Guía de seguridad > Dominios de seguridad de LDAP > Configuración de un dominio de seguridad de LDAP
  

Configuración de un dominio de seguridad de LDAP

Puede crear un dominio de seguridad de LDAP para las cuentas de usuario que importe desde un servicio de directorio de LDAP. Para organizar diferentes grupos de usuarios, puede crear varios dominios de seguridad de LDAP.
La creación y administración de los usuarios y grupos de LDAP se realiza en el servicio de directorio de LDAP. Configure una conexión con el servidor de LDAP y utilice filtros de búsqueda para especificar los usuarios y grupos que pueden acceder al dominio de Informatica. A continuación, importe las cuentas de usuario en los dominios de seguridad de LDAP. Si el servidor de LDAP utiliza un protocolo SSL, también debe especificar la ubicación del certificado de SSL.
Los usuarios se pueden importar desde los siguientes servicios de directorio de LDAP:
Después de importar usuarios en un dominio de seguridad de LDAP, se pueden asignar funciones, privilegios y permisos a los usuarios. Pueden asignar cuentas de usuario de LDAP a grupos nativos para organizarlos según sus funciones en el dominio de Informatica. No puede utilizar Administrator Tool para crear, editar ni eliminar usuarios ni grupos de un dominio de seguridad de LDAP.
Utilice el cuadro de diálogo Configuración de LDAP para establecer la conexión con el servicio de directorio de LDAP y crear el dominio de seguridad de LDAP. También puede utilizar el cuadro de diálogo Configuración de LDAP para configurar un programa de sincronización.
Para configurar el dominio de seguridad de LDAP, realice los pasos siguientes:
  1. 1. Configure la conexión al servidor de directorio de LDAP.
  2. 2. Configure un dominio de seguridad.
  3. 3. Programe las horas de sincronización.

