Activación de la autenticación del servidor LDAP

LDAP es un protocolo basado en estándares, multiplataforma y extensible que se ejecuta directamente sobre TCP/IP. Se utiliza para acceder a bases de datos especializadas que se denominan directorios.

Para evitar mantener múltiples credenciales de usuario puede utilizar el servidor LDAP de la empresa para autenticar los ID de usuario y sus contraseñas.

Como requisito, el servidor LDAP debe contener grupos de usuarios que corresponden a las funciones requeridas del usuario. Para obtener más información, consulte Descripción de las funciones de usuario.

1. Haga clic en la esquina superior derecha de la página.

2. Haga clic en LDAP y, a continuación, seleccione Activar LDAP para la autenticación.

3. En la sección de Información de la autenticación, configure los ajustes.

   • Nombre de host del servidor LDAP— La dirección IP o el nombre de host del servidor LDAP donde se llevará a cabo la autenticación. Si desea utilizar una comunicación cifrada entre el servidor MVE y el servidor LDAP, utilice el nombre de dominio completamente cualificado (FQDN):

   • Puerto del servidor— El número de puerto que utiliza el equipo local para comunicarse con el servidor de comunidad LDAP. MVE utiliza el número de puerto para determinar qué tipo de cifrado utilizar. El número de puerto predeterminado es 389. Si se utiliza el número de puerto predeterminado, a continuación MVE comienza su conexión sin cifrar. De lo contrario, MVE comienza su conexión mediante el cifrado SSL.

   • DN raíz— El nombre base distinguido (DN) del nodo raíz. En la jerarquía del servidor de comunidad de LDAP, este nodo debe ser el antecesor del nodo de usuario y del nodo de grupo. Por ejemplo, dc=mvptest,dc=com.

     Nota: Al especificar el DN raíz, asegúrese de que solo dc y o sean parte del DN raíz. Si ou o cn es el antecesor de los nodos de usuario y grupo, utilice ou o cn en las bases de búsqueda de grupo y de usuario.

   • Base de búsqueda de usuario— El nodo en el servidor de comunidad de LDAP en el que existe el objeto de usuario. Este nodo se encuentra bajo el DN raíz, donde se muestran todos los nodos de usuario. Por ejemplo, ou=people.

   • Filtro de búsqueda de usuario— El parámetro para localizar un objeto de usuario en el servidor de comunidad de LDAP. Por ejemplo, (uid={0}).

     Ejemplos de condiciones múltiples permitidas y expresiones complejas

     Iniciar sesión con	En el campo Filtro de búsqueda de usuario, escriba
     Nombre común	(CN={0})
     Nombre de inicio de sesión	(sAMAccountName={0})
     Nombre principal del usuario	(userPrincipalName={0})
     Número de teléfono	(telephoneNumber={0})
     Nombre de inicio de sesión o nombre común	(|(sAMAccountName={0})(CN={0}))

     
     

     Nota: El único patrón válido es {0}, lo que significa que MVE busca el nombre de inicio de sesión de usuario de MVE.

   • Permitir la búsqueda de usuarios anidados— El sistema busca todos los nodos situados en la base de búsquedas de usuario.

   • Base de búsqueda de grupo— El nodo en el servidor de comunidad de LDAP en el que están los grupos de usuarios correspondientes a las funciones de MVE. Este nodo se encuentra bajo el DN raíz, donde se muestran todos los nodos de grupo. Por ejemplo, ou=group.

   • Filtro de búsqueda de grupo— El parámetro para localizar a un usuario dentro de un grupo que corresponda a una función en MVE.

     Nota: Solo los patrones {0} y {1} se pueden utilizar. Si se utiliza {0}, MVE busca el DN de usuario de LDAP. Si se utiliza {1}, MVE busca el nombre de inicio de sesión de usuario de MVE.

   • Atributo de función de grupo— El atributo que contiene el nombre completo del grupo. Por ejemplo, cn.

   • Permitir la búsqueda de grupos anidados— El sistema busca todos los nodos situados en la base de búsquedas del grupo.

4. A partir de la sección de Información vinculante, seleccione un tipo de vinculación.

   • Anónimo: esta opción está seleccionada de forma predeterminada. El servidor MVE no proporciona su identidad o credenciales al servidor LDAP para usar la utilidad de búsqueda de servidor LDAP. La sesión de búsqueda de LDAP de seguimiento solo utiliza comunicación sin cifrar.

   • Simple—El servidor MVE proporciona las credenciales especificadas al servidor LDAP para usar la utilidad de búsqueda del servidor LDAP. Si el puerto del servidor está definido en 389, la comunicación con el servidor LDAP no está cifrada. Si el puerto está definido con cualquier otro valor, significa que la comunicación está cifrada.

     1. En el campo de Nombre distinguido de enlace, escriba el DN de enlace.

     2. Escriba la contraseña del enlace y confírmela.

   • TLS— El sistema utiliza la comunicación cifrada Iniciar TLS entre el servidor MVE y el servidor LDAP. El servidor MVE se autentica totalmente ante el servidor LDAP utilizando la identidad del servidor MVE (DN de enlace) y las credenciales (contraseña de enlace). TLS solo funciona cuando se utiliza el puerto 389.

     El uso de un certificado autofirmado requiere el certificado que se va a importar en la máquina virtual de Java Truststore de MVE para validarlo. Para obtener más información, consulte Instalación de certificados del servidor LDAP.

     1. En el campo de Nombre distinguido de enlace, escriba el DN de enlace.

     2. Escriba la contraseña del enlace y confírmela.

   • Kerberos—Para configurar los valores, haga lo siguiente:

     1. Haga clic en Elegir archivo y, a continuación, busque el archivo krb5.conf.

     2. En el menú Método de cifrado, seleccione si utilizar el cifrado SSL.

     3. Seleccione el tipo de autenticación.

        Si el tipo de autenticación está definido en el nombre de KDC/contraseña, configure los ajustes.

        1. Escriba el nombre del Centro de distribución de llaves (KDC).

        2. Introduzca la contraseña de KDC y confírmela.

5. Desde la sección Grupos LDAP para la asignación de funciones MVE, configure las funciones.

   Notas:

   • Para obtener más información, consulte Descripción de las funciones de usuario.
   • MVE asigna automáticamente el grupo LDAP especificado en su función de MVE correspondiente.
   • Puede asignar un grupo de LDAP a varias funciones de MVE y también puede escribir más de un grupo LDAP en el campo de una función.
   • Al escribir varios grupos de LDAP en los campos de funciones, utilice el carácter de barra vertical (|) para separar varios grupos de LDAP. Por ejemplo, si desea incluir los grupos administración y activos para la función de Administración y, a continuación, escriba administración|activos en el campo Grupos LDAP para Administración.
   • Si solo desea utilizar la función Admin y no las otras funciones de MVE, deje los campos en blanco.

6. Haga clic en Guardar cambios.