo
de varios valores definido como HomeFolders: Folder1;Folder2;Folder3. Cuando
configure el recurso compartido del archivo de Windows usando los atributos de
varios valores, \\<userAttr.HomeShares>\<userAttr.HomeFolders>, el usuario ver
los siguientes seis marcadores:
\\Srv1\Sales\Folder1
\\Srv1\Sales\Folder2
\\Srv1\Sales\Folder3
\\Srv2\Marketing\Folder1
\\Srv2\Marketing\Folder2
\\Srv2\Marketing\Folder3
1055
Use la siguiente sintaxis para tratar atributos de varias variables. Tenga en cuenta
que la <variable> se refiere a una variable de sesin como <userAttr.name>
o <CertAttr.name>:
siempre se refieren a un valor de cadena nico con todos los tokens expandidos
con cadenas de separador entre los valores.
1056
1057
1058
ndice
A
Access Series FIPS
documentacin complementaria ...........................1039
Access Series FIPS, Consulte Secure Access FIPS
Access-Accept, atributo de RADIUS .................................153
Access-Challenge, atributo de RADIUS ............................154
Access-Reject, atributo de RADIUS..................................154
Access-Request, atributo de RADIUS ...............................154
accin, componente de directiva de recursos .................103
Accounting-Request, atributo de RADIUS ........................154
Accounting-Response, atributo de RADIUS......................154
Acct-Authentic, atributo de RADIUS ........................152, 154
Acct-Delay-Time, atributo de RADIUS..............................154
Acct-Input-Gigawords, atributo de RADIUS......................154
Acct-Input-Octets, atributo de RADIUS ....................153, 154
Acct-Input-Packets, atributo de RADIUS ..........................154
Acct-Interim-Interval, atributo de RADIUS.......................154
Acct-Link-Count, atributo de RADIUS ......................152, 154
Acct-Multi-Session-Id, atributo de RADIUS...............152, 154
Acct-Output-Gigawords, atributo de RADIUS ...................154
Acct-Output-Octets, atributo de RADIUS .................153, 154
Acct-Output-Packets, atributo de RADIUS........................154
Acct-Session-Id, atributo de RADIUS .......................152, 154
Acct-Session-Time, atributo de RADIUS...................152, 154
Acct-Status-Type, atributo de RADIUS......................152, 155
Acct-Terminate-Cause, atributo de RADIUS .............152, 155
Acct-Tunnel-Connection, atributo de RADIUS..................155
Acct-Tunnel-Packets-Lost, atributo de RADIUS.................155
ACE/Server, Consulte servidor de autenticacin, ACE/Server
acelerador gzip .............................................................1026
ACL, Consulte perfiles de recursos, directivas automticas
ACS, Consulte servicio de confirmacin de usuarios
Active Directory, Consulte servidor de autenticacin,
Active Directory
Activesync ....................................................................1037
actualizacin
complemento de evaluacin de la seguridad
de puntos finales..................................................307
paquete de actualizacin .........................................721
actualizacin automtica, WSAM ....................................507
administracin de acceso, restricciones, especificacin ....74
administracin delegada
informacin general ................................................899
administrador
administrador de usuarios
Consulte usuario, administradores de usuarios
cuenta de usuario, creacin .....................................901
cuenta superadministrador, creacin.......................993
privilegios................................................................322
roles ........................................................................906
definicin ...................................................69, 899
Consulte tambin roles
tarjeta, Consulte Secure Access FIPS, tarjeta de
administrador
territorios.................................................................906
Consulte tambin territorios
administrador de la seguridad.........................................906
administrador raz, configuracin ...................................926
ajustes de autenticacin, para usuarios ...................301, 338
ajustes de la red
configuracin...........................................706, 708, 993
inicial.......................................................................702
alias de IP
activacin, Consulte puerto virtual
definicin ................................................................711
alias de IP de origen basados en roles.............................942
allowclipboard
parmetro................................................................611
almacenamiento en cach
almacenamiento en cach temporal ........................403
archivos Citrix ICA...................................................403
archivos de medios..................................................402
archivos de secuencias multimedia..........................403
archivos Lotus iNotes...............................................437
archivos OWA..................................................437, 456
archivos PDF ...........................................................403
archivos Power Point...............................................403
archivos QuickPlace.................................................403
archivos zip .............................................................402
configuracin
directivas automticas......................................401
directivas de recursos.......................................433
informacin general .........................................387
opciones generales ...........................................438
credenciales
Consulte SSO
encabezados............................................................403
imgenes .................................................................438
prevencin ..............................................................403
proxy web ...............................................................458
apagar el IVE...................................................................720
aplicacin
cachs, eliminacin .........................................256, 331
proporcionar acceso seguro a ............................28, 344
Consulte tambin Secure Application Manager
aplicacin Notes, Consulte Lotus Notes
aplicaciones passthrough, Consulte WSAM, ajustes de rol,
aplicaciones que se pasan por alto
ndice
1059
1060
ndice
B
barra de direcciones, vista para usuarios finales .............414
barra de herramientas, vista para usuarios finales ..........414
base de datos, autenticacin, Consulte servidor de
autenticacin
bitmapcaching
parmetro ...............................................................611
blockedIP, objeto MIB .....................................................835
blockedIPList, objeto MIB................................................836
bmname, parmetro.......................................................610
ndice
C
cach
complemento de Java..............................................778
eliminacin .....................................................256, 331
Cache Cleaner
ajustes de seguridad de SiteMinder..........................177
cambios en claves de registro................................1039
informacin general ................................................331
registro, inhabilitar ..................................319, 340, 841
restricciones ..........................................................1031
variable de expresin personalizada......................1047
cacheCleanerStatus, variable de expresin
personalizada ............................................................1047
cadena de motivos, para correccin de IMV/IMC
cadena de motivos ..................................................303
cadena de motivos, para correccin IMV/IMC .................288
Callback-Id, atributo de RADIUS .....................................155
Callback-Number, atributo de RADIUS ............................155
Called-Station-Id, atributo de RADIUS .............................155
Calling-Station-Id, atributo de RADIUS ............................155
cambios en claves de registro .......................................1039
campo giaddr .................................................................954
canal de reenvo de puerto, Consulte WSAM, canal de
reenvo de puerto
captura de SNMP iveFanNotify........................................839
captura de SNMP
iveMaxConcurrentUsersVirtualSystem.........................839
captura de SNMP ivePowerSupplyNotify .........................839
captura de SNMP iveRaidNotify ......................................839
captura de SNMP ocspResponderUnreachable ................839
capturas
configuracin ..........................................................834
definicin ................................................................825
carga de applets de Java, Consulte applets de Java,
hospedados
CDP, Consulte punto de distribucin de CRL
certAttr.altName.Alt-attr, variable de expresin
personalizada ............................................................1047
certAttr.cert-attr, variable de expresin
personalizada ............................................................1047
certAttr.serialNumber, variable de expresin
personalizada ............................................................1048
certDN, variable de expresin personalizada ................1048
certDN.subject-attr, variable de expresin
personalizada ............................................................1048
certDNText, variable de expresin personalizada..........1048
certificado
advertencias, mostrar..............................................421
ajustes de seguridad de SiteMinder..........................177
atributos, configuracin...........................................201
autofirma ................................................................751
certificado comodn, definido..................................757
certificado de applet
definicin .........................................................749
importar...........................................................778
certificado de CA
carga en el IVE .................................................759
definicin .........................................................750
habilitacin de la comprobacin de CRL...........769
renovacin .......................................................764
verificacin.......................................................771
visualizacin de detalles ...................................776
certificado de dispositivo
asociacin con puerto virtual............................757
creacin de una CSR.........................................754
definicin .........................................................749
descargar..........................................................754
exportacin existente .......................................752
importacin de CSR..........................................755
importacin existente...............................752, 755
importacin renovada ......................................753
varios certificados, habilitacin ................751, 756
certificado de equipo
comprobacin usando Host Checker ................282
configuracin ...................................................763
informacin general .........................................758
Consulte tambin
certificado, certificado CA, cargar al IVE
Host Checker, certificado de equipo
certificado de firma de cdigo
Consulte certificado, certificado de applet
certificado del lado cliente
definicin .........................................................749
SiteMinder........................................................163
certificado del servidor, definido .............................749
certificado intermedio, definido...............................759
clave
exportacin existente .......................................752
importacin existente...............................752, 755
CRL
habilitar............................................................769
visualizacin de detalles ...................................764
formatos compatibles ..............................751, 758, 775
