Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen

Guía de inicio de Secure Access y de Secure Access FIPS de NetScreen, Plataforma instantánea para extranet virtual de NetScreen

Serie NetScreen Secure Access de Juniper Networks Serie NetScreen Secure Access FIPS de Juniper Networks Guía de inicio Versión 4.x Juniper Networks, Inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 EE.UU. +1-408-745-2000 www.juniper.net Número de pieza: 093-1228-000-ES

Juniper Networks, el logotipo de Juniper Networks, NetScreen, NetScreen Technologies, el logotipo de NetScreen, NetScreen-Global Pro, ScreenOS y GigaScreen son marcas comerciales registradas de Juniper Networks, Inc. en los Estados Unidos y en otros países. Juniper Networks, el logotipo de Juniper Networks, NetScreen, NetScreen Technologies, Neoteris, Neoteris-Secure Access, Neoteris-Secure Meeting, NetScreen-SA 1000, NetScreen-SA 3000, NetScreen-SA 5000, IVE, GigaScreen y el logotipo de NetScreen son marcas comerciales registradas de Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC y NetScreen ScreenOS son marcas comerciales de Juniper Networks, Inc. Todas las demás marcas comerciales y marcas comerciales registradas son propiedad de sus respectivas empresas. Copyright 2001 D. J. Bernstein. Copyright 1985-2003 por Massachusetts Institute of Technology. Reservados todos los derechos. Copyright 2000 por Zero-Knowledge Systems, Inc. Copyright 2001, Dr. Brian Gladman <brg@gladman.uk.net>, Worcester, Reino Unido. Reservados todos los derechos. Copyright 1989, 1991 Free Software Foundation, Inc. Copyright 1989, 1991, 1992 por Carnegie Mellon University. Derivative Work - 1996, 1998-2000. Copyright 1996, 1998-2000 The Regents of the University of California. Reservados todos los derechos. Copyright 1999-2001 The OpenLDAP Foundation, Redwood City, California, EE.UU. Reservados todos los derechos. Se autorizan la copia y la distribución de copias íntegras de este documento. Copyright 1995 Tatu Ylonen <ylo@cs.hut.fi>, Espoo, Finlandia. Reservados todos los derechos. Copyright 1986 Gary S. Brown. Copyright 1998 CORE SDI S.A., Buenos Aires, Argentina. Copyright 1995, 1996 por David Mazieres <dm@lcs.mit.edu>. Copyright 1998-2002. The OpenSSL Project. Reservados todos los derechos. Copyright 1989-2001, Larry Wall. Reservados todos los derechos. Copyright 1989, 1991 Free Software Foundation, Inc. Copyright 1996-2002 Andy Wardley. Reservados todos los derechos. Copyright 1998-2002. Canon Research Centre Europe Ltd. Copyright 1995-1998. Jean-loup Gailly y Mark Adler. Guía de inicio de NetScreen Secure Access y NetScreen Secure Access FIPS de Juniper Networks, versión 4.x Copyright 2004, Juniper Networks, Inc. Reservados todos los derechos. Impreso en los EE.UU. Redactora: Carolyn A. Harding Editora: Claudette degiere Historial de revisiones 14 de mayo de 2004 Borrador Beta 28 de mayo de 2004 Borrador final Juniper Networks no asume responsabilidad alguna por ninguna imprecisión que pueda contener este documento. Juniper Networks se reserva el derecho a cambiar, modificar, transferir o revisar de cualquier otro modo esta publicación sin previo aviso.

Contenido Paso 1: Instalar el hardware...1 Paso 2: Realizar la configuración básica...4 Paso 3: Actualizar y registrar la licencia del IVE...7 Paso 4: Verificar la accesibilidad de los usuarios...9 Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE...12 Ajustes predeterminados para administradores...27 Contenido iii