Paso 1. Configurar la conexión al servidor de LDAP

Configure la conexión al servidor de LDAP que contiene el servicio de directorio desde el que desea importar las cuentas de usuario para el dominio de Informatica.
Al configurar la conexión al servidor de LDAP, indique que el administrador de servicios debe omitir la distinción entre mayúsculas y minúsculas en los atributos del nombre distintivo de las cuentas de usuario de LDAP cuando se asignan usuarios a grupos en el dominio de Informatica. Si el administrador de servicios no omite la distinción entre mayúsculas y minúsculas, es posible que no asigne todos los usuarios que pertenecen a un grupo.
Si modifica las propiedades de conexión de LDAP para conectarse a otro servicio de directorio de LDAP, asegúrese de que los filtros de usuario y grupo de los dominios de seguridad de LDAP sean los correctos para el nuevo servicio de directorio de LDAP. Verifique que los filtros incluyan los usuarios y grupos que desee utilizar en el dominio de Informatica.
Para configurar una conexión al servicio de directorio de LDAP, realice las tareas siguientes:
    1. En la herramienta Administrator, haga clic en la ficha Seguridad.
    2. Haga clic en el menú Acciones y seleccione Configuración de LDAP.
    3. En el cuadro de diálogo Configuración de LDAP, haga clic en la ficha Conectividad de LDAP.
    4. Configure las propiedades de conexión del servidor de LDAP.
    Es posible que tenga que ponerse en contacto con el administrador de LDAP para obtener información relativa al servidor de LDAP.
    La siguiente tabla describe las propiedades de configuración del servidor de LDAP:
    Propiedad
    Descripción
    Nombre del servidor
    El nombre del equipo que hospeda el servicio de directorio de LDAP.
    puerto
    El puerto de escucha del servidor de LDAP. Es el número de puerto para comunicarse con el servicio de directorio de LDAP. Por lo general, el número de puerto del servidor de LDAP es 389. Si el servidor de LDAP utiliza SSL, el número de puerto del servidor de LDAP es 636. El número máximo de puerto es 65535.
    Servicio de directorio de LDAP
    Tipo de servicio de directorio LDAP.
    Seleccione uno de los siguientes servicios de directorio:
    • - Servicio Microsoft Active Directory
    • - Servicio de directorio de Sun Java System
    • - Servicio de directorio e-Directory de Novell
    • - Servicio de directorio Tivoli de IBM
    • - Servicio de directorio de LDAP abierto
    Nota: Si utiliza la autenticación Kerberos, debe seleccionar el servicio Microsoft Active Directory.
    Nombre
    Nombre distintivo (DN) para el usuario principal. El nombre de usuario suele estar formado por un nombre común (CN), un nombre de organización (O) y un país (C). El nombre de usuario principal es un usuario administrativo que tiene acceso al directorio. Especifique un usuario que tenga permiso para leer otras entradas de usuario en el servicio de directorio de LDAP. Deje esta propiedad en blanco si el usuario que inicia la sesión es anónimo. Si desea más información, consulte la documentación del servicio de directorio de LDAP.
    Contraseña
    La contraseña del usuario principal. Deje esta propiedad en blanco si el usuario que inicia la sesión es anónimo.
    No disponible si utiliza la autenticación Kerberos.
    Usar certificado SSL
    Indica que el servidor de LDAP utiliza el protocolo de capa de conexión segura (SSL).
    Confiar en certificado LDAP
    Determina si el administrador de servicios puede confiar en el certificado SSL del servidor de LDAP. Si selecciona esta propiedad, el administrador de servicios se conecta con el servidor de LDAP sin verificar el certificado SSL. Si no la selecciona, el administrador de servicios comprueba que el certificado SSL esté firmado por una entidad certificadora antes de conectarse con el servidor de LDAP.
    Para habilitar el administrador de servicios para que reconozca un certificado autofirmado como válido, especifique el archivo truststore y la contraseña que se debe usar.
    No distingue entre mayúsculas y minúsculas
    Indica que el administrador de servicios debe omitir la distinción entre mayúsculas y minúsculas para los atributos del nombre distintivo cuando se asignan usuarios a grupos. Habilite esta opción.
    Atributo de pertenencia a grupos
    Nombre del atributo que contiene información de pertenencia a grupos para un usuario. Es el atributo del objeto de grupo de LDAP que contiene los DN de los usuarios y grupos que son miembros de un grupo. Por ejemplo, member o memberof.
    Tamaño máximo
    Número máximo de cuentas de usuario que se importan a un dominio de seguridad. Por ejemplo, si el valor se ha definido en 100, puede importar un máximo de 100 cuentas de usuario en el dominio de seguridad.
    Si el número de usuarios para importar excede el valor de esta propiedad, el administrador de servicios genera un mensaje de error y no importa ningún usuario. Defina esta propiedad en un valor más alto si tiene muchos usuarios para importar.
    El valor predeterminado es 1000.
    5. Haga clic en Probar conexión para verificar que la conexión al servidor de LDAP sea válida.