JavaSoft ...................................................................777
jerarqua
analizado..................................................755, 767
definicin .........................................................759
lista de revocacin
analizado..........................................................768
definicin .........................................................759
MS Authenticode .....................................................777
recomendacin de Secure Meeting ..........................643
requisitos de seguridad, definicin ............................65
restricciones, configuracin .................................53, 54
revocacin, definida ................................................759
SAML .......................................................................250
servidor Consulte servidor de autenticacin,
servidor de certificados
solicitud de firma
creacin ...........................................................754
importacin del certificado a partir de..............755
importar ...........................................................755
variables de expresin personalizada ....................1047
ndice
1061
1062
ndice
clave privada
administracin ......................................................1011
importar ..........................................................752, 755
clientPort, parmetro......................................................609
clster
activo/activo ............................................................879
figura................................................................880
visin general de la implementacin ................879
activo/pasivo ...........................................................877
figura................................................................878
visin general de la implementacin ................877
actualizacin ...........................................................887
administrar......................................................875, 886
cambio de la IP del nodo .........................................898
compatibilidad con ACE/Server ...............................118
configuracin ..................................................869, 871
contabilidad de RADIUS ..........................................151
contrasea...............................................................881
datos del sistema.....................................................720
eliminacin .............................................................888
estado definido........................................................889
inicializacin ...................................................869, 870
integracin ..............................................................874
modificacin de propiedades...........................883, 888
nombres de host .....................................................704
registro............................................................881, 882
reinicio, rearranque, apagado..................................720
restriccin de Secure Meeting..................................628
sincronizacin .................................................869, 881
sincronizacin de estado .........................................881
clster activo/pasivo, Consulte clster, activo/pasivo
clster activo/pasivo, Consulte clster, activo/pasivo
clusterConcurrentUsers, objeto MIB ................................836
colorDepth, parmetro ...................................................610
comando ping ................................................................993
Command window, opcin .............................................326
compartir, definir directivas de recursos .................467, 477
compatibilidad con ACE/Server esclavo...........................118
compatibilidad con bloqueo de nombre .........................118
compatibilidad con bsqueda de referencias ..................131
compatibilidad con CASQUE, Consulte servidor de
autenticacin, RADIUS
compatibilidad con Defender, Consulte servidor de
autenticacin, RADIUS
compatibilidad con el modo Nuevo PIN ..........................117
compatibilidad con el modo Siguiente token ..................117
compatibilidad con encriptacin DES/SDI.......................118
compatibilidad con Exchange Server ..............................651
compatibilidad con HP OpenView ..................................825
compatibilidad con MAPI........................................647, 649
compatibilidad con Outlook............................648, 649, 650
compatibilidad con Outlook Express...............................648
compatibilidad con PassGo Defender, Consulte servidor
de autenticacin, RADIUS
compatibilidad con protocolo de acceso a mensajes
en Internet ..................................................................647
compatibilidad con steelbelted-RADIUS, Consulte
servidor de autenticacin, RADIUS
ndice
ndice
1063
D
datos persistentes, definidos........................................... 881
datos transitorios, definidos............................................ 881
declaracin de autenticacin, definida............................ 235
declaracin de decisin de autorizacin, definida........... 236
declaraciones.................................................................. 190
declaraciones de atributos, restricciones......................... 236
defaultNTDomain, variables de expresin
personalizada............................................................ 1049
defensa en el punto final
Consulte tambin Host Checker
informacin general ................................................ 255
Desktop Persistence, opcin ........................................... 325
desktopbackground
parmetro ............................................................... 611
desktopcomposition
parmetro ............................................................... 612
DHCP
configuracin de la compatibilidad.......................... 954
giaddr...................................................................... 954
servidores admitidos, Network Connect .................. 676
DHCP centralizado.......................................................... 954
direccin IP
ajustes de seguridad de SiteMinder ......................... 177
asignacin de Network Connect .............................. 661
configuracin .......................................... 706, 707, 709
definir en directivas de
recursos............................... 104, 105, 467, 477, 486
especificacin de los requisitos de usuario ................ 60
nodo........................................................................ 898
para el puerto externo..................................... 706, 708
resolucin ............................................................... 716
restricciones.......................... 61, 63, 66, 301, 338, 765
restricciones de inicio de sesin del usuario ............ 338
direccin MAC, configuracin de los requisitos en la
directiva de Host Checker ........................................... 282
direcciones de bucle invertido,
JSAM ........................................... 410, 520, 522, 537, 542
direcciones IP de origen de alias, Consulte IP de origen,
direccin, alias
directiva de acceso slo con autorizacin ....... 178, 181, 215
directiva de control de conexiones, seleccin
como opcin de Host Checker .................................... 263
directiva, seguimiento .................................................... 854
directivas
Consulte directivas
Consulte tambin directivas de autenticacin
Consulte tambin directivas de inicio de sesin
directivas automticas, vase perfiles de recursos,
directivas automticas
directivas de autenticacin
configuracin .................................................. 198, 199
definicin .......................................................... 52, 195
directivas de control acceso a Java
directivas automticas............................................. 404
directivas de recursos.............................................. 439
informacin general ................................................ 387
directivas de control de acceso, Consulte perfiles de recursos,
directivas automticas
1064
ndice
directivas de encabezados/cookies
configuracin ..........................................................431
informacin general ................................................388
directivas de recursos
administrar......................................................907, 908
archivo
compresin ......................................................488
compresin para Windows...............................481
control de acceso para Windows......................478
informacin general .........................................101
SSO de Windows..............................................479
UNIX/NFS .........................................................485
Windows..........................................................476
archivos de Windows ..............................................477
definicin ............................................................49, 54
Email Client.............................................................102
evaluacin ...............................................................106
exportacin .....................................................804, 808
importar ..................................................................802
informacin general ................................................101
Network Connect.....................................101, 102, 655
Secure Application Manager ....................................101
servidor ...................................................................104
Telnet/SSH...............................................................101
definicin .........................................................560
informacin general .........................................559
informacin general de la configuracin ..........552
opciones generales...........................................561
Terminal Services ....................................................102
web .........................................................101, 385, 422
acceso a Java....................................................387
almacenamiento en cach........................387, 433
autenticacin bsica .........................................426
compresin web.......................................387, 454
control de acceso web..............................386, 424
controles de acceso a Java................................439
firma de cdigo Java.........................................441
iniciar JSAM......................................................387
NTLM ...............................................................426
opciones generales...................................388, 462
parmetros ActiveX..........................................450
personalizacin de vistas..................................463
protocolo..........................................................388
protocolo HTTP 1.1 ..........................................459
proxy passthrough ...........................................446
proxy web................................................387, 456
reescritura........................................................387
reescritura selectiva..........................................443
SSO ..........................................................387, 425
SSO remoto......................................................429
diskFullPercent, objeto MIB.............................................836
dispositivo de licencia SA-700
reescritura de archivos ............................................465
dispositivos de mano
compatibilidad de WSAM ..............493, 504, 726, 1036
habilitar.......................................................1032, 1034
informacin general ..............................................1031
restricciones ..........................................................1032
DMZ, interfaz..........................................................706, 708
ndice
DNS
configuracin para proxy passthrough.............389, 391