iv Contenido

Gracias por elegir el dispositivo NetScreen Instant Virtual Extranet (IVE) de Juniper Networks. Puede instalar el IVE y empezar a configurar el sistema en cinco sencillos pasos: Paso 1: Instalar el hardware...1 Paso 2: Realizar la configuración básica...4 Paso 3: Actualizar y registrar la licencia del IVE...7 Paso 4: Verificar la accesibilidad de los usuarios...9 Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE...12 Recomendamos que instale el dispositivo NetScreen Secure Access o NetScreen Secure Access FIPS en su red de área local para asegurarse de que puede comunicarse con los recursos necesarios, a saber: Servidores de autenticación Servidores DNS Servidores web internos mediante HTTP/HTTPS Sitios web externos mediante HTTP/HTTPS (opcional) Servidores de archivos Windows (opcional) Servidores de archivos NFS (opcional) Aplicaciones cliente/servidor (opcional) Si decide instalar el dispositivo en una DMZ, cerciórese de que el dispositivo IVE pueda conectarse a estos recursos. Las versiones francesa, alemana y japonesa de esta guía están disponibles en el sitio web de Soporte Técnico. Paso 1: Instalar el hardware El dispositivo IVE se suministra con los soportes de montaje unidos a la parte frontal del chasis. Utilizando estos soportes, monte el equipo en el bastidor, conecte la alimentación eléctrica y conecte los cables incluidos al equipo siguiendo estos pasos: 1. Monte el dispositivo IVE en el bastidor de su servidor. 2. En el panel trasero, enchufe el cable de alimentación en el receptáculo de CA y presione el conmutador de alimentación para encender la unidad. Paso 1: Instalar el hardware 1

3. En el panel frontal: 1. Empuje el conmutador de palanca en la esquina derecha una vez. El LED verde situado a la derecha del conmutador de alimentación se enciende. En los dispositivos Secure Access FIPS, el piloto del disco duro del IVE se ilumina siempre que se lean o escriban datos en el disco duro del IVE. 2. Enchufe el cable Ethernet en el puerto izquierdo. Este puerto izquierdo utiliza dos LED para indicar el estado de la conexión LAN, que se describe en la Tabla 1 en la página 3. Figura 1: El puerto izquierdo está situado en el panel frontal. 3. Enchufe el cable serie en el puerto serie: Figura 2: El puerto serie se encuentra en el panel frontal. 4. Si está instalando un dispositivo Secure Access FIPS, ejecute los pasos siguientes en el panel del módulo de seguridad de hardware: 1. Ajuste el conmutador de modo en I (modo de inicialización). El indicador de estado del módulo de seguridad de hardware (HSM) indica el modo del módulo de seguridad de hardware, descrito en la Tabla 2 en la página 3. 2. Enchufe el cable del lector de tarjetas inteligente en el puerto del lector. 3. Inserte una de las tarjetas inteligentes en el lector con los contactos hacia arriba. El LED verde HSM se ilumina. No extraiga la tarjeta mientras el módulo se encuentre en el modo I. 2 Paso 1: Instalar el hardware

Figura 3: Secure Access FIPS Vista detallada del panel frontal La instalación del hardware estará completa cuando haya montado el dispositivo en el bastidor, conectado la alimentación, la red y los cables serie al dispositivo, y encendido el equipo. El paso siguiente es conectarse a la consola serie del dispositivo para introducir los ajustes básicos del equipo y de la red. Tabla 1: Secure Access y Secure Access FIPS LEDs del puerto izquierdo Estado de la LAN LED 1 LED2 Conexión a 10 Mbps Apagado n/a Acceso 1000/3000/5000 Conexión a 100 Mbps Verde n/a Acceso 1000/3000/5000 Conexión a 1000 Mbps Naranja n/a Acceso 1000/3000/5000 Transfiriendo datos Naranja, verde o apagado Intermitente Sin conexión Apagado Apagado Tabla 2: Secure Access FIPS Indicador de estado del módulo de seguridad de hardware Estado de la LAN LED 1 Descripción Estado previo a la inicialización Destellos individuales, cortos Estado de funcionamiento Principalmente encendido, pero periódicamente parpadea Estado previo al mantenimiento Destellos individuales, largos El módulo está listo para la inicialización. El conmutador de modo se encuentra en O (operativo). Póngalo en I para comenzar la inicialización. El conmutador de modo se encuentra en M (mantenimiento). Póngalo en I para comenzar la inicialización. Paso 1: Instalar el hardware 3