Paso 2. Configurar un dominio de seguridad

Debe crear un dominio de seguridad para cada conjunto de cuentas de usuario y grupos que desee importar desde el servidor de directorio de LDAP. Defina bases de búsqueda y filtros para definir el conjunto de cuentas de usuario y grupos que se deben incluir en un dominio de seguridad. El administrador de servicios usa los filtros y las bases de búsqueda de usuarios para importar las cuentas de usuario y los filtros y las bases de búsqueda de grupos para importar grupos. El administrador de servicios importa los grupos y la lista de usuarios que pertenecen a los grupos en cuestión. Importa los grupos incluidos en el filtro de grupos y las cuentas de usuario incluidas en el filtro de usuarios.
Los nombres de los usuarios y los grupos que se deben importar desde el servicio de directorio de LDAP deben seguir las mismas reglas que los nombres de los usuarios y grupos nativos. El administrador de servicios no importa usuarios o grupos de LDAP si los nombres no siguen estas reglas.
Nota: A diferencia de lo que ocurre con los nombres de usuarios nativos, los nombres de usuarios LDAP distinguen entre mayúsculas y minúsculas.
Cuando configure el servicio de directorio de LDAP, puede usar diferentes atributos para el ID único (UID, por sus siglas en inglés). El administrador de servicios requiere un determinado UID para identificar a los usuarios en cada servicio de directorio de LDAP. Antes de configurar el dominio de seguridad, compruebe que el servicio de directorio de LDAP use el UID requerido.
En la siguiente tabla se enumera el UID necesario para cada servicio de directorio de LDAP:
Servicio de directorio de LDAP
UID
IBMTivoliDirectory
uid
Microsoft Active Directory
sAMAccountName
NovellE
uid
OpenLDAP
uid
SunJavaSystemDirectory
uid
El administrador de servicios no importa el atributo de LDAP que indica que una cuenta de usuario está habilitada o deshabilitada. Debe habilitar o deshabilitar una cuenta de usuario de LDAP en Administrator Tool. El estado de la cuenta de usuario en el servicio de directorio de LDAP influye en la autenticación del usuario en las aplicaciones cliente. Una cuenta de usuario, por ejemplo, puede estar habilitada en el dominio de Informatica pero deshabilitada en el servicio de directorio de LDAP. Si el servicio de directorio de LDAP permite a las cuentas de usuario deshabilitadas iniciar sesión, el usuario puede iniciar sesión en las aplicaciones cliente. Si el servicio de directorio de LDAP no permite a las cuentas de usuario deshabilitadas iniciar sesión, el usuario no puede iniciar sesión en las aplicaciones cliente.
Nota: Si modifica las propiedades de conexión de LDAP para que se conecte a un servidor de LDAP diferente, el administrador de servicio no elimina los dominios de seguridad existentes. Debe asegurarse de que los dominios de seguridad de LDAP sean correctos para el nuevo servidor de LDAP. Modifique los filtros de usuario y grupo de los dominios de seguridad o cree otros dominios de seguridad de modo que el administrador de servicios importe correctamente los usuarios y grupos que desee utilizar en el dominio de Informatica.
Para configurar un dominio de seguridad de LDAP, realice los pasos siguientes:
    1. En la herramienta Administrator, haga clic en la ficha Seguridad.
    2. Haga clic en el menú Acciones y seleccione Configuración de LDAP.
    3. En el cuadro de diálogo Configuración de LDAP, haga clic en la ficha Dominios de seguridad.
    4. Haga clic en Añadir.
    5. Use la sintaxis de consulta de LDAP para crear filtros que permitan especificar los usuarios y grupos que se deben incluir en el dominio de seguridad que está creando.
    Es posible que tenga que ponerse en contacto con el administrador de LDAP para obtener la información relativa a los usuarios y grupos disponibles en el servicio de directorio de LDAP.
    La siguiente tabla describe las propiedades de filtro que se pueden definir para un dominio de seguridad:
    Propiedad
    Descripción
    Dominio de seguridad
    El nombre del dominio de seguridad de LDAP. El nombre no distingue mayúsculas de minúsculas y debe ser exclusivo en el dominio. No puede exceder los 128 caracteres ni contener los siguientes caracteres especiales:
    , + / < > @ ; \ % ?
    El nombre puede contener un carácter de espacio ASCII, menos en el primer y último carácter. Los otros caracteres de espacio no están permitidos.
    Base de búsqueda de usuarios
    El nombre distintivo (DN) de la entrada que sirve como el punto de inicio para buscar nombres de usuario en el servicio de directorio de LDAP. La búsqueda encuentra un objeto en el directorio en función de la ruta de acceso en el nombre distintivo del objeto.
    Por ejemplo, en Microsoft Active Directory, el nombre distintivo de un objeto de usuario puede ser cn=UserName,ou=OrganizationalUnit,dc=DomainName, donde la serie de nombres distintivos relativos que denota dc=DomainName identifica el dominio DNS del objeto.
    Filtro de usuarios
    Una cadena de consulta de LDAP que especifica los criterios para buscar usuarios en el servicio de directorio. El filtro puede especificar los tipos de atributo, los valores de aserción y los criterios coincidentes.
    Por ejemplo: (objectclass=*) busca todos los objetos. (&(objectClass=user)(!(cn=susan))) busca todos los objetos de usuario a excepción de “susan”. Si desea más información sobre los filtros de búsqueda, consulte la documentación del servicio de directorio de LDAP.
    Base de búsqueda de grupos
    El nombre distintivo (DN) de la entrada que sirve como el punto de inicio para buscar nombres de grupo en el servicio de directorio de LDAP.
    Filtro de grupos
    Una cadena de consulta de LDAP que especifica los criterios para buscar grupos en el servicio de directorio.
    6. Haga clic en Vista previa para ver un subconjunto de la lista de usuarios y grupos que se hallan dentro de los parámetros del filtro.
    Si la vista previa no muestra el conjunto correcto de usuarios y grupos, modifique los filtros de usuario y grupo y busque en las bases para obtener los usuarios y grupos correctos.
    7. Para añadir otro dominio de seguridad de LDAP, repita los pasos del 4 al 6.
    8. Para sincronizar inmediatamente los usuarios y grupos de los dominios de seguridad con los del servicio de directorio de LDAP, haga clic en Sincronizar ahora.
    El administrador de servicios sincroniza los usuarios de todos los dominios de seguridad de LDAP con los usuarios del servicio de directorio de LDAP. El tiempo que tarda el proceso de sincronización en completarse depende del número de usuarios y grupos que se deben importar.
    9. Haga clic en Aceptar para guardar los dominios de seguridad.