nombre de host, definicin en directivas
de recursos ..........................................................105
para el puerto externo .....................................706, 708
resolucin de nombre, configuracin ......................704
servidor de aplicaciones ..........................................918
DoD 5220.M ...................................................................321
dominio NT, Consulte servidor de autenticacin,
Active Directory
Domino Web Access 6.5, restriccin ...............................403
DST, cumplimiento .........................................................642
DTD, reescritura..............................................................445
E
EAP-Message, atributo de RADIUS ..................................155
elementos de secuencia..................................................797
elementos, instancia .......................................................795
Email Client
configuracin ..........................................................652
directivas de recursos ..............................................102
informacin general ................................................647
objeto MIB ...............................................................835
restricciones ..........................................................1031
emuladores de terminal 5250, intermediacin
de trfico con ..............................................................347
Enable Custom Actions, opcin...............................306, 329
Enable Custom Instructions, opcin................................329
encriptacin
cifrados SSL personalizados.....................................735
contraseas .............................................................796
descripcin................................................................27
intensidad ...............................................................735
Encriptacin AES
compatibilidad ........................................................118
encriptacin AES
clave........................................................................327
encriptacin de 128 bits .................................................735
encriptacin de 168 bits .................................................735
enmascaramiento
contraseas en HTML compacto............................1035
nombres de host .....................................................418
enmascaramiento de nombres de host ...........................418
entorno de seguridad
Consulte Secure Access FIPS, entorno de seguridad
informacin general ..............................................1012
equilibrio de carga
Citrix
configuracin ...................................................569
informacin general .........................................568
uso del equilibrador de carga en un clster .............879
espacios de nombres, XML .............................................797
estadsticas, visualizacin................................................840
estndar de saneamiento................................................321
etc/archivo hosts
cambia a
realizado por Host Checker ..............................578
realizado por JSAM ...........................................364
realizado por Network Connect ........................656
realizado por Terminal Services................364, 578
restricciones ............................................................578
etiqueta de final, XML .....................................................795
etiqueta de inicio, XML ...................................................795
etiqueta vaca, XML.........................................................795
eTrust, Consulte servidor de autenticacin, SiteMinder
evaluacin de directivas dinmicas .................................316
evaluacin dinmica de directivas.............................57, 197
exploracin
configuracin de opciones de usuarios finales .........418
opciones, especificacin de archivos ...............476, 485
exploracin de archivos NetBIOS, compatibilidad
de WSAM ............................................................499, 502
explorador
ajustes de seguridad de SiteMinder..........................177
barra de direcciones, vista para usuarios finales ......414
barra de herramientas, vista ....................................414
restricciones de inicio de sesin, usuario ...................63
restricciones, configuracin .......................................62
seguimiento de peticin, configuracin .....................78
exportar ..........................................................................959
exportar ajustes de red ...................................................804
expresiones personalizadas
coincidencia de comodines....................................1045
formatos................................................................1041
funciones
isEmpty ................................................1042, 1045
isUnknown ...........................................1042, 1045
matchDNSuffix ...............................................1046
informacin general ..............................................1041
licencias.................................................................1041
operadores de comparacin
AND ...........................................1041, 1042, 1045
definicin .......................................................1043
NOT .....................................................1042, 1045
OR....................................1041, 1042, 1044, 1045
TO ..................................................................1042
uso
configuraciones en LDAP................................1047
en campos de parmetros de SSO..................1047
en directivas de recursos ......................1047, 1054
en filtros de registro .......................................1042
en marcadores de Terminal Services ..............1054
en marcadores de Windows ...........................1054
en marcadores Web .......................................1054
en nombres de host de Telnet/SSH.................1054
en nombres de host JSAM ..............................1054
en nombres de host WSAM ............................1054
en opciones de UI y texto personalizado ........1054
en reglas de asignacin de roles .....................1047
en roles ..........................................................1054
en territorios ..................................................1054
general .............................................................202
valores, definidos ..................................................1044
ndice
1065
variables
authMethod.................................................... 1047
cacheCleanerStatus ........................................ 1047
certAttr.altName.Alt-attr................................. 1047
certAttr.cert-attr ............................................. 1047
certAttr.serialNumber..................................... 1048
certDN ................................................. 1046, 1048
certDN.subject-attr ......................................... 1048
certDNText .................................................... 1048
certIssuerDN ........................................ 1046, 1048
certIssuerDN.issuer-attr.................................. 1048
certIssuerDNText ........................................... 1048
contrasea ..................................................... 1051
defaultNTDomain........................................... 1049
group.group-name ......................................... 1049
groups............................................................ 1049
hostCheckerPolicy.......................................... 1049
informacin general....................................... 1042
loginHost........................................................ 1049
loginTime....................................................... 1049
loginTime.day ................................................ 1050
loginTime.dayOfWeek ................................... 1050
loginTime.dayOfYear ..................................... 1050
loginTime.month ........................................... 1050
loginTime.year ............................................... 1050
loginURL ........................................................ 1050
networkIf ....................................................... 1050
ntdomain ....................................................... 1050
ntuser ............................................................ 1051
rol .................................................................. 1051
sintaxis de comillas........................................ 1042
sourceIP ......................................................... 1051
territorio ........................................................ 1051
time ..................................................... 1044, 1051
time.day......................................................... 1052
time.dayOfWeek ............................................ 1052
time.dayOfYear.............................................. 1052
time.month .................................................... 1052
time.year ....................................................... 1052
userAgent....................................................... 1053
userAttr.auth-attr............................................ 1053
userDN................................................. 1046, 1053
userDN.user-attr............................................. 1054
userDNText.................................................... 1054
username....................................................... 1052
usuario ........................................................... 1052
variables y funciones de DN .................................. 1046
externalAuthServerUnreachable, objeto MIB ................... 838
F
fanDescription, objeto MIB ............................................. 837
FAT16 ............................................................................. 325
FAT32 ............................................................................. 325
fecha y hora, ajustes....................................................... 847
Federal Information Processing Standards, Consulte
Secure Access FIPS
ficha de rutas.................................................................. 715
fichas, rutas .................................................................... 715
fileName, objeto MIB ...................................................... 835
Filter-Id, atributo de RADIUS .......................................... 155
1066
ndice
G
GINA
Consulte Network Connect
grabacin de sesiones de usuario ...................................855
grficos
configuracin ..........................................................844
resultado de XML ....................................................718
group.groupname, variable de expresin
personalizada............................................................1049
groups, variable de expresin personalizada .................1049
GZIP, compresin, Consulte compresin, GZIP
H
habilitar cach de instrumentacin de Java.....................723
hoja de trabajo de la configuracin de IVS ......................924
hora y fecha, ajustes .......................................................847
horario de verano, cumplimiento....................................642
Host Check nativo, Consulte Host Checker
Host Checker
actualizacin automtica .........................................318
ajustes de seguridad de SiteMinder..........................177
cambios en claves de registro................................1039
ndice
certificado de equipo
configuracin ...................................................282
Consulte tambin certificado, certificado del equipo
informacin general .........................................758
comprobacin de frecuencia ...................................314
correccin
configuracin ...................................................306
informacin general .........................................303
desinstalacin..................................................300, 338
directiva de control de conexiones ..........................263