Paso 2: Realizar la configuración básica Tras arrancar un dispositivo IVE no configurado, debe introducir la información básica de la red y del equipo a través de la consola serie IVE para que el dispositivo esté accesible a la red. Después de introducir estos ajustes, puede continuar la configuración del IVE a través de la consola web del administrador. Esta sección describe la configuración requerida para la consola serie y las tareas que deben realizarse al conectarse al IVE por primera vez a través de la consola web. Para realizar la configuración básica: 1. Configure una utilidad de terminal de consola o de emulación de terminal, como Hyperterminal, para que utilice estos parámetros de conexión serie: 9600 bits por segundo 8 bits sin paridad (8N1) 1 bit de parada Sin control de flujo 2. Conecte el terminal o el equipo portátil al cable serie enchufado en el puerto serie del dispositivo y presione Intro hasta que el script de inicialización le pida información. Figura 4: Pantalla de bienvenida de la consola serie del IVE 3. Pulse y para proceder y luego y para aceptar los términos de la licencia (o bien r para leerla primero). 4. Introduzca la información del equipo que se le solicite, incluyendo: Dirección IP del puerto interno (opcionalmente, configure el puerto externo a través de la consola web del administrador después de la configuración inicial) Máscara de red 4 Paso 2: Realizar la configuración básica

Dirección de la puerta de enlace predeterminada Velocidad de la tarjeta de red (NIC) Dirección del servidor DNS principal Dirección del servidor DNS secundario (opcional) Nombre de dominio DNS predeterminado (por ejemplo: miempresa.com) Nombre o dirección del servidor WINS (opcional) Nombre de usuario del administrador Contraseña del administrador Nombre común del equipo (ejemplo: conexiones.miempresa.com) Nombre de la organización (ejemplo: Recambios y Repuestos, S.A.) Los dos últimos datos se utilizan para crear un certificado digital autofirmado que se utiliza durante la evaluación del producto y la configuración inicial. Recomendamos encarecidamente que importe un certificado digital autofirmado expedido por una autoridad de certificación fiable (CA) antes de entregar el IVE para su uso productivo. Después de introducir esta información, habrá completado la configuración de la consola serie. Cuando el IVE le pregunte si desea modificar sus ajustes, elija la opción apropiada o continúe. 5. Si está instalando un dispositivo Secure Access FIPS, ponga el conmutador de modo en O (modo de funcionamiento). 6. En un explorador web, introduzca la URL del equipo seguida de /admin para acceder a la página de inicio de sesión del administrador. La URL está en el formato: https://a.b.c.d/admin, donde a.b.c.d es la dirección IP del equipo, que introdujo en el paso 4. Cuando aparezca el aviso de seguridad preguntando si proceder sin un certificado firmado, haga clic en Yes. Si aparece la página de inicio de sesión del administrador, significa que ha conectado correctamente su dispositivo IVE a la red. Paso 2: Realizar la configuración básica 5

Figura 5: Página de inicio de sesión del administrador 7. En la página de inicio de sesión, introduzca el nombre de usuario y la contraseña del administrador que creó en el paso 4 y, a continuación, haga clic en Sign In para iniciar una sesión. Se abrirá la consola web del administrador en la página de resumen de estado del sistema System>Status>Overview. Figura 6: Página System > Status > Overview 8. Junto a System Date and Time, haga clic en Edit. En la página Date and Time, especifique la hora del equipo y haga clic en Save Changes. 9. Elija Administrators>Delegation (opcional). En la página Delegated Admin Roles, haga clic en.administrators, vinculado a las páginas de configuración de la función incorporada.administrators. Para esta función: 1. Elija General>Session Options y, bajo Session Lifetime, cambie los valores de temporización por inactividad y de duración máxima de la sesión. 2. Haga clic en Save Changes. 6 Paso 2: Realizar la configuración básica

