Activación de la autenticación del servidor LDAP

LDAP es un protocolo basado en estándares, multiplataforma y extensible que se ejecuta directamente sobre TCP/IP. Se utiliza para acceder a bases de datos especializadas que se denominan directorios.

Para evitar mantener múltiples credenciales de usuario puede utilizar el servidor LDAP de la empresa para autenticar los ID de usuario y sus contraseñas.

Como requisito, el servidor LDAP debe contener grupos de usuarios que corresponden a las funciones requeridas del usuario. Para obtener más información, consulte Descripción de las funciones de usuario.

1. Haga clic en , en la esquina superior derecha de la página.

2. Haga clic en LDAP y, a continuación, seleccione Activar LDAP para la autenticación.

3. En el campo Nombre de host del servidor LDAP, escriba la dirección IP o el nombre de host del servidor LDAP donde se llevará a cabo la autenticación.

   Nota: Si desea utilizar una comunicación cifrada entre el servidor MVE y el servidor LDAP, utilice el nombre de dominio completamente cualificado (FQDN).

4. Especifique el número de puerto del servidor de acuerdo con el protocolo de cifrado seleccionado.

5. Seleccione el protocolo de cifrado.

   • Ninguno

   • TLS: un protocolo de seguridad que utiliza el cifrado de datos y la autenticación de certificados para proteger la comunicación entre un servidor y un cliente. Si se selecciona esta opción, se envía un comando START_TLS al servidor LDAP una vez establecida la conexión. Utilice esta configuración si quiere establecer una comunicación segura a través del puerto 389.

   • SSL/TLS: un protocolo de seguridad que utiliza la criptografía de clave pública para autenticar la comunicación entre un servidor y un cliente. Utilice esta opción si quiere establecer una comunicación segura desde el inicio del enlace LDAP. Esta opción se utiliza normalmente para el puerto 636 u otros puertos LDAP seguros.

6. Seleccione el tipo de enlace.

   • Anónimo: esta opción está seleccionada de forma predeterminada. El servidor MVE no proporciona su identidad o credenciales al servidor LDAP para usar la utilidad de búsqueda de servidor LDAP. Esta opción se suele depreciar en casi todas las implementaciones de LDAP, por lo que no se debe utilizar nunca.

   • Sencillo: el servidor MVE proporciona las credenciales especificadas al servidor LDAP para usar la utilidad de búsqueda del servidor LDAP.

     1. Escriba el nombre de usuario del enlace.

     2. Escriba la contraseña del enlace y confírmela.

   • Kerberos: para configurar los valores, haga lo siguiente:

     1. Escriba el nombre de usuario del enlace.

     2. Escriba la contraseña del enlace y confírmela.

     3. Haga clic en Elegir archivo y, a continuación, busque el archivo krb5.conf.

   • SPNEGO: para configurar los valores, haga lo siguiente:

     1. Escriba el nombre principal del servicio.

     2. Haga clic en Elegir archivo y, a continuación, busque el archivo krb5.conf.

     3. Haga clic en Elegir archivo y, a continuación, busque el archivo Keytab de Kerberos.

     Esta opción solo se utiliza para la configuración del Mecanismo de negociación GSSAPI simple y protegido (SPNEGO) para admitir la funcionalidad de inicio de sesión único.

7. En la sección Opciones avanzadas, configure lo siguiente:

   • Base de búsqueda: el nombre base distinguido (DN) del nodo raíz. En la jerarquía del servidor de comunidad de LDAP, este nodo debe ser el antecesor del nodo de usuario y del nodo de grupo. Por ejemplo, dc=mvptest,dc=com.

     Nota: Al especificar el DN raíz, asegúrese de que solo dc y o sean parte del DN raíz. Si ou o cn es el antecesor de los nodos de usuario y grupo, utilice ou o cn en las bases de búsqueda de grupo y de usuario.

   • Base de búsqueda de usuarios: el nodo en el servidor de comunidad de LDAP en el que existe el objeto de usuario. Este nodo se encuentra bajo el DN raíz, donde se muestran todos los nodos de usuario. Por ejemplo, ou=people.

   • Filtro de búsqueda de usuarios: el parámetro para localizar un objeto de usuario en el servidor de comunidad de LDAP. Por ejemplo, (uid={0}).

     Ejemplos de condiciones múltiples permitidas y expresiones complejas

     Iniciar sesión con	En el campo Filtro de búsqueda de usuarios, escriba
     Nombre común	(CN={0})
     Nombre de inicio de sesión	(sAMAccountName={0})
     Nombre principal del usuario	(userPrincipalName={0})
     Número de teléfono	(telephoneNumber={0})
     Nombre de inicio de sesión o nombre común	(|(sAMAccountName={0})(CN={0}))

     
     
     Nota: El único patrón válido es {0}, lo que significa que MVE busca el nombre de inicio de sesión de usuario de MVE.

   • Objeto base de búsqueda de usuarios y subárbol completo: el sistema realiza la búsqueda en todos los nodos de la base de búsqueda de usuarios.

   • Base de búsqueda de grupo: el nodo en el servidor de comunidad de LDAP en el que están los grupos de usuarios correspondientes a las funciones de MVE. Este nodo se encuentra bajo el DN raíz, donde se muestran todos los nodos de grupo. Por ejemplo, ou=group.

   • Filtro de búsqueda de grupo: el parámetro para localizar a un usuario dentro de un grupo que corresponda a una función en MVE.

     Nota: Solo los patrones {0} y {1} se pueden utilizar. Si se utiliza {0}, MVE busca el DN de usuario de LDAP. Si se utiliza {1}, MVE busca el nombre de inicio de sesión de usuario de MVE.

   • Atributo de función de grupo: escriba el atributo LDAP para el nombre completo del grupo. Un atributo LDAP tiene un significado específico y define una asignación entre un atributo y un nombre de campo. Por ejemplo, el atributo LDAP cn está asociado al campo Nombre completo. El atributo LDAP commonname también está asignado al campo Nombre completo. Por lo general, este atributo debe permanecer en su valor predeterminado: cn.

   • Objeto base de búsqueda de usuarios y subárbol completo: el sistema realiza la búsqueda en todos los nodos de la base de búsqueda de grupo.

8. En la sección Asignación de grupos de LDAP a función de MVE, escriba los nombres de los grupos LDAP que corresponden a las funciones de MVE.

   Notas:

   • Para obtener más información, consulte Descripción de las funciones de usuario.
   • Puede asignar un grupo LDAP a varias funciones de MVE. También puede introducir más de un grupo LDAP en un campo de función utilizando el carácter de barra vertical (|) para separar varios grupos. Por ejemplo, si desea incluir los grupos administración y activos para la función Administración, escriba administración|activos en el campo de función Grupos de LDAP para Admin.
   • Si solo desea utilizar la función Administración y no las otras funciones de MVE, deje los campos en blanco.

9. Haga clic en Guardar cambios.