directivas.................................................................261
ejecucin .........................................................299, 336
especificacin de restricciones
informacin general .........................................261
nivel de directivas de recursos .................109, 299
nivel de rol ...............................................298, 302
nivel de territorio .....................................298, 301
informacin general ................................................257
instalador
directorio .................................................300, 338
habilitar............................................................302
informacin general .................................316, 339
interfaz de integracin del servidor
habilitar............................................................296
registro, inhabilitar ..................................319, 340, 841
requisitos de la medicin de integridad ...................277
restricciones ..........................................................1031
variables de expresin personalizada ....................1049
host, definicin en directivas de recursos .......................105
host, parmetro ..............................................................609
hostCheckerPolicy, variable de expresin
personalizada ............................................................1049
HSM, Consulte Secure Access FIPS
HTC, reescritura..............................................................445
HTML
almacenamiento en cach...............................437, 438
reescritura ...............................................................444
HTTP
directivas de recursos ..............................................388
directivas de recursos de protocolo .........................459
tiempo de espera de conexin, configuracin .........421
HTTPBrowserAddress, parmetro ...................................568
I
iconos de avisos definidos ............................................. xxvi
iconos definidos, aviso................................................... xxvi
Idle-Timeout, atributo de RADIUS ...................................156
IE Explorer, ejecucin de JVM .........................................777
IE/Outlook extensions to allow, opcin............................327
imgenes instantneas, creacin ............................785, 994
imgenes, almacenamiento en cach .............................438
IMAP
compatibilidad ........................................647, 649, 651
servidor de correo ...................................................652
IMC e IMV, vista general..................................................257
iMode, Consulte dispositivos de mano
importar .........................................................................959
IMV de terceros, configuracin........................................289
1067
J
Javascript, reescritura ..................................................... 444
JCP, habilitacin .............................................................. 738
JSAM
cambios en claves de registro................................ 1039
directivas automticas..................................... 407, 410
directivas de recursos.............................................. 387
informacin general ........................................ 491, 517
inicio automtico..................................................... 387
mensajes de contabilidad de
inicio/detencin ........................................... 151, 153
restricciones............................................................ 368
uso de expresiones personalizadas en nombres
de host .............................................................. 1054
uso para configurar Citrix................................ 367, 368
Consulte tambin Secure Application Manager
JVM
compatibilidad con Sun y Microsoft ........................ 348
firma de applets ...................................................... 777
requisitos del certificado ......................................... 441
requisitos, JSAM ...................................................... 528
trabajo con versiones incompatibles ....................... 390
K
Keep-Alives, atributo de RADIUS..................................... 156
Kill Processes, opcin ..................................................... 329
1068
ndice
L
LAN, modificacin de los ajustes de la red ..............706, 708
LDAP
asignacin de marcadores de Windows a................475
licencia de recuperacin ante desastres
Consulte modo de emergencia.................................730
licencia en caso de emergencia
Consulte modo de emergencia
licencia ICE
Consulte modo de emergencia.................................730
licencia SA-700
applets de Java hospedados.....................................345
reescritura web........................................................384
Telnet/SSH...............................................................552
licencia SA700
servidores de autenticacin .....................................112
licencias
actualizacin ...........................................................732
creacin ..................................................................730
informacin general ................................................727
lmites, restricciones .........................................................67
limpieza de archivos ...............................................256, 331
Linux
compatibilidad a travs de JSAM .............................524
compatibilidad a travs de Terminal Services..........363
restriccin de Secure Meeting..................................628
lista de control de acceso (ACL), exportacin ..................792
lista de revocacin de certificados, Consulte certificado,
lista de revocacin
localhost, resolver servidor remoto .................................517
logDescription, objeto MIB..............................................837
logFullPercent, objeto MIB ..............................................835
logID, objeto MIB ............................................................837
loginHost, variable de expresin personalizada ............1049
Login-IP-Host, atributo de RADIUS..................................156
Login-LAT-Group, atributo de RADIUS .............................156
Login-LAT-Node, atributo de RADIUS...............................156
Login-LAT-Port, atributo de RADIUS.................................156
Login-LAT-Service, atributo de RADIUS............................156
Login-Service, atributo de RADIUS ..................................156
Login-TCP-Port, atributo de RADIUS................................156
loginTime, variable de expresin personalizada ............1049
loginTime.day, variable de expresin
personalizada.day .....................................................1050
loginTime.dayOfWeek, variable de expresin
personalizada............................................................1050
loginTime.dayOfYear, variable de expresin
personalizada............................................................1050
loginTime.month, variable de expresin
personalizada............................................................1050
loginTime.year, variable de expresin personalizada.....1050
loginURL custom, variable de expresin
personalizada............................................................1050
logMessageTrap, objeto MIB............................................838
logName, objeto MIB ......................................................836
logType, objeto MIB ........................................................837
ndice
Lotus Notes
archivos, almacenamiento en cach........................437
compatibilidad ................................................647, 651
compatibilidad de WSAM ................................499, 502
informacin general ................................................528
marcadores, configuracin ......................................373
perfiles de recursos .................................................371
M
Macintosh
compatibilidad
JSAM ................................................................524
Terminal Services.............................................363
restriccin de Secure Meeting..................................628
mantenimiento
modo, Secure Access FIPS.....................................1013
tareas, delegacin....................................................903
mquina virtual de Java, Consulte JVM
marcadores
applets de Java hospedados
atributos requeridos .........................................354
definicin .................................................352, 416
informacin general .........................................349
informacin general de la configuracin ..........346
parmetros requeridos .....................................356
restricciones.....................................................350
vinculacin a la consola del IVE........................349
archivo
creacin mediante perfiles de recursos ....467, 471
creacin mediante roles ...........473, 474, 483, 484
restricciones.....................................................471
Citrix
creacin mediante perfiles de recursos ............369
propiedades predeterminadas..................369, 373
Consulte tambin Citrix
exportacin .............................................................792
expresiones personalizas en ..................................1054
Lotus Notes
creacin mediante perfiles de recursos ............373
Consulte tambin Lotus Notes
Microsoft OWA
creacin mediante perfiles de recursos ............377
propiedades predeterminadas..........................377
Consulte tambin Microsoft OWA
proxy passthrough...................................................391
Sharepoint
creacin mediante perfiles de recursos ............381
Consulte tambin Sharepoint
Telnet/SSH...............................................................557
creacin mediante perfiles de recursos ............554
creacin mediante roles ...................................557
informacin general de
la configuracin ....................................552, 556
web
creacin mediante perfiles
de recursos ...................................394, 412, 415
creacin mediante roles ...................................416
habilitar para los usuarios
finales...................................386, 414, 417, 418
1069
MS Exchange
compatibilidad ........................................................ 649
compatibilidad con protocolos ................................ 647
MS-Acct-Auth-Type, atributo de RADIUS.......................... 156
MS-Acct-EAP-Type, atributo de RADIUS .......................... 156
MS-ARAP-Challenge, atributo de RADIUS........................ 156
MS-ARAP-Password-Change-Reason, atributo
de RADIUS .................................................................. 156
MS-BAP-Usage, atributo de RADIUS ................................ 157
MS-CHAP2-CPW, atributo de RADIUS ............................. 157
MS-CHAP2-Response, atributo de RADIUS...................... 157
MS-CHAP2-Success, atributo de RADIUS......................... 157
MS-CHAP-Challenge, atributo de RADIUS........................ 157
MS-CHAP-CPW-1, atributo de RADIUS ............................ 157
MS-CHAP-CPW-2, atributo de RADIUS ............................ 157
MS-CHAP-Domain, atributo de RADIUS .......................... 157
MS-CHAP-Error, atributo de RADIUS ............................... 157
MS-CHAP-LM-Enc-PW, atributo de RADIUS ..................... 157
MS-CHAP-MPPE-Keys, atributo de RADIUS ..................... 157
MS-CHAP-NT-Enc-PW, atributo de RADIUS...................... 157
MS-CHAP-Response, atributo de RADIUS........................ 157
MS-Filter, atributo de RADIUS ......................................... 157
MS-Link-Drop-Time-Limit, atributo de RADIUS ............... 157
MS-Link-Utilization-Threshold, atributo de RADIUS......... 157
MS-MPPE-Encryption-Policy, atributo de RADIUS............ 157
MS-MPPE-Encryption-Types, atributo de RADIUS............ 157
MS-MPPE-Recv-Key, atributo de RADIUS......................... 157
MS-MPPE-Send-Key, atributo de RADIUS ........................ 157