Cuando termine esta configuración básica a través de las consolas serie y web, todo estará listo para instalar el paquete de actualización de IVE más actualizado para su sistema operativo y registrar la licencia del IVE. Paso 3: Actualizar y registrar la licencia del IVE Antes de verificar la accesibilidad de los usuarios, tómese un tiempo para actualizar su IVE con el paquete de actualización del IVE más reciente para su sistema operativo con el fin de asegurarse de disponer de la funcionalidad y documentación más recientes del producto. Necesitará descargar el paquete de actualización del sitio de Soporte Técnico de Juniper a un directorio de red accesible desde el IVE. El mensaje de bienvenida que le enviará Juniper por correo electrónico contiene la URL de Soporte Técnico y sus credenciales de inicio de sesión. Para actualizar y registrar la licencia del IVE: 1. En un explorador web, introduzca la URL del sitio de Soporte Técnico indicada en el mensaje de correo electrónico enviado por Juniper. 2. En la página de inicio de sesión para la obtención de asistencia, introduzca las credenciales (nombre de usuario y contraseña) indicadas en el mensaje y haga clic en Sign In para iniciar una sesión. Después de iniciar correctamente su sesión en el sitio, navegue a la página de su versión de software dentro del sitio de soporte. 3. Seleccione el vínculo correspondiente a la versión de producción más reciente y haga clic en el vínculo de paquetes de actualización correspondiente. Cuando le sea solicitado, guarde el paquete en un directorio de red. 4. En un explorador, introduzca la URL del equipo IVE seguida de /admin para acceder a la página de inicio de sesión del administrador. La URL está en el formato: https://a.b.c.d/admin, donde a.b.c.d es la dirección IP del equipo que introdujo en el paso 2-4. Cuando aparezca el aviso de seguridad preguntando si proceder sin un certificado firmado, haga clic en Yes. 5. En la página de inicio de sesión del administrador, introduzca el nombre y la contraseña del administrador que creó en el paso 2-4 y haga clic en Sign In. Se abrirá la consola web del administrador en la página de resumen de estado del sistema System>Status>Overview. 6. Elija Maintenance>System>Upgrade/Downgrade. 7. En la página Install Service Package, navegue hasta el paquete de actualización de su sistema operativo que descargó anteriormente. Después de seleccionar el paquete, cuando el nombre del archivo aparezca en el campo Service package to install, haga clic en Install Now. El IVE transferirá el paquete de actualización desde el directorio de red y comenzará a instalarlo. El proceso puede durar varios minutos. Puede supervisar el estado a través de la consola web o de la consola serie. Cuando el IVE acabe de instalar el paquete de actualización, el sistema se reiniciará. Cuando el IVE se haya reiniciado, vuelva a iniciar una sesión en la consola web del administrador para introducir la licencia (o licencias) del sistema. Paso 3: Actualizar y registrar la licencia del IVE 7

8. Elija System>Configuration>Licensing. En la página Licensing: 1. En el campo Company Name, introduzca el nombre de su empresa según aparece en el mensaje de correo electrónico enviado por Juniper. 2. En el campo License Key(s), introduzca las licencias enumeradas en el mensaje de correo electrónico enviado por Juniper. Puede seleccionar todas las licencias indicadas en el correo electrónico, copiarlas y pegarlas en el campo License Key(s). 3. Haga clic en Save Changes. La información de su código de licencia aparece en la página Licensing. Si compró NetScreen-SA Central Manager de Juniper Networks, el aspecto de la interfaz de usuario cambia a un color de fondo gris después de guardar las licencias. Las demás ilustraciones de esta guía presentan la interfaz de usuario de Central Manager. Después de instalar el paquete de actualización de IVE más reciente para su sistema operativo y registrar su licencia de IVE, estará listo para verificar la accesibilidad de los usuarios. 8 Paso 3: Actualizar y registrar la licencia del IVE

Paso 4: Verificar la accesibilidad de los usuarios Puede crear fácilmente una cuenta de usuario en el servidor de autenticación del sistema para verificar la accesibilidad de ese usuario a su IVE. Después de crear la cuenta a través de la consola web del administrador, inicie una sesión como usuario en la página de inicio de sesión de usuarios del IVE. Para verificar la accesibilidad de los usuarios: 1. En la consola web del administrador, elija Users>New User. 2. En la página New Local User, escriba testuser1 como nombre de usuario y una contraseña; luego haga clic en Save Changes. El IVE creará la cuenta testuser1. 3. En otra ventana del explorador, introduzca la URL del equipo para acceder a la página de inicio de sesión de usuarios. La URL está en el formato: https://a.b.c.d, donde a.b.c.d es la dirección IP del equipo, que introdujo en el paso 2-4. Cuando aparezca el aviso de seguridad preguntando si proceder sin un certificado firmado, haga clic en Yes. Si aparece la página de inicio de sesión del usuario, significa que se habrá conectado correctamente a su dispositivo IVE. Figura 7: Página de inicio de sesión de usuario 4. En la página de inicio de sesión, introduzca el nombre de usuario y la contraseña que creó para la cuenta del usuario y haga clic en Sign In para acceder a la página inicial del IVE para usuarios. Paso 4: Verificar la accesibilidad de los usuarios 9

