5.1 Autenticación en eDirectory

Antes de que el usuario pueda acceder a cualquier aplicación o directiva, debe entrar en la red (es decir, entrar en Novell eDirectory™) para verificar los derechos de entrada y establecer una conexión a los servidores de red en los que necesite autenticarse.

IMPORTANTE:La autenticación LDAP, que se lanza cuando los usuarios entran y acceden a las directivas o aplicaciones de ZENworks, consume dos de las entradas de gracia concedidas a un usuario cuando caduca la contraseña del usuario. Las entradas de gracia se definen en ConsoleOne en la página Restricciones (sección de restricciones de contraseña) del objeto Usuario de eDirectory.

Por ejemplo, cuando eDirectory notifica a un usuario que le quedan 2 entradas de gracia en un servidor, dicho usuario no tiene realmente ninguna entrada de gracia y no podrá entrar hasta que se restablezca la contraseña.

Si ha instalado el Cliente Novell®, el Agente de gestión de escritorios y el servidor de etapa intermedia, hay tres situaciones de entrada:

5.1.1 Entrada mediante el Cliente Novell

Cuando se utiliza el Cliente Novell para autenticarse, toda la comunicación entre eDirectory y el sistema de archivos del servidor utiliza el protocolo NCP™ tradicional de Novell. El cliente se lanza como la interfaz de usuario de GINA (identificación y autenticación gráfica) de entrada por defecto. Para obtener más información sobre la autenticación mediante el Cliente Novell, consulte Uso del Cliente Novell para la autenticación en la Guía de instalación de ZENworks 7 Desktop Management de Novell.

El proceso de autenticación en eDirectory mediante el cliente de 32 bits en esta situación se representa en el diagrama siguiente:

Figura 5-1 Autenticación en eDirectory usando el Cliente Novell de 32 bits

Tabla 5-1 Pasos del proceso de autenticación de eDirectory usando el Cliente Novell de 32 bits

Paso

Explicación

Un usuario con los derechos adecuados introduce las credenciales de eDirectory en los campos de entrada de la interfaz GINA del Cliente Novell.

El Cliente Novell envía la petición de autenticación a eDirectory en un paquete NDAP/LDAP.

eDirectory confirma que las credenciales de entrada son válidas y envía el paquete de respuesta de autenticación mediante NDAP/LDAP a la estación de trabajo del usuario.

El Cliente Novell de la estación de trabajo del usuario recibe el paquete de respuesta y confirma que la autenticación es correcta. Se establece la conexión de red.

Sin embargo, si esas mismas estaciones de trabajo se sacan del cortafuegos, el cliente continúa lanzándose como GINA de entrada por defecto. Los usuarios pueden entrar localmente a sus propios escritorios de Windows pero no pueden autenticarse en eDirectory mediante el servidor de etapa intermedia de ZENworks.

Si los usuarios que tienen el agente y el cliente instalados en el mismo equipo desean autenticarse y recibir aplicaciones desde fuera del cortafuegos, aún pueden hacerlo siguiendo un método diferente de entrada, pero esas estaciones sólo pueden recibir archivos de aplicaciones, no directivas de gestión de escritorios. Por esta razón, debería pensar en eliminar el cliente e instalar sólo el agente en aquellas estaciones de trabajo que se van a utilizar principalmente fuera del cortafuegos.

Para obtener más información sobre el método de entrada alternativo utilizado cuando el cliente y el agente se instalan juntos en una estación de trabajo situada fuera del cortafuegos, consulte Entrada en la estación de trabajo local.

5.1.2 Entrada mediante el Agente de gestión de escritorios

Si instala el Agente de gestión de escritorios y desea que los usuarios entren en la red mediante este agente, necesita entender cómo se autentica éste en la red. Para obtener más información acerca de la instalación del Agente de gestión de escritorios para la autenticación, consulte Uso del Agente de gestión de escritorios y el servidor de etapa intermedia de ZENworks para autenticación en la Guía de instalación de ZENworks 7 Desktop Management de Novell.

El diagrama que aparece a continuación muestra el proceso de autenticación de un usuario en eDirectory mediante el Agente de gestión de escritorios situado fuera del cortafuegos. El proceso es similar cuando el usuario se encuentra dentro del cortafuegos.