MS-New-ARAP-Password, atributo de RADIUS ................ 157
MS-Old-ARAP-Password, atributo de RADIUS.................. 158
MS-Primary-DNS-Server, atributo de RADIUS.................. 158
MS-Primary-NBNS-Server, atributo de RADIUS................ 158
MS-RAS-Vendor, atributo de RADIUS............................... 158
MS-RAS-Version, atributo de RADIUS.............................. 158
MS-Secondary-DNS-Server, atributo de RADIUS .............. 158
MS-Secondary-NBNS-Server, atributo de RADIUS ............ 158
MTU, configuracin ........................................ 707, 708, 709
MySecureMeeting
integracin
informacin general......................................... 633
N
NAS, Consulte servidor de autenticacin, RADIUS, NAS
NAS-Identifier, atributo de RADIUS ......................... 152, 158
NAS-IP-Address, atributo de RADIUS....................... 152, 158
NAS-Port, atributo de RADIUS................................. 152, 158
NAS-Port-Id, atributo de RADIUS .................................... 158
NAS-Port-Type, atributo de RADIUS ................................ 158
nclauncher.exe................................................................ 694
NCP optimizado, habilitacin.......................................... 738
NCP, habilitacin............................................................. 738
NetBIOS, configuracin de los requisitos en la
directiva de Host Checker ........................................... 281
Netscape
compatibilidad con correo....................................... 650
compatibilidad con Messenger ................................ 648
ejecucin de JVM..................................................... 777
servidor Web........................................................... 752
1070
ndice
Network Connect............................................................954
agrupacin ..............................................................694
cambios en claves de registro................................1039
directivas de recursos ..............................101, 102, 655
figura.......................................................................661
informacin general ........................................234, 655
iniciador ..................................................................694
invocacin desde una aplicacin .............................694
mensajes de contabilidad de
inicio/detencin ...........................................151, 153
mensajes de error..................................................1039
opciones, especificacin ..........................................671
restricciones ..........................................................1031
servidores de DHCP admitidos ................................676
uso ..........................................................................660
uso con WSAM ........................................................497
Network Share Access, opcin ........................................325
networkIf, variable de expresin personalizada ............1050
nodos, clster .........................................................875, 886
nombre de host
configuracin ..................................627, 632, 642, 704
definir en directivas de recursos......104, 467, 477, 486
enmascaramiento....................................................418
resolucin................................................................716
NSM, uso con el IVE..........................................................35
NTFS...............................................................................325
NTP, uso .........................................................................847
ntuser, variable de expresin personalizada..................1051
O
objeto XMLHttpRequest ..................................................461
ocspResponderURL, objeto MIB ......................................837
opcin de desviacin del reloj permitida.........................192
Opcin de Intensidad de la encriptacin.........................736
opcin permitida de desviacin del reloj.........................193
opciones de divisin de encapsulamiento.......................671
Opciones de impresin...................................................324
opciones de seguridad, configuracin .............................735
operaciones de conmutacin por error ...........................879
operador de comparacin de la expresin
personalizada AND................................1041, 1042, 1045
operador de comparacin de la expresin
personalizada NOT ..........................................1042, 1045
operador de comparacin de la expresin
personalizada OR ........................1041, 1042, 1044, 1045
operador de comparacin de la expresin
personalizada TO ......................................................1042
Oracle, configuracin a travs de proxy
passthrough ........................................................390, 392
Outlook
compatibilidad de WSAM ................................499, 502
uso con Secure Meeting
Consulte Secure Meeting, complemento de Outlook
Outlook Web Access, Consulte Microsoft OWA
OWA, Consulte Microsoft OWA
ndice
P
pgina principal, personalizar ...........................................79
pginas HMTL mviles
habilitar .................................................................1035
informacin general ..............................................1031
pginas HTML compacto
contraseas de enmascaramiento .........................1035
habilitar .................................................................1034
informacin general ..............................................1031
panel
configuracin ..........................................................844
informacin general ................................................717
resultado de XML ....................................................718
paquete de actualizacin
instalacin .......................................................721, 739
instalacin en un clster..........................................887
parte confirmadora, Consulte autoridad SAML
parte receptora .......................................................188, 234
Password-Retry, atributo de RADIUS ...............................158
PDA, consulte dispositivos de mano
perfil de recursos de aplicacin web personalizado, Consulte
reescritura web, perfiles de recursos
perfil POST .....................................................187, 189, 194
Consulte tambin SAML, perfil POST
Consulte tambin servidor de autenticacin, SAML
perfil, definido ................................................................237
perfiles
Consulte tambin servidor de autenticacin, SAML
Perfiles de recurso de Windows: Consulte perfiles de recurso,
archivo
perfiles de recursos
applets de Java hospedados.....................................346
archivo ....................................................................465
directivas automticas
almacenamiento en cach web ........................401
applets de Java hospedados..............351, 573, 574
compresin web...............................................411
control de acceso a archivos.............................466
control de acceso web..............................393, 395
controles de acceso a Java................................404
JSAM ................................................................410
proxy passthrough ...........................................407
reescritura selectiva..........................................407
reescritura web ................................................406
SSO ..................................................369, 397, 578
Telnet/SSH........................................................553
WSAM ..............................................................409
plantillas
Consulte applets de Java hospedados................345
Consulte Citrix, perfiles de recursos
Consulte Lotus Notes, perfiles de recursos
Consulte Microsoft OWA, perfiles de recursos
Consulte Microsoft Sharepoint, perfiles de recursos
Telnet/SSH
definicin .........................................................553
informacin general de la configuracin ..........552
Terminal Services, Consulte Terminal Services
URL, definicin........................................................394
web .........................................................................384
permiso automtico
marcadores
archivo .............................................................475
web ..................................................................417
servidores de aplicaciones (JSAM)............................544
servidores de aplicaciones (WSAM) .........................506
sesiones de Telnet/SSH ....................................558, 559
PIMs
instalacin .............................................................1008
PKI, definida ...................................................................749
plantillas
Consulte tambin
applets de Java, hospedados
Citrix, perfiles de recursos
Lotus Notes, perfiles de recursos
Mic
Microsoft OWA, perfiles de recursos
UI personalizable .....................................................220
plataforma, actualizacin ................................................721
Pocket Internet Explorer, compatibilidad de WSAM ......1036
Pocket Outlook, compatibilidad de WSAM ....................1036
Pocket PC
Consulte tambindispositivos de mano
POP
clientes ....................................................................651
compatibilidad.........................................647, 649, 651
servidor de correo ...................................................652
Port-Limit, atributo de RADIUS .......................................158
POST de formulario
directivas de recursos ..............................................429
habilitar ...................................................................400
informacin general ................................................388
Consulte tambin SSO remoto
POST, Consulte POST de formulario
pragma no-cache, Consulte almacenamiento en cach,
configuracin
preferencias, Consulte usuario, preferencias
productName, objeto MIB ...............................................835
productVersion, objeto MIB .............................................835
Prompt, atributo de RADIUS ...........................................158
protocolo
definir en directivas de recursos ......................104, 423
directivas de recursos ..............................................388
especificacin ..........................................................459
protocolo de comunicaciones de Java, habilitacin .........738
protocolo de comunicaciones de red, habilitacin...........738
protocolo de oficina postal, Consulte POP
protocolo de tiempo en red, uso .....................................847
protocolo simple de transferencia de correo, Consulte SMTP
proxy
restriccin de Secure Meeting..................................628
Consulte tambin proxy passthrough
Consulte tambin proxy web
proxy inverso, comparado con proxy passthrough..........389
proxy passthrough
ajustes de DNS.................................................389, 391
ajustes del sistema...........................................390, 391
directivas automticas .............................................406
directivas de recursos ..............................................446
ejemplos..................................................................392
ndice
1071
R
RADIUS, Consulte servidor de autenticacin, RADIUS
raidDescription, objeto MIB ............................................ 837
rearrancar el IVE............................................................. 720
recopiladores (IMV) y comprobadores de medicin de
integridad (IMC) .......................................................... 257
recurso de Windows, marcador ...................................... 474
recursos, componente de directiva de recursos............... 103
redundancia, modo activo/pasivo ................................... 878
reescritura
directivas de recursos.............................................. 387
Consulte tambin proxy passthrough
Consulte tambin web, reescritura