Figura 8: Página inicial del usuario (predeterminada) 5. En el campo Address del explorador, introduzca la URL de un servidor web interno y haga clic en Browse. El IVE abrirá la página web en la misma ventana del explorador, por lo que para regresar a la página inicial del IVE, deberá hacer clic en el icono central de la barra de herramientas de navegación que aparece en la página web de destino. Figura 9: Página web interna de ejemplo con la barra de herramientas para examinar archivos 6. En la página inicial del IVE, introduzca la URL de su sitio corporativo externo y haga clic en Browse. El IVE abre la página web en la misma ventana del explorador, de modo que, para regresar a la página inicial del IVE, deberá utilizar la barra de herramientas para examinar archivos. 10 Paso 4: Verificar la accesibilidad de los usuarios

7. En la página inicial del IVE, haga clic en Browsing>Windows Files para examinar los recursos compartidos disponibles para Windows o en Browsing>UNIX/NFS Files para examinar recursos compartidos en redes UNIX/NSF. Después de verificar la accesibilidad de los usuarios, regrese a la consola web del administrador para realizar el paso 5, que presenta el sistema de administración de accesos del IVE. Paso 4: Verificar la accesibilidad de los usuarios 11

Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE El IVE es un sistema flexible de administración de accesos que facilita la personalización de los accesos remotos de un usuario mediante la utilización de funciones (roles), directivas de recursos, servidores de autenticación, territorios de autenticación y directivas de inicio de sesión. Para que pueda comenzar a trabajar rápidamente con estas entidades, IVE se suministra de fábrica con ajustes predeterminados para cada una de ellas. Esta sección describe estos preajustes del sistema y muestra cómo crear cada entidad de administración de accesos mediante las siguientes tareas: Definir una función de usuario...12 Definir una directiva de recursos...15 Definir un servidor de autenticación...18 Definir un territorio de autenticación...20 Definir una directiva de inicio de sesión...23 El IVE reconoce dos tipos de usuarios: Administrators Un administrador es una persona que puede ver y modificar los ajustes de configuración del IVE. Creará la primera cuenta de administrador a través de la consola serie. Users Un usuario es una persona que utiliza el IVE para acceder a los recursos corporativos de acuerdo con la configuración definida por un administrador. Creará la primera cuenta de usuario (testuser1) en el Paso 4: Verificar la accesibilidad de los usuarios en la página 9. El siguiente supuesto de prueba se centra en utilizar los elementos de administración de accesos del IVE para configurar los parámetros de acceso de un usuario. Para obtener información sobre los ajustes predeterminados del sistema para administradores, consulte Ajustes predeterminados para administradores en la página 27. Definir una función de usuario Una función de usuario es una entidad que define parámetros de sesión, ajustes de personalización y funciones de acceso habilitadas para los usuarios. 1 El IVE asigna a cada usuario autenticado una o más funciones. Las opciones especificadas para las funciones definen a qué tipo de recursos puede acceder el usuario durante la sesión de IVE. 1. Las funciones de acceso son la navegación web, la navegación en sistemas de archivos, Secure Application Manager, Telnet/SSH, Terminal Services de Windows, Network Connect, Secure Meeting y Secure Email Client. 12 Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE

El IVE se suministra preconfigurado con una función de usuario llamada Users. Esta función predefinida habilita las funciones de acceso a web y archivos, permitiendo a cualquier usuario asignado a la función Users su acceso a Internet, a servidores web corporativos y a cualquier servidor de archivos Windows o UNIX/NFS disponible. Puede ver esta función en la página Users>Roles. Después de habilitar una característica de acceso para una función (en la página Users>Roles>RoleName), configure las opciones apropiadas correspondientes y accesibles desde la ficha de configuración de características de acceso. Para definir una función de usuario: 1. En la consola web del administrador, elija Users>Roles. 2. En la página Roles, haga clic en New Role. 3. En la página New Role, escriba Test Role en el campo Name y haga clic en Save Changes. Espere a que el IVE muestre la página General>Overview correspondiente a Test Role. 4. En la página Overview, seleccione la casilla de verificación Web bajo Access features y haga clic en Save Changes. 5. Elija Web>Options. 6. Bajo Browsing, seleccione la casilla de verificación User can type URLs y haga clic en Save Changes. Una vez completados estos pasos, habrá definido una función de usuario. Cuando cree directivas de recursos, podrá aplicarlas a esta función. También podrá asignar usuarios a esta función mediante reglas de asignación definidas para un territorio de autenticación. Para crear rápidamente una función de usuario que habilite el acceso a web y a examinar archivos, duplique la función Users y habilite las características de acceso adicionales que desee. Figura 10: Página Users > Roles > New Role Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE 13

Figura 11: Users > Roles > Test Role > General > Overview 14 Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE

Definir una directiva de recursos Una directiva de recursos es una regla del sistema que especifica: Recursos a los que debe aplicarse la directiva (como URLs, servidores y archivos), Usuarios a los que debe aplicarse la directiva (especificados mediante funciones y otras variables de la sesión), y Si el IVE debe permitir el acceso a un recurso o ejecutar una acción. El IVE está preconfigurado con dos tipos de directivas de recursos: Web Access La directiva de recursos predefinida Web Access permite a todos los usuarios acceder a Internet y a todos los servidores web corporativos a través del IVE. De forma predeterminada, esta directiva de recursos es aplicable a la función Users. Windows Access La directiva de recursos predefinida Windows Access permite a todos los usuarios asignados a la función Users acceder a todos los servidores corporativos de archivos Windows. De forma predeterminada, esta directiva de recursos es aplicable a la función Users. Puede ver las directivas predeterminadas de recursos web y de archivos en las páginas Resource Policies>Web>Access y Resource Policies>Files>Windows>Access. Si le preocupa que los usuarios tengan acceso a todos sus contenidos web y de archivos, elimine las directivas predeterminadas de acceso a web y a archivos, Web Access y Windows Access. Para definir una directiva de recursos: 1. En la consola web del administrador, elija Resource Policies>Web>Access. 2. En la página Web Access Policies, haga clic en New Policy. 3. En la página New Policy: 1. En el campo Name, escriba: Test Web Access 2. En el campo Resources, escriba: http://www.google.com 3. Bajo Roles, active Policy applies to SELECTED roles y seleccione Test Role en el campo Available Roles; a continuación, haga clic en Add para moverlo al campo Selected Roles. 4. Bajo Action, seleccione Deny access. 5. Haga clic en Save Changes. El IVE agrega Test Web Access a la página Web Access Policies. Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE 15

4. En la página Web Access Policies, haga clic en la casilla de verificación junto a Test Web Access en la lista Policies. El IVE resalta la fila de la tabla en amarillo. 5. Haga clic en la flecha ascendente en la parte superior de la página para mover la fila Test Web Access por encima de la fila integrada Initial Open Policy y, a continuación, haga clic en Save Changes. El IVE procesa las directivas de recursos por orden, comenzando por la primera directiva de la lista. Para asegurarse de que el IVE aplique las restricciones de recursos correspondientes a los usuarios, ordene las directivas de la lista en función de su nivel de restricción, colocando la directiva más restrictiva en el primer puesto de la lista. Una vez completados estos pasos, habrá configurado una directiva de recursos de control de accesos a la web. Observe que, aunque la siguiente directiva de la lista Web Access Policies permite a todos los usuarios acceder a todos los recursos web, se continúa prohibiendo a los usuarios asignados a Test Role el acceso a http://www.google.com, ya que cumplen las condiciones de la primera directiva, Test Web Access, que tiene prioridad sobre la siguiente. 16 Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE

Figura 12: Resource Policies > Web > Access > New Policy Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE 17