Paso 3. Programe las horas de sincronización

Mediante la configuración de un programa, el administrador de servicios puede sincronizar periódicamente la lista de usuarios y grupos del dominio de seguridad de LDAP con la lista de usuarios y grupos del servicio de directorio de LDAP.
Importante: Antes de iniciar el proceso de sincronización, compruebe que el archivo /etc/hosts contiene una entrada para el nombre de host del servidor de LDAP. Si el Administrador de servicios no puede resolver el nombre de host del servidor de LDAP, la sincronización de usuarios podría generar un error.
Durante la sincronización, el administrador de servicios importa los usuarios y grupos desde el servicio de directorio de LDAP. El administrador de servicios elimina cualquier usuario o grupo desde el dominio de seguridad de LDAP que ya no esté incluido en los filtros de búsqueda utilizados para la importación.
De forma predeterminada, el administrador de servicios no tiene una hora programada para la sincronización con el servicio de directorio de LDAP. Para asegurarse de que la lista de usuarios y grupos de los dominios de seguridad de LDAP sea precisa, puede programar las horas del día a las que quiera que el administrador de servicios sincronice los dominios de seguridad de LDAP. El administrador de servicios sincroniza los dominios de seguridad de LDAP con el servicio de directorio de LDAP todos los días a las horas que establezca.
Nota: Durante la sincronización, el administrador de servicios bloquea la cuenta de usuario que sincroniza. Cuando la cuenta de usuario está bloqueada, el administrador de servicios no puede autenticar la cuenta de usuario. Por ello, es posible que los usuarios no puedan iniciar sesión en las aplicaciones cliente. Posiblemente, los usuarios que estén conectados a los clientes de aplicación cuando comience la sincronización no puedan realizar tareas. La duración de la sincronización varía en función del número de usuarios y grupos objeto del proceso. Para evitar interrupciones, se recomienda sincronizar los dominios de seguridad en períodos de baja actividad de los usuarios.
Para sincronizar más de 100 usuarios o grupos, habilite la paginación en el servicio de directorio de LDAP antes de ejecutar la sincronización. Si no habilita la paginación en el servicio de directorio de LDAP, la sincronización puede fallar.
Para programar la sincronización de los dominios de seguridad de LDAP con el servicio de directorio de LDAP, realice los pasos siguientes:
    1. En la herramienta Administrator, haga clic en la ficha Seguridad.
    2. Haga clic en el menú Acciones y seleccione Configuración de LDAP.
    3. En el cuadro de diálogo Configuración de LDAP, haga clic en la ficha Programar.
    4. Haga clic en el botón Añadir (+) para añadir una hora.
    El programa de sincronización utiliza un formato de 24 horas.
    Puede añadir tantas horas de sincronización como necesite. Si la lista de usuarios y grupos del servicio de directorio de LDAP cambia con frecuencia, sería conveniente programar el administrador de servicios para que realice la sincronización en distintos puntos del día.
    5. Para sincronizar inmediatamente los usuarios y grupos de los dominios de seguridad con los del servicio de directorio de LDAP, haga clic en Sincronizar ahora.
    6. Haga clic en Aceptar para guardar el programa de sincronización.
    Nota: Si reinicia el dominio de Informatica antes de que el administrador de servicios se sincronice con el servicio de directorio de LDAP, se perderán las horas de sincronización que ha añadido.