reescritura ActiveX
creacin de directivas de recursos........................... 450
restauracin de directivas de recursos..................... 452
reescritura de archivos
directivas automticas
compresin ...................................................... 469
SSO .................................................................. 470
transaccin de control...................................... 468
directivas de recursos
definicin de recursos ...................................... 467
informacin general......................................... 101
UNIX/NFS................................................. 485, 487
Windows.......................................................... 476
licencias .................................................................. 465
marcadores
UNIX/NFS......................................................... 484
Windows.......................................................... 474
opciones generales
UNIX/NFS................................................. 485, 489
Windows.................................................. 476, 482
1072
ndice
reescritura selectiva
directivas automticas .............................................407
directivas de recursos ..............................................443
informacin general ................................................443
registro
clsteres ..........................................................881, 882
especificacin de eventos en el registro...................830
eventos crticos .......................................................846
filtros
configuracin ...................................................832
informacin general .........................................826
formatos
configuracin ...................................................832
informacin general .........................................826
guardar archivos de registro ....................................828
niveles de gravedad.................................................825
registros de cliente
Cache Cleaner ..................................................338
inhabilitar.........................................319, 340, 841
Secure Meeting.................................................621
registros de instalacin, Secure Meeting ..................621
seguimiento de directivas ........................................855
registro de HKLM............................................................323
registros de los eventos de suscriptores ..........................961
registros del lado cliente, Consulte registro,
registros de cliente
Registry editor, opcin ....................................................326
regla
componente de directiva de recursos ......................103
configuracin ..................................................108, 202
reglas detalladas, Consulte regla
reiniciar el IVE ................................................................720
remote SSO
Consulte tambin SSO
Removable Drives, opcin ..............................................325
Reply-Message, atributo de RADIUS................................158
requisitos de DLL, Host Checker
Consulte Host Checker, interfaz de integracin
del servidor
Consulte Host Checker, interfaz del cliente
requisitos de la medicin de integridad, Host Checker....277
resolucin de problemas, seguimiento de directivas .......854
Restricted View of Files, opcin ......................................325
reunin de apoyo, consulte Secure Meeting, reunin de apoyo
reunin instantnea, consulte Secure Meeting,
reunin instantnea
reuniones en lnea, consulte Secure Meeting
rol
administrador..........................................................906
ajustes, administracin..............................................73
asignacin ...................................53, 71, 195, 199, 201
combinacin .............................................................71
componente de directiva de recursos ......................103
configuracin ............................................................73
definicin ......................................................49, 53, 69
evaluacin .................................................................70
exportacin .............................................................804
importar ..................................................................802
opciones de sesin de usuario, especificacin ...........76
opciones, administracin ..........................................73
ndice
restricciones ..............................................................74
restricciones de inicio de sesin
por IP ...............................................................338
por las directivas de Host Checker ...................301
variable de expresin personalizada......................1051
rol .Administrators ..........................................................903
rol .Read-Only Administrators.........................................903
roles vlidos, definidos .............................................71, 200
RSA
ACE/Server, Consulte servidor de autenticacin,
ACE/Server
compatibilidad con RADIUS, Consulte servidor de
autenticacin, RADIUS
Run menu, opcin ..........................................................326
ruta
ruta esttica.............................................................935
tabla, VLAN .............................................................935
ruta, definicin de directivas de recursos ........468, 477, 487
rutas estticas .........................................................715, 935
S
SAM, Consulte Secure Application Manager
SAML
autoridad, definida ..................................................234
certificado, configuracin ........................................250
consumidor .............................................................192
creacin de una relacin de confianza.....................754
declaracin..............................................................189
emisor, configuracin..............................................250
informacin general ........................................224, 234
perfil de artefacto
configuracin ...........................................239, 250
definicin .........................................................237
perfil POST
configuracin ...................................................250
definicin .........................................................242
receptor, Consulte parte receptora
relacin fiable, creacin...........................................249
respondedor, Consulte autoridad SAML
restricciones ....................................................236, 249
servidor Consulte servidor de autenticacin, SAML
SSO
de acceso, configuracin ..................................250
definicin .........................................................235
perfil, configuracin .........................................250
transaccin de control
autorizacin, definida.......................................236
de acceso, configuracin ..................................250
directiva, definido ............................................245
URL, configuracin ..................................................249
SCP, instantnea de sistema ...........................................994
screenSize, parmetro.....................................................610
sdconf.rec, generacin....................................................119
secuencias multimedia
archivos, almacenamiento en cach........................403
restriccin ...............................................................643
Secure Access 2000, documentacin complementaria
del dispositivo ...........................................................1039
Secure Access 4000, documentacin complementaria
1073
1074
ndice
roles
asistente...........................................................628
controlador remoto ..................................630, 636
creador.............................................................622
director ............................................................629
presentador..............................................629, 630
secuencias multimedia, restriccin..........................643
servidor LDAP
configuracin ...................................132, 620, 638
informacin general .........................................626
servidor SMTP
direcciones de correo electrnico, obtencin ...625
habilitar....................................................625, 641
informacin general .........................................622
tareas programadas
creacin ...........................................................622
visualizacin.....................................................645
tiempos de espera ...................................................640
URL .........................................................................626
visor de reuniones ...................................................628
visualizacin de la actividad ....................................844
Secure Virtual Workspace ...............................................321
Security Assertion Markup Language, Consulte SAML
Seguimiento de directivas, subficha ................................854
Send Reason Strings, opcin de correccin.....................288
serie, consola Consulte consola serie
serverPort, parmetro.....................................................609
Service-Type, atributo de RADIUS ...................................158
Servicio de autenticacin remota de usuarios de acceso
telefnico, Consulte servidor de autenticacin, RADIUS
servicio de confirmacin de usuarios..............................191
definicin ........................................................188, 235
envo de respuesta SAML a......................................189
servicio de instalador
Consulte servicio de Juniper Installer
servicio de Juniper Installer
cambios en claves de registro................................1039
servicio de Juniper Installer, descripcin .........................725
servicio de soporte tcnico ........................................... xxvii
servidor
autenticacin, Consulte servidor de autenticacin
catlogo, configuracin............................................203
definir en directivas de recursos..............467, 477, 486
DHCP ......................................................................954
directivas de recursos ..............................................104
proporcionar acceso seguro a ....................28, 343, 344
servidor annimo, Consulte servidor de autenticacin,
servidor annimo
servidor de acceso de red, Consulte servidor de
autenticacin, RADIUS, NAS
servidor de autenticacin
ACE/Server
archivo de configuracin de Agent ...................118
autenticacin de SecurID..........................160, 163
compatibilidad de protocolo RADIUS ...............145
configuracin ...................................................118
informacin general .........................................117
modos y caractersticas admitidas....................118
resolucin de nombres de host ........................113
restricciones.....................................................117
ndice
Active Directory
administracin de contraseas.........................135
caractersticas de servidor compatibles ............121
compatibilidad con consulta de grupos ............125
configuracin ...........................................114, 121
configuracin de varios dominios.....................124
informacin general .........................................120
restricciones.....................................................121
asignacin a territorio..............................................196
autenticacin local
administracin de contraseas.................138, 141
administracin de cuentas de usuario ..............142
administradores de usuarios ............................142
configuracin ...................................115, 138, 827
contabilidad .....................................................152
creacin de usuarios.........................................140
informacin general .........................................138
restricciones.....................................................139