Figura 13: Resource Policies > Web > Access Cambiar el orden de las directivas Definir un servidor de autenticación Un servidor de autenticación es una base de datos que almacena las credenciales de los usuarios (nombre y contraseña) y, normalmente, información sobre el grupo y atributos. Cuando un usuario se conecta al IVE, debe especificar un territorio de autenticación, que está asociado a un servidor de autenticación. El IVE reenvía las credenciales del usuario a este servidor de autenticación para verificar su identidad. El IVE admite los servidores de autenticación más comunes, como Windows NT Domain, Active Directory, RADIUS, LDAP, NIS, RSA ACE/Server y Netegrity SiteMinder, lo que permite crear una o más bases de datos locales de usuarios que son autenticados por el IVE. El IVE viene preconfigurado con un servidor de autenticación local para usuarios llamado System Local. Este servidor de autenticación local predefinido es una base de datos del IVE que permite crear rápidamente cuentas de usuario para su autenticación. Esta funcionalidad proporciona la flexibilidad necesaria para realizar pruebas y para permitir el acceso a terceros, eliminando la necesidad de crear cuentas de usuario en un servidor de autenticación externo. Puede ver el servidor de autenticación local predeterminado en la página System>Signing In> Servers. El IVE también es compatible con servidores de autorizaciones. Un servidor de autorizaciones (o servidor de directorios) es una base de datos que almacena información sobre los atributos de los usuarios y grupos. Puede configurar un territorio de autenticación de modo que utilice un servidor de directorios con el fin de consultar atributos del usuario o información del grupo, que se utilizarán en las reglas y directivas de recursos durante la asignación de funciones. Para definir un servidor de autenticación: 1. En la consola web del administrador, elija System>Signing In>Servers. 2. En la página Servers, elija IVE Authentication en la lista New y haga clic en New Server. 18 Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE

3. En la página New IVE Authentication, escriba Test Server en el campo Name y haga clic en Save Changes. Espere a que el IVE le notifique que los cambios se han guardado, después de lo cual aparecerán fichas de configuración adicionales. 4. Haga clic en la ficha Users y luego en New. 5. En la página New Local User, escriba testuser2 en el campo Username, escriba una contraseña y haga clic en Save Changes para crear la cuenta del usuario en el servidor de autenticación Test Server. Una vez completados estos pasos, habrá creado un servidor de autenticación que contendrá una cuenta de usuario. Este usuario podrá conectarse a un territorio de autenticación que utilice el servidor de autenticación Test Server. Figura 14: System > Signing In > Servers > New Server Figura 15: System > Signing In > Servers > Test Server > New User Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE 19

Figura 16: System > Signing In > Servers Definir un territorio de autenticación Un territorio de autenticación es una agrupación de recursos de autenticación, a saber: Un servidor de autenticación, que verifica la identidad del usuario. El IVE reenvía las credenciales enviadas desde la página de inicio de sesión a un servidor de autenticación. Una directiva de autenticación, que especifica qué requisitos de seguridad del territorio deberán cumplirse para que el IVE envíe las credenciales a un servidor de autenticación para su verificación. Un servidor de directorios, que es un servidor LDAP que proporciona información de atributos de usuario y de grupo al IVE para su utilización en las reglas y directivas de recursos durante la asignación de funciones (opcional). Reglas de asignación de funciones, que son condiciones que un usuario debe satisfacer para que el IVE asigne al usuario a unas o más funciones. Estas condiciones se basan en la información devuelta por el servidor de directorios del territorio, el nombre de usuario de la persona o los atributos del certificado. El IVE se suministra preconfigurado con un territorio de usuarios llamado Users. Este territorio predefinido utiliza el servidor de autenticación System Local, una directiva de autenticación que requiere una longitud de contraseña mínima de cuatro caracteres, no utiliza servidor de directorios, y contiene una regla de asignación de funciones que asigna la función Users a todos los usuarios que inicien una sesión en el territorio Users. La cuenta testuser1 que se creó en el Paso 3: Actualizar y registrar la licencia del IVE en la página 7 forma parte del territorio Users, porque se creó en el servidor de autenticación System Local. La cuenta testuser2 creada en Definir un servidor de autenticación en la página 18 no forma parte del territorio Users, porque se creó en el nuevo servidor de autenticación Test Server, que ese territorio no utiliza. Puede ver el territorio de autenticación de usuarios predeterminado en la página Users>Authentication. 20 Paso 5: Crear un supuesto de prueba para aprender los conceptos y prácticas recomendadas con el IVE