Uso de grupos anidados en el servicio de directorio de LDAP

Un dominio de seguridad de LDAP puede contener grupos de LDAP anidados. El administrador de servicios puede importar grupos anidados que se hayan creado de la siguiente forma:
Desea crear, por ejemplo, una agrupación anidada en la que el GrupoB pertenezca al GrupoA y el GrupoD, al GrupoC.
  1. 1. Cree el GrupoA, el GrupoB, el GrupoC y el GrupoD dentro de la misma unidad organizativa.
  2. 2. Edite el GrupoA y añada el GrupoB como un miembro.
  3. 3. Edite el GrupoC y añada el GrupoD como un miembro.
No puede importar grupos de LDAP anidados a un dominio de seguridad de LDAP que se haya creado de diferente forma.

Uso de un certificado SSL autofirmado

Puede conectarse con un servidor de LDAP que utilice un certificado SSL firmado por una entidad emisora de certificados (CA). Como valor predeterminado, el administrador de servicios no se conecta con un servidor de LDAP que use un certificado autofirmado.
Para usar un certificado autofirmado, importe el certificado en cuestión a un archivo truststore y use la variable de entorno INFA_JAVA_OPTS para especificar el archivo truststore y la contraseña:
setenv INFA_JAVA_OPTS -Djavax.net.ssl.trustStore=<TrustStoreFile>
-Djavax.net.ssl.trustStorePassword=<TrustStorePassword>
En Windows, configure INFA_JAVA_OPTS como variable de sistema.
Reinicie el nodo para que el cambio sea efectivo. El administrador de servicios usa el archivo truststore para verificar el certificado SSL.
keytool es una clave y una utilidad de administración de certificados que permite generar y administrar claves y certificados para usarlos con el protocolo de seguridad SSL. Puede usar keytool para crear un archivo truststore o para importar un certificado a un archivo truststore que ya exista. Puede encontrar la utilidad keytool en el siguiente directorio:
<PowerCenterClientDir>\CMD_Utilities\PC\java\bin
Si desea más información sobre el uso de keytool, consulte la documentación en el siguiente sitio web: http://docs.oracle.com/javase/7/docs/technotes/tools/windows/keytool.html.
The software available for download at the referenced links belongs to a third party or third parties, not Informatica LLC. The download links are subject to the possibility of errors, omissions or change. Informatica assumes no responsibility for such links and/or such software, disclaims all warranties, either express or implied, including but not limited to, implied warranties of merchantability, fitness for a particular purpose, title and non-infringement, and disclaims all liability relating thereto.