definicin ..........................................................52, 195
general
configuracin ...........................................113, 115
informacin general .................................111, 114
licencias ...........................................................112
LDAP
administracin de contraseas.........................133
bsqueda de referencias ..................................131
configuracin ...........................................114, 129
configuracin de atributos................................201
configuracin de Secure Meeting......................132
consulta de grupos ...........................................130
informacin general .........................................128
recuperacin de atributos.................................111
restricciones.....................................................129
uso con Secure Meeting, consulte Secure Meeting
RADIUS ...................................................................145
administracin de contraseas.........................148
atributos...........................................................153
atributos de asignacin de roles .......................153
atributos de detencin......................................152
atributos de inicio ............................................152
autenticacin CASQUE .....................................146
caractersticas de servidor compatibles ............145
configuracin ...................................................147
configuracin de atributos................................201
consideraciones del clster.......................151, 160
contabilidad .............................................148, 151
experiencia del usuario ....................................146
informacin general .........................................145
NAS ..................................................................147
PassGo Defender ..............................................146
protocolo ACE/Server .......................................118
recuperacin de atributos.................................112
SSO ..................................................................148
varias sesiones .................................................152
SAML
artefactos .........................................................190
AssertionHandle ...............................................190
autenticacin de cliente SOAP..........................193
cdigo de estado 302 .......................................191
configuracin ...................................................192
1075
1076
ndice
showMenuAnimation
parmetro ...............................................................611
signedInMailUsers, objeto MIB ........................................835
signedInWebUsers, objeto MIB........................................835
sincronizacin de estado.................................................881
sistema
administrador..........................................................906
capacidad, visualizacin ..........................................844
configuracin ..........................................................720
configuracin, exportacin ......................................788
configuracin, importacin......................................788
datos .......................................................................720
datos de sistema descritos.......................................881
estadsticas, visualizacin ........................................840
imagen instantnea .........................................864, 866
software, instalacin................................................739
tareas de administracin, delegacin ......................903
sistema IBM AS/400, intermediacin de trfico con........347
sistema virtual instantneo
Consulte tambin IVS................................................915
SiteMinder, Consulte servidor de autenticacin, SiteMinder
SNMP
ajustes, especificacin .............................................833
capturas
iveClusterChangedVIPTrap ...............................839
iveClusterDelete ...............................................839
iveClusterDisableNodeTrap ..............................839
iveNetExternalInterfaceDownTrap ...................839
iveNetInternalInterfaceDownTrap ....................839
compatibilidad ........................................................825
iveNetManagementInterfaceDownTrap ...................839
supervisin del IVE como un agente........................833
software
instalacin ...............................................................739
instalacin en un clster..........................................887
token, uso para iniciar sesin ..................................117
software antivirus
compatibilidad de WSAM ........................................496
comprobacin usando Host Checker .........................31
Soporte tcnico de Juniper Networks ............................. xxvi
sourceIP, variable de expresin personalizada...............1051
spyware, especificacin de requisitos..............................255
SSL
acelerador ...............................................................723
intensidad de encriptacin permitida ......................735
protocolos de enlace
administracin ...............................................1011
descarga...........................................................723
versin permitida ....................................................735
SSO
directivas automticas Consulte directivas de recursos,
directivas automticas, SSO
directivas de recursos ..............................................387
requisito ..................................................................401
Consulte tambin autenticacin bsica
Consulte tambin NTLM
Consulte tambin Remote SSO
Consulte tambin SAML
Consulte tambin servidor de autenticacin, SiteMinder
ndice
SSO remoto
configuracin
directivas automticas..............................398, 400
directivas de encabezados/cookies ...................431
directivas POST de formulario..........................429
licencias ..................................................................384
restricciones ....................................................389, 400
startApp, parmetro .......................................................610
startDir, parmetro .........................................................610
State, atributo de RADIUS ...............................................158
Sun JVM, Consulte JVM
supervisin de suscriptores.............................................961
supervisor de eventos, visualizacin ...............................846
suscriptores
acceso prohibido .....................................................938
supervisin ..............................................................961
suspensin del acceso .............................................961
topologa .................................................................924
swapUtilNotify, objeto MIB..............................................839
Switch to Real Desktop, opcin.......................................325
Synchronization Settings (configuraciones
de sincronizacin) .......................................................884
Synchronize last access time for user sessions........883, 884
Synchronize log messages ......................................882, 884
Synchronize user sessions ......................................882, 884
T
tarjeta aceleradora
gzip .......................................................................1026
SSL ..........................................................................723
Task manager, opcin .....................................................326
Telephone-number, atributo de RADIUS..........................158
Telnet/SSH
ajustes de terminal admitidos..................................551
directivas de recursos ..............................................101
definicin .........................................................560
informacin general .........................................559
opciones generales...........................................561
informacin general ........................................551, 559
informacin general de la configuracin..................552
licencias ..................................................................552
marcadores
expresiones personalizas en...........................1054
marcadores, Consulte marcadores, Telnet/SSH
mecanismos de seguridad admitidos.......................551
opciones generales ..................................................558
opciones, especificacin ..........................................559
perfiles de recursos .................................................553
protocolos admitidos ...............................................551
restricciones ..........................................551, 554, 1031
Terminal Services
archivo de configuracin ICA
descargar .........................................................612
nmero de versin ...........................................613
personalizacin ................................583, 591, 601
personalizado o predeterminado......................570
prueba con el cliente ICA .................................613
visualizacin de ajustes
predeterminados ..................................583, 601
1077
territorio
administrador ......................................................... 906
administrar ..................................................... 905, 906
asignacin a directiva de inicio de sesin ................ 215
definicin ............................................................ 49, 52
requisitos de seguridad.............................................. 53
variable de expresin personalizada...................... 1051
territorios de autenticacin, consulte territorios
themes
parmetro ............................................................... 611
THMTL, usar para crear pginas personalizadas ............. 220
tiempo de espera
advertencia, ajuste .................................................... 77
recordatorio, ajuste ................................................... 76
Secure Meeting........................................................ 640
sesin inactiva........................................................... 76
sesin inactiva, actividad de aplicacin ..................... 79
sesin mxima.......................................................... 76
Consulte tambin tiempos de espera de la sesin
tiempos de espera de inactividad, Secure Meeting.......... 640
time, variable de expresin personalizada .................... 1051
time.day, variable de expresin personalizada .............. 1052
time.dayOfWeek, variable de expresin
personalizada............................................................ 1052
time.dayOfYear, variable de expresin
personalizada............................................................ 1052
time.month, variable de expresin personalizada......... 1052
time.year, variable de expresin personalizada ............. 1052
tipos de clientes, consulte dispositivos de mano
TLS, versin permitida.................................................... 735
token de hardware, uso para iniciar sesin ..................... 117
token de respondedor ptico, Consulte servidor de
autenticacin, RADIUS, CASQUE
token, uso para iniciar sesin ......................................... 117
tokens de SecurID, Consulte servidor de autenticacin,
ACE/Server, SecurID
tokens de SoftID, Consulte servidor de autenticacin,
ACE/Server
traceroute, comando....................................................... 993
trfico TCP, brindar seguridad, Consulte WSAM, trfico TCP
transmisin de credenciales
a otra aplicacin Consulte SSO
verificacin Consulte servidor de autenticacin
transmisin de nombre de usuario
a otra aplicacin Consulte SSO
verificacin, Consulte servidor de autenticacin
Trend Micro, compatibilidad de WSAM ........................... 497
Trusted Computing Group (TCG) ..................................... 255
Trusted Network Connect (TNC) ..................................... 255
tnel de acceso de autenticacin previa