Figura 5-2 Autenticación en eDirectory mediante un Agente de gestión de escritorios situado detrás del cortafuegos

Tabla 5-2 Pasos para la autenticación en eDirectory mediante un Agente de gestión de escritorios situado detrás del cortafuegos

Paso

Explicación

Un usuario accede al Agente de gestión de ZENworks e indica su ID y contraseña.

El agente recoge las credenciales del usuario. Mediante métodos de cifrado de clave de sesión y de clave privada o pública, las credenciales pasan de forma segura al servidor de etapa intermedia de ZENworks (a través de un cortafuegos de empresa) mediante HTTP o HTTPS.

NOTA:la seguridad de las credenciales siempre se consigue mediante las técnicas mencionadas anteriormente, tanto si el mecanismo de transporte es HTTP o HTTPS.

El servicio Web del servidor de etapa intermedia de ZENworks recibe las credenciales a través del cortafuegos, anula su análisis, las convierte en un paquete NDAP/LDAP y, a continuación, utiliza NDAP/LDAP para pasarlas a través del puerto del cortafuegos de apoyo a eDirectory.

NOTA:no se utilizan licencias de NetWare® en el servidor de etapa intermedia de ZENworks. Las conexiones con licencia se utilizan en el Servidor de Desktop Management.

eDirectory recibe el paquete NDAP/LDAP, confirma que las credenciales de entrada sean válidas y envía el paquete de respuesta de autenticación a través de NDAP/LDAP al servidor de etapa intermedia de ZENworks.

El servidor de etapa intermedia de ZENworks vuelve a cifrar el paquete LDAP o NDAP devuelto a XML y, a continuación, envía el paquete de confirmación XML mediante HTTP o HTTPS al Agente de gestión de ZENworks.

El agente recibe el paquete XML, anula su análisis y lo convierte en formato binario, de modo que el usuario de la estación de trabajo pueda reconocer una entrada satisfactoria.

Cuando eDirectory autentica a los usuarios, éstos quedan autenticados en cualquier servidor del árbol para el que el administrador les haya concedido derechos.

El servidor de etapa intermedia de ZENworks utiliza LDAP/NDAP para autenticarse en eDirectory debido a las prestaciones de búsqueda de estos protocolos. Si selecciona Contraseñas no cifradas durante la instalación del servidor de etapa intermedia de ZENworks, la petición de autenticación puede utilizar sólo el ID de usuario (sin contexto) para buscar el árbol completo del usuario que se está autenticando. Sin una contraseña no cifrada, el usuario debe entrar mediante su nombre completo con punto inicial o puede restringir a ese usuario a un dominio de autenticación, que es un contexto concreto del directorio.

Para obtener más información sobre la autenticación y la función del servidor de etapa intermedia de ZENworks en el acceso a los archivos de ZENworks, consulte la Sección 3.3, Servidor de gestión de escritorios.

5.1.3 Entrada en la estación de trabajo local

Si los usuarios evitan la entrada del Agente de gestión de ZENworks al entrar únicamente en la estación de trabajo local, aún tendrán que autenticarse en eDirectory para acceder a sus aplicaciones.

Si el icono del Explorador de aplicaciones aparece en el escritorio del usuario o en la bandeja del sistema, el usuario tiene la opción (haciendo clic con el botón derecho en el icono) de entrar en el servidor de etapa intermedia de ZENworks. Si el usuario decide entrar, aparece la interfaz GINA de entrada de los servicios de seguridad de Novell.

Figura 5-3 Recuadro de diálogo de entrada de los servicios de seguridad de Novell

Cuando el usuario introduce el ID de usuario y la contraseña en la interfaz GINA de entrada de los servicios de seguridad, esas credenciales se entregan al servidor de etapa intermedia de ZENworks, que las pasa a eDirectory para la autenticación. Esta interfaz GINA de entrada sigue el mismo proceso de autenticación que la interfaz GINA de entrada del Agente de gestión de escritorios. Para obtener más información, consulte Entrada mediante el Agente de gestión de escritorios.