Guía de usuarioIM C2000/C2500/C3000/C3500/C4500/C5500/C6000 series

Preparación del servidor para usarlo como autenticación de usuarios

Si usa la autenticación de Windows o LDAP por primera vez, compruebe que el entorno del servidor se ajusta a los requisitos para autenticar usuarios y configure los ajustes que sean necesarios.

Para usar la autenticación de Windows

Prepare el servidor de esta forma:

  1. Compruebe los requisitos de la autenticación de Windows.

  2. Instale el servidor web (ISS) y el servicio de certificado de Active Directory en el servidor.

  3. Cree un certificado de servidor.

    No tiene que crear un certificado de servidor para enviar información de usuario no cifrada.

Para usar la autenticación LDAP

Compruebe los requisitos de la autenticación LDAP y configure los ajustes en función del entorno del servidor.

Requisitos de la autenticación del servidor para autenticar usuarios

Autenticación Windows

Elementos

Explicación

SO utilizables

Windows Server 2008/2008 R2/2012/2012 R2/2016/2019

  • Para utilizar la autenticación Kerberos con Windows Server 2008, instale el Service Pack 2 o una versión posterior.

Método de autenticación

Compatible con estos métodos de autenticación:

  • Autenticación NTLM (NTLMv1/NTLMv2)

  • Autenticación Kerberos

Para especificar la autenticación de Kerberos, el servidor que autentique usuarios debe ser compatible con la autenticación de Kerberos. Si el servidor no es compatible con ella, la autenticación NTLM se seleccionará de forma automática.

Requisitos de autenticación

  • Configure un controlador de dominio en el dominio que especifique.

  • Para obtener la información de usuario al ejecutar Active Directory, use LDAP. Recomendamos que se cifre la comunicación entre la máquina y el servidor LDAP con SSL/TLS. El servidor debe ser compatible con el método de cifrado TLS1.0/1.1/1.2 o SSL 3.0. Registre el certificado del servidor del controlador del dominio de forma anticipada.

    Cómo crear un certificado de servidor

  • TLS1.0/SSL 3.0 está deshabilitado en los ajustes predeterminados de fábrica. Para usar TLS1.0/SSL 3.0, especifique que TLS1.0/SSL 3.0 debe habilitarse en Web Image Monitor.

  • La transmisión de datos entre la máquina y el servidor KDC (Key Distribution Center) debe cifrarse cuando se habilita la autenticación Kerberos.

    Cifrado de la comunicación de red

Nota

  • El servidor puede autenticar los usuarios gestionados en otros dominios, pero no puede obtener algunos datos, como la dirección de correo electrónico.

  • Si se habilita la autenticación de Kerberos, la dirección de correo electrónico no se puede obtener si se especifica SSL/TLS.

  • Al realizar la autenticación, la información del servidor puede sobrescribir la información de la libreta de direcciones de un usuario autenticado, como la dirección de correo electrónico, aunque usted la edite.

  • Si ha creado un usuario nuevo en el controlador de dominio y ha seleccionado "User must change password at next logon" en la configuración de contraseñas, inicie la sesión en el ordenador y cambie la contraseña.

  • Si se activa la cuenta de Invitado en el servidor de Windows, los usuarios no registrados en el controlador de dominios podrán ser autenticados. Cuando se habilita esta cuenta, los usuarios se registran en la libreta de direcciones y pueden utilizar las funciones disponibles en [*Grupo predeterminado].

Autenticación LDAP

Elementos

Explicaciones

Versión utilizable

LDAP, versión 2.0/3.0

Método de autenticación

  • Autenticación Kerberos

  • Autenticación de tipo Digest

  • Autenticación de texto común

Cuando selecciona la autenticación de texto común, se activa la autenticación LDAP simplificada. La autenticación simplificada no puede realizarse con un atributo de usuario (como por ejemplo: cn o uid) en lugar de DN.

Requisitos de autenticación

  • Para usar SSL/TLS, el servidor debe ser compatible con el método de cifrado TLS1.0/1.1/1.2 o SSL 3.0.

  • TLS1.0/SSL 3.0 está deshabilitado en los ajustes predeterminados de fábrica. Para usar TLS1.0/SSL 3.0, especifique que TLS1.0/SSL 3.0 debe habilitarse en Web Image Monitor.

  • Para usar la autenticación de Kerberos, registre el dominio para distinguir el área de red.

  • La transmisión de datos entre la máquina y el servidor KDC (Key Distribution Center) debe cifrarse cuando se habilita la autenticación Kerberos.

    Cifrado de la comunicación de red

  • Al usar LDAP, solo la versión 3.0 puede usar la autenticación de tipo Digest.

Notas cuando el servidor LDAP se configura con Active Directory

  • Cuando se habilita la autenticación de Kerberos con SSL/TLS, no se puede obtener la dirección de correo.

  • La autenticación anónima podría estar disponible. Para mejorar la seguridad, deshabilite la autenticación anónima.

Nota

  • Al realizar la autenticación, la información del servidor puede sobrescribir la información de la libreta de direcciones de un usuario autenticado, como la dirección de correo electrónico, aunque usted la edite.

  • Con la autenticación LDAP, no puede especificar límites de acceso para grupos registrados en el servidor.

  • Al usar la máquina por primera vez, el usuario puede usar "Funciones disponibles", especificado en [Gestión de autenticación de usuario].

  • Para especificar "Funciones disponibles" para cada usuario, registre el usuario con "Funciones disponibles" en la libreta de direcciones o especifique las funciones disponibles en el usuario registrado automáticamente en la libreta de direcciones.

Instalación del servidor web (IIS) y el servicio de certificado de Active Directory

Instale el servicio necesario en el servidor de Windows para obtener la información del usuario registrada en Active Directory de forma automática.

Windows Server 2012/2012 R2/2016/2019

1En el menú [Inicio], haga clic en [Administrador de servidores].

2En el menú [Administrar], haga clic en [Agregar roles y características].

3Haga clic en [Siguiente].

4Seleccione [Instalación basada en características o en roles] y haga clic en [Siguiente].

5Seleccione un servidor.

6Seleccione las casillas de verificación [Active Directory Certificate Service] y [Web Server (IIS)] y haga clic en [Siguiente].

Si aparece un mensaje de confirmación, haga clic en [Agregar características].

7Seleccione las características que quiera instalar y haga clic en [Siguiente].

8Lea la información del contenido y haga clic en [Siguiente].

9Compruebe que [autoridad de certificado] esté seleccionada en el área de servicios de rol de los servicios de certificados de Active Directory y haga clic en [Siguiente].

10Lea la información del contenido y haga clic en [Siguiente].

Cuando use Windows Server 2016, vaya al paso 12 cuando haya leído la información del contenido.

11Seleccione los servicios de función que quiera instalar en el servidor web (IIS) y haga clic en [Siguiente].

12Haga clic en [Instalar].

13Una vez finalizada la instalación, haga clic la notificación del administrador de servidores y, a continuación, haga clic en [Configure Active Directory Certificate Service on the destination server].

14Haga clic en [Siguiente].

15Marque [Autoridad de certificado] en el área de servicios de función y, a continuación, haga clic en [Siguiente].

16Seleccione [CA empresarial] y haga clic en [Siguiente].

17Seleccione [CA raíz] y haga clic en [Siguiente].

18Seleccione [Create a new private key] (Crear una nueva clave privada) y haga clic en [Siguiente].

19Seleccione un proveedor de servicios de cifrado, una longitud de clave y un algoritmo Hash para crear una nueva clave privada y haga clic en [Siguiente].

20En "Common name for this CA:", introduzca el nombre de la entidad emisora de certificados y haga clic en [Siguiente].

21Seleccione el período de validez y haga clic en [Siguiente].

22No cambie "Certificate database location:" ni "Certificate database log location:" y haga clic en [Siguiente].

23Haga clic en [Configurar].

24Cuando aparezca el mensaje "Configuration succeeded" (Configuración correcta), haga clic en [Cerrar].

Windows Server 2008 R2

1En el menú "Inicio", vaya a "Herramientas administrativas" e inicie el administrador del servidor.

2Haga clic en [Roles] en la columna izquierda y haga clic en [Agregar roles] en el menú "Acción".

3Haga clic en [Siguiente].

4Seleccione las casillas de verificación "Web Server (IIS)" y "Active Directory Certificate Services" y haga clic en [Siguiente].

Si aparece un mensaje de confirmación, haga clic en [Agregar características].

5Lea la información del contenido y haga clic en [Siguiente].

6Marque "Autoridad de certificado" y, a continuación, haga clic en [Siguiente].

7Seleccione "Enterprise" y haga clic en [Siguiente].

8Seleccione "CA raíz" y haga clic en [Siguiente].

9Seleccione "Create a new private key" y haga clic en [Siguiente].

10Seleccione un proveedor de servicios de cifrado, una longitud de clave y un algoritmo Hash para crear una nueva privada y haga clic en [Siguiente].

11En "Common name for this CA:", introduzca el nombre de la entidad emisora de certificados y haga clic en [Siguiente].

12Seleccione el período de validez y haga clic en [Siguiente].

13No cambie "Ubicación de la base de datos de certificados:" ni "Ubicación del registro de la base de datos de certificados:" y haga clic en [Siguiente].

14Lea las notas y haga clic en [Siguiente].

15Seleccione los servicios de función que quiera instalar y haga clic en [Siguiente].

16Haga clic en [Instalar].

Comenzará la instalación de las funciones añadidas.

Cómo crear un certificado de servidor

Para cifrar la información del usuario, cree un certificado de servidor en Windows. Se utiliza Windows Server 2016 como ejemplo.

1En el menú [Inicio] vaya a [All Applications] y haga clic en [Internet Information Service (IIS) Manager] de [Herramientas administrativas].

2En la columna izquierda, haga clic en [Nombre del servidor] y, a continuación, haga doble clic en [Certificado de servidor].

3En la columna derecha, haga clic en [Crear una solicitud de certificado...].

4Introduzca toda la información y haga clic en [Siguiente].

5En "Proveedor de servicios de cifrado:", seleccione un proveedor y haga clic en [Siguiente].

6Haga clic en [...] y especifique un nombre de archivo para la solicitud de certificado.

7Especifique una ubicación para guardar el archivo y haga clic en [Abrir].

8Haga clic en [Finalizar].