descripcin.............................................................. 310
especificacin.......................................................... 311
tnel de acceso, Consulte tnel de acceso de
autenticacin previa
Tunnel-Assignment-ID, atributo de RADIUS .................... 159
Tunnel-Client-Auth-ID, atributo de RADIUS ..................... 159
Tunnel-Client-Endpoint, atributo de RADIUS................... 159
Tunnel-Link-Reject, atributo de RADIUS.......................... 159
Tunnel-Link-Start, atributo de RADIUS ............................ 159
Tunnel-Link-Stop, atributo de RADIUS ............................ 159
1078
ndice
U
UDP
puerto 6543.............................................................865
trfico, brindar seguridad, Consulte WSAM, trfico UDP
UI personalizable
cargar ......................................................................220
consola de administracin, ajustes de directiva
de recursos ..........................................................463
Secure Meeting
configuracin ...................................................621
restriccin ........................................................627
uso con SiteMinder..................................................163
unidad de transmisin mxima,
configuracin ..............................................707, 708, 709
UNIX
directivas de recursos, definicin ............................486
marcadores .............................................................484
perfiles de recurso, Consulte perfiles de recurso, archivo
servidor de autenticacin, Consulte servidor de
autenticacin, NIS
URL
enmascaramiento....................................................418
estadsticas de acceso..............................................840
URL de inicio de sesin, definicin..........................217
vista para usuarios
Consulte marcadores, web
URL de comprobacin de estado ....................................879
URL de comprobacin de estado L7 ...............................879
URL de inicio de sesin URL, definicin..........................214
URL de servicio de transferencia de archivo, Consulte
servidor de autenticacin, SAML
URL de servicio de transferencia entre sitios del sitio
de origen.....................................................................192
URL de servicio del respondedor SOAP de origen ...........193
userAgent, variable de expresin personalizada............1053
userAttr.auth-attr, variable de expresin
personalizada............................................................1053
userDN, variable de expresin personalizada................1053
userDN.user-attr, variable de expresin
personalizada............................................................1054
userDNText, variable de expresin personalizada .........1054
username
variable de expresin personalizada......................1052
User-Name, atributo de RADIUS .............................152, 159
User-Password, atributo de RADIUS ................................159
uso de CPU, visualizacin ...............................................845
uso de la capacidad de transferencia, visualizacin ........845
ndice
V
variable de expresin personalizada .............................1050
variable USER
en marcadores de UNIX ..........................................484
en marcadores de Windows ....................................474
en marcadores Web ................................................417
variables de expresin personalizada
de dominio .....................................................1049, 1050
VBScript, reescritura .......................................................444
velocidad del vnculo, configuracin ...............706, 707, 709
ventana de chat, Consulte Secure Meeting, mensajes de texto
versin de la supervisin de firmas de virus y versin
del cortafuegos en el cliente ........................................274
virtual
nombre de host
configuracin ...................................407, 447, 704
Consulte tambinnombre de host
puerto......................................................................943
asociacin con un certificado ...........................757
definicin .........................................................756
habilitar............................................................711
sistema, IVS.............................................................937
vista general de actualizacin de tiempo de
inactividad cero...........................................................717
vista general de las caracterstica de
administracin central.................................................717
VLAN ......................................................................932, 939
definicin de puerto ........................................710, 933
eliminacin..............................................................936
tabla de rutas...........................................................935
VPN sin clientes, informacin general.............................655
VPN SSL, Consulte IVE
W
web
compresin
Consulte compresin
directivas de control acceso
directivas automticas..............................393, 395
directivas de recursos...............................386, 424
directivas de recursos ..............................................101
estadsticas de uso ms altas ...................................840
marcadores
Consulte marcadores
proxy
directivas de recursos...............................387, 456
intermediacin de solicitudes a ........................427
reescritura
Citrix ................................................................361
configuracin predeterminada .........................406
directivas automticas......................................406
directivas de recursos.......................................422
informacin general .........................................386
informacin general de la configuracin...........384
licencias ...........................................................384
Lotus Notes ......................................................371
marcadores ......................................................415
Microsoft OWA.................................................375
Microsoft Sharepoint ........................................379
opciones generales ...........................................418
perfiles de recursos ..........................................392
Windows 2000................................................................321
Windows Mobile, Consulte dispositivos de mano
Windows XP ...................................................................321
WINS
para el puerto externo .....................................706, 708
servidor, configuracin ............................................705
ndice
1079
WSAM
actualizacin ........................................................... 507
ajustes de rol
aplicaciones que se pasan por alto ................... 504
configuracin de aplicaciones .......................... 501
configuracin de servidores ............................. 503
informacin general......................................... 501
opciones generales........................................... 506
ajustes de zona de Internet ..................................... 506
aplicaciones admitidas
Citrix........................................................ 499, 502
cortafuegos personal GreenBow ....................... 497
Exploracin de archivos NetBIOS............. 499, 502
Lotus Notes .............................................. 499, 502
McAfee............................................................. 496
Microsoft Outlook .................................... 499, 502
Norton AntiVirus ...................................... 496, 497
PDA ............................................................... 1036
Pocket Internet Explorer ................................ 1036
Pocket Outlook .............................................. 1036
Trend Micro ..................................................... 497
Windows Terminal Services ........................... 1036
cambios en claves de registro................................ 1039
canal de reenvo de puerto, informacin general .... 496
coincidencia de IP/nombre de host ......................... 510
compatibilidad de PDA
Consulte dispositivos de mano, compatibilidad
de WSAM
controlador LSP, informacin general ..................... 495
controlador TDI, informacin general ..................... 495
depuracin .............................................................. 497
desinstalacin ......................................................... 506
directivas automticas..................................... 407, 409
directivas de recursos
especificacin de servidores............................. 508
informacin general......................................... 508
opciones generales........................................... 510
experiencia del usuario ........................................... 495
informacin general ........................................ 491, 493
informacin general de la configuracin ................. 492
inicio automtico..................................................... 506
instalador para secuencia de comandos
Consulte WSAM, instaladores ........................... 495
instaladores
descargar ......................................................... 726
informacin general......................................... 494
Consulte tambin WSAM, scripts
licencias .................................................................. 492
mensajes de contabilidad de
inicio/detencin ........................................... 151, 153
mensajes de error ................................................. 1039
perfiles de recursos
directivas automticas...................................... 500
informacin general......................................... 498
marcadores ...................................................... 498
perfiles de aplicacin cliente ............................ 498
perfiles de red de destino................................. 500
permiso automtico de servidores
de aplicaciones .................................................... 506
preferencias de usuario ........................................... 494
1080
ndice
restricciones ............................................................368
scripts
ejecucin..................................................512, 513
ejemplo ............................................................513
escritura ...........................................................510
habilitar............................................................507
trfico TCP, seguridad .............................................496
trfico UDP, seguridad.............................................496
uso con Network Connect .......................................497
uso de expresiones personalizadas en nombres
de host...............................................................1054
uso para configurar Citrix ........................................367
X
XML
contraseas .............................................................796
ejemplo del cdigo ..................................................795
espacios de nombres...............................................797
importar/exportar
ajustes de la red ...............................................804
archivo de instancia .........................................794
asignacin de instancia XML a UI .....................798
cuentas de usuario locales ................................808
directivas de recursos.......................................808
elementos de instancia.....................................795
etiqueta de final ...............................................795
etiqueta de inicio..............................................795
etiqueta vaca ...................................................795
integridad referencial .......................................797
pginas de inicio de sesin...............................806
secuencia de elementos ...................................797
reescritura .......................................................444, 447
XSLT, reescritura .............